B giáo trình Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho Lãnh đo trong c quan Nhà nc Hc phn 6 An toàn, an ninh thông tin và mng li Korea Information Security Agency TRUNG TÂM ÀO TO PHÁT TRIN CÔNG NGH THÔNG TIN VÀ TRUYN THÔNG CHÂU Á – THÁI BÌNH DNG TRNG ÀO TO, BI DNG CÁN B QUN LÝ THÔNG TIN VÀ TRUYN THÔNG ICS Hc phn 6 An toàn, an ninh thông tin và mng li 3 LI GII THIU Th k 21 đã đánh du s tác đng ln nhau ca con ngi trên toàn cu. Th gii đang m ra c hi cho hàng triu ngi nh công ngh mi, nhng thông tin và kin thc thit yu đc m rng đã ci thin mt cách đáng k cuc sng ca con ngi và giúp gim cnh nghèo nàn. iu này ch tr thành hin thc khi có s liên kt cùng vi vic chia s giá tr, cùng cam kt và thng nht s phát trin tng th và phù hp. Trong nhng nm gn đây, Châu Á Thái Bình Dng đc bit đn nh khu vc nng đng nht trong lnh vc công ngh thông tin và truyn thông (ICT). Theo báo cáo ca Liên minh Vin thông Th gii, khu vc này đã có trên 2 t thuê bao đin thoi, trong đó có 1,4 t thuê bao di đng. Tinh đn nm 2008, ch riêng n  và Trung Quc đã chim ¼ s lng thuê bao di đng trên toàn th gii. Khu vc Châu Á Thái Bình Dng đc cho là chim 40% s lng ngi s dng internet trên th gii và đng thi là th trng bng rng ln nht, chim 39% th trng toàn cu. Cùng vi tc đ phát trin nhanh ca công ngh, nhiu vn đ đc nhc đn khi khong cách s bin mt. Nhng điu đáng tic, khong cách s vn hin hu. Thm chí 5 nm, sau khi Hi ngh Th gii v Xã hi thông tin (WSIS) din ra  Geneva vào nm 2003, bt chp s phát trin n tng ca công ngh và nhng cam kt ca các nc ln trong khu vc. Kt qu là truy nhp truyn thông c bn vn còn xa l vi nhiu ngi, đc bit là nhng ngi nghèo. Hn 25 quc gia trong khu vc gm nhng nc đang phát trin, đã có gn 10 ngi s dng internet trên 100 dân, phn ln tp trung  các thành ph ln. Trong khi đó  mt vài nc đã phát trin trong khu vc thì t l rt cao vi hn 80 ngi s dng internet trên 100 dân. S chênh lch v mc đ ph cp bng rng gia các nc phát trin và đang phát trin vn còn gi mt khong cách ln.  gim dn khong cách s và nhn din đúng tim nng ca ICT cho phát trin kinh t xã hi trong khu vc, nhng nhà lp pháp  các nc phát trin cn xây dng các chính sách u tiên và khung điu chnh, ch đnh ngun qu, và to điu kin cho xúc tin đu t vào lnh vc công nghip ICT và nâng cao k nng ICT cho công dân nc h. 4 Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho Lãnh đo trong c quan Nhà nc Trong K hoch Hành đng ca WSIS có ch rõ, "… mi ngi s có c hi tip cn nhng k nng và kin thc cn thit đ hiu, thc hành và đt đc nhng li ích t Xã hi Thông tin và Kinh t Tri thc". Trong phn cui ca k hoch này đã kêu gi s hp tác quc t và khu vc trong nhng lnh vc có tim nng, đc bit nhn mnh vào vic to tp mt s lng ln các chuyên gia ICT.  h tr tt cho li kêu gi t K hoch hành đng ca WSIS, APCICT đã xây dng chng trình ging dy đy đ v ICT – B giáo trình Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho lãnh đo trong c quan nhà nc. Chng trình này bao gm 8 phn có liên kt cht ch vi nhau, vi mc tiêu truyn đt nhng kin thc và kinh nghim cn thit giúp các nhà lp pháp xây dng và thi hành sáng kin ICT hiu qu hn. APCICT là mt trong 5 hc vin ca y ban Kinh t Xã hi Liên hp quc Châu Á Thái Bình Dng. APCICT xúc tin chng trình phát trin kinh t xã hi phù hp và toàn din  Châu Á Thái Bình Dng thông qua vic phân tích, chun hóa, khai thác tim nng, hp tác khu vc và chia s kin thc. Trong quá trình hp tác vi các c quan Liên hp quc khác, các t chc quc t, các quc gia và nhng t chc liên quan, ESCAP, đi din là APCICT, đc giao nhim v h tr vic s dng, ci tin và dch thut các bài ging cho các quc gia khác nhau, phù hp vi các trình đ trung và cao cp ca các nhân viên trong c quan nhà nc, vi mc đích đa k nng và kin thc thu thp đc làm gia tng nhng li ích t ICT và thit lp nhng hành đng c th đ đt đc mc tiêu phát trin. Noeleen Heyzer TL. Tng Th ký Liên hp quc và Giám đc điu hành ca ESCAP Hc phn 6 An toàn, an ninh thông tin và mng li 5 LI TA Chng đng phát trin ca B giáo trình Nhng kin thc c bn v Công ngh thông tin và Truyn thông (CNTT&TT) cho lãnh đo trong c quan nhà nc thc s là mt kinh nghim mang tính trí tu cao. B giáo trình không ch phc v cho vic xây dng các k nng CNTT&TT, mà còn m đng cho mt phng thc mi v xây dng chng trình ging dy - thông qua s hp tác ca các thành viên và t ch v quy trình. B giáo trình là mt chng trình mang tính chin lc ca APCICT, phát trin trên c s kt qu kho sát đánh giá nhu cu mt cách toàn din đc tin hành trên 20 nc trong khu vc và s tham kho ý kin ca các nhân viên thuc c quan nhà nc, thành viên các c quan phát trin quc t, các vin hàn lâm và c s giáo dc; nhng nghiên cu và phân tích k lng v đim mnh và đim yu ca giáo trình đào to; thông tin phn hi t nhng ngi tham gia xây dng chui bài ging ca APCICT – t chc các bui hi tho khu vc và quc gia liên quan đn ni dung bài ging và các phng pháp đào to khoa hc; và s trao đi góp ý thng thn ca các chuyên gia hàng đu trong các lnh vc ICT phc v phát trin. Các hi tho v giáo trình din ra  các khu vc thu đc nhng li ích vô giá t các hot đng trao đi kinh nghim và kin thc gia nhng ngi tham d đn t các quc gia khác nhau. ó là mt quy trình đ các tác gi xây dng ni dung. Vic xây dng 8 hc phn trong b giáo trình đánh du mt s khi đu quan trng trong vic nâng cao s hp tác  hin ti và xây dng các mi liên h mi nhm phát trin các k nng thit lp chính sách phát trin CNTT&TT khp khu vc. APCICT cam kt cung cp s h tr k thut trong vic gii thiu b giáo trình quc gia nh mt mc tiêu chính hng ti vic đm bo rng b giáo trình s đc ph bin ti tt c nhng nhà lp pháp. APCICT cng đang xúc tin mt cách cht ch vi mt s vin đào to trong khu vc và quc t, nhng t chc có mi quan h mt thit vi c quan nhà nc cp trung ng và đa phng đ ci tin, dch thut và truyn đt các ni dung ca Giáo trình ti nhng quc gia có nhu cu. APCICT đang tip tc m rng hn na v đi tng tham gia nghiên cu giáo trình hin ti và k hoch phát trin mt giáo trình mi. 6 Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho Lãnh đo trong c quan Nhà nc Hn na, APCICT đang xúc tin nhiu kênh đ đm bo rng ni dung B giáo trình đn đc nhiu ngi hc nht trong khu vc. Ngoài phng thc hc trc tip thông qua các t chc lp hc  các khu vc và quc gia, APCICT cng t chc các lp hc o (AVA), phòng hc trc tuyn cho phép nhng hc viên tham gia bài ging ngay ti ch làm vic ca h. AVA đm bo rng tt c các phn bài ging và tài liu đi kèm cng nh bn trình chiu và bài tp tình hung d dàng đc truy nhp trc tuyn và ti xung, s dng li, ci tin và bn đa hóa, và nó bao gm nhiu tính nng khác nhau nh bài ging o, công c qun lý hc tp, công c phát trin ni dung và chng ch. Vic xut bn và gii thiu 8 hc phn ca b giáo trình thông qua các bui hi tho khu vc, tiu khu vc, quc gia có s tn tâm cng hin, tham gia tích cc ca nhiu cá nhân và t chc. Tôi mun nhân c hi này đ bày t lòng cm n nhng n lc và kt qu đt đc ca nhóm cng tác và các đi tác t các B, ngành, hc vin, và các t chc khu vc và quc gia đã tham gia hi tho v b giáo trình. H không ch cng cung cp nhng thông tin đu vào có giá tr, phc v ni dung ca bài ging, mà quan trng hn, h đã tr thành nhng ngi ng h vic truyn đt b giáo trình trên đt nc mình, to ra kt qu là nhng tha thun chính thc gia APCICT và mt s vin đi tác ca các quc gia và trong khu vc đ ci tin và phát hành bài ging giáo trình chính thc cho đt nc h. Tôi cng mun gi li cm n đc bit cho nhng n lc cng hin ca nhiu cá nhân ni bt, nhng ngi đã to nên thành qu cho bài ging này. H là Shahid Akhtar C Vn D án Giáo trình; Patricia Arinto, Biên tp; Christine, Qun lý xut bn; toàn b tác gi b giáo trình; và nhng nhóm APCICT. Chúng tôi hy vng rng b giáo trình s giúp các quc gia thu hp đc nhng hn ch ca ngun nhân lc CNTT&TT, xóa b nhng rào cn nhn thc v CNTT&TT, và xúc tin ng dng CNTT&TT trong vic thúc đy phát trin kinh t xã hi và đt đc mc tiêu phát trin thiên nhiên k. Hyeun-Suk Rhee Giám đc UN-APCICT Hc phn 6 An toàn, an ninh thông tin và mng li 7 V CHUI HC PHN Trong k nguyên thông tin ngày nay, vic truy cp thông tin mt cách d dàng đang làm thay đi cách chúng ta sng, làm vic và gii trí. Nn kinh t s - còn đc gi là kinh t tri thc, kinh t mng hay kinh t mi, đc mô t nh mt s chuyn tip t sn xut hàng hóa sang to lp ý tng. Công ngh thông tin và truyn thông đang đóng mt vai trò quan trng và toàn din trên mi mt ca kinh t xã hi. Nh mt kt qu, chính ph trên khp th gii đang quan tâm nhiu hn ti CNTT&TT trong s phát trin quc gia. i vi các nc, phát trin CNTT&TT không ch phát trin v công nghip CNTT&TT là mt lnh vc ca nn kinh t mà còn bao gm c vic ng dng CNTT&TT trong hot đng kinh t, xã hi và chính tr. Tuy nhiên, gia nhng khó khn mà chính ph các nc phi đi mt trong vic thi hành các chính sách CNTT&TT, nhng nhà lp pháp thng không nm rõ v mt công ngh đang s dng cho s phát trin quc gia. Cho đn khi không th điu chnh đc nhng điu h không hiu, nhiu nhà lp pháp né tránh to lp các chính sách v CNTT&TT. Nhng ch quan tâm ti công ngh mà không to lp các chính sách thì cng là mt sai lm vì nhng nhà công ngh thng ít có kin thc v thi hành nhng công ngh h đang phát trin hoc s dng. B giáo trình Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho lãnh đo trong c quan nhà nc do Trung tâm ào to Phát trin Công ngh thông tin và Truyn thông Liên hp quc và Châu Á Thái Bình Dng (UN-APCICT) xây dng nhm phc v cho: 1. Các nhà hoch đnh chính sách v CNTT&TT c  mc đ quc gia và đa phng; 2. Quan chc chính ph chu trách nhim v phát trin và thi hành các ng dng ca CNTT&TT; 3. Nhng nhà qun lý trong lnh vc công đang tìm kim chc danh qun lý d án v CNTT&TT. 8 Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho Lãnh đo trong c quan Nhà nc B giáo trình hng đn nhng vn đ liên quan ti CNTT&TT phc v phát trin trên c khía cnh chính sách và công ngh. Mc đích ct yu ca giáo trình CNTT&TT không tp trung vào k thut mà truyn đt s hiu bit v nhng điu công ngh s có kh nng hoc đang hng ti, tác đng ti nh th nào trong vic hoch đnh chính sách. Các ch đ trong bài ging đc thit k da trên phân tích nhu cu và kho sát nhng chng trình đào to trên khp th gii. Hc phn đc cu to theo cách mà ngi hc có th t hc mt cách đc lp hoc bài ging cho mt khóa hc. Hc phn va mang tính cht riêng l nhng cng liên kt vi nhng ch đ và tình hung tho lun trong phn khác ca chui. Mc tiêu là to đc s thng nht  tt c các phn. Mi phn bt đu vi vic trình bày mt ch đ và kt qu mà ngi đc s thu đc. Ni dung các phn đc chia thành các mc bao gm bài tp và tình hung đ giúp hiu sâu hn nhng ni dung chính. Bài tp có th đc thc hin bi tng cá nhân hoc mt nhóm hc viên. Biu đ và bng biu đc cung cp đ minh ha nhng ni dung ca bui tho lun. Tài liu tham kho đc lit kê đ cho ngi đc có th t tìm hiu sâu hn v bài ging. Vic s dng CNTT&TT phc v phát trin rt đa dng, trong mt vài tình hung hoc thí d  bài ging có th xut hin nhng mâu thun. ây là điu đáng tic. ó cng là s kích thích và thách thc ca quá trình rèn luyn mi và cng là trin vng khi tt c các nc bt đu khai thác tim nng ca CNTT&TT nh công c phát trin. H tr chui hc phn còn có mt phng thc hc trc tuyn – Hc vin o APCICT (AVA – http://www.unapcict.org/academy) – vi phòng hc o s chiu bn trình bày ca ngi dy di dng video và Power Point ca hc phn. Ngoài ra, APCICT đã phát trin mt kênh cho phát trin CNTT&TT (e-Co Hub – http://www.unapcict.org/ecohub), mt đa ch trc tuyn dành cho nhng hc viên phát trin CNTT&TT và nhng nhà lp pháp nâng cao kinh nghim hc tp. E-Co Hub cho phép truy cp nhng kin thc v các ch đ khác nhau ca phát trin CNTT&TT và cung cp mt giao din chia s kin thc và kinh nghim, và hp tác trong vic nâng cao CNTT&TT phc v phát trin. Hc phn 6 An toàn, an ninh thông tin và mng li 9 HC PHN 6 Trong thi đi thông tin, tin tc là mt tài sn đc bo v và nhng nhà hoch đnh chính sách cn nm đc bo mt thông tin là gì và làm th nào đ chng li các xâm phm và r r thông tin. Phn này gii thiu tng quan v nhu cu bo mt thông tin, xu hng và các vn đ bo mt thông tin, cng nh quá trình xây dng chin lc bo mt thông tin. Mc tiêu ca hc phn Hc phn này nhm mc tiêu: 1. Làm sáng t khái nim an toàn, an ninh thông tin và các khái nim liên quan; 2. Mô t nhng thách thc đi vi bo mt thông tin và làm th nào đ có th xác đnh chúng ; 3. Tho lun v nhu cu thit lp và thc hin chính sách an ninh thông tin, cng nh s thay đi phát trin ca chính sách an ninh thông tin; 4. Gii thiu tng quan v các tiêu chun bo đm an toàn, an ninh thông tin đc s dng  mt s quc gia cng nh các t chc an ninh thông tin quc t. Kt qu thu đc Sau khi hoàn thành hc phn này, hc gi có th: 1. nh ngha an toàn, an ninh thông tin và các khái nim liên quan; 2. Nhn đnh nhng thách thc đi vi an ninh thông tin; 3. ánh giá chính sách an ninh thông tin hin có theo các tiêu chun quc t v bo đm an toàn, an ninh thông tin; 4. Xây dng hoc đa ra các khuyn ngh v chính sách an ninh thông tin thích hp. 10 Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho Lãnh đo trong c quan Nhà nc MC LC Li gii thiu ……………………………………………………… … …. Li ta …………………………………………………………………… V chui hc phn ………………………………………………………. Hc phn 6 ……………………………………………………………… 3 5 7 9 Mc tiêu ca hc phn Kt qu thu đc Danh mc các hình Danh mc bng ……………………………………………………… . Danh mc các t vit tt …………………………………………… 9 9 11 12 11 1. Nhu cu v an ninh thông tin ………………………………………. 15 1.1 Các khái nim c bn trong An ninh thông tin 1.2 Các tiêu chun cho hot đng An ninh thông tin ……….……… …… 15 21 2. Các đnh hng và xu hng An ninh thông tin ………………… 25 2.1 Các kiu tn công An ninh thông tin …… . 2.2 Xu hng ca các mi him ha an ninh thông tin ………….… 2.3 Ci thin an ninh, bo mt …………………………………………… …. 25 30 36 3. Các hot đng An ninh thông tin …………….…………………… 43 3.1 Các hot đng An ninh thông tin quc gia . 3.2 Các hot đng An ninh thông tin quc t ……………….… 43 58 4. Phng pháp An ninh thông tin …………….……………………. 68 4.1 Phng pháp An ninh thông tin ….…………… 4.2 Mt s ví d v phng pháp An ninh thông tin …………… 68 78 5. Bo v bí mt riêng t ………… …………….……………………. 85 5.1 Khái nim bí mt riêng t ………………… 5.2 Các xu hng ca chính sách bí mt riêng t …………………… . 5.3 ánh giá tác đng bí mt riêng t ( Privacy Impact Assessment – PIA) . . 85 86 96 6. S thành lp và hot đng ca CSIRT .…………….…………………… 101 6.1 S phát trin và vn hành mt CSIRT … 6.2 Các c quan CSIRT quc t …………………………………… 6.3 Các c quan CSIRT quc gia …………………………………… 101 119 121 [...]... xã h ra thông tin và ki n có kh àng hóa èo thông tin, có nhu c c Tình tr tiên ti – Xã h gi y còn l g àm ãh ày có ngh às An ninh thông tin là gì? ành l thi Di thông tin và b à an ninh thông tin inh thông tin là vi 4R trong an ninh thông tin B d g) Ki duy trì giá tr H An toàn, an ninh thông tin và m àn b ày là cách th à 17 Hình 1 4Rs trong An ninh thông tin Duy trì s à tính Ch c nh Giá tr thông tin Cung... thông tin à ki ên quan t êu chu ên quan và ph ISO/IEC 27001 • Chính sách an ninh CISA CISSP • Qu • Th ninh • Mô hình và ki an ninh • T ninh thông tin • Qu Qu • Qu • B ài s thông tin • Th ninh • Khôi ph th liên t vi • L ph àl k ì tính liên t công vi kinh doanh ài s ành • An ninh ngu nhân l • Qu hu quan t thông tin H An toàn, an ninh thông tin và m ình ên à tính 21 • Qu t kinh doanh ên vi • S • Khôi... àm 1 ành viên 2 Các bi là gì? Phân lo pháp an ninh thông tin ày theo nh 3 Cho ví d tr ành, các y ho êu chí c àk ùng hay qu Các thành viên tham d th àm bài t hành theo m T 1 Thông tin khác v 2 T ài s ào? ên quan t 3 Các cách th pháp ti ành an ninh thông tin à gi? Phân bi 4 Phân bi ành, các y H An toàn, an ninh thông tin và m 23 24 Nh à Truy ãnh 2 NINH THÔNG TIN Ph ày nh • Gi • Miêu t ày 2.1 Các ki Thâm... http://trendmicro.mediaroom.com/file.php/66/2007+Trend+Micro+Report_FINAL.pdf H An toàn, an ninh thông tin và m 35 2.3 C m à các công ngh cho phép thích à chính sách rõ ràng, vi òi h m òng th àc M àb ình c ng th à th các tài li hi ình b à Qu Qu à các M chi an ninh thông tin M chính sách an ninh thông tin là m ninh thông tin c àn b các quy B c ài li à qu ài h à bao hàm s ên t ên chính sách và õ các quy t chi l hàm toàn di chính ph ên ph Các tiêu... society) Trong xã h quan tr à qu ào có s ãh tr à nhân t tranh Trong xã h à tri th à tài s nh às àl cho b ào H An toàn, an ninh thông tin và m ãh g tin à tài s 15 V tin, có m tin có giá tr v ài s ài s à thông tin c ình sang giá tr ài s ình B so sánh thông tin v ài s ình Tài s Tài s Hình thái – S trì Không có hình d có th Giá tr - Tính bi Không gi xu ài s m Có hình d Có giá tr lý và ph S ình à T giá tr... trình ki toán h thông tin • Lu tra và các • An ninh môi à các y t Các y v • Qu và truy ành • L ph àl k ì tính liên t công vi kinh doanh n • An ninh các y v • Qu òng • Công ngh à các h ã hóa • An ninh m truy ành • Các y k • Qu nh truy • B tri h ì và phát 1 Tiêu chu t m m toán ho giám sát các quy t và các bi ISO/IEC27001 c th à nh • H à giao phát d ào an ninh qu à tài li êu c à vi à qu trang thi ào v 2... http://www.apdip.net/projects/igov/ICT4DSeries-iGov-Ch5.pdf An toàn, an ninh thông tin và m 25 Chi à Trung Qu M ên PoizonBox t ãb website c òng 1 tháng Nhóm này c à ãt có website c chính ph ày 30/4/2001 Các tin t ã tuyên b òng và vào các website M – ch cu ã khi tình tr ình t -CON NORMAL lên INFO-CON ALPHA Ngày 1/5/2001, Trung tâm B H t ã t công website c à chính ph Sau cu ày, M (gi à nguyên nhân gây ra nhi t ã t ch ng l chính cho an ninh thông tin và c... Union Standardization Sector KISA Korea Information Security Agency MIC Ministry of Information and Communication, Republic of Korea H An toàn, an ninh thông tin và m 13 NIS NISC NIST OECD OMB OTP PC PP PSG RFID SAC SFR SME ST TEL TOE TSF UK UN US USA WPISP WSIS 14 Network and Information Security National Information Security Center, Japan National Institute of Standards and Technology, USA Organisation... http://eval.symantec.com/mktginfo/enterprise/white_papers/entwhitepaper_internet_security_threat_report_xii_exec_summary_09_2007.en-us.pdf Nh à Truy ãnh Hình 4 Hi ày Tin nh T …… S H An toàn, an ninh thông tin và m 33 gi khuy lu ên minh vi ãh V qu • Xây d • Khuôn kh • Nh • Khuôn kh botnet V tin v • Nh • Nh gi • Xây d m à lu gi ên quan àn di àh às ành t ác k ài th ài th à à công c ành t ành t ào t et à cung c V ãh • T ào t ãi v à an toàn Internet ùng B ho ch này c àm à qu à khôi ph ói gi àn di à các doanh nghi -mail B h hay t vu kh... Working Party on information Security and Privacy World Summit on the Information Society Nh à Truy ãnh 1 NHU C Ph ày nh • Gi • Mô t à an ninh thông tin; êu chu Cu truy d nh m trang b quan tr ày nay ph ày khi ào công ngh à các qu ình th ình th à à t ò – truy à thi ch l 1.1 Các khái ni "Thông tin" là gì? àk là s l li ình, truy àk Trong ph s v ình x àt ài ày s à an ninh thông tin theo tiêu chu Ngày nay, giá . gi là an ninh thông tin. Din đt mt cách đn gin, an ninh thông tin là vic nhn bit giá tr ca thông tin và bo v nó. 4R trong an ninh thông tin B 4R trong an ninh thông tin đó. Danh sách các c quan CSIRT quc gia Các b lut liên quan đn an ninh thông tin ca Nht Bn Các b lut liên quan đn an ninh thông tin ca EU Các b lut liên quan đn an ninh thông tin. đng An ninh thông tin quc gia . 3.2 Các hot đng An ninh thông tin quc t ……………….… 43 58 4. Phng pháp An ninh thông tin …………….……………………. 68 4.1 Phng pháp An ninh thông tin ….……………