ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH *** *** *** BÙI THANH HIẾU MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TỒN THƠNG TIN VÀ AN NINH MẠNG CHO KHOA QUẢN TRỊ VÀ KINH DOANH (HSB) ĐẠI HỌC QUỐC GIA HÀ NỘI LUẬN VĂN THẠC SĨ QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS) Hà Nội - 2018 ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH *** *** *** BÙI THANH HIẾU MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TỒN THƠNG TIN VÀ AN NINH MẠNG CHO KHOA QUẢN TRỊ VÀ KINH DOANH (HSB) ĐẠI HỌC QUỐC GIA HÀ NỘI Chuyên ngành: Quản trị An ninh phi truyền thống Mã số: Chƣơng trình thí điểm LUẬN VĂN THẠC SĨ QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS) NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS TS TRẦN VĂN HÒA Hà Nội - 2018 CAM KẾT Tác giả cam kết kết nghiên cứu luận văn kết lao động tác giả thu đƣợc chủ yếu thời gian học nghiên cứu, chƣa đƣợc công bố chƣơng trình nghiên cứu ngƣời khác Những kết nghiên cứu tài liệu ngƣời khác (trích dẫn, bảng, biểu, cơng thức, đồ thị tài liệu khác) đƣợc sử dụng luận văn đƣợc tác giả đồng ý trích dẫn cụ thể Tơi hồn tồn chịu trách nhiệm trƣớc Hội đồng bảo vệ luận văn, Khoa Quản trị Kinh doanh trƣớc pháp luật cam kết nói Tác giả luận văn Bùi Thanh Hiếu i LỜI CẢM ƠN Đầu tiên, xin gửi lời cảm ơn chân thành sâu sắc tới thầy giáo Đại tá PGS.TS Trần Văn Hòa trực tiếp hƣớng dẫn nhiệt tình giúp đỡ tơi, cho tơi hội đƣợc tiếp xúc với tài liệu tham khảo, góp ý cho tơi q trình nghiên cứu để hồn thành luận văn Tôi muốn bày tỏ lời cảm ơn chân thành tới thầy cô giáo giảng dạy suốt thời gian học Khoa Quản trị Kinh doanh PGS.TS Hồng Đình Phi, PGS.TS Nguyễn Ngoc Thắng, GS Mai Trọng Nhuận, TS Ngô Vi Dũng, TS Trần Huy Phƣơng, TS Bùi Quang Hƣng thầy cô giáo khác Khoa Cuối cùng, xin gửi lời cảm ơn sâu sắc tới anh/ chị lớp MNS01, MNS02 tất ngƣời thân gia đình, bạn bè đồng nghiệp HSB ln ủng hộ tơi với tình cảm trân thành, động viên động lực để tơi hồn thành tốt luận văn ii MỤC LỤC CAM KẾT i LỜI CẢM ƠN ii MỤC LỤC iii BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT vi DANH MỤC CÁC BẢNG vii DANH MỤC CÁC HÌNH VẼ viii PHẦN MỞ ĐẦU CHƢƠNG 1: LÝ LUẬN CƠ BẢN VỀ AN NINH PHI TRUYỀN THỐNG, AN TOÀN THÔNG TIN, AN NINH MẠNG 1.1 An ninh phi truyền thống 1.1.1 An ninh truyền thống 1.1.2 An ninh phi truyền thống 1.2 An ninh mạng 12 1.2.1 An ninh mạng 12 1.2.2 Các yếu tố bảo vệ hệ thống mạng 14 1.3 An tồn thơng tin 15 1.3.1 Các thuật ngữ an toàn thông tin 15 1.3.2 Những kỹ thuật công 16 1.3.3 Các giai đoạn công 17 1.1.4 An tồn thơng tin 26 1.4 Một số hình thức cơng điển hình gây ATTT, an ninh mạng 29 1.4.1 Tấn công hệ thống (System hacking) 29 1.4.2 Kỹ thuật đánh lừa: Social engineering 31 1.4.3 Sử dụng Trojan Backdoor 31 1.4.4 Virus Worm 33 1.4.5 Khai thác tràn đệm 34 1.4.6 Nghe trộm (Sniffer) 36 1.4.7 Kỹ thuật giả mạo địa (DNS spoofing) 39 1.4.8 Kỹ thuật công Web server 41 1.4.9 Tấn cơng hệ thống có cấu hình khơng an tồn 43 1.4.10 Tấn công vào Session, Cookies 44 iii 1.4.11 Tấn công chèn mã lệnh SQL INJECTION 47 1.4.12 Tấn công từ chối dịch vụ DOS 52 1.4.13 Tấn công APT 56 1.4.14 Tấn công Ransomeware 61 CHƢƠNG 2: THỰC TRẠNG AN TỒN THƠNG TIN VÀ AN NINH MẠNG HSB 64 2.1 Giới thiệu chung Khoa quản trị Kinh doanh (HSB) 64 2.2 Thực trạng an tồn thơng tin HSB 65 2.2.1 Xây dựng câu hỏi hỏi chọn mẫu điều tra thực trạng HSB 65 2.2.2 Khảo sát thực trạng an tồn thơng tin HSB 66 2.2.3 Phương pháp khảo sát 66 2.2.4 Máy chủ ISA 67 2.2.5 Máy chủ Virus 68 2.2.6 Máy chủ File 69 2.2.7 Máy chủ DHCP 69 2.2.8 Máy chủ DC 70 2.2.9 Máy Client 71 2.2.10 Web Server 71 2.2.11 Các phần mềm bảo mật sử dụng HSB 72 2.2.12 Nhân lực công nghệ thông tin ATTT HSB 72 2.2.13 Chính sách ATTT HSB 73 2.2.14 Các vụ an toàn thông tin xảy HSB 74 2.2.15 Thử nghiệm công hệ thống 75 CHƢƠNG 3: MỘT SỐ GIẢI PHÁP NHẰM ĐẢM BẢO AN TỒN THƠNG TIN VÀ AN NINH MẠNG TẠI HSB 85 3.1 Một số giải pháp 85 3.1.1 Nâng cao lực quản trị ATTT, an ninh mạng HSB 85 3.1.2 Sử dụng ISO 27001 công tác quản lý an tồn thơng tin 86 3.1.3 ISO 2700X cơng tác quản lý an tồn thơng tin 89 3.1.3 Sử dụng cơng cụ qt lỗ hổng bảo mật để phòng ngừa 91 3.1.4 Khảo sát tính khả thi giải pháp 91 3.2 Xây dựng hệ thống ATTT theo ISO 27001 92 3.2.1 Một số khái niệm ISO 27001 95 iv 3.2.2 Thiết lập quản lý hệ thống an toàn thông tin 96 3.2.3 Triển khai điều hành hệ thống an tồn thơng tin 99 3.2.4 Giám sát hệ thống an tồn thơng tin 99 3.2.5 Duy trì nâng cấp hệ thống quản lý ATTT 100 3.2.6 Các yêu cầu hệ thống tài liệu 101 3.2.7 Trách nhiệm ban quản lý việc triển khai ISO 27001 102 3.2.8 Kiểm tra nội hệ thống ATTT 104 3.2.9 Ban quản lý xem xét hệ thống ATTT 104 3.2.10 Nâng cấp hệ thống quản lý an tồn thơng tin 105 KẾT LUẬN, HẠN CHẾ CỦA LUẬN VĂN VÀ KIẾN NGHỊ 107 Kết luận 107 Hạn chế 108 Kiến nghị 109 TÀI LIỆU THAM KHẢO 110 PHỤ LỤC 112 v BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT STT Viết tắt Nguyên nghĩa AN PTT An ninh phi truyền thống ANM An ninh mạng ANTT An ninh truyền thống ATTT An tồn thơng tin Bộ TT&TT Bộ Thông tin Truyền thông CEH Cetified Ethical Hacker (Hacker mũ trắng) ĐHQG Đại học Quốc gia Hà Nội DN Doanh nghiệp HSB 10 HTQL 11 IoT 12 ISMS Information Security Management System 13 KNCTBV Khả cạnh tranh bền vững 14 NN Nhà nƣớc 15 PTBV Phát triển bền vững 16 TC Tổ chức 17 TTĐT Thanh toán điện tử Khoa Quản trị Kinh doanh – Đại học Quốc gia Hà Nội Hệ thống quản lý Mạng lƣới vạn vật kết nối Internet (Internet of Things - IoT) vi DANH MỤC CÁC BẢNG Bảng 1.1: So sánh an ninh truyền thống an ninh phi truyền thống 11 Bảng 2.1: Các nhóm đối tƣợng đƣợc khảo nghiệm mức độ an tồn thơng tin HSB 66 Bảng 2.2: Đánh giá mức độ an tồn thơng tin thông qua phƣơng pháp vấn chuyên gia 67 Bảng 3.1: Các buớc đánh giá rủi ro theo ISO 27001 90 Bảng 3.2: Một số công cụ quét lỗ hổng tìm kiếm rủi ro hệ thống 91 Bảng 3.3: Kết đánh giá tính cần thiết giải pháp 92 Bảng 3.4: Kết đánh giá tính khả thi giải pháp 92 Bảng 3.5: Các bƣớc thực triển khai ISO 27001 95 vii DANH MỤC CÁC HÌNH VẼ Hình 1.1: Phân loại dạng công dựa trạng thái hoạt động vị trí địa lý 17 Hình 1.2: Năm giai đoạn công 18 Hình 1.3: Các công cụ Whois trực tuyến 21 Hình 1.4: Kết thu thập từ công cụ SmartWhois 21 Hình 1.5: Hecker gửi gói tin thăm dò mục tiêu 22 Hình 1.6: Các kiểu scanning 23 Hình 1.7: Các yêu cầu hệ thống thông tin 27 Hình 1.8: Quá trình đánh giá nguy hệ thống 28 Hình 1.9: Sơ đồ phân đoạn nhớ máy tính 34 Hình 1.10: Một nội dung heap 35 Hình 1.11: Các cơng cụ kiểm lỗi tràn đệm (Buffer Overflow) 35 Hình 1.12: Các ứng dụng thông tin dễ bị công sniffer 37 Hình 1.13: Danh sách số công cụ sniffer 37 Hình 1.14: Giao diện ứng dụng công Session Hijacking Burp suite 45 Hình 1.15: Tấn cơng Firesheep 46 Hình 1.16: Các cơng cụ cơng SQL injection 51 Hình 1.17: Tấn cơng Denial of Service (DoS) 52 Hình 1.18: Giao diện Low Orbit Ion Cannon 55 Hình 1.19: Một số cơng cụ phòng chống Ddos 56 Hình 1.20: Các bƣớc thực công APT 57 Hình 1.21: Mơ hình ―Phomát Thụy sỹ - Swiss Cheese‖ để chống lại APT () 60 Hình 1.22: Thơng báo máy tính bị công Ransomeware 62 Hình 2.1: Sơ đồ hệ thống mạng HSB 65 Hình 2.2: Sơ đồ kết nối ISA HSB 67 Hình 2.3: Thực lệnh kiểm tra Ddos Centos 6-64bit Webserver HSB 74 Hình 2.4: Cài đặt Backtrack, phần mềm chuyên dụng kiểm thử hệ thống 77 Hình 2.5: Sử dụng UltraSurf ẩn IP thực công 77 Hình 2.6: Sử dụng Nmap backtrack để kiểm tra port thông tin hệ thống máy chủ trung tâm ứng dụng CNTT – ĐHQGHN 78 Hình 2.7: Xác định địa IP thực công Backtrack 78 Hình 2.8: Kết thực cơng lỗi ms12_020 máy chủ Trung tâm ứng dụng CNTT 79 viii a) Các mục tiêu quản lý biện pháp quản lý đƣợc lựa chọn mục sở tiến hành lựa chọn b) Các mục tiêu quản lý biện pháp quản lý đƣợc thực c) Sự loại trừ mục tiêu quản lý biện pháp quản lý phụ lục ISO2700 nhƣ giải trình cho việc Thơng báo cung cấp thơng tin tóm tắt cho định liên quan đến việc xử lý rủi ro Việc giải trình biện pháp mục tiêu quản lý phụ lục A không đƣợc sử dụng nhằm tránh khả bỏ sót 3.2.3 Triển khai điều hành hệ thống an tồn thơng tin Q trình triển khai điều hành hệ thống quản lý ATTT đòi hỏi thực nhƣ sau: a) Lập kế hoạch xử lý rủi ro xác định hoạt động quản lý thích hợp, tài nguyên, trách nhiệm mức độ ƣu tiên để quản lý rủi ro an tồn thơng tin b) Triển khai kế hoạch xử lý rủi ro nhằm đạt đƣợc mục tiêu quản lý xác định bao gồm xem xét kinh phí đầu tƣ nhƣ phân bổ vai trò, trách nhiệm c) Triển khai biện pháp quản lý đƣợc lựa chọn để thỏa mãn mục tiêu quản lý d) Định nghĩa cách tính tốn mức độ hiệu biện pháp quản lý nhóm biện pháp quản lý lựa chọn kết đƣợc sử dụng nhƣ việc đánh giá tính hiệu quản lý nhằm tạo kết so sánh đƣợc tái tạo đƣợc e) Triển khai chƣơng trình đào tạo nâng cao nhận thức f) Quản lý hoạt động hệ thống quản lý ATTT g) Quản lý tài nguyên dành cho hệ thống quản lý ATTT h) Triển khai thủ tục biện pháp quản lý khác có khả phát kiện an tồn thơng tin nhƣ phản ứng với cố an tồn thơng tin 3.2.4 Giám sát hệ thống an tồn thơng tin Tổ chức thực biện pháp sau đây: a) Tiến hành giám sát, xem xét lại thủ tục biện pháp quản lý an tồn thơng tin khác nhằm:  Nhanh chóng phát lỗi kết xử lý  Nhanh chóng xác định cơng, lỗ hổng cố an tồn thơng tin 99  Cho phép ban quản lý xác định kết công nghệ nhƣ ngƣời đem lại có đạt mục tiêu đề hay không  Hỗ trợ phát kiện an tồn thơng tin ngăn chặn sớm cố an tồn thơng tin thị cần thiết  Xác định hiệu hoạt động xử lý lỗ hổng an tồn thơng tin b) Thƣờng xun kiểm tra, xem xét hiệu hệ thống quản lý ATTT (bao gồm việc xem xét tính phù hợp sách, mục tiêu quản lý xem xét việc thực biện pháp quản lý an tồn thơng tin) xem xét đến kết kiểm tra an toàn bảo mật, cố xảy ra, kết tính tốn hiệu quả, đề xuất, kiến nghị nhƣ thông tin phản hồi thu thập đƣợc c) Tính tốn hiệu biện pháp quản lý thỏa mãn yêu cầu bảo đảm ATTT d) Xem xét lại đánh giá rủi ro tiến hành đồng thời xem xét rủi ro đƣợc bỏ qua nhƣ mức độ rủi ro chấp nhận đƣợc Trong lƣu ý thay đổi trong:  Tổ chức  Công nghệ  Mục tiêu trình nghiệp vụ  Các mối nguy hiểm, đe doạ an tồn thơng tin xác định  Tính hiệu biện pháp quản lý thực  Các kiện bên chẳng hạn nhƣ thay đổi môi trƣờng pháp lý, quy định, điều khoản phải tuân thủ, hoàn cảnh xã hội e) Thực việc kiểm tra nội hệ thống quản lý ATTT cách định kỳ Kiểm tra nội đơi đƣợc gọi kiểm tra sơ đƣợc tự thực f) Đảm bảo thƣờng xuyên kiểm tra việc quản lý hệ thống quản lý ATTT để đánh giá mục tiêu đặt có phù hợp nhƣ nâng cấp xác định nâng cấp cần thiết cho hệ thống quản lý ATTT g) Cập nhật kế hoạch bảo đảm an tồn thơng tin theo sát thay đổi tình hình thực tế thu đƣợc qua hoạt động giám sát đánh giá h) Ghi chép, lập tài liệu kiện hoạt động có khả hƣởng đến tính hiệu hiệu lực hệ thống quản lý ATTT 3.2.5 Duy trì nâng cấp hệ thống quản lý ATTT Tổ chức cần thƣờng xuyên thực hiện: a) Triển khai nâng cấp cho hệ thống quản lý ATTT xác định 100 b) Tiến hành hồn chỉnh có biện pháp phòng ngừa thích hợp Chú ý vận dụng kinh nghiệm có tham khảo từ tổ chức khác c) Thông báo thống với thành phần liên quan hoạt động nâng cấp hệ thống quản lý ATTT d) Đảm bảo việc thực nâng cấp phải phù hợp với mục tiêu đặt 3.2.6 Các yêu cầu hệ thống tài liệu 3.2.6.1 Khai quát Tài liệu bao gồm tập hợp hồ sơ xử lý nhằm đảm bảo cho phép: truy lại đƣợc định xử lý, sách đảm bảo kết ghi nhận tái tạo lại đƣợc Điều quan trọng cần nêu rõ đƣợc liên quan biện pháp quản lý chọn với kết quy trình đánh giá xử lý rủi ro nhƣ với sách mục tiêu hệ thống quản lý ATTT đƣợc đặt Các tài liệu hệ thống quản lý ATTT bao gồm: a) Các thơng báo sách mục tiêu hệ thống quản lý ATTT b) Phạm vi hệ thống quản lý ATTT c) Các thủ tục biện pháp quản lý hỗ trợ cho hệ thống quản lý ATTT d) Mô tả hệ phƣơng pháp đánh giá rủi ro e) Báo cáo đánh giá rủi ro f) Kế hoạch xử lý rủi ro g) Các thủ tục dạng văn tổ chức để đảm bảo hiệu kế hoạch, điều hành quản lý quy trình bảo đảm an tồn thơng tin mô tả phƣơng thức đánh giá hiệu biện pháp quản lý áp dụng h) Các hồ sơ cần thiết đƣợc mô tả tiêu chuẩn i) Thông báo áp dụng Cụm từ ―thủ tục dƣới dạng văn bản‖ ngữ cảnh tiêu chuẩn quốc tế có nghĩa thủ tục đƣợc thiết lập, biên soạn thành tài liệu, triển khai bảo trì Quy mơ tài liệu hệ thống quản lý ATTT tổ chức khác phụ thuộc vào: - Kích thƣớc loại hình hoạt động tổ chức - Phạm vi độ phức tạp yêu cầu an toàn bảo mật nhƣ hệ thống đƣợc tổ chức quản lý 3.2.6.2 Biện pháp quản lý tài liệu Các tài liệu cần thiết hệ thống quản lý ATTT cần phải đƣợc bảo vệ quản lý thích hợp Một thủ tục đƣợc thiết lập để xác định hoạt động quản lý cần thiết nhằm: 101 a) Phê duyệt tài liệu thỏa đáng trƣớc đƣợc ban hành b) Xem xét tài liệu tiến hành sửa đổi cần thiết để phê duyệt lại Đảm bảo nhận biết đƣợc thay đổi tình trạng sửa đổi hành tài liệu c) Đảm bảo phiên tài liệu thích hợp ln có sẵn nơi cần sử dụng d) Đảm bảo tài liệu phải rõ ràng, dễ đọc dễ nhận biết e) Đảm bảo tài liệu phải sẵn sàng ngƣời cần, đƣợc chuyển giao, lƣu trữ hủy bỏ đƣợc áp dụng theo thủ tục phù hợp f) Đảm bảo tài liệu có nguồn gốc bên đƣợc nhận biết g) Đảm bảo việc phân phối tài liệu phải đƣợc quản lý h) Tránh việc vơ tình sử dụng phải tài liệu hạn i) Áp dụng biện pháp định danh phù hợp tài liệu cần lƣu trữ 3.2.6.3 Biện pháp quản lý hồ sơ Các hồ sơ đƣợc thiết lập trì để cung cấp dẫn chứng thể phù hợp yêu cầu hoạt động điều hành hệ thống quản lý ATTT Các hồ sơ đƣợc bảo vệ quản lý Hệ thống quản lý ATTT phải ý đến pháp lý liên quan, yêu cầu sửa đổi ràng buộc thống Hồ sơ phải dễ đọc, dễ nhận biết sửa đƣợc Các biện pháp quản lý cần thiết để định danh, lƣu trữ, bảo vệ, sửa chữa, thời gian sử dụng hủy bỏ hồ sơ đƣợc biên soạn thực Các hồ sơ đƣợc giữ theo quy trình nhƣ phác thảo 3.2.7 Trách nhiệm ban quản lý việc triển khai ISO 27001 3.2.7.1 Cam kết ban quản lý Ban quản lý phải cam kết cung cấp dẫn chứng để thiết lập, triển khai, điều hành, giám sát, đánh giá, bảo trì nâng cấp hệ thống quản lý an tồn thơng tin bằng:  Thiết lập sách cho hệ thống bảo đảm an tồn thơng tin  Đảm bảo mục tiêu kế hoạch hệ thống an tồn thơng tin đƣợc xây dựng  Xây dựng vai trò trách nhiệm an tồn thơng tin  Trao đổi với tổ chức mục tiêu bảo đảm an tồn thơng tin làm cho phù hợp với sách an tồn thơng tin, trách nhiệm dƣới luật cần thiết tiếp tục cải tiến 102  Thông tin cho toàn tổ chức biết tầm quan trọng mục tiêu an tồn thơng tin cần đạt đƣợc, tn thủ sách an tồn thơng tin, trách nhiệm trƣớc pháp luật cần thiết phải nâng cấp, cải thiện hệ thống cách thƣờng xuyên  Cung cấp đầy đủ tài nguyên cho trình thiết lập, triển khai, điều hành, giám sát, kiểm tra, bảo trì nâng cấp hệ thống quản lý ATTT  Xác định tiêu cho rủi ro mức độ rủi ro chấp nhận đƣợc  Đảm bảo đạo q trình kiểm tốn nội hệ thống quản lý ATTT  Chỉ đạo việc xem xét quản lý hệ thống quản lý ATTT 3.2.7.2 Quản lý nguồn lực a) Cấp phát nguồn lực Tổ chức phải xác định cung cấp nguồn lực cần thiết:  Thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì nâng cấp hệ thống quản lý ATTT  Đảm bảo quy trình bảo đảm an tồn thơng tin hỗ trợ cho yêu cầu nghiệp vụ  Xác định áp dụng yêu cầu pháp lý quy định nhƣ ràng buộc an tồn thơng tin phải tn thủ  Duy trì đầy đủ an tồn bảo mật cách áp dụng tất biện pháp quản lý đƣợc triển khai  Thực xem xét có biện pháp xử lý cần thiết  Nâng cao lực hệ thống quản lý ATTT cần thiết b) Đào tạo, nhận thức lực: Tổ chức phải đảm bảo ngƣời có trách nhiệm hệ thống quản lý ATTT phải có đầy đủ lực để thực nhiệm vụ đƣợc giao cách:  Xác định kỹ cần thiết để thực hiệu công việc đƣợc giao  Cung cấp khóa đào tạo tuyển chọn ngƣời có lực để thỏa mãn yêu cầu  Đánh giá mức độ hiệu hoạt động thực  Lƣu giữ hồ sơ việc học vấn, trình đào tạo, kỹ năng, kinh nghiệm trình độ chuyên môn Tổ chức cần đảm bảo tất cá nhân liên quan nhận thức đƣợc tầm quan trọng hoạt động đảm bảo an toàn thơng tin hiểu cách góp phần thực mục tiêu hệ thống quản lý ATTT 103 3.2.8 Kiểm tra nội hệ thống ATTT Tổ chức đạo kiểm tra nội hệ thống theo kế hoạch để xác định mục tiêu quản lý, biện pháp quản lý, quy trình, thủ tục hệ thống quản lý ATTT:  Theo yêu cầu tiêu chuẩn này, pháp lý quy định liên quan  Theo các yêu cầu đảm bảo an toàn thông tin  Phải đảm bảo hiệu triển khai trì  Hoạt động diễn nhƣ mong muốn Các chƣơng trình kiểm tra đƣợc lên kế hoạch cần xem xét đến vấn đề nhƣ trạng ý nghĩa quy trình phạm vi đƣợc kiểm tra Các tiêu, phạm vi, tần suất biện pháp đƣợc xác định Sự lựa chọn ngƣời tiến hành kiểm tra (kiểm tra viên) cách hƣớng dẫn, đạo kiểm tra đảm bảo tính khách quan, cơng cho q trình kiểm tra Kiểm tra viên khơng nên tự kiểm tra cơng việc Các trách nhiệm u cầu cho việc lập kế hoạch hƣớng dẫn kiểm tra, báo cáo kết lƣu giữ hồ sơ phải đƣợc xác định rõ ràng thủ tục dƣới dạng văn Ban quản lý chịu trách nhiệm cho phạm vi đƣợc kiểm tra phải đảm bảo hoạt động đƣợc thực thời hạn nhằm loại bỏ vi phạm Các hoạt động bao gồm việc thẩm tra hoạt động thực lập báo cáo kết thẩm tra Tiêu chuẩn ISO 19011:2002, ―Guidelines for quality and/or environemental management system auditing‖ cung cấp thơng tin hỗ trợ cho việc triển khai việc kiểm tra nội hệ thống quản lý ATTT 3.2.9 Ban quản lý xem xét hệ thống ATTT 3.2.9.1 Khái quát Ban quản lý xem xét hệ thống quản lý ATTT tổ chức theo kế hoạch đặt (ít lần năm) để luôn đảm bảo tính chất phù hợp, đầy đủ hiệu Sự soát xét bao gồm đánh giá hội cho việc nâng cấp cần thiết phải thay đổi hệ thống quản lý ATTT, bao gồm sách an tồn thơng tin mục tiêu an tồn thơng tin Các kết việc xem xét đƣợc lƣu giữ biên soạn thành tài liệu 3.2.9.2 Đầu vào cho việc xem xet hệ thống ATTT Đầu vào cho ban quản lý xem xét hệ thống quản lý ATTT bao gồm:  Các kết kiểm tra xem xét hệ thống quản lý ATTT  Thơng tin phản hồi từ phận có liên quan 104  Các kỹ thuật, sản phẩm thủ tục đƣợc sử dụng tổ chức nhằm nâng cao hiệu lực hệ thống quản lý ATTT  Hiện trạng trạng hành động ngăn ngừa khắc phục, sửa chữa  Các lỗ hổng nguy an tồn thơng tin không đƣợc đề cập cách thấu đáo lần đánh giá rủi ro trƣớc  Các kết đánh giá lực hệ thống  Các hoạt động lần xem xét trƣớc  Các thay đổi có ảnh hƣởng đến hệ thống quản lý ATTT  Các kiến nghị nhằm cải thiện hệ thống 3.2.9.3 Đầu việc xem xét hệ thống ANTT Ban quản lý sau xem xét hệ thống quản lý ATTT cần đƣa định hoạt động việc:  Nâng cao lực hệ thống quản lý ATTT  Cập nhật kế hoạch đánh giá xử lý rủi ro  Sửa đổi thủ tục biện pháp quản lý có ảnh hƣởng cần thiết đến bảo đảm an tồn thơng tin nhằm đối phó lại với kiện gây tác động đến hệ thống quản lý ATTT, bao gồm: - Các yêu cầu hoạt động nghiệp vụ - Các u cầu an tồn bảo mật - Các quy trình nghiệp vụ có ảnh hƣởng tới yêu cầu hoạt động nghiệp vụ tổ chức - Các yêu cầu pháp lý quy định - Các ràng buộc theo hợp đồng ký kết - Mức độ rủi ro và/hoặc tiêu chấp nhận rủi ro  Các nhu cầu cần thiết tài nguyên  Nâng cao phƣơng thức đánh giá mức độ hiệu biện pháp quản lý 3.2.10 Nâng cấp hệ thống quản lý an tồn thơng tin 3.2.10.1 Nâng cấp thường xuyên Tổ chức phải thƣờng xuyên nâng cao tính hiệu lực hệ thống quản lý ATTT thông qua việc tận dụng sách đảm bảo an tồn thơng tin, mục tiêu đảm bảo an tồn thơng tin, kết kiểm tra, kết phân tích kiện xảy ra, hành động ngăn ngừa khắc phục nhƣ kết xem xét ban quản lý 105 3.2.10.2 Hành động khắc phục Tổ chức phải thực loại bỏ nguyên nhân vi phạm với yêu cầu hệ thống quản lý ATTT Các thủ tục dƣới dạng văn để khắc phục cần phải xác định rõ yêu cầu sau:  Xác định vi phạm  Tìm nguyên nhân vi phạm  Đánh giá hành động cần thiết nhằm ngăn chặn vi phạm xuất trở lại  Quyết định triển khai hành động khắc phục cần thiết  Lập hồ sơ kết thực hành động  Xem xét lại hành động khắc phục đƣợc thực 3.2.10.3 Hành động phòng ngừa rủi ro Tổ chức cần xác định hành động để tránh nguyên nhân gây vi phạm tiềm ẩn phát sinh với hệ thống quản lý ATTT để có biện pháp bảo vệ phòng ngừa Các hành động bảo vệ phòng ngừa cần đƣợc thực phù hợp với tác động mà vi phạm gây Các thủ tục dƣới dạng văn để bảo vệ, phòng ngừa cần xác định rõ yêu cầu sau:  Xác định vấn đề vi phạm tiềm ẩn nguyên nhân gây chúng  Đánh giá cần thiết hành động ngăn chặn vi phạm xuất  Xác định triển khai hành động  Lập hồ sơ hành động  Xem xét hành động đƣợc thực Tổ chức cần nhận biết rủi ro thay đổi xác định hành động phù hợp đáp ứng lại thay đổi Mức ƣu tiên hành động bảo vệ phòng ngừa đƣợc xác định dựa kết trình đánh giá rủi ro Hành động nhằm ngăn chặn trƣớc vi phạm thƣờng hiệu kinh tế khắc phục cố vi phạm gây 106 KẾT LUẬN, HẠN CHẾ CỦA LUẬN VĂN VÀ KIẾN NGHỊ Kết luận Qua số phản ánh thống kê ngành, đánh giá tình hình ATTT Việt Nam đƣợc cải thiện nhiều, thể qua số ATTT Việt Nam tăng lên có xu hƣớng tăng bền vững Tuy nhiên, vấn đề ATTT nhiều diễn biến phức tạp Điều phù hợp với nhận định chuyên gia hội thảo Ngày an tồn thơng tin Việt Nam năm 2016 ―Kỷ nguyên chiến tranh mạng‖ Việt Nam điểm nóng cơng mạng Để môi trƣờng ATTT Việt Nam đƣợc phát triển bền vững, lành mạnh nữa, quan quản lý nhà nƣớc, tổ chức cá nhân cần phải nâng cao nhận thức chung thống hợp tác xử lý tình ATTT Bên cạnh đó, cần xây dựng chế phối hợp chia sẻ thông tin quan, tổ chức có điều phối chung nhà nƣớc, đó, lấy ngƣời làm nguồn lực chính, phát triển cơng nghệ ATTT phù hợp đặc thù Việt Nam, đẩy mạnh hoạt động khuyến khích cộng đồng tham gia vào lĩnh vực hoạt động Trong trình nghiên cứu HSB tác giả nhận thấy cần nâng cao nhận thức ngƣời dùng ATTT ANM đơn vị giáo dục, triển khai toàn diện sâu rộng kiến thức kỹ nhằm đảm bảo an tồn thơng tin HSB nhƣ ĐHQGHN, việc trang bị kiến thức cho cá nhân administrator system đơn vị cần thiết - Về nghiên cứu, tìm hiểu hệ thống quản lý ATTT theo chuẩn ISO 27001: Hệ thống quản lý an tồn thơng tin ATTT bao gồm ngƣời, trình hệ thống CNTT Lập hệ thống quản lý ATTT theo chuẩn ISO 27001 cách tiếp cận mang tính hệ thống để quản lý thơng tin nhạy cảm tổ chức nhằm trì đảm bảo ba thuộc tính an tồn thơng tin: Tính tin cậy, Tính tồn vẹn, Tính sẵn sàng ISO 27001 giúp cho tổ chức tạo đƣợc hệ thống quản lý an toàn thông tin chặt chẽ nhờ đƣợc cải tiến nhằm đảm bảo an ninh khai thác thông tin cách hợp lý hiệu Tuy nhiên việc tuân theo đạt đƣợc chứng chuẩn ISO 27001 chứng minh tổ chức đƣợc đảm bảo an tồn 100% Khơng có điều an ninh hồn tồn ngoại trừ 107 khơng làm Tuy nhiên, thừa nhận chuẩn quốc tế đƣa lợi ích chắn mà ngƣời quản lý cần phải xem xét Cấp độ tổ chức: Sự cam kết - chứng nhƣ cam kết hiệu nỗ lực đƣa an ninh tổ chức đạt cấp độ chứng minh cần cù thích đáng ngƣời quản trị Cấp độ pháp luật: Tuân thủ - chứng minh cho nhà chức trách tổ chức tuân theo tất luật qui định áp dụng Cấp độ điều hành: Quản lý rủi ro - Mang lại hiểu biết tốt hệ thống thông tin, điểm yếu chúng làm để bảo vệ chúng Tƣơng tự, đảm bảo nhiều khả sẵn sàng phụ thuộc phần cứng phần mềm Cấp độ thƣơng mại: Sự tín nhiệm tin cậy - Các thành viên, cổ đông, khách hàng vững tin thấy khả chuyên nghiệp tổ chức việc bảo vệ thơng tin Chứng giúp nhìn nhận riêng từ đối thủ cạnh tranh thị trƣờng Cấp độ tài cấp độ ngƣời: Tiết kiệm chi phí khắc phục lỗ hổng an ninh có khả giảm chi phí bảo hiểm Cải tiến nhận thức nhân viên vấn đề an ninh trách nhiệm họ tổ chức Hạn chế Khi nói đến Hack, Hacker ngƣời làm cơng tác đảm bảo an tồn hệ thống cần có kiến thức kỹ thuật chuyên sâu nhƣ lập trình, kiểm thử, test hệ thống, bug lỗi…, nhiều kinh nghiệm, suy nghĩ làm việc nhƣ hacker Hạn chế luận văn chƣa thể cung cấp đầy đủ kiến thức kỹ thuật chuyên sâu cho ngƣời dùng, nhƣ chƣa thể đƣa đƣợc phƣơng án cụ thể để khắc phục cố an tồn thơng tin mà đánh giá mang tính lý thuyết, phòng thủ bị động Bên cạnh việc nghiên cứu sâu toots hack Backtrack 5, Kali chƣa đƣợc toàn diện, thực demo đƣợc tools công kiểm tra hệ thống Việc tìm hiểu hệ thống đảm bảo ATTT, tiêu chuẩn ATTT cần có phận chuyên sâu đầu tƣ thỏa đáng tài tổ chức, việc khó áp dụng với đơn vị vừa nhỏ nhƣ HSB ISO kim nam cho tổ chức ISO 2700x giúp tổ chức có định hƣớng quan tâm đến ATTT, nhờ có đánh giá có hệ thống, tồn điện ATTT, bên cạnh việc trì thƣờng xun chứng giúp tổ chức chủ động công tác đảm bảo ATTT nhƣng tốn nguồn lực thời gian nhân lực, tài dẫn đến việc thực khơng đầy đủ mai theo thời gian 108 Kiến nghị Trong thời gian công tác Khoa Quản trị Kinh doanh – Đại học Quốc gia Hà Nội, nhƣ q trình hồn thiện luận văn tác giả nhận thấy việc đảm bảo an tồn thơng tin giáo dục chƣa đƣợc quan tâm cao, đơn vị tập trung vào nghiên cứu đào tạo, sử dụng sản phẩm công nghệ thông tin mà coi nhẹ việc đảm bảo an tồn thơng tin đó, đặc biệt số phần mềm phát triển ĐHQG khơng sử dụng cơng cụ kiểm thử ATTT để đánh giá, lãnh đạo đơn vị cho khơng có hacker cơng vào hệ thống giáo dục, chƣa có họp liên quan đến vấn đề ATTT ĐHQG, điều chủ quan nguy hiểm, nhƣ vấn đề ATTT không đƣợc quan tâm mức, trình hồn thiện luận văn này, tồn hệ thống Server Trung tâm Ứng dụng công nghệ thông tin - ĐHQG bị liệu đơn vị thành viên Một số nguyên nhân ATTT, thông qua luận văn với mong muốn mang đến nhìn tổng qt ATTT kính mong cấp lãnh đạo HSB, ĐHQG quan tâm đến ATTT giáo dục Bên cạnh tác giả nhận thấy ĐHQG chƣa có đơn vị thành viên đƣa ISO 27001 vào đơn vị mình, qua luận văn kính mong ban lãnh đạo triển khai đồng ĐHQG 109 TÀI LIỆU THAM KHẢO Tiếng Việt Đại tá PGS.TS Trần Văn Hòa; An tồn thơng tin cơng tác phòng chống tội phạm sử dụng công nghệ cao – Nhà xuất Công an Nhân dân Thƣợng tƣớng, TS Nguyễn Văn Hƣởng, PTS TS Hồng Đình Phi; Tổng quan quản trị an ninh phi truyền thống, 2015 GS.TS Nguyễn Bách Khoa, PGS.TS Hồng Đình Phi, Tổng quan phát triển bền vững, Khoa QTKD (HSB Hanoi School of Business) thuộc ĐHQGHN, 2014; Quản trị an ninh phi truyền thống để phát triển bền vững, 2015; tập giảng: Quản trị rủi ro an ninh doanh nghiệp, HSB, 2015 Trịnh Nhật Tiến (2008), Giáo trình an tồn liệu, Trƣờng Đại học công nghệ, đại học Quốc gia Hà Nội Nghị định 64/2007/NĐ-CP, ngày 10/04/2007 Chính phủ ứng dụng công nghệ thông tin hoạt động quan Nhà nƣớc Luật an ninh quốc gia, ban hành năm 2004, NXB Chính trị quốc gia, 2005 TS Nguyễn Thanh Hải, Cục trƣởng Cục An tồn thơng tin, Chủ quyền không gian mạng, 2017 Trung tƣớng PGS TS Hoàng Phƣớc Thuận Cục trƣởng Cục ANM, Bộ Cơng an, báo cáo tổng quan tình hình an ninh mạng Việt Nam 2016; hội thảo, triển lãm quốc gia An ninh bảo mật 2017 (Security World 2017); ―Bảo đảm an ninh mạng, an ninh thông tin thời kỳ cách mạng công nghiệp lần thứ 04‖ http://cand.com.vn; Nhiều quan, đơn vị chƣa quan tâm mức đến bảo mật thông tin 10 https://mic.gov.vn/; Bộ TT&TT; tài liệu Hội nghị giao ban Quản lý nhà nƣớc tháng 4/2017 11 http://antoanthongtin.vn/; Ban yếu Chính phủ, Tạp chí An tồn thơng tin 12 https://www.eccouncil.org/; Giáo trình CEH (Cetified Ethical Hacker) Tiếng Anh 13 Ayoob M., Critical Security Studies: Concept & Cases, University of Minnesota Press, 1997 14 FireEye; https://www2.fireeye.com/WEB-2015RPTAPT30.html 110 15 BS 7799-2:2002, Information Security Management Specification with with Guidance for User 16 ISO/IEC 1799:2000, Information technology – Code of Practice 17 ISO/IEC TR 13335-1:2004, Information technology - Security Techniques Management of information and communications technology security 111 PHỤ LỤC Bảng câu hỏi khảo sát vấn chuyên gia thực trạng giải pháp ATTT NNM HSB Câu hỏi 1: Trong trình sử dụng máy tính, truy cập mạng HSB anh chị bị cố (Virus, hỏng phần cứng, mã hóa liệu…) làm sai hỏng, liệu cá nhân hay chƣa?  Có  Khơng Câu hỏi 2: Anh chị có quan tâm đến vấn đề đảm bảo an tồn thơng tin (dữ liệu cá nhân, tổ chức), phòng chống virus máy tính HSB hay khơng?  Có  Không Câu hỏi 3: Trong giải pháp dƣới anh/chị cho biết mức độ cần thiết giải pháp phục vụ công tác đảm bảo ATTT, ANM mức độ khả thi áp dụng HSB (đánh dấu X vào ô lựa chọn) Mức độ cần thiết Giải pháp Rất cần thiết Nâng cao lực quản trị ATTT NNM cho cán giảng viên HSB Sử dụng công cụ đánh giá ATTT (ISO 27001) công tác quản lý ATTT HSB Sử dụng công cụ quét lỗ hổng bảo mật hệ thống để kiểm soát ATTT HSB 112 Cần thiết Ít cần Khơng cần thiết thiết Mức độ khả thi Giải pháp Rất khả thi Khả thi Nâng cao lực quản trị ATTT NNM cho cán giảng viên HSB Sử dụng công cụ đánh giá ATTT (ISO 27001) công tác quản lý ATTT HSB Sử dụng công cụ quét lỗ hổng bảo mật hệ thống để kiểm soát ATTT HSB 113 Ít khả thi Khơng khả thi ... NỘI KHOA QUẢN TRỊ VÀ KINH DOANH *** *** *** BÙI THANH HIẾU MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TỒN THƠNG TIN VÀ AN NINH MẠNG CHO KHOA QUẢN TRỊ VÀ KINH DOANH (HSB) ĐẠI HỌC QUỐC GIA HÀ NỘI Chuyên ngành: Quản. .. THƠNG TIN VÀ AN NINH MẠNG HSB - CHƢƠNG MỘT SỐ GIẢI PHÁP NHẰM ĐẢM BẢO AN TỒN THƠNG TIN VÀ AN NINH MẠNG TẠI HSB CHƢƠNG I LÝ LUẬN CƠ BẢN VỀ AN NINH PHI TRUYỀN THỐNG, AN TỒN THƠNG TIN, AN NINH MẠNG... tiễn giải pháp đảm bảo ATTT ANM cho Đại học quốc gia dƣới góc độ an ninh phi truyền thống cấp thiết Đó sở để tác giả lựa chọn đề tài ―MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TỒN THƠNG TIN VÀ AN NINH MẠNG CHO