ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH *** *** *** BÙI THANH HIẾU MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TỒN THƠNG TIN VÀ AN NINH MẠNG CHO KHOA QUẢN TRỊ VÀ KINH DOANH (HSB) ĐẠI HỌC QUỐC GIA HÀ NỘI LUẬN VĂN THẠC SĨ QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS) Hà Nội - 2018 ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH *** *** *** BÙI THANH HIẾU MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TỒN THƠNG TIN VÀ AN NINH MẠNG CHO KHOA QUẢN TRỊ VÀ KINH DOANH (HSB) ĐẠI HỌC QUỐC GIA HÀ NỘI Chuyên ngành: Quản trị An ninh phi truyền thống Mã số: Chƣơng trình thí điểm LUẬN VĂN THẠC SĨ QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS) NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS TS TRẦN VĂN HÒA Hà Nội - 2018 CAM KẾT Tác giả cam kết kết nghiên cứu luận văn kết lao động tác giả thu đƣợc chủ yếu thời gian học nghiên cứu, chƣa đƣợc công bố chƣơng trình nghiên cứu ngƣời khác Những kết nghiên cứu tài liệu ngƣời khác (trích dẫn, bảng, biểu, cơng thức, đồ thị tài liệu khác) đƣợc sử dụng luận văn đƣợc tác giả đồng ý trích dẫn cụ thể Tơi hồn tồn chịu trách nhiệm trƣớc Hội đồng bảo vệ luận văn, Khoa Quản trị Kinh doanh trƣớc pháp luật cam kết nói Tác giả luận văn Bùi Thanh Hiếu i LỜI CẢM ƠN Đầu tiên, xin gửi lời cảm ơn chân thành sâu sắc tới thầy giáo Đại tá PGS.TS Trần Văn Hòa trực tiếp hƣớng dẫn nhiệt tình giúp đỡ tơi, cho tơi hội đƣợc tiếp xúc với tài liệu tham khảo, góp ý cho tơi q trình nghiên cứu để hồn thành luận văn Tôi muốn bày tỏ lời cảm ơn chân thành tới thầy cô giáo giảng dạy suốt thời gian học Khoa Quản trị Kinh doanh PGS.TS Hồng Đình Phi, PGS.TS Nguyễn Ngoc Thắng, GS Mai Trọng Nhuận, TS Ngô Vi Dũng, TS Trần Huy Phƣơng, TS Bùi Quang Hƣng thầy cô giáo khác Khoa Cuối cùng, xin gửi lời cảm ơn sâu sắc tới anh/ chị lớp MNS01, MNS02 tất ngƣời thân gia đình, bạn bè đồng nghiệp HSB ln ủng hộ tơi với tình cảm trân thành, động viên động lực để tơi hồn thành tốt luận văn ii MỤC LỤC CAM KẾT .i LỜI CẢM ƠN ii MỤC LỤC iii BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT vi DANH MỤC CÁC BẢNG vii DANH MỤC CÁC HÌNH VẼ viii PHẦN MỞ ĐẦU CHƢƠNG 1: LÝ LUẬN CƠ BẢN VỀ AN NINH PHI TRUYỀN THỐNG, AN TỒN THƠNG TIN, AN NINH MẠNG 1.1 An ninh phi truyền thống 1.1.1 An ninh truyền thống .9 1.1.2 An ninh phi truyền thống 1.2 An ninh mạng 12 1.2.1 An ninh mạng 12 1.2.2 Các yếu tố bảo vệ hệ thống mạng 14 1.3 An tồn thơng tin .15 1.3.1 Các thuật ngữ an tồn thơng tin 15 1.3.2 Những kỹ thuật công .16 1.3.3 Các giai đoạn công 17 1.1.4 An tồn thơng tin 26 1.4 Một số hình thức cơng điển hình gây ATTT, an ninh mạng .29 1.4.1 Tấn công hệ thống (System hacking) 29 1.4.2 Kỹ thuật đánh lừa: Social engineering 31 1.4.3 Sử dụng Trojan Backdoor 31 1.4.4 Virus Worm .33 1.4.5 Khai thác tràn đệm 34 1.4.6 Nghe trộm (Sniffer) 36 1.4.7 Kỹ thuật giả mạo địa (DNS spoofing) .39 1.4.8 Kỹ thuật công Web server .41 1.4.9 Tấn cơng hệ thống có cấu hình khơng an tồn 43 1.4.10 Tấn công vào Session, Cookies 44 iii 1.4.11 Tấn công chèn mã lệnh SQL INJECTION 1.4.12 1.4.13 1.4.14 CHƢƠNG 2: THỰC TRẠNG AN TỒN THƠNG TIN VÀ AN NINH MẠNG HSB 2.1 Giới thiệu chung Khoa quản trị Kinh doanh (HSB) 2.2 Thực trạng an tồn thơng tin HSB 2.2.1 Xây dựng 2.2.2 Khảo sát 2.2.3 Phương 2.2.4 Máy chủ 2.2.5 Máy chủ 2.2.6 Máy chủ 2.2.7 Máy chủ DHCP 2.2.8 Máy chủ 2.2.9 Máy Clie 2.2.10 Web Server 2.2.11 2.2.12 2.2.13 2.2.14 2.2.15 CHƢƠNG 3: MỘT SỐ GIẢI PHÁP NHẰM ĐẢM BẢO AN TỒN THƠNG TIN VÀ AN NINH MẠNG TẠI HSB 3.1 Một số giải pháp 3.1.1 Nâng cao 3.1.2 Sử dụng 3.1.3 ISO 2700 3.1.3 Sử dụng 3.1.4 Khảo sát 3.2 Xây dựng hệ thống ATTT theo ISO 27001 3.2.1 Một số kh iv 3.2.2 Thiết lập quản lý hệ thống an tồn thơng tin 96 3.2.3 Triển khai điều hành hệ thống an tồn thơng tin .99 3.2.4 Giám sát hệ thống an tồn thơng tin .99 3.2.5 Duy trì nâng cấp hệ thống quản lý ATTT .100 3.2.6 Các yêu cầu hệ thống tài liệu .101 3.2.7 Trách nhiệm ban quản lý việc triển khai ISO 27001 102 3.2.8 Kiểm tra nội hệ thống ATTT 104 3.2.9 Ban quản lý xem xét hệ thống ATTT 104 3.2.10 Nâng cấp hệ thống quản lý an tồn thơng tin 105 KẾT LUẬN, HẠN CHẾ CỦA LUẬN VĂN VÀ KIẾN NGHỊ .107 Kết luận 107 Hạn chế 108 Kiến nghị 109 TÀI LIỆU THAM KHẢO 110 PHỤ LỤC 112 v BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT STT Viết tắt AN PTT ANM ANTT ATTT Bộ TT&TT CEH ĐHQG DN HSB 10 HTQL 11 IoT 12 ISMS 13 KNCTBV 14 NN 15 PTBV 16 TC 17 TTĐT vi DANH MỤC CÁC BẢNG Bảng 1.1: So sánh an ninh truyền thống an ninh phi truyền thống 11 Bảng 2.1: Các nhóm đối tƣợng đƣợc khảo nghiệm mức độ an tồn thơng tin HSB 66 Bảng 2.2: Đánh giá mức độ an tồn thơng tin thơng qua phƣơng pháp vấn chun gia 67 Bảng 3.1: Các buớc đánh giá rủi ro theo ISO 27001 90 Bảng 3.2: Một số công cụ quét lỗ hổng tìm kiếm rủi ro hệ thống 91 Bảng 3.3: Kết đánh giá tính cần thiết giải pháp 92 Bảng 3.4: Kết đánh giá tính khả thi giải pháp 92 Bảng 3.5: Các bƣớc thực triển khai ISO 27001 95 vii b) Tiến hành hồn chỉnh có biện pháp phịng ngừa thích hợp Chú ý vận dụng kinh nghiệm có tham khảo từ tổ chức khác c) Thông báo thống với thành phần liên quan hoạt động nâng cấp hệ thống quản lý ATTT d) Đảm bảo việc thực nâng cấp phải phù hợp với mục tiêu đặt 3.2.6 Các yêu cầu hệ thống tài liệu 3.2.6.1 Khai quát Tài liệu bao gồm tập hợp hồ sơ xử lý nhằm đảm bảo cho phép: truy lại đƣợc định xử lý, sách đảm bảo kết ghi nhận tái tạo lại đƣợc Điều quan trọng cần nêu rõ đƣợc liên quan biện pháp quản lý chọn với kết quy trình đánh giá xử lý rủi ro nhƣ với sách mục tiêu hệ thống quản lý ATTT đƣợc đặt Các tài liệu hệ thống quản lý ATTT bao gồm: a) Các thơng báo sách mục tiêu hệ thống quản lý ATTT b) Phạm vi hệ thống quản lý ATTT c) Các thủ tục biện pháp quản lý hỗ trợ cho hệ thống quản lý ATTT d) Mô tả hệ phƣơng pháp đánh giá rủi ro e) Báo cáo đánh giá rủi ro f)Kế hoạch xử lý rủi ro g) Các thủ tục dạng văn tổ chức để đảm bảo hiệu kế hoạch, điều hành quản lý quy trình bảo đảm an tồn thơng tin mơ tả phƣơng thức đánh giá hiệu biện pháp quản lý áp dụng h) Các hồ sơ cần thiết đƣợc mô tả tiêu chuẩn i) Thông báo áp dụng Cụm từ ―thủ tục dƣới dạng văn bản‖ ngữ cảnh tiêu chuẩn quốc tế có nghĩa thủ tục đƣợc thiết lập, biên soạn thành tài liệu, triển khai bảo trì Quy mơ tài liệu hệ thống quản lý ATTT tổ chức khác phụ thuộc vào: - Kích thƣớc loại hình hoạt động tổ chức - Phạm vi độ phức tạp yêu cầu an toàn bảo mật nhƣ hệ thống đƣợc tổ chức quản lý 3.2.6.2 Biện pháp quản lý tài liệu Các tài liệu cần thiết hệ thống quản lý ATTT cần phải đƣợc bảo vệ quản lý thích hợp Một thủ tục đƣợc thiết lập để xác định hoạt động quản lý cần thiết nhằm: 101 a) Phê duyệt tài liệu thỏa đáng trƣớc đƣợc ban hành b) Xem xét tài liệu tiến hành sửa đổi cần thiết để phê duyệt lại Đảm bảo nhận biết đƣợc thay đổi tình trạng sửa đổi hành tài liệu c) dụng Đảm bảo phiên tài liệu thích hợp ln có sẵn nơi cần sử d) Đảm bảo tài liệu phải rõ ràng, dễ đọc dễ nhận biết e) Đảm bảo tài liệu phải sẵn sàng ngƣời cần, đƣợc chuyển giao, lƣu trữ hủy bỏ đƣợc áp dụng theo thủ tục phù hợp f)Đảm bảo tài liệu có nguồn gốc bên ngồi đƣợc nhận biết g) Đảm bảo việc phân phối tài liệu phải đƣợc quản lý h) Tránh việc vơ tình sử dụng phải tài liệu hạn i) Áp dụng biện pháp định danh phù hợp tài liệu cần lƣu trữ 3.2.6.3 Biện pháp quản lý hồ sơ Các hồ sơ đƣợc thiết lập trì để cung cấp dẫn chứng thể phù hợp yêu cầu hoạt động điều hành hệ thống quản lý ATTT Các hồ sơ đƣợc bảo vệ quản lý Hệ thống quản lý ATTT phải ý đến pháp lý liên quan, yêu cầu sửa đổi ràng buộc thống Hồ sơ phải dễ đọc, dễ nhận biết sửa đƣợc Các biện pháp quản lý cần thiết để định danh, lƣu trữ, bảo vệ, sửa chữa, thời gian sử dụng hủy bỏ hồ sơ đƣợc biên soạn thực Các hồ sơ đƣợc giữ theo quy trình nhƣ phác thảo 3.2.7 Trách nhiệm ban quản lý việc triển khai ISO 27001 3.2.7.1 Cam kết ban quản lý Ban quản lý phải cam kết cung cấp dẫn chứng để thiết lập, triển khai, điều hành, giám sát, đánh giá, bảo trì nâng cấp hệ thống quản lý an tồn thơng tin bằng: 安 Thiết lập sách cho hệ thống bảo đảm an tồn thông tin 安 Đảm bảo mục tiêu kế hoạch hệ thống an tồn thơng tin đƣợc xây dựng 安 Xây dựng vai trò trách nhiệm an tồn thơng tin 安 Trao đổi với tổ chức mục tiêu bảo đảm an toàn thơng tin làm cho phù hợp với sách an tồn thơng tin, trách nhiệm dƣới luật cần thiết tiếp tục cải tiến 102 安 Thông tin cho toàn tổ chức biết tầm quan trọng mục tiêu an tồn thơng tin cần đạt đƣợc, tn thủ sách an tồn thơng tin, trách nhiệm trƣớc pháp luật cần thiết phải nâng cấp, cải thiện hệ thống cách thƣờng xuyên 安 Cung cấp đầy đủ tài nguyên cho trình thiết lập, triển khai, điều hành, giám sát, kiểm tra, bảo trì nâng cấp hệ thống quản lý ATTT 安 Xác định tiêu cho rủi ro mức độ rủi ro chấp nhận đƣợc 安 安 Đảm bảo đạo trình kiểm toán nội hệ thống quản lý ATTT Chỉ đạo việc xem xét quản lý hệ thống quản lý ATTT 3.2.7.2 Quản lý nguồn lực a) thiết: Cấp phát nguồn lực Tổ chức phải xác định cung cấp nguồn lực cần 安 Thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì nâng cấp hệ thống quản lý ATTT 安 Đảm bảo quy trình bảo đảm an tồn thơng tin hỗ trợ cho yêu cầu nghiệp vụ 安 Xác định áp dụng yêu cầu pháp lý quy định nhƣ ràng buộc an tồn thơng tin phải tuân thủ 安 Duy trì đầy đủ an toàn bảo mật cách áp dụng tất biện pháp quản lý đƣợc triển khai 安 Thực xem xét có biện pháp xử lý cần thiết 安 Nâng cao lực hệ thống quản lý ATTT cần thiết b) Đào tạo, nhận thức lực: Tổ chức phải đảm bảo ngƣời có trách nhiệm hệ thống quản lý ATTT phải có đầy đủ lực để thực nhiệm vụ đƣợc giao cách: 安 Xác định kỹ cần thiết để thực hiệu cơng việc đƣợc giao 安 Cung cấp khóa đào tạo tuyển chọn ngƣời có lực để thỏa mãn yêu cầu 安 Đánh giá mức độ hiệu hoạt động thực 安 Lƣu giữ hồ sơ việc học vấn, trình đào tạo, kỹ năng, kinh nghiệm trình độ chuyên môn Tổ chức cần đảm bảo tất cá nhân liên quan nhận thức đƣợc tầm quan trọng hoạt động đảm bảo an tồn thơng tin hiểu cách góp phần thực mục tiêu hệ thống quản lý ATTT 103 3.2.8 Kiểm tra nội hệ thống ATTT Tổ chức đạo kiểm tra nội hệ thống theo kế hoạch để xác định mục tiêu quản lý, biện pháp quản lý, quy trình, thủ tục hệ thống quản lý ATTT: 安 安 安 安 Theo yêu cầu tiêu chuẩn này, pháp lý quy định liên quan Theo các yêu cầu đảm bảo an tồn thơng tin Phải đảm bảo hiệu triển khai trì Hoạt động diễn nhƣ mong muốn Các chƣơng trình kiểm tra đƣợc lên kế hoạch cần xem xét đến vấn đề nhƣ trạng ý nghĩa quy trình phạm vi đƣợc kiểm tra Các tiêu, phạm vi, tần suất biện pháp đƣợc xác định Sự lựa chọn ngƣời tiến hành kiểm tra (kiểm tra viên) cách hƣớng dẫn, đạo kiểm tra đảm bảo tính khách quan, cơng cho q trình kiểm tra Kiểm tra viên khơng nên tự kiểm tra cơng việc Các trách nhiệm yêu cầu cho việc lập kế hoạch hƣớng dẫn kiểm tra, báo cáo kết lƣu giữ hồ sơ phải đƣợc xác định rõ ràng thủ tục dƣới dạng văn Ban quản lý chịu trách nhiệm cho phạm vi đƣợc kiểm tra phải đảm bảo hoạt động đƣợc thực thời hạn nhằm loại bỏ vi phạm Các hoạt động bao gồm việc thẩm tra hoạt động thực lập báo cáo kết thẩm tra Tiêu chuẩn ISO 19011:2002, ―Guidelines for quality and/or environemental management system auditing‖ cung cấp thông tin hỗ trợ cho việc triển khai việc kiểm tra nội hệ thống quản lý ATTT 3.2.9 Ban quản lý xem xét hệ thống ATTT 3.2.9.1 Khái quát Ban quản lý xem xét hệ thống quản lý ATTT tổ chức theo kế hoạch đặt (ít lần năm) để ln ln đảm bảo tính chất phù hợp, đầy đủ hiệu Sự soát xét bao gồm đánh giá hội cho việc nâng cấp cần thiết phải thay đổi hệ thống quản lý ATTT, bao gồm sách an tồn thơng tin mục tiêu an tồn thơng tin Các kết việc xem xét đƣợc lƣu giữ biên soạn thành tài liệu 3.2.9.2 Đầu vào cho việc xem xet hệ thống ATTT Đầu vào cho ban quản lý xem xét hệ thống quản lý ATTT bao gồm: 安 Các kết kiểm tra xem xét hệ thống quản lý ATTT 安 Thông tin phản hồi từ phận có liên quan 104 安 Các kỹ thuật, sản phẩm thủ tục đƣợc sử dụng tổ chức nhằm nâng cao hiệu lực hệ thống quản lý ATTT 安 Hiện trạng trạng hành động ngăn ngừa khắc phục, sửa chữa 安 Các lỗ hổng nguy an tồn thơng tin khơng đƣợc đề cập cách thấu đáo lần đánh giá rủi ro trƣớc 安 Các kết đánh giá lực hệ thống 安 安 安 Các hoạt động lần xem xét trƣớc Các thay đổi có ảnh hƣởng đến hệ thống quản lý ATTT Các kiến nghị nhằm cải thiện hệ thống 3.2.9.3 Đầu việc xem xét hệ thống ANTT Ban quản lý sau xem xét hệ thống quản lý ATTT cần đƣa định hoạt động việc: 安 Nâng cao lực hệ thống quản lý ATTT 安 Cập nhật kế hoạch đánh giá xử lý rủi ro 安 Sửa đổi thủ tục biện pháp quản lý có ảnh hƣởng cần thiết đến bảo đảm an tồn thơng tin nhằm đối phó lại với kiện gây tác động đến hệ thống quản lý ATTT, bao gồm: - Các yêu cầu hoạt động nghiệp vụ - Các yêu cầu an toàn bảo mật - Các quy trình nghiệp vụ có ảnh hƣởng tới yêu cầu hoạt động nghiệp vụ tổ chức 安 安 - Các yêu cầu pháp lý quy định - Các ràng buộc theo hợp đồng ký kết - Mức độ rủi ro và/hoặc tiêu chấp nhận rủi ro Các nhu cầu cần thiết tài nguyên Nâng cao phƣơng thức đánh giá mức độ hiệu biện pháp quản lý 3.2.10 Nâng cấp hệ thống quản lý an tồn thơng tin 3.2.10.1 Nâng cấp thường xuyên Tổ chức phải thƣờng xuyên nâng cao tính hiệu lực hệ thống quản lý ATTT thơng qua việc tận dụng sách đảm bảo an tồn thơng tin, mục tiêu đảm bảo an tồn thơng tin, kết kiểm tra, kết phân tích kiện xảy ra, hành động ngăn ngừa khắc phục nhƣ kết xem xét ban quản lý 105 3.2.10.2 Hành động khắc phục Tổ chức phải thực loại bỏ nguyên nhân vi phạm với yêu cầu hệ thống quản lý ATTT Các thủ tục dƣới dạng văn để khắc phục cần phải xác định rõ yêu cầu sau: 安 安 安 安 安 安 Xác định vi phạm Tìm nguyên nhân vi phạm Đánh giá hành động cần thiết nhằm ngăn chặn vi phạm xuất trở lại Quyết định triển khai hành động khắc phục cần thiết Lập hồ sơ kết thực hành động Xem xét lại hành động khắc phục đƣợc thực 3.2.10.3 Hành động phòng ngừa rủi ro Tổ chức cần xác định hành động để tránh nguyên nhân gây vi phạm tiềm ẩn phát sinh với hệ thống quản lý ATTT để có biện pháp bảo vệ phòng ngừa Các hành động bảo vệ phòng ngừa cần đƣợc thực phù hợp với tác động mà vi phạm gây Các thủ tục dƣới dạng văn để bảo vệ, phòng ngừa cần xác định rõ yêu cầu sau: 安 安 安 安 安 Xác định vấn đề vi phạm tiềm ẩn nguyên nhân gây chúng Đánh giá cần thiết hành động ngăn chặn vi phạm xuất Xác định triển khai hành động Lập hồ sơ hành động Xem xét hành động đƣợc thực Tổ chức cần nhận biết rủi ro thay đổi xác định hành động phù hợp đáp ứng lại thay đổi Mức ƣu tiên hành động bảo vệ phòng ngừa đƣợc xác định dựa kết trình đánh giá rủi ro Hành động nhằm ngăn chặn trƣớc vi phạm thƣờng hiệu kinh tế khắc phục cố vi phạm gây 106 KẾT LUẬN, HẠN CHẾ CỦA LUẬN VĂN VÀ KIẾN NGHỊ Kết luận Qua số phản ánh thống kê ngành, đánh giá tình hình ATTT Việt Nam đƣợc cải thiện nhiều, thể qua số ATTT Việt Nam tăng lên có xu hƣớng tăng bền vững Tuy nhiên, vấn đề ATTT nhiều diễn biến phức tạp Điều phù hợp với nhận định chuyên gia hội thảo Ngày an tồn thơng tin Việt Nam năm 2016 ―Kỷ nguyên chiến tranh mạng‖ Việt Nam điểm nóng công mạng Để môi trƣờng ATTT Việt Nam đƣợc phát triển bền vững, lành mạnh nữa, quan quản lý nhà nƣớc, tổ chức cá nhân cần phải nâng cao nhận thức chung thống hợp tác xử lý tình ATTT Bên cạnh đó, cần xây dựng chế phối hợp chia sẻ thông tin quan, tổ chức có điều phối chung nhà nƣớc, đó, lấy ngƣời làm nguồn lực chính, phát triển công nghệ ATTT phù hợp đặc thù Việt Nam, đẩy mạnh hoạt động khuyến khích cộng đồng tham gia vào lĩnh vực hoạt động Trong trình nghiên cứu HSB tác giả nhận thấy cần nâng cao nhận thức ngƣời dùng ATTT ANM đơn vị giáo dục, triển khai toàn diện sâu rộng kiến thức kỹ nhằm đảm bảo an tồn thơng tin HSB nhƣ ĐHQGHN, việc trang bị kiến thức cho cá nhân administrator system đơn vị cần thiết - Về nghiên cứu, tìm hiểu hệ thống quản lý ATTT theo chuẩn ISO 27001: Hệ thống quản lý an tồn thơng tin ATTT bao gồm ngƣời, trình hệ thống CNTT Lập hệ thống quản lý ATTT theo chuẩn ISO 27001 cách tiếp cận mang tính hệ thống để quản lý thơng tin nhạy cảm tổ chức nhằm trì đảm bảo ba thuộc tính an tồn thơng tin: Tính tin cậy, Tính tồn vẹn, Tính sẵn sàng ISO 27001 giúp cho tổ chức tạo đƣợc hệ thống quản lý an tồn thơng tin chặt chẽ nhờ ln đƣợc cải tiến nhằm đảm bảo an ninh khai thác thông tin cách hợp lý hiệu Tuy nhiên việc tuân theo đạt đƣợc chứng chuẩn ISO 27001 chứng minh tổ chức đƣợc đảm bảo an tồn 100% Khơng có điều an ninh hồn tồn ngoại trừ 107 khơng làm Tuy nhiên, thừa nhận chuẩn quốc tế đƣa lợi ích chắn mà ngƣời quản lý cần phải xem xét Cấp độ tổ chức: Sự cam kết - chứng nhƣ cam kết hiệu nỗ lực đƣa an ninh tổ chức đạt cấp độ chứng minh cần cù thích đáng ngƣời quản trị Cấp độ pháp luật: Tuân thủ - chứng minh cho nhà chức trách tổ chức tuân theo tất luật qui định áp dụng Cấp độ điều hành: Quản lý rủi ro - Mang lại hiểu biết tốt hệ thống thông tin, điểm yếu chúng làm để bảo vệ chúng Tƣơng tự, đảm bảo nhiều khả sẵn sàng phụ thuộc phần cứng phần mềm Cấp độ thƣơng mại: Sự tín nhiệm tin cậy - Các thành viên, cổ đông, khách hàng vững tin thấy khả chuyên nghiệp tổ chức việc bảo vệ thông tin Chứng giúp nhìn nhận riêng từ đối thủ cạnh tranh thị trƣờng Cấp độ tài cấp độ ngƣời: Tiết kiệm chi phí khắc phục lỗ hổng an ninh có khả giảm chi phí bảo hiểm Cải tiến nhận thức nhân viên vấn đề an ninh trách nhiệm họ tổ chức Hạn chế Khi nói đến Hack, Hacker ngƣời làm cơng tác đảm bảo an tồn hệ thống cần có kiến thức kỹ thuật chuyên sâu nhƣ lập trình, kiểm thử, test hệ thống, bug lỗi…, nhiều kinh nghiệm, suy nghĩ làm việc nhƣ hacker Hạn chế luận văn chƣa thể cung cấp đầy đủ kiến thức kỹ thuật chuyên sâu cho ngƣời dùng, nhƣ chƣa thể đƣa đƣợc phƣơng án cụ thể để khắc phục cố an tồn thơng tin mà đánh giá mang tính lý thuyết, phịng thủ bị động Bên cạnh việc nghiên cứu sâu toots hack Backtrack 5, Kali chƣa đƣợc toàn diện, thực demo đƣợc tools cơng kiểm tra hệ thống Việc tìm hiểu hệ thống đảm bảo ATTT, tiêu chuẩn ATTT cần có phận chuyên sâu đầu tƣ thỏa đáng tài tổ chức, việc khó áp dụng với đơn vị vừa nhỏ nhƣ HSB ISO kim nam cho tổ chức ISO 2700x giúp tổ chức có định hƣớng quan tâm đến ATTT, nhờ có đánh giá có hệ thống, tồn điện ATTT, bên cạnh việc trì thƣờng xun chứng giúp tổ chức chủ động công tác đảm bảo ATTT nhƣng tốn nguồn lực thời gian nhân lực, tài dẫn đến việc thực khơng đầy đủ mai theo thời gian 108 Kiến nghị Trong thời gian công tác Khoa Quản trị Kinh doanh – Đại học Quốc gia Hà Nội, nhƣ q trình hồn thiện luận văn tác giả nhận thấy việc đảm bảo an toàn thông tin giáo dục chƣa đƣợc quan tâm cao, đơn vị tập trung vào nghiên cứu đào tạo, sử dụng sản phẩm công nghệ thông tin mà coi nhẹ việc đảm bảo an tồn thơng tin đó, đặc biệt số phần mềm phát triển ĐHQG cịn khơng sử dụng cơng cụ kiểm thử ATTT để đánh giá, lãnh đạo đơn vị cho khơng có hacker cơng vào hệ thống giáo dục, chƣa có họp liên quan đến vấn đề ATTT ĐHQG, điều chủ quan nguy hiểm, nhƣ vấn đề ATTT không đƣợc quan tâm mức, q trình hồn thiện luận văn này, tồn hệ thống Server Trung tâm Ứng dụng công nghệ thông tin - ĐHQG bị liệu đơn vị thành viên Một số nguyên nhân ATTT, thông qua luận văn với mong muốn mang đến nhìn tổng quát ATTT kính mong cấp lãnh đạo HSB, ĐHQG quan tâm đến ATTT giáo dục Bên cạnh tác giả nhận thấy ĐHQG chƣa có đơn vị thành viên đƣa ISO 27001 vào đơn vị mình, qua luận văn kính mong ban lãnh đạo triển khai đồng ĐHQG 109 TÀI LIỆU THAM KHẢO Tiếng Việt Đại tá PGS.TS Trần Văn Hòa; An tồn thơng tin cơng tác phịng chống tội phạm sử dụng công nghệ cao – Nhà xuất Công an Nhân dân Thƣợng tƣớng, TS Nguyễn Văn Hƣởng, PTS TS Hồng Đình Phi; Tổng quan quản trị an ninh phi truyền thống, 2015 GS.TS Nguyễn Bách Khoa, PGS.TS Hồng Đình Phi, Tổng quan phát triển bền vững, Khoa QTKD (HSB Hanoi School of Business) thuộc ĐHQGHN, 2014; Quản trị an ninh phi truyền thống để phát triển bền vững, 2015; tập giảng: Quản trị rủi ro an ninh doanh nghiệp, HSB, 2015 Trịnh Nhật Tiến (2008), Giáo trình an tồn liệu, Trƣờng Đại học công nghệ, đại học Quốc gia Hà Nội Nghị định 64/2007/NĐ-CP, ngày 10/04/2007 Chính phủ ứng dụng công nghệ thông tin hoạt động quan Nhà nƣớc Luật an ninh quốc gia, ban hành năm 2004, NXB Chính trị quốc gia, 2005 TS Nguyễn Thanh Hải, Cục trƣởng Cục An tồn thơng tin, Chủ quyền khơng gian mạng, 2017 Trung tƣớng PGS TS Hoàng Phƣớc Thuận Cục trƣởng Cục ANM, Bộ Cơng an, báo cáo tổng quan tình hình an ninh mạng Việt Nam 2016; hội thảo, triển lãm quốc gia An ninh bảo mật 2017 (Security World 2017); ―Bảo đảm an ninh mạng, an ninh thông tin thời kỳ cách mạng công nghiệp lần thứ 04‖ http://cand.com.vn; Nhiều quan, đơn vị chƣa quan tâm mức đến bảo mật thông tin https://mic.gov.vn/; Bộ TT&TT; tài liệu Hội nghị giao ban Quản lý nhà nƣớc tháng 10 4/2017 11 http://antoanthongtin.vn/; Ban yếu Chính phủ, Tạp chí An tồn thơng tin 12 https://www.eccouncil.org/; Giáo trình CEH (Cetified Ethical Hacker) Tiếng Anh 13 Ayoob M., Critical Security Studies: Concept & Cases, University of Minnesota Press, 1997 14 FireEye; https://www2.fireeye.com/WEB-2015RPTAPT30.html 110 15 BS 7799-2:2002, Information Security Management Specification with with Guidance for User 16 ISO/IEC 1799:2000, Information technology – Code of Practice 17 ISO/IEC TR 13335-1:2004, Information technology - Security Techniques Management of information and communications technology security 111 PHỤ LỤC Bảng câu hỏi khảo sát vấn chuyên gia thực trạng giải pháp ATTT NNM HSB Câu hỏi 1: Trong trình sử dụng máy tính, truy cập mạng HSB anh chị bị cố (Virus, hỏng phần cứng, mã hóa liệu…) làm sai hỏng, liệu cá nhân hay chƣa? 安 Có 安 Khơng Câu hỏi 2: Anh chị có quan tâm đến vấn đề đảm bảo an tồn thơng tin (dữ liệu cá nhân, tổ chức), phịng chống virus máy tính HSB hay khơng? 安 Có 安 Khơng Câu hỏi 3: Trong giải pháp dƣới anh/chị cho biết mức độ cần thiết giải pháp phục vụ công tác đảm bảo ATTT, ANM mức độ khả thi áp dụng HSB (đánh dấu X vào ô lựa chọn) Giải pháp Nâng cao lực quản trị ATTT NNM cho cán giảng viên HSB Sử dụng công cụ đánh giá ATTT (ISO 27001) công tác quản lý ATTT HSB Sử dụng công cụ quét lỗ hổng bảo mật hệ thống để kiểm soát ATTT HSB 112 Mức độ khả thi Giải pháp Rất khả thiKhả thi Nâng cao lực quản trị ATTT NNM cho cán giảng viên HSB Sử dụng công cụ đánh giá ATTT (ISO 27001) công tác quản lý ATTT HSB Sử dụng công cụ quét lỗ hổng bảo mật hệ thống để kiểm soát ATTT HSB 113 ...ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH *** *** *** BÙI THANH HIẾU MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TỒN THƠNG TIN VÀ AN NINH MẠNG CHO KHOA QUẢN TRỊ VÀ KINH DOANH (HSB) ĐẠI HỌC QUỐC GIA. .. ANM cho Đại học quốc gia dƣới góc độ an ninh phi truyền thống cấp thiết Đó sở để tác giả lựa chọn đề tài ―MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TỒN THƠNG TIN VÀ AN NINH MẠNG CHO KHOA QUẢN TRỊ VÀ KINH DOANH. .. tranh xảy An ninh quốc gia = an ninh truyền thống = an ninh trị + an ninh quân = tồn chế độ cai trị + chủ quyền quốc gia + lợi ích quốc gia Mở rộng: An ninh quốc gia = an ninh cứng = an ninh trị