Bộ Thông tin Truyền thông Trung tâm VNCERT MỘT SỐ VẤN ĐỀ TRỌNG TÂM TRONG CÔNG TÁC ĐẢM BẢO AN TỒN HẠ TẦNG THƠNG TIN, PHÁT TRIỂN AN TỒN THÔNG TIN SỐ QUỐC GIA ĐẾN NĂM 2020 Hội nghị phát triển Hạ tầng thông tin- Hà Nội, 15/01/2013 NỘI DUNG I • TÌNH HÌNH CHUNG II • ĐỊNH HƢỚNG, GIẢI PHÁP III • NHIỆM VỤ CHỦ YẾU Theo thống kê Microsoft I TÌNH HÌNH CHUNG Tình hình lây nhiễm mã độc (Q2-2012) Theo thống kê Microsoft Phân bố máy chủ phát tán mã độc (Q2-2012) Theo thống kê Microsoft Hoạt động ứng cứu-kiểm tra-cảnh báo ATTT Cơ cấu cố Phishing Malware DoS/DDoS SMS Spams Deface 2010 2011 2012 233 +86% 385 +50.9% 970 +152% 13 +1.7% 825 +6200% +3% +0.4% +0% +0.4% 43 +207% 10 +3.7% 14 +1.8% 340 770 +126% +1689% 19 +7% +150% Khác Cộng (= tỷ lệ so 271 =132% 757 =279% 2179 =300% với năm trƣớc) Hoạt động phòng ngừa cho HT TT Số lần ktra ATTT 254 Số lần cảnh báo 62 Hiện trạng xử lý cố 160 152 140 130 120 114 114 100 Số liệu thống kê 99 98 78 77 73 76 60 77 Phishing 76 68 64 63 62 60 94 90 86 87 80 54 51 49 40 36 37 40 34 26 20 Tháng 90 0 0 13 18 11 13 5 10 11 12 Deface (.gov.vn) Deface khác Malware Số lỗ hổng an ninh mạng Thống kê theo chu kỳ nửa năm Theo thống kê Microsoft CÁC NGUY CƠ VÀ THÁCH THỨC VỀ ATTTS Tấn công xã hội Tấn công mã độc, xâm nhập qua lỗ hổng ATTT, qua cửa hậu, khống chế chiếm đoạt quyền điều khiển hệ thống tạo lập bàn đạp mở rộng công… Xâm nhập mạng để lấy cắp thông tịn hay tác nghiệp trái phép Tấn công từ chối dịch vụ Nguy phụ thuộc cơng nghệ Mất an tồn thơng tin thiết bị di động Chiến tranh mạng, phá hoại hạ tầng thông tin trọng yếu quốc gia II ĐỊNH HƢỚNG, GiẢI PHÁP CHỦ YẾU Đảm bảo sở hạ tầng CNTT&TT Phát triển nguồn nhân lực nâng cao nhận thức Đảm bảo an toàn cho ứng dụng CNTT QĐ63 -13/1/20010 Quy hoạch PT ATTTS QG QĐ1755 - 22/9/2010 Đƣa Việt Nam sớm trở thành nƣớc mạnh vể CNTT&TT Nâng cao nhận thức, đẩy mạnh thơng tin, tun truyền ATTT Hồn thiện mơi trƣờng pháp lý định hƣớng Triển khai Chỉ thị 897/CT-TTg ngày 10/6/2011 Thủ tướng CP tăng cường triển khai hoạt động đảm bảo an tồn thơng tin số Hồn thiện chế sách nhà nƣớc ATTT Đẩy mạnh hợp tác nƣớc giải pháp Phát triển nguồn lực ATTT: Huy động vốn, Đào tạo nhân lực Xây dựng thiết chế tăng cƣờng hoạt động đảm bảo ATTT Đảm bảo an toàn mạng hạ tầng thơng tin 2015 2010 • 64% LAN chƣa có quy chế ATTT • TCVNISO/IEC 27001:2009 • CERT+ISP 10 • LAN, CSDLQG, HTTT TYQG • Giám sát, cảnh báo ========== • Quy chế, quy trình theo chuẩn QT 2020 • HTTT TYQG • PKI/CA • Mạng lƣới CERT/CSIR T ========== • Đáp ứng nhu cầu CNTT Hồn thiện mơi trƣờng pháp lý ATTT 2020 2010 • Luật tản mát, chƣa có luật chun ngành • Thiếu hƣớng dẫn, TC, QCKT 13 2015 • Bổ sung, sửa đổi HT luật có • XD luật chun ngành, Hƣớng dẫn luật • Hệ thống TC ATTT (QL, mật mã, đánh giá ATTT) • Hồn thiện mơi trƣờng PLý: • tăng cƣờng tính tuân thủ, • quy trách nhiệm, • trấn áp tội phạm Khuyến khích hỗ trợ sản phẩm nội địa Nghiên cứu phát triển sản phẩm, giải pháp mơ hình dịch vụ nội địa ATTT để bổ sung cho sản phẩm nhập khẩu; Khuyến khích hỗ trợ để doanh nghiệp nội địa sớm có sản phẩm chống vi rút, ngăn chặn thƣ rác công mạng, phát hiểm họa cơng, Khuyến khích nghiên cứu phát triển, khai thác mã nguồn mở để tiến tới làm chủ cơng nghệ, có phịng thí nghiệm đánh giá kiểm định chất lƣợng ATTT III CÁC NHIỆM VỤ CHỦ YẾU Xây dựng thiết chế hạ tầng kỹ thuật đảm bảo ATTT a) Xây dựng ban hành sách hệ thống tiêu chuẩn, quy trình ATTT làm xây dựng quy chế ATTT giai đoạn 2011 – 2015; b) Thành lập Cục An tồn thơng tin Xây dựng lập mạng lưới điều phối ứng cứu cố CSIRT toàn quốc; c) Xây dựng hạ tầng kỹ thuật bao gồm hệ thống kiểm sốt an tồn thơng tin mạng, chống gửi phát tán mã độc, rà soát khắc phục điểm yếu, phát công cảnh báo sớm phản ứng ngăn chặn kịp thời có hiểm họa gây ATTT; d) Triển khai hệ thống bảo vệ mạng Internet ngăn chặn thông tin độc hại; e) Khảo sát hạ tầng thông tin trọng yếu quốc gia tất tỉnh/ thành phố khuôn khổ dự án ứng dụng công nghệ thông tin triển khai Lập kế hoạch lộ trình triển khai áp dụng quy chế quy trình đảm bảo ATTT cho hệ thống 15 CÁC NHIỆM VỤ (Tiếp theo 1) Tuyên truyền nâng cao nhận thức phát triển lực cơng nghệ ATTT a) Tổ chức chương trình đào tạo phổ cập an tồn thơng tin cho tồn xã hội Sử dụng phương tiện thông tin đại chúng, tổ chức kiện, hội nghị, hội thảo để tuyên truyền nâng cao nhận thức người dân ATTT; b) Xây dựng ban hành tiêu chuẩn kỹ chương trình đào tạo cần thiết chuyên gia ATTT có khả năng: theo dõi, giám sát, phát hiện, cảnh báo, phản ứng với hiểm họa, đánh giá kiểm định chất lượng ATTT Tổ chức đào tạo, cấp chứng chỉ,phát triển đội ngũ chuyên gia, kiểm định viên ATTT; c) Điều tra dự báo thị trường lao động ATTT; d) Xây dựng đội ngũ nghiên cứu phát triển cơng nghệ ATTT có sách nâng cao đội ngũ chất lượng số lượng; e) Hàng năm đánh giá sản phẩm ATTT sử dụng; mức độ sẵn sàng hệ thống đảm bảo ATTT tổ chức, doanh nghiệp; g) Đẩy mạnh hợp tác quốc tế thu hút dự án đầu tư nước ngồi sở chuyển giao cơng nghệ, bước tiến tới làm chủ công nghệ phát triển sản phẩm ATTT đặc thù Việt Nam 16 CÁC NHIỆM VỤ (Tiếp theo 2) Triển khai dự án chƣơng trình ATTT: a) Nhanh chóng xây dựng triển khai dự án ưu tiên sử dụng nguồn ngân sách đầu tư nhà nước nhằm xây dựng thiết chế sở hạ tầng kỹ thuật đảm bảo ATTT quốc gia; b) Các quan nhà nước xây dựng dự án đầu tư hạ tầng kỹ thuật đảm bảo ATTT theo yêu cầu thực tế dành phần kinh phí đầu tư dự án ứng dụng công nghệ thông tin để trang bị giải pháp bảo đảm ATTT; c) Xây dựng chương trình tuyên truyền nâng cao nhận thức ATTT bố trí kinh phí hàng năm cho Chương trình này; d) Chú trọng đến đề án nghiên cứu phát triển sản phẩm, công nghệ, giải pháp kỹ thuật mơ hình cung cấp dịch vụ ATTT Chương trình Kỹ thuật -Kinh tế Công nghệ thông tin 17 Nhiệm vụ trọng tâm 2013 - 2015 X/d môi trƣờng pháp lý thiết chế NN: Cục ATTT Tiêu chuẩn hóa quản lý đào tạo nghiệp vụ ATTT Quản lý ATTT (TCVN ISO/IEC 2700x …) Luật ATTT Số Đánh giá ATTT cho hệ thống sản phẩm CNTT (ISO/IEC TR 19791, ISO/IEC 18045…) Tổ chức đánh giá ATTT Chuẩn đào tạo ATTT (NSTISSI 4011, 4012, 4013, 4014, 4015, …) Ban hành – Đào tạo – Triển khai – Đánh giá hợp chuẩn–Kiểm tra định kỳ 18 Nhiệm vụ trọng tâm 2013 - 2015 Nâng cao nhận thức: Xây dựng hoàn thiện hạ tầng kỹ thuật ATTT: Hạ tầng PKI hệ thống CA; Điều tra ATTT hàng năm Tổ chức kiện, tuyên truyền, Hội thảo quốc gia, quốc tế Triển khai dự án đào tạo CB, CG ATTT 19 Hệ thống giám sát cảnh báo sớm an toàn mạng quốc gia; Hệ thống điều phối phản ứng nhanh với cố; Đầu tƣ – Tích hợp – Vận hành – Duy trì nâng cấp Nghiên cứu xây dựng Luật ATTT số Áp dụng mạng máy tính, mạng viễn thông, không gian số, nhằm phát triển dịch vụ, trao đổi thông tin, phát triển kinh tế số bền vững, bảo vệ chủ quyền số Bảo vệ SX,KD, HTTT, Bảo vệ hạ tầng XNK, Quản lý dịch vụ TTin thơng tin, tính trọng ATTTS NCPT riêng tư yếu quốc ATTTS gia 20 Phát triển nguồn nhân lực Chống phá hoại,lợi Hợp dụng tác công quốc tế nghệ vào ATTTS mục đích có hại Quy định trách nhiệm tổ chức cá nhân v.v… Áp dụng TCVN ISO ATTT Đã ban hành TCVN ISO/IEC 27001:2009 hệ thống quản lý ATTT TCVN ISO/IEC 27002:2011 biện pháp quản lý ATTT TCVN 87091:2011 quản lý rủi ro: mơ hình tổng qt đánh giá ATTT TCVN 87092:2011 quản lý rủi ro: thành phần chức ATTT TCVN 87093:2011 quản lý rủi ro: thành phần đảm bảo ATTT Chuẩn bị ban hành TCVN ISO/IEC 27003 Hướng dẫn triển khai hệ thống quản lý ATTT 21 TCVN ISO/IEC 27004 Yêu cầu cho đánh giá quản lý ATTT TCVN ISO/IEC 27005 Hướng dẫn quản lý rủi ro ATTT TCVN ISO/IEC 27010 Quản lý ATTT cho truyền thông liên tổ chức, liên ngành TCVN ISO/IEC 27033 Tổng quan khái niệm Triển khai Quản lý ATTT cho hệ thống Đánh giá nguy (rủi ro) 22 Giảm thiểu nguy Đảm bảo giảm thiểu nguy Phản ứng với cố Các biện pháp cho tổ chức 23 Đơn vị sở (8) Bộ, ngành, ĐP (7) Cơ quan QLNN TƢ (8) + Ban hành Quy chế ATTT + Đào tạo người sử dụng + Kiểm tra giám sát ATTT + Sao lưu, dự phịng + Chống cơng giảm thiểu rủi ro + Chống mã độc + Sử dụng mật mã, xác thực + Chia sẻ thông tin + Kế hoạch ATTT + Xây dựng mơi trường pháp lý, + Chính sách, Quy tiêu chuẩn, quy chuẩn kỹ thuật, hướng dẫn chế ATTT + Ban hành chiến lược, quy hoạch, + Quản lý ATTT sách ATTT + Đánh giá ATTT + Tổ chức mạng lưới điều phối ứng cứu mạng máy tính + Thẩm định ATTT cho dự án + Tổ chức HT giám sát ATTT quốc + Tổ chức hệ thống gia, phân tích, cảnh báo sớm nguy ứng cứu cố + Đánh giá tình trạng quản lý đảm mạng máy tính bảo ATTT tham gia mạng lưới + Thẩm định ATTT cho dự án điều phối quốc gia quan trọng + Bố trí kinh phí + Phối hợp quốc tế đảm bảo ATTT + Bố trí kế hoạch kinh phí Xây dựng hệ thống Quốc gia Hệ thống xác thực chữ ký số Server Root CA CA Hệ thống giám sát ATTT Database Manager CA Mạng lƣới điều phối ứng cứu cố Hà Nội Hà Nội CA CP Chuyên gia VNCERT ESM TRM Hà Nội Loggers Hà Nội Smart Connector Connector Appliance FireWall FireWall 24 Smart Connector IDS ISP, Doanh nghiệp Smart Connector Connector Appliance Smart Connector CQ chuyên trách TP HCM Router IDS Smart Connector FireWall IDS Smart Connector Router CSIRT Switch CSIRT CSIRT Phòng chống mã độc Ngăn thăm dò Hacker Ngăn xâm nhập Tìm kiếm điểm yếu Ngăn truy cập khu vực hệ thống Xâm nhập Quét, phát hiện, xử lý/chống lây lan Gài mã độc Quét, phát hiện, xử lý, bóc gỡ mã độc Tải, bổ sung hoàn thiện Hoạt động, thu thập TT Ngăn kết nối Giám sát,ngăn , bóc gỡ Kết nối inter net Server (Hacker) - Dị tìm tài khoản mật - Tìm lỗ hổng hệ thống - Tấn công xã hội -Truy cập nhƣ user -Truy cập qua lỗ hổng - Bẫy ngƣời sử dụng - Tấn công - Chiếm leo thang quyền đk đặc quyền hệ thống - Gài mã -Bổ sung độc vào hệ mô thống đun (bƣớc đầu) - XĐ CL - Bị lây lan hoạt động - Mở cửa hậu - Tấn công theo lệnh - Lây lan - Thu trộm thông tin, - Phá hoại -Liên lạc với máy chủ C&C -Chuyển tin thám đƣợc - Phát tán diện rộng Xây dựng giải pháp chống DDoS quốc gia Hệ thống đƣợc sử dụng để bảo vệ cổng/trang thông tin điện tử quan nhà nƣớc sở hạ tầng thông tin trọng yếu trƣờng hợp xảy công từ chối dịch vụ 26 Xin chân thành cảm ơn Liên hệ: Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, Bộ Thông tin Truyền thông 18 Nguyễn Du, Hà Nội, Việt Nam Tel: (84) 36404 424 Fax: (84) 36404 425 Email: office@vncert.vn 27 ... giám sát ATTT Database Manager CA Mạng lƣới điều phối ứng cứu cố Hà Nội Hà Nội CA CP Chuyên gia VNCERT ESM TRM Hà Nội Loggers Hà Nội Smart Connector Connector Appliance FireWall FireWall 24 Smart... Truyền thông 18 Nguyễn Du, Hà Nội, Việt Nam Tel: (84) 36404 424 Fax: (84) 36404 425 Email: office @vncert. vn 27