Như đã trình bày trong bài, Việt Nam vẫn chưa có chiến lược an toàn thông tin quốc gia, do an toàn thông tin còn là lĩnh vực mới. Nghiên cứu xây dựng chiến lược an toàn thông tin là một lĩnh vực rộng, có liên quan đến nhiều tổ chức bao gồm các cơ quan chính quyền, các doanh nghiệp và cộng đồng xã hội.
Bài luận văn đã xây dựng được chiến lược an toàn thông tin, đề xuất các biện pháp triển khai tại mạng cấp tỉnh Ninh Binh và đề xuất một hệ thống giám sát an toàn mạng, cảnh báo cấp tỉnh. Để chiến lược, các biện pháp triển khai và hệ thống giám sát thực sự có thể triển khai được, cần có thêm nhiều giải pháp đồng bộ khác từ phía chính quyền. Do vậy, luận văn này xin đề xuất các hướng phát triên tiếp như sau:
* Nghiên cứu hoàn thiện hệ thống cơ chế chính sách, tổ chức quản lý giám sát mạng, các quy trình giám sát, xử lý sự cố cho mạng cấp tỉnh.
Tài liệu tham khảo
1. National Information Security Center - NISC Japan, Information Security Policy Council, “The First National Stratege on information Security – Toward the realization of a Trustworthy Society”, February 2006.
www.nisc.go.jp/eng/pdf/national_strategy_001_eng.pdf
2. OECD – Organisation for Economic Co-operation and Development, “The Promotion of a Culture of Security for Information Systems and Networks in OECD Countries”, DSTI /ICCP / REG (2003) 8 / FINAL;
www.olis.oecd.org/olis/2003doc.nsf/LinkTo/dsti-iccp-reg(2003)8-final
3. Tổng cục Đo lường Chất lượng Việt Nam, “Tiêu chuẩn TCVN 7562”, 2006.
4. YANET MANZANO, “Policies to Enhance the Forensic of Computer Security”, April 2000.
5. The Department of Homeland Security (DHS), The US White House, Washington DC, “The National strategy to Secure Cyberspace”, February 2003.
www.dhs.gov/xlibrary/assets/National_Cyberspace_Strategy.pdf
6. National Information Security Center - NISC Japan, Information Security Policy Council, “Secure Japan 2006”. www.nisc.go.jp/eng/pdf/sj2006_eng.pdf
7. ITU-T, “Security in Telecommunications and Information Technology – An Overview of Issues and the Deployment of existing ITU-T Recommendation for secure Telecommunications”, October 2004,
www.itu.int/ITU-T/studygroups/com17/tel-security.html
8. Tóm tắt quy hoạch CNTT tỉnh Ninh Bình đến năm 2015 và định hướng đến năm 2020 – Sở TT&TT.
9. Website của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, www.vncert.gov.vn 10. Website của Trung tâm An ninh mạng BKIS, www.bkav.com.vn
Phụ lục 1: Danh sách các doanh nghiệp cung cấp dịch vụ IXP và ISP
DOANH NGHIỆP CHÍNH THỨC CUNG CẤP DỊCH VỤ KẾT NỐI INTERNET (IXP)- có 5 doanh nghiệp
Tổng công ty Bưu chính Viễn thông Việt Nam (VNPT) Công ty Điện tử Viễn thông quân đội (VIETTEL) Công ty cổ phần phát triển đầu tư công nghệ FPT Công ty viễn thông điện lực (EVN Telecom)
Công ty cổ phần dịch vụ Bưu chính, Viễn thông Sài Gòn (Saigon Postel)
DOANH NGHIỆP CHÍNH THỨC CUNG CẤP DỊCH VỤ TRUY NHẬP INTERNET (ISP) - có 9 doanh nghiệp
Tổng công ty Bưu chính Viễn thông Việt Nam (VNPT) Công ty Điện tử Viễn thông quân đội - (VIETTEL) Công ty Cổ phần dịch vụ Internet (OCI)
Công ty cổ phần phát triển đầu tư công nghệ FPT
Công ty cổ phần dịch vụ Bưu chính Viễn thông Sài Gòn (SPT) Công ty cổ phần Viễn thông Hà Nội (Hanoi Telecom)
Công ty SXKD Điện, Điện tử quận 10 TP. HCM (TIENET) Công ty thông tin viễn thông điện lực (EVN Telecom) Công ty Netnam (NETNAM)
DOANH NGHIỆP CHÍNH THỨC CUNG CẤP DỊCH VỤ ỨNG DỤNG INTERNET (OSP) – có 10 doanh nghiệp
Tổng công ty Bưu chính Viễn thông Việt Nam (VNPT) Công ty Điện tử Viễn thông quân đội - (VIETTEL) Công ty Cổ phần dịch vụ Internet (OCI)
Công ty SXKD Điện, Điện tử quận 10 TP. HCM (TIENET) Công ty thông tin viễn thông điện lực (EVN Telecom) Công ty Netnam (NETNAM)
Phụ lục 2: Các văn bản pháp lý đã ban hành liên quan đến vấn đề ATTT.
Bộ Luật Hình Sự
Bộ Luật Hình Sự chỉ có 4 điều nói về tội phạm công nghệ cao (CNC).
Điều 125: Tội xâm phạm bí mật hoặc an toàn thư tín, điện thoại, điện tín của người khác. Điều 224: Tội tạo ra và lan truyền, phát tán các chương trình virus tin học.
Điều 225: Tội vi phạm các quy định về vận hành khai thác và sử dụng mạng máy tính điện tử.
Điều 226: Tội sử dụng trái phép thông tin trên mạng và trong máy tính.
Những điều luật như vậy còn quá ít. Có nhiều hành vi được coi là phạm tội ở các nước, nhưng ở Việt Nam mới chỉ coi là vi phạm hành chính. Chúng ta chưa hội nhập quốc tế được về mặt này. Nếu tội phạm ở Việt Nam tấn công ra nước ngoài hay tội phạm nước ngoài tấn công Việt Nam thì ta chưa xử lý được do pháp luật không đồng bộ. Hiện nay, các hành vi phá hoại, trộm cắp qua mạng chủ yếu bị xử lý hành chính. Toà án cũng chỉ xem xét xử lý hình sự sau khi đối tượng đã bị xử phạt hành chính.
Pháp lệnh Bưu chính Viễn thông.
Pháp lệnh số 43/2002/PL-UBTVQH10 được Chủ tịch nước công bố ngày 7/6/2002 có một số nội dung chính về an toàn an an ninh thông tin như sau:
- Bảo vệ an toàn mạng bưu chính, viễn thông và an ninh thông tin là trách nhiệm của mọi tổ chức cá nhân.
- Cơ quan, tổ chức, doanh nghiệp phải áp dụng các biện pháp bảo đảm an toàn mạng bưu chính, mạng viễn thông của mình và an ninh thông tin.
- Bí mật thông tin riêng chuyển qua mạng bưu chính, mạng viễn thông của mọi tổ chức, cá nhân được bảo đảm theo quy định của pháp luật. Việc giữ bí mật thông tin bằng kỹ thuật mật mã trong bưu chính, viễn thông được thực hiện theo quy định của pháp luật về cơ yếu.
- Việc kiểm soát thông tin trên mạng viễn thông và internet; việc kiểm tra, thu giữ thư, bưu phẩm, bưu kiện chuyển qua mạng bưu chính công cộng và mạng chuyển phát phải do cơ quan nhà nước có thẩm quyền thực hiện theo quy định của pháp luật.
hoạt động hợp pháp về bưu chính, viễn thông.
- Nghiêm cấm các hành vi thu trộm, nghe trộm thông tin trên mạng viễn thông; trộm cắp, sử dụng trái phép mật khẩu, khóa mật mã và thông tin riêng của tổ chức, cá nhân khác; ...
- Nghiêm cấm các hành vi cung cấp, sử dụng dịch vụ bưu chính, viễn thông hoặc sử dụng tần số vô tuyến điện và thiết bị vô tuyến điện, thiết bị bưu chính, viễn thông nhằm mục đích chống lại Nhà nước Cộng hòa Xã hội Chủ nghĩa Việt Nam, gây rối an ninh, trật tự, an toàn xã hội, vi phạm thuần phong mỹ tục của dân tộc, hoạt động buôn lậu hoặc có hành vi khác vi phạm pháp luật về bưu chính, viễn thông.
Nghị định số 55/2001/NĐ-CP
Ngày 23/8/2001 Chính phủ đã ban hành Nghị trên về Internet có một số nội dung chính như sau:
Điều 6 của Nghị định cho thấy những thông tin đưa vào lưu trữ, truyền đi và nhận đến trên Internet phải tuân thủ các quy định tương ứng của luật báo chí, luật xuất bản, pháp lệnh bảo vệ bí mật và các quy định về sở hữu trí tuệ.
Điều 8 quy định những bí mật đối với các thông tin riêng trên Internet được bảo đảm theo hiến pháp và pháp luật.
Điều 11 nghiêm cấm các hành vi gây rối, phá hoại hệ thống thiết bị và cản trở việc cung cấp, sử dụng các dịch vụ Internet, đánh cắp và sử dụng trái phép mật khẩu, khóa mật mã và thông tin riêng trên Internet....
Các điều khoản trên cho thấy sự thiếu hụt về cơ sở pháp lý cho xử lý những hành vi vi phạm an toàn Internet. Hiện nay, Bộ TT&TT đang tiếp tục nghiên cứu để sửa đổi, bổ sung cho Nghị định về Internet.
Nghị định 160/2004/NĐ-CP.
Ngày 3/9/2004 Chính phủ đã ban hành Nghị định trên về chi tiết thi hành một số điều của Pháp lệnh Bưu chính Viễn thông về viễn thông có một số nội dung chính về an toàn an ninh thông tin như sau:
Điều 3 về bảo đảm an toàn mạng viễn thông và an ninh thông tin của Nghị định cho thấy mọi tổ chức, cá nhân phải bảo đảm an toàn mạng viễn thông và an ninh thông tin, thực hiện các yêu cầu về bảo đảm an ninh thông tin của các cơ quan Nhà nước có thẩm quyền;
ninh thông tin trong hoạt động viễn thông.
Điều 4 về bảo đảm bí mật thông tin cho thấy mọi tổ chức, cá nhân phải chịu trách nhiệm về nội dung thông tin mà mình đưa vào, lưu trữ và truyền đi trên mạng viễn thông; Nghiêm cấm việc trộm cắp thông tin, sử dụng trái phép mật khẩu, mật mã và thông tin riêng của các tổ chức cá nhân.
Quyết định 339/2005/QĐ-TTg ngày 20/12/2005 của Thủ tướng Chính phủ quyết định thành lập Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) trực thuộc Bộ Bưu chính Viễn thông. Đây là cơ quan đầu tiên xuất hiện ở Việt Nam với chức năng, nhiệm vụ chuyên trách về đảm bảo an toàn thông tin, điều phối xử lý ứng cứu sự cố mạng quốc gia.
Quyết định 13/2006/QĐ-BBCVT ngày 28/4/2006 của Bộ trưởng Bộ Bưu chính Viễn thông quy định cụ thể về chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Trung tâm Ứng cứu khẩn cấp Máy tính Việt Nam.
nhiều yếu tố khác như: định hướng phát triển, quy hoạch, cơ chế chính sách, công nghệ, cơ sở hạ tầng thông tin quốc gia, nhân sự, tổ chức quản lý, nhận thức xã hội, cơ sở pháp lý, các chế tài… Vấn đề đảm bảo an toàn thông tin cần được xem xét một cách toàn diện, tổng thể hơn.
Xây dựng chiến lược an toàn thông tin là một việc làm cấp bách và thiết thực. Nhiều quốc gia đã và đang xây dựng chiến lược an toàn thông tin cho riêng mình. Trong khi đó, Việt Nam vẫn chưa có chiến lược an toàn thông tin quốc gia, do an toàn thông tin còn là lĩnh vực mới được quan tâm trong thời gian gần đây. Nhận thức về an toàn thông tin ở nước ta còn thấp. Chiến lược quy hoạch, phát triển mạng lưới có đảm bảo an toàn thông tin còn mang nặng tính kinh nghiệm, thiếu cơ sở khoa học.
Mặt khác, chiến lược an toàn thông tin không chỉ là cần thiết ở cấp quốc gia, mà còn cần được xây dựng cho đến từng cơ quan/tổ chức, doanh nghiệp.
Xuất phát từ hiện trạng phát triển thông tin và truyền thông trong nước, từ nhu cầu thực tế cấp thiết hiện nay, việc nghiên cứu tìm hiểu các vấn đề liên quan đến an toàn thông tin và xây dựng chiến lược an toàn thông tin cùng các biện pháp đảm bảo an toàn thông tin là một vấn đề cấp thiết đang đặt ra.
Trong khuôn khổ của luận văn này không đề cập đến an toàn thông tin ở cấp quốc gia. Chủ đề của luận văn là nghiên cứu xây dựng chiến lược an toàn thông tin và đề xuất các biện pháp triển khai tại mạng cấp tỉnh Ninh Bình. Về mặt phương pháp luận, chiến lược và chính sách thực thi cũng như các biện pháp đề xuất trong bài có thể áp dụng cho xây dựng chiến lược và chính sách an toàn thông tin quốc gia, có thể áp dụng rộng rãi cho các tỉnh thành khác, cũng như cho từng cơ quan/tổ chức hoặc doanh nghiệp.
Đề tài nghiên cứu này là công trình nghiên cứu đầu tiên về chiến lược an toàn thông tin tại Việt Nam. Kết quả nghiên cứu có thể áp dụng cho nghiên cứu xây dựng chiến lược an toàn thông tin quốc gia.