5. Bố cục của luận văn
2.3 Một số hạn chế và những vấn đề đặt ra
2.3.1 Một số hạn chế
Tuy nhiên, việc phát triển CNTT vẫn chưa đáp ứng yêu cầu, nhiệm vụ đặt ra. Hạ tầng CNTT phát triển chưa đồng đều giữa các vùng miền, chất lượng một số dịch vụ cơ bản ở các huyện miền núi còn thấp, hiệu quả sử dụng thiết bị được đầu tư chưa cao. Được biết, hằng năm nguồn kinh phí đầu tư cho ứng dụng CNTT rất hạn chế nên việc triển khai một số hệ thống thông tin, phần mềm ứng dụng chưa kịp thời theo đúng lộ trình như tỉnh chưa triển khai thực hiện hệ thống hộp thư điện tử công vụ; các dịch vụ công trực tuyến còn ít. Đặc biệt, công tác đào tạo chuyên sâu cho đội ngũ cán bộ chuyên trách CNTT còn hạn chế. Ngoài ra, tỉnh chưa xây dựng được khung kiến trúc tổng thể về ứng dụng CNTT, do đó, nhiều phần mềm của tỉnh còn phân tán, chưa có tính liên thông, tích hợp. Đây cũng là một khó khăn, thức thức rất lớn đối với mục tiêu xây dựng chính quyền điện tử của tỉnh trong thời gian tới.
Trên địa bàn thành phố Tam Kỳ, hầu như toàn bộ các Sở, ban, ngành, các huyện/thị và thành phố đều đã ứng dụng công nghệ thông tin vào trong các hoạt động tác nghiệp, đã triển khai 3 phần mềm dùng chung cơ bản, một số phần mềm ứng dụng và bước đầu đã hình thành các cơ sở dữ liệu trong quản lý điều hành. Xây dựng và đưa vào hoạt động Cổng thông tin điện tử của tỉnh, cung cấp các thông tin tra cứu, các dịch vụ trao đổi thư tín, các tin tức tổng hợp về tình hình kinh tế xã hội của tỉnh, phục vụ hoạt động điều hành của các cơ quan và nhu cầu khai thác thông tin của người dân và các doanh nghiệp.
Đến 12/2020, số đội ngũ cán bộ có trình độ công nghệ thông tin Cao đẳng, Đại học của thành phố Tam Kỳ còn rất ít, mới có 36 người, chiếm 1,67%; Chứng chỉ A,B, trình độ Kỹ thuật viên, trung cấp có 1.024 người chiếm 50,04%. Theo số liệu khảo sát, trong toàn thành phố Tam Kỳ đã có 2.820 máy tính (trong đó có 550 máy tính xách tay), 275 máy chiếu đa năng.
100% các đơn vị trong toàn thành phố Tam Kỳ đã được kết nối Internet tốc độ cao ADSL phục vụ việc khai thác thông tin, ứng dụng công nghệ thông tin. Bộ phần mềm văn phòng được sử dụng rộng rãi trong công tác chuyên môn, các phần mềm chuyên dụng được ứng dụng thường xuyên. Tình hình ứng dụng công nghệ thông tin trong các doanh nghiệp thành phố Tam Kỳ đang ở những mức độ khác nhau. 100% các doanh nghiệp của tỉnh đã được trang bị máy tính, bước đầu phục vụ công tác văn thư và kế toán, có một số doanh nghiệp đã sử dụng máy tính để phục vụ công tác quản lý và điều hành sản xuất. Một số đơn vị đã thiết lập mạng nội bộ và xây dựng những kho dữ liệu điện tử để quản lý hoạt động sản xuất quan trọng. Tuy nhiên, các doanh nghiệp ngoài quốc doanh và hộ kinh doanh chưa phát huy ứng dụng công nghệ thông tin. Mức độ sử dụng Internet trong kinh doanh chưa được quan tâm đúng mức. Nguyên nhân cũng chủ yếu do cơ sở hạ tầng, nhận thức của chủ doanh nghiệp và môi trường phát triển công nghệ thông tin, Internet chưa cao. Vì vậy, công nghệ thông tin chưa trở thành động lực để phát triển doanh nghiệp.
2.3.2 Những vấn đề đặt ra
2.3.2.1 Cải thiện môi trương pháp lý của UBND thành phố Tam Kỳ
Bổ sung hoàn thiện các quy định, xây dựng các chính sách trong lĩnh vực an toàn thông tin, quy định về công tác điều phối ứng cứu mạng.
Xây dựng tiêu chuẩn, xây dựng hệ thống quản lý an toàn thông tin và thực hiện quản lý an toàn thông tin, dữ liệu.
Xây dựng chiến lược của UBND thành phố Tam Kỳ trong đảm bảo an toàn không gian mạng. Khuyến cáo, quy định về kiến trúc quản lý an toàn thông tin cho các hệ thống mạng của các cơ quan, tổ chức, doanh nghiệp, đặc biệt là trong khối nhà nước.
2.3.2.2 Triển khai kế hoạch nâng cao nhận thức về an toàn mạng
Đẩy mạnh tuyên truyền bằng các phương tiện thông tin đại chúng, website chuyên ngành, hội thảo. Xây dựng khung đào tạo bỗi dưỡng nghiệp vụ về đảm bảo an toàn mạng thường xuyên có cập nhật.
Tổ chức hệ thống đào tạo bỗi dưỡng nghiệp vụ về đảm bảo an toàn mạng cho cán bộ quản lý và chuyên trách. Các trường ĐH đào tạo chính khoá về CNTT cần nghiên cứu đưa nội dung giảng dạy về an toàn thông tin và an toàn mạng vào nội dung. Hỗ trợ hoạt động hiệp hội an toàn thông tin.
2.3.3.3 Triển khai kế hoạch nâng cao năng lực an toàn mạng của UBND thành phố Tam Kỳ
Đẩy mạnh kênh liên lạc để nhận và cung cấp các cảnh báo vệ an ninh mạng của UBND thành phố Tam Kỳ (web/hotline/fax). Triển khai từng bước hệ thống thu thập tự động sự cố thông tin.
Hình thành nhóm công tác về an toàn Internet với các điều kiện cần thiết cho hoạt động. Thúc đẩy thành lập mạng lưới các tổ chức ứng cứu sự cố mạng tại UBND thành phố Tam Kỳ. Hợp tác chặt chẽ giữa các ngành, tổ chức, doanh nghiệp có liên quan trong lĩnh vực an toàn mạng. Tổ chức diễn tập ứng cứu sự cố an toàn mạng.
2.3.3.4 Đẩy mạnh thực hiện một số dự án, cung cấp dịch vụ cho xã hội, cộng đồng và hợp tác
Dịch vụ công ích của UBND thành phố Tam Kỳ phải được phát triển và cảnh báo sớm sự cố trên mạng Internet như dịch vụ chứng thực chữ ký số. Các dịch vụ đảm bảo an ninh mạng , đánh giá hệ thống, khắc phục sự cố, tư vấn, đào tạo,…. Xây dựng triển khai các dự án trung tâm kỹ thuật chống tin tặc, phòng chống tội phạm công nghệ cao,…
Trong lĩnh vực nghiên cứu phát triển CNTT của UBND thành phố Tam Kỳ cần ưu tiên về an toàn thông tin, đặc biệt là trong lĩnh vực mật mã và một
số sản phẩm công nghệ đặc thù. Phối hợp và hợp tác quốc tế với trung tâm CERT chia sẻ thông tin và hỗ trợ hành động trong đảm bảo an ninh mạng.
2.4 XÂY DỰNG CHIẾN LƯỢC ĐẢM BẢO AN TOÀN THÔNG TIN, DỮ LIỆU CHO UBND THÀNH PHỐ TAM KỲ
2.4.1 Sự cần thiết phải có chiến lược đảm bảo an toàn thông tin, dữ liệu
Chiến lược an toàn thông tin, dữ liệu tạo thành một bộ khung cho việc tổ chức và thực hiện các trọng tâm về an toàn thông tin, dữ liệu, là những định hướng cho các cơ quan, tổ chức xác định rõ vai trò và trách nhiệm của họ trong việc đảm bảo an toàn thông tin, dữ liệu. Đồng thời, nó xác định các bước cần thiết cho các cơ quan, tổ chức trong việc thực thi công tác đảm bảo an toàn thông tin, dữ liệu.
Xây dựng chiến lược bao trùm mọi lĩnh vực an toàn thông tin là một vấn đề khó. Nhiều vấn đề không thể đề cập đến một cách chi tiết, nhiều vấn đề không thể cụ thể hóa thành những chính sách an toàn thông tin. Mặt khác, CNTT phát triển hết sức nhanh chóng, kèm theo nó là lĩnh vực an toàn thông tin. Ngay các điểm yếu hệ thống và nguy cơ đe dọa cũng thay đổi nhanh theo thời gian. Kỹ thuật và công nghệ của tin tặc cũng phát triển nhanh với trình độ rất cao. Điều đó đòi hỏi xây dựng chiến lược cần có tính tổng thể, bao trùm và đón đầu cả một giai đoạn phát triển.
2.4.2 Cơ sở cho xây dựng chiến lược đảm bảo an toàn thông tin, dữ liệu
Cơ sở cho xây dựng chiến lược an toàn thông tin trong phạm vi UBND thành phố Tam Kỳ hướng đến mục tiêu chung là:
(1) Ngăn chặn các tấn công vào cơ sở hạ tầng thông tin;
(2) Giảm thiểu các nguy cơ, các điểm yếu trong hệ thống thông tin; (3) Giảm thiểu thiệt hại và thời gian khôi phục lỗi.
Để xây dựng chiến lược an toàn thông tin, dữ liệu UBND thành phố Tam Kỳ cần xác định các nội dung sau:
- Đánh giá hiện trạng: nguy cơ, hiểm họa và mối đe dọa tấn công như nhau.
- Xác định rõ vai trò quản lý nhà nước trong mối quan hệ với các cơ quan, tổ chức doanh nghiệp khác như nhau.
- Xác định các trọng tâm chiến lược.
Các trọng tâm trong bảo vệ an toàn thông tin được xác định theo thứ tự ưu tiên sau:
- Củng cố và hoàn thiện môi trường pháp lý. - Xây dựng hệ thống cảnh báo, xử lý sự cố
- Xây dựng chương trình chống tấn công, giảm thiểu thiệt hại - Xây dựng chương trình đào tạo, nâng cao nhận thức
- Xây dựng chương trình bảo vệ cơ sở hạ tầng thông tin - Xây dựng chương trình phối hợp xử lý sự cố.
2.4.3 Các nguyên tắc chủ yếu trong xây dựng chiến lược an toàn thông tin, dữ liệu
2.4.3.1 Các yêu cầu cơ bản trong xây dựng chiến lược
Để xây dựng được chiến lược an toàn thông tin một cách có hiệu quả nhất cần có các yêu cầu cơ bản sau:
Xây dựng chính sách: Bao gồm các cơ sở pháp luật, hành lanh pháp lý, các quy trình, quy định trong việc thực thi chiến lược an toàn thông tin, dữ liệu.
Xây dựng đội ngũ: Cần có các khoá đào tạo. bối dưỡng, nâng cao năng lực của cán bộ đảm nhiệm vai trò đảm bảo an toàn thông tin của đơn vị, đồng thời cần có nhóm hoặc chuyên gia chuyên trách được đào tạo nghiệp vụ về an toàn thông tin, dữ liệu. Đối với các các cán bộ làm việc trong môi trường mạng cần qua đào tạo cơ bản để nâng cao nhận thức, tránh sai sót trong quá trình sử dụng các hệ thống CNTT.
Xây dựng các biện pháp quản lý: Bên cạnh việc xây dựng các chính sách, đội ngũ có nghiệp vụ về an toàn thông tin, dữ liệu cần phải xây dựng các biện pháp quản lý về an toàn thông tin, dữ liệu như: Rà soát, khảo sát hiện trạng, nhu cầu về đảm bảo nhu cầu an toàn thông tin, dữ liệu; Xây dựng bộ khung, các quy trình, quy chế tuân thủ theo pháp luật, chính sách, tiêu chuẩn; Xây dựng quy chế quản lý, vận hành, khắc phục sự cố, phòng chống, sao lưu; Xây dựng quy trình kiểm tra, giám sát việc thực thi các biện pháp.
Áp dụng các biện pháp kỹ thuật: Các dự án đầu tư CNTT cần tuân thủ pháp luật về an toàn thông tin, dữ liệu, các tiêu chuẩn an toàn thông tin, dữ liệu. Rà soát, kiểm tra, đánh giá hiện trạng các hệ thống CNTT, các quy trình quản lý, khai thác để bổ sung các biện pháp phù hợp. Kiểm tra định kỳ, theo dõi, giám sát, hiệu chỉnh kịp thời các lỗi hệ thống.
Đặc biệt đối với các cơ quan/tổ chức cung cấp dịch vụ Internet cần tăng cường bảo vệ dữ liệu, có cảnh báo, có hỗ trợ khách hàng, có bảo vệ nhiều lớp…
2.4.3.2 Các lĩnh vực liên quan trong quản lý an toàn thông tin, dữ liệu
Lĩnh vực pháp lý: bao gồm chính sách, các văn bản pháp luật, các luật, nghị định, hành lang pháp lý đối với việc đảm bảo an toàn thông tin, dữ liệu.
Các lĩnh vực khác gồm: Tổ chức, phân loại và kiểm soát tài sản, nhân lực, môi trường, quản trị hệ thống, kiểm soát truy nhập, phát triển và bảo dưỡng hệ thống, kế hoạch duy trì hoạt động, đảm bảo tuân thủ.
2.4.3.3 Các nguyên tắc chung trong xây dựng chiến lược
Các nguyên tắc chung trong xây dựng chiến lược an toàn thông tin, dữ liệu gồm:
(1) Đảm bảo an toàn thông tin là trách nhiệm của mỗi cá nhân, mỗi tổ chức. Vai trò của các cơ quan quản lý nhà nước chỉ là hỗ trợ, thúc đẩy thông qua: sự tăng cường sự phối hợp, chia sẻ thông tin; Tăng cường hệ thống giám sát, phát hiện tấn công, cảnh báo sớm và hỗ trợ kỹ thuật, tư vấn xử lý sự cố, hỗ trợ nghiên cứu phát triển.
(2) Bảo vệ quyền riêng tư và tự do cá nhân. Quyền riêng tư và tự do cá nhân được bảo vệ thông qua hệ thống pháp lý.
(3) Các quy định phù hợp với thực tế
(4) Phân định trách nhiệm và kiểm tra giám sát
(5) Đảm bảo tính mềm dẻo linh hoạt trong các hoạt động quản lý, xử lý ứng cứu.
(6) Đảm bảo tính đón đầu công nghệ mới.
KẾT LUẬN CHƯƠNG 2
Trong chương này, học viên đã giới thiệu tổng quan về cơ cấu tổ chức và các hoạt động công nghệ thông tin được triển khai tại UBND thành phố Tam Kỳ. Học viên phân tích đánh giá thực trạng tình hình đảm bảo an toàn thông tin và dữ liệu, chỉ ra được một số hạn chế và những vấn đề đặt ra đối với công tác đảm bảo an toàn thông tin và dữ liệu. Từ những phân tích đó, học viên đề xuất cơ sở, các nguyên tắc xây dựng chiến lược đảm bảo an toàn thông tin, dữ liệu tại UBND thành phố Tam Kỳ. Đây là cơ sở đề xuất các giải pháp trong Chương 3 của luận văn.
CHƯƠNG 3
MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN VÀ DỮ LIỆU TẠI UBND THÀNH PHỐ TAM KỲ
3.1 XÂY DỰNG MÔ HÌNH ĐẢM BẢO AN TOÀN THÔNG TIN, DỮ LIỆU CHO UBND THÀNH PHỐ TAM KỲ
3.1.1 Mô hình phối hợp quản lý
Trách nhiệm của cơ quản quản lý nhà nước, đối với cấp tỉnh là Sở Thông tin và Truyền thông tỉnh Quảng Nam trong công tác đảm bảo an toàn thông tin, do đó cần có các biện pháp triển khai một cách khoa học, đáp ứng nhanh được các yêu cầu về xử lý sự cố xảy ra bằng các biện pháp cụ thể như sau:
- Xây dựng một kế hoạch triển khai chi tiết liên quan đến các lĩnh vực CNTT-TT, các hệ thống thông tin của các cơ quan, tổ chức trên địa bàn tỉnh.
- Xây dựng đội ngũ quản lý sự cố, hỗ trợ khắc phục sự cố. Hỗ trợ kỹ thuật và tư vấn kỹ thuật cho các doanh nghiệp, các cơ quan tổ chức khác trên địa bàn thành phố Tam Kỳ.
- Phối hợp với các cơ quan chức năng và với Bộ Thông tin và Truyền thông trong việc cung cấp hệ thống thông tin cảnh báo sớm, cung cấp các biện pháp, giải pháp kỹ thuật phòng chống, ngăn chặn tấn công, khắc phục sự cố.
- Triển khai và thúc đẩy các chương trình nghiên cứu khoa học công nghệ về an toàn thông tin.
Hình 3.1 Mô hình trao đổi thông tin, phối hợp xử lý, thông báo sự cố
3.1.2 Xây dựng hệ thống giám sát, cảnh báo, xử lý sự cố mạng của UBND thành phố Tam Kỳ
Đối với UBND thành phố Tam Kỳ cần xây dựng một trung tâm quản lý an toàn thông tin trực thuộc Sở Thông tin và Truyền thông và Trung tâm tin học của Ủy ban nhân dân tỉnh Quảng Nam để nhanh chóng nhận dạng tấn công, thông tin kịp thời và xử lý khắc phục nhanh nhằm giảm thiểu được thiệt hại gây ra bởi các tấn công phá hoại trên mạng. Để đạt được điều này, cần có sự phối hợp của các cơ quan chính quyền và các doanh nghiệp trong việc thực hiện phân tích lỗi, đưa ra các cảnh báo sớm, phối hợp xử lý sự cố trên diện rộng.
Để xây dựng được hệ thống giám sát, cảnh báo, xử lý sự cố mạng cấp tỉnh cần thực thi 8 công việc sau:
(1) Thiết lập một kiến trúc liên kết giữa các cơ quan, tổ chức, doanh nghiệp trong việc xử lý phản ứng sự cố.
(2) Phân tích các tấn công và đánh giá các điểm yếu trong các hệ thống thông tin.
(3) Nâng cao khả năng bảo vệ của mạng lưới bằng các hệ thống kỹ thuật.
(5) Tăng cường hệ thống xử lý sự cố.
(6) Xây dựng chương trình phối hợp giữa các cơ quan, tổ chức. (7) Thường xuyên diễn tập khả năng phản ứng, xử lý sự cố.
(8) Tăng cường chia sẻ thông tin về các khả năng tấn công, các mối đe dọa, các điểm yếu hệ thống.
Nhiệm vụ của hệ thống giám sát, cảnh báo, phản ứng xử lý sự cố về an