3.3.1. Các yêu cầu cơ bản trong xây dựng chiến lược ATTT
Để xây dựng được chiến lược an toàn thông tin một cách có hiệu quả nhất cần có các yêu cầu cơ bản sau:
- Xây dựng chính sách về ATTT: Bao gồm các cơ sở pháp luật, hành lanh pháp lý, các quy trình, quy định trong việc thực thi chiến lược ATTT.
- Xây dựng đội ngũ: Cần có các khoá đào tạo. bối dưỡng, nâng cao năng lực của cán bộ đảm nhiệm vai trò đảm bảo an toàn thông tin của đơn vị, đồng thời cần có nhóm hoặc chuyên gia chuyên trách được đào tạo nghiệp vụ về ATTT.Đối với các các cán bộ làm việc trong môi trường mạng cần qua đào tạo cơ bản để nâng cao nhận thức, tránh sai sót trong quá trình sử dụng các hệ thống CNTT.
- Xây dựng các biện pháp quản lý về ATTT: Bên cạnh việc xây dựng các chính sách, đội ngũ có nghiệp vụ về ATTT cần phải xây dựng các biện pháp quản lý về ATTT như: Rà soát, khảo sát hiện trạng, nhu cầu về đảm bảo nhu cầu ATTT; Xây dựng bộ khung, các quy trình, quy chế tuân thủ theo pháp luật, chính sách, tiêu chuẩn; Xây dựng quy chế quản lý, vận hành, khắc phục sự cố, phòng chống, sao lưu; Xây dựng quy trình kiểm tra, giám sát việc thực thi các biện pháp.
- Áp dụng các biện pháp kỹ thuật: Các dự án đầu tư CNTT cần tuân thủ pháp luật về ATTT, các tiêu chuẩn ATTT. Rà soát, kiểm tra, đánh giá hiện trạng các hệ thống CNTT, các quy trình quản lý, khai thác để bổ sung các biện pháp phù hợp. Kiểm tra định kỳ, theo dõi, giám sát, hiệu chỉnh kịp thời các lỗi hệ thống.
Đặc biệt đối với các cơ quan/tổ chức cung cấp dịch vụ Internet cần tăng cường bảo vệ dữ liệu, có cảnh báo, có hỗ trợ khách hàng, có bảo vệ nhiều lớp…
3.3.2. Các lĩnh vực liên quan trong quản lý ATTT
Lĩnh vực pháp lý: bao gồm chính sách, các văn bản pháp luật, các luật, nghị định, hành lang pháp lý đối với việc đảm bảo ATTT.
Các lĩnh vực khác gồm: Tổ chức, phân loại và kiểm soát tài sản, nhân lực, môi trường, quản trị hệ thống, kiểm soát truy nhập, phát triển và bảo dưỡng hệ thống, kế hoạch duy trì hoạt động, đảm bảo tuân thủ.
3.3.3. Các nguyên tắc chung trong xây dựng chiến lược ATTT
Các nguyên tắc chung trong xây dựng chiến lược ATTT gồm:
1- Đảm bảo an toàn thông tin là trách nhiệm của mỗi cá nhân, mỗi tổ chức.
Vai trò của các cơ quan quản lý nhà nước chỉ là hỗ trợ, thúc đẩy thông qua: sự tăng cường sự phối hợp, chia sẻ thông tin; Tăng cường hệ thống giám sát, phát hiện tấn công, cảnh báo sớm và hỗ trợ kỹ thuật, tư vấn xử lý sự cố, hỗ trợ nghiên cứu phát triển. 2- Bảo vệ quyền riêng tư và tự do cá nhân. Quyền riêng tư và tự do cá nhân được bảo
vệ thông qua hệ thống pháp lý. 3- Các quy định phù hợp với thực tế
4- Phân định trách nhiệm và kiểm tra giám sát
5- Đảm bảo tính mềm dẻo linh hoạt trong các hoạt động quản lý, xử lý ứng cứu. 6- Đảm bảo tính đón đầu công nghệ mới.
3.4. Nội dung chiến lược an toàn thông tin3.4.1. Mục tiêu của chiến lược 3.4.1. Mục tiêu của chiến lược
Chiến lược ATTT bao gồm các mục tiêu sau:
- Ngăn chặn các tấn công vào cơ sở hạ tầng thông tin
- Giảm thiểu các nguy cơ, các điểm yếu trong hệ thống thông tin - Giảm thiểu thiệt hại và thời gian khôi phục lỗi.
3.4.2. Đánh giá công tác đảm bảo an toàn an ninh thông tin
- Về môi trường pháp lý: Cơ sở pháp lý về an toàn an ninh thông tin đã được triển khai từng phần qua các văn bản pháp quy, song vẫn chưa khái quát và đầy đủ. Tương tự như các nước phát triển, hệ thống văn bản pháp quy cần thường xuyên cập nhật, thay đổi, bổ sung do sự phát triển nhanh của CNTT và TT. Bộ TT&TT đã xây dựng và chuẩn bị đệ trình bổ sung một số văn bản pháp lý, tiêu chuẩn.
- Về mặt công nghệ: CNTT phát triển rất nhanh nên phần mềm và kể cả phần mềm độc hại, các kẽ hở hệ thống ngày càng nhiều, tấn công mạng ngày càng đa dạng, tinh vi và
chuyên nghiệp hơn. Trong khi đó, cơ sở vật chất phục vụ hoạt động đảm bảo an toàn an ninh thông tin còn thiếu và yếu; Mức độ đầu tư về an ninh thông tin còn thấp so với thế giới. Đầu tư cho an toàn an ninh thông tin tại các quốc gia khác thường chiếm từ 8% - 10% tổng đầu tư cho CNTT.
- Về mặt quản lý Nhà nước: Công tác điều phối cấp quốc gia đã bước đầu được triển khai, song cần tăng cường và mở rộng hơn. Các tổ chức đảm bảo an toàn an ninh thông tin trong nước còn chưa triển khai ở mức độ và qui mô cần thiết, đội ngũ còn mỏng. Còn thiếu các tiêu chuẩn, quy trình quy phạm kỹ thuật về an ninh thông tin. Tổ chức ISO thế giới có trên 100 chuẩn về an ninh thông tin, trong khi đó Việt Nam mới ban hành 2 tiêu chuẩn và bắt tay nghiên cứu 12 tiêu chuẩn để chuẩn bị ban hành.
- Về nhận thức, đào tạo nhân lực: Nhận thức về nguy cơ mất an toàn thông tin có tăng nhưng cần đẩy mạnh hơn nữa với mọi đối tượng: người quản lý, quản trị mạng, người dùng. Còn nhiều cơ quan, tổ chức, doanh nghiệp chưa đánh giá đầy đủ nguy cơ mất an toàn thông tin và sự cần thiết của các biện pháp phòng chống, chưa có đầu tư đúng mức cho đảm bảo an toàn an ninh thông tin về mặt trang thiết bị kỹ thuật và đội ngũ. Hầu hết chương trình đào tạo CNTT ở các trường đại học trong nước còn chưa có nội dung về an ninh thông tin. Đào tạo nghiệp vụ an toàn an ninh thông tin còn tùy tiện. Bộ TT & TT đang quan tâm đến nội dung và kế hoạch đào tạo, huấn luyện, bồi dưỡng nghiệp vụ an toàn thông tin, đấu tranh phòng chống tấn công trên mạng.
- Về mức độ ảnh hưởng do mất an toàn thông tin tới nay: Việt Nam đang bước vào giai đoạn phát triển kinh tế giống thời kỳ các nước phát triển đã trải qua. CNTT tuy phát triển nhanh, song ứng dụng CNTT ở Việt Nam hiện nay vẫn còn ở mức thấp so với thế giới. Các dịch vụ hành chính công trên mạng, chính phủ điện tử còn chưa triển khai. Thương mại điện tử còn chưa thực sự phát triển. Chính vì vậy, Việt Nam chưa kịp bị ảnh hưởng nặng nề về mất an toàn thông tin so với nhiều nước, hậu quả chưa lớn, song sự hiện diện của các hành vi tấn công mạng và tội phạm mạng đang có nguy cơ phổ biến và đáng lo ngại.
- Về nguy cơ mất an toàn thông tin trong thời gian tới: Việt Nam đang xây dựng cơ sở hạ tầng trọng yếu về CNTT, trong đó một số lĩnh vực kinh tế - xã hội – an ninh quốc
phòng có ứng dụng CNTT ở mức cao. Với đà phát triển CNTT và TT hiện nay, nguy cơ mất an toàn thông tin sẽ gia tăng nhanh chóng và gây thiệt hại, ảnh hưởng nghiêm trọng đến sự phát triển kinh tế xã hội nếu công tác đảm bảo an ninh thông tin không được triển khai ở đúng mức độ và qui mô cần thiết. Dự báo Việt Nam cũng sẽ qua thời kỳ phát triển CNTT giống như các nước khác trên thế giới. Các loại hình tội phạm mạng mới, các thủ đoạn tấn công vào mạng Việt Nam cũng sẽ tương tự và tăng theo qui luật cấp số nhân như đã xảy ra ở các nước phát triển khác. Nhận thức được điều đó sẽ giúp Việt Nam chủ động hơn trong việc chuẩn bị trước để đề phòng, đối phó, ngăn chặn nhằm giảm thiểu thiệt hại, hạn chế tối đa những nguy cơ, thúc đẩy phát triển bền vững công nghệ thông tin và chính trị kinh tế xã hội.
Để phát triển kinh tế chính trị xã hội bền vững, thúc đẩy phát triển ứng dụng công nghệ thông tin, chính phủ điện tử và thương mại điện tử, cần quyết liệt hơn trong công tác đảm bảo an ninh thông tin mạng với những chính sách an ninh thông tin quốc gia.
3.4.3. Dự báo xu hướng an toàn thông tin trong giai đoạn 2008 – 20123.4.3.1. Xu hướng xuất hiện tội phạm máy tính chuyên nghiệp 3.4.3.1. Xu hướng xuất hiện tội phạm máy tính chuyên nghiệp
Tội phạm máy tính của Việt Nam hình thành với các hoạt động gần giống giới tội phạm quốc tế, bao gồm:
- Lừa đảo quốc tế qua mail ( phishing).
- Các hoạt động liên quan đến làm giả, mua hàng, rửa tiền bằng thẻ tín dụng. - Phát triển các mạng máy tính ma (bots network ) để tổ chức tấn công từ chối
dịch vụ, gửi thư rác, quảng cáo dạng popup,…
- Bảo kê, tấn công các hệ thông thương mại điện tử vì lý do kinh tế và cạnh tranh. - Gửi thư rác vào không gian mạng Việt Nam với quy mô lớn.
Hình 3.1. Số lượng vụ tấn công lấy cắp mật khẩu tăng nhanh
Hình 3.2. Số lượng vụ lừa đảo tăng nhanh
3.4.3.2. Xu hướng tấn công từ chối dịch vụ, spam, spyware
Xu hướng tấn công từ chối dịch vụ, spam, spyware sẽ tiếp tục sẽ tiếp tục hoành hành. Hình thái tấn công nguy hiểm và khó chống đỡ nhất trên Internet – DDoS - trở lên phổ biến ở Việt Nam trong bối cảnh giới hacker thế giới ‘ khai tử ‘ kiểu tấn công này. với một số cải tiến dùng trình duyệt có hỗ trợ Flask làm công cụ tấn công, khiến nhiều người dùng web trở thành zoombile đi tấn công các hệ thống đã được hacker định trước, tấn công Flash – DDoS trở nên rất khó khống chế về phương diện kỹ thuật. Nhiều công cụ kỹ thuật tinh vi hơn sẽ xuất hiện.
3.4.3.3. Xu hướng tấn công gia tăng vào các website
Hàng loạt các website có độ bảo mật kém của Việt Nam sẽ bị tấn công nghiêm trọng bởi các công cụ tự đáp sẽ phối hợp với cộng do mắc các lỗi bảo mật phổ biến.
3.4.3.4. Nhu cầu phối hợp giữa lực lượng kỹ thuật và luật pháp
Lực lượng bảo vệ luật pháp sẽ phối hợp với các đơn vị kỹ thuật để khống chế tội phạm trên mạng.
3.4.3.5. Xu hướng tấn công vào các công ty viễn thông.
Các dịch vụ viễn thông kể cả điện thoại di động với nền tảng công nghệ tích hợp với mạng máy tính và các thiết bị sử dụng hệ điều hành sẽ nằm trong tầm ngắm của hacher và chịu sự tác động của các hình thái tấn công mạng.
3.4.3.6. Dự báo thị trường bảo mật và nhu cầu chuyên gia bảo mật ở Việt Nam.
Hàng loạt công ty nước ngoài đổ bộ vào thị trường bảo mật Việt Nam với rất nhiều sản phẩm và loại hình dịch vụ chuyên nghiệp. Thị trường bảo mật ở Việt Nam thực sự , khởi động, nhu cầu về tiêu chuẩn thẩm định và quản lý các sản phẩm này đợc đặt ra với các cấp quản lý. Hơn bao giờ hết, các hệ thống lớn và xung yếu của Việt Nam rất cần nhân lực có trình độ cao trong lĩnh vực an ninh mạng để có thể vận hành an toàn trên internet.
3.4.4. Các nội dung cơ bản của chiến lược an toàn thông tin
Chiến lược an toàn thông tin trong phạm vi một tỉnh hay cấp quốc gia đều có mục tiêu chung như nhau (3 mục tiêu trên) và 4 nội dung cơ bản như sẽ trình bày trong phần tiếp theo. Tuy vai trò quản lý nhà nước trong mối quan hệ với các cơ quan, tổ chức doanh nghiệp khác như nhau, nhưng đều có 5 trọng tâm như sau: 1) Xây dựng hệ thống cảnh báo, xử lý sự cố; 2) Xây dựng chương trình chống tấn công, giảm thiểu thiệt hại; 3) Xây dựng chương trình đào tạo, nâng cao nhận thức; 4) Xây dựng chương trình bảo vệ cơ sở hạ tầng thông tin; 5) Xây dựng chương trình phối hợp xử lý sự cố.
Trọng tâm chiến lược tác động đến 5 thành phần đối tượng như nhau gồm: cá nhân (người dùng mạng), doanh nghiệp vừa và nhỏ, doanh nghiệp lớn, cơ sở hạ tầng trọng yếu, các cơ quan chính quyền. Sau đây là các nội dung cơ bản của chiến lược.
3.4.4.1. Tăng cường vai trò quản lý nhà nước trong đảm bảo an toàn thông tin
Trong đấu tranh chống tin tặc, sự kết hợp giữa nhà nước và doanh nghiệp đóng vai trò quan trọng. Vai trò của quản lý nhà nước thể hiện ở các trách nhiệm chính như sau:
- Phát triển một kế hoạch tổng thể để bảo vệ các tài nguyên chủ chốt và cơ sở hạ tầng thông tin trọng yếu.
- Quản lý sự cố và xử lý các tấn công.
- Trợ giúp kỹ thuật cho các cơ quan chính quyền và doanh nghiệp, giúp khôi phục sự cố.
- Phối hợp các cơ quan chức năng, các tổ chức và cung cấp cảnh báo, hướng dẫn phòng chống và xử lý sự cố.
3.4.4.2. Ngăn chặn các tấn công vào cơ sở hạ tầng thông tin
Các tấn công trên mạng ngày càng có tổ chức. Những tấn công này khoét sâu vào các điểm yếu hệ thống. Những nghiên cứu, phân tích mới nhất về các cuộc tấn công cho thấy mối liên quan chặt chẽ giữa tấn công và các điểm yếu hệ thống. Ngoài ra, các công cụ, kỹ thuật và phương pháp tấn công ngày càng đa dạng và phổ biến rộng rãi. Hiểu biết và trình độ kỹ thuật của con người ngày càng cao.
Trình độ công nghệ của các công cụ tấn công ngày càng cao. Các tấn công ngày nay còn tìm cách tạo ra những cửa hậu, dấu mình trong hệ thống chờ thời cơ đến mới tấn công toàn diện hệ thống.
Nhiều mã độc còn tìm cách làm tê liệt hệ thống bảo vệ, khai thác các điểm yếu của chính các hệ thống bảo vệ.
Do hạn chế về kỹ thuật, công nghệ nên mỗi hệ thống đều có những điểm yếu tồn tại – cả trong phần cứng và phần mềm. Đó là những lỗi kỹ thuật công nghệ có thể tồn tại trong quá trình phát triển sản phẩm, cài đặt phần mềm và khai thác hệ thống. Những điểm yếu này tồn tại khách quan và ở mọi nơi trên thế giới ai cũng có thể khai thác điểm yếu đó nếu đủ năng lực, trình độ KHCN và công cụ cần thiết.
Cơ sở hạ tầng thông tin trọng yếu: Cơ sở hạ tầng thông tin trọng yếu bao gồm các hệ thống máy tính và các thiết bị mạng như các máy chủ, các bộ định tuyến, các trạm chuyển mạch, các đường cáp liên kết với nhau thành mạng.
Cơ sở hạ tầng thông tin trọng yếu của một tỉnh, hay một quốc gia thường bao gồm nhiều hệ thống mạng khác nhau liên kết với nhau. Chúng thường thuộc quyền sở hữu của từng cơ quan, tổ chức, doanh nghiệp và hoạt động riêng biệt với nhau, song lại có
sự liên kết với nhau. Cơ quan chính quyền thường chiếm một tỉ lệ nhỏ so với hệ thống các doanh nghiệp, các tổ chức khác và cá nhân khác. Chính vì vậy, trách nhiệm chính trong việc đảm bảo an toàn thông tin không phải thuộc về các cơ quan nhà nước, mà thuộc về các doanh nghiệp. Tuy nhiên, cơ quan nhà nước lại nắm vai trò chủ đạo. Để thực hiện được vai trò đó cần có sự gắn kết chặt chẽ giữa các cơ quan nhà nước với các doanh nghiệp, các tổ chức và cá nhân khác.
Tuy nhiên, xây dựng chiến lược bao trùm mọi lĩnh vực an toàn thông tin là một vấn đề khó. Nhiều vấn đề không thể đề cập đến một cách chi tiết, nhiều vấn đề không thể cụ thể hóa thành những chính sách an toàn thông tin.
Mặt khác, CNTT phát triển hết sức nhanh chóng, kèm theo nó là lĩnh vực an toàn thông tin. Ngay các điểm yếu hệ thống và nguy cơ đe dọa cũng thay đổi nhanh theo thời gian. Kỹ thuật và công nghệ của tin tặc cũng phát triển nhanh với trình độ rất cao. Điều