3.6.1. Mô hình phối hợp quản lý
Trách nhiệm của cơ quản quản lý nhà nước, đối với cấp tỉnh là Sở TT&TT trong công tác đảm bảo an toàn thông tin, do đó cần có các biện pháp triển khai một cách khoa học, đáp ứng nhanh được các yêu cầu về xử lý sự cố xảy ra bằng các biện pháp cụ thể như sau:
- Xây dựng một kế hoạch triển khai chi tiết liên quan đến các lĩnh vực CNTT và TT, các hệ thống thông tin của các cơ quan, tổ chức trên địa bàn tỉnh.
- Xây dựng đội ngũ quản lý sự cố, hỗ trợ khắc phục sự cố.
- Hỗ trợ kỹ thuật và tư vấn kỹ thuật cho các doanh nghiệp, các cơ quan tổ chức khác trên địa bàn tỉnh.
- Phối hợp với các cơ quan chức năng và với Bộ TT&TT trong việc cung cấp hệ thống thông tin cảnh báo sớm, cung cấp các biện pháp, giải pháp kỹ thuật phòng chống, ngăn chặn tấn công, khắc phục sự cố.
- Triển khai và thúc đẩy các chương trình nghiên cứu khoa học công nghệ về an toàn thông tin.
Hình 3.3. Mô hình trao đổi thông tin, phối hợp xử lý, thông báo sự cố.
3.6.2. Các trọng tâm của mô hình quản lý ATTT cấp tỉnh
3.6.2.1. Xây dựng hệ thống giám sát, cảnh báo, xử lý sự cố mạng cấp tỉnh
Đối với cấp tỉnh cần xây dựng một trung tâm quản lý ATTT trực thuộc Sở TT&TT và trung tâm tin học của Ủy ban nhân dân tỉnh để nhanh chóng nhận dạng tấn công, thông tin kịp thời và xử lý khắc phục nhanh nhằm giảm thiểu được thiệt hại gây ra bởi các tấn công phá hoại trên mạng. Để đạt được điều này, cần có sự phối hợp của các cơ quan chính quyền và các doanh nghiệp trong việc thực hiện phân tích lỗi, đưa ra các cảnh báo sớm, phối hợp xử lý sự cố trên diện rộng.
Để xây dựng được hệ thống giám sát, cảnh báo, xử lý sự cố mạng cấp tỉnh cần thực thi 8 công việc sau:
- Thiết lập một kiến trúc liên kết giữa các cơ quan, tổ chức, doanh nghiệp trong việc xử lý phản ứng sự cố.
- Phân tích các tấn công và đánh giá các điểm yếu trong các hệ thống thông tin. - Nâng cao khả năng bảo vệ của mạng lưới bằng các hệ thống kỹ thuật.
- Tăng cường hệ thống thông tin cảnh báo, quản lý lỗi. - Tăng cường hệ thống xử lý sự cố.
- Xây dựng chương trình phối hợp giữa các cơ quan, tổ chức. - Thường xuyên diễn tập khả năng phản ứng, xử lý sự cố.
- Tăng cường chia sẻ thông tin về các khả năng tấn công, các mối đe dọa, các điểm yếu hệ thống.
Nhiệm vụ của hệ thống giám sát, cảnh báo, phản ứng xử lý sự cố bao gồm:
- Giám sát thông tin, phát hiện các hiện tượng bất thường và các dấu hiệu tấn công trên mạng.
- Phân tích, xử lý đánh giá tình hình và nhận dạng tấn công, các điểm yếu và nguy cơ tiềm ẩn của các hệ thống thông tin.
- Cảnh báo sớm về các dấu hiệu tấn công, các điểm yếu hệ thống.
- Thông tin được thu thập, xử lý và phân tích để xác định các mối đe dọa. Ngoài ra, cần tổ chức nhóm chuyên gia phản ứng xử lý sự cố. Cần có các biện pháp xử lý sự cố, quy trình xử lý khắc phục sự cố.
Hình 3.4. Sơ đồ hệ thống giám sát, cảnh báo, xử lý sự cố cấp tỉnh
Phân tích dữ liệu: Phân tích là bước quan trọng để có thông tin về hiện tượng tấn công mạng. Bước phân tích có thể dựa trên cơ sở các công cụ phần cứng/phần mềm, nhóm chuyên gia kỹ thuật, và/hoặc trên cơ sở thông báo tình hình về các đơn vị chuyên trách. Quá trình phân tích bao gồm 3 bước:
1) Phân tích chiến thuật: kiểm tra các yếu tố liên quan đến sự cố thông qua việc dò tìm các
điểm yếu phát sinh ra những cảnh báo hệ thống, dò tìm con đường lây lan của virus hoặc phương thức tấn công.
2) Phân tích chiến lược: là xem xét xu thế tấn công và các biện pháp công nghệ tin tặc hay dùng để tấn công. Ngoài ra, còn xem xét các dấu hiệu tấn công mang tính hệ thống.
3) Đánh giá các điểm yếu: là rà soát các điểm yếu trong hệ thống, tìm ra mối liên quan giữa
các điểm yếu và các nguy cơ tấn công có thể xảy ra.
Cảnh báo: Các cảnh báo được đưa ra sau bước phân loại các thông tin và dấu hiệu bất thường. Các cảnh báo có thể được cung cấp bởi hệ thống cung cấp cảnh báo toàn quốc (qua VNCERT chẳng hạn) hoặc các thông tin cảnh báo cập nhật từ bên ngoài (các đơn vị khác, từ các hãng nước ngoài) sau quá trình phân tích, xử lý, phân loại thông tin cảnh báo. Các thông tin cảnh báo có thể được sắp xếp định kỳ hoặc bất thường qua các website hoặc phương tiện công cộng khác.
Quản lý và khắc phục sự cố: Các thông tin cảnh báo và sự cố được lưu trữ phục vụ cho công tác thống kê, điều tra, phối hợp giữa các cơ quan chức năng khác. Ví dụ, các trường hợp lỗi có thể được rút kinh nghiệm cho các lần xử lý sau. Đội chuyên gia khắc phục sự cố của từng cơ quan, tổ chức, doanh nghiệp cần có sự phối hợp với nhau. Cần có các hoạt động diễn tập thường kỳ để chủ động trước các tình huống khi xảy ra sự cố trên diện rộng.
a. Kiến trúc hệ thống giám sát sự cố, cảnh báo sớm và xử lý sự cố
Hệ thống làm nhiệm vụ theo dõi 24/24 các sự cố an toàn mạng, giám sát mạng, phát hiện tấn công và cảnh báo sớm, có khả năng phản ứng nhanh trước các sự cố an toàn mạng. Tăng cường khả năng phản ứng đồng loạt tức thời và điều phối hoạt động ứng cứu khi xảy ra các sự cố an toàn mạng nghiêm trọng.
Về phương án kỹ thuật công nghệ, hệ thống giám sát sự cố, cảnh báo sớm và phản ứng nhanh an toàn mạng bao gồm một hệ thống các điểm quan sát (sensor) đặt tại các vị trí quan trọng (các hạ tầng thông tin xung yếu, các hạ tầng kết nối mạng của các ISP...) để thu thập và gửi thông tin sự cố về cho hệ thống kỹ thuật nghiệp vụ an toàn mạng.
Hình 3.5. Hệ thống giám sát, cảnh báo sớm và phản ứng nhanh cấp tỉnh
b. Kiến trúc hệ thống phân tích thông tin, đưa ra cảnh báo.
Hệ thống này có nhiệm vụ thu thập, phân tích, nghiên cứu và xử lý thông tin, đưa ra cảnh báo (có thể thu thập cảnh báo từ trung tâm cung cấp thông tin cảnh báo quốc gia).
Về phương án kỹ thuật công nghệ, hệ thống gồm hai thành phần chính là:
- Hệ thống tiếp nhận, lưu trữ và xử lý sự cố an toàn mạng: đảm nhiệm việc tiếp nhận và lưu trữ thông tin về an toàn mạng từ nhiều kênh khác nhau, hỗ trợ quá trình phân tích và xử lý sự cố, điều phối hoạt động ứng cứu. Các chức năng chính là: Hỗ trợ xử lý thông tin sự cố an toàn mạng; Quản lý thông tin sự cố an toàn mạng; Cơ sở dữ liệu sự cố an toàn mạng.
- Hệ thống kỹ thuật tác nghiệp: gồm các trang thiết bị và phần mềm chuyên dụng để hỗ trợ các chuyên gia trong việc nghiên cứu, thử nghiệm các kỹ thuật bảo vệ an toàn mạng, kiểm tra đánh giá chất lượng an toàn của các sản phẩm công nghệ thông tin để có thể đưa ra các khuyến cáo về giải pháp bảo vệ cũng như phương thức cài đặt và sử dụng một cách hợp lý.
3.6.2.2. Xây dựng hệ thống phòng thủ chống tấn công, giảm thiểu thiệt hại
Tin tặc thường tìm kiếm các điểm yếu hệ thống thông tin và lợi dụng để tấn công. Các điểm yếu thường nảy sinh từ chính bên trong hệ thống mạng của tổ chức doanh nghiệp và từ các liên kết với mạng bên ngoài qua Internet. Các điểm yếu phát sinh từ những khiếm
khuyết về mặt công nghệ, đặc biệt là từ việc khai thác không đúng hoặc chủ quan trong khai thác các hệ thống.
Xuất phát từ những yếu tố trên nên việc xây dựng hệ thống phòng thủ, chống tấn công, giảm thiểu thiệt hại cần thực thi 8 nhiệm vụ chính như sau:
- Tăng cường năng lực của bộ máy hành pháp để ngăn chặn và chống tội phạm mạng - Xây dựng một hệ thống đánh giá các điểm yếu, giúp nhìn nhận rõ hơn về các nguy
cơ tiềm ẩn đối với mỗi hệ thống.
- Thực thi các giải pháp kỹ thuật nhằm bảo vệ các truy nhập Internet
- Tăng cường các hệ thống giám sát, thu thập thông tin và cảnh báo, các hệ thống xác thực có đảm bảo.
- Xây dựng các chương trình rà soát điểm yếu và khắc phục điểm yếu
- Tăng cường các biện pháp bảo vệ vật lý và kiểm soát các liên hệ ràng buộc giữa các hệ thống
- Xây dựng các chương trình khoa học công nghệ. - Thiết lập các hệ thống đánh giá và xử lý khẩn cấp.
3.2.2.3. Xây dựng chương trình đào tạo, nâng cao nhận thức
Thực tế cho thấy, đa số điểm yếu hệ thống bắt nguồn từ nhận thức kém về an toàn thông tin, ví dụ như trong sử dụng máy tính, quản trị hệ thống, phát triển sản phẩm, phân tích đánh giá hệ thống, kiểm chứng hệ thống và kể cả trong nhận thức chưa đúng của các nhà lãnh đạo. Những điểm yếu bắt nguồn từ nhận thức kém thể hiện những nguy cơ hiểm họa đối với cơ sở hạ tầng thông tin. Ví dụ, một nhân viên quản trị mạng kém hiểu biết về an toàn thông tin hoặc các hệ thống thiếu sự đánh giá đúng mức về đảm bảo an toàn thông tin sẽ làm cho tình trạng mất an toàn thông tin của cơ quan, tổ chức thêm phần phức tạp.
Trọng tâm này cần chú trọng đến 4 nhiệm vụ cơ bản như sau:
- Xây dựng và thúc đẩy một chương trình nâng cao nhận thức toàn diện cho mọi đối tượng: các nhà lãnh đạo, các chuyên viên tư vấn thiết kế hệ thống, các chuyên viên kỹ thuật và quản trị hệ thống, người dùng các hệ thống thông tin.
- Xây dựng chương trình đào tạo và bồi dưỡng đáp ứng theo nhu cầu thực tế và sự phát triển của công nghệ thông tin.
- Tăng cường hiệu quả các chương trình đào tạo bồi dưỡng thông qua cập nhật kiến thức mới và thực hành.
- Xúc tiến hỗ trợ kỹ thuật và nguồn lực cho các cơ quan, tổ chức, doanh nghiệp và xây dựng hệ thống chứng nhận / chứng chỉ toàn diện.
3.6.2.4. Xây dựng và triển khai các biện pháp bảo vệ cơ sở hạ tầng thông tin
Việc bảo vệ cơ sở hạ tầng thông tin đóng vai trò quan trọng trong việc thiết lập môi trường ổn định và bền vững cho mọi lĩnh vực trong đời sống chính trị - kinh tế - xã hội. Để đảm bảo được điều đó, cần thúc đẩy phát triển công nghệ và các kỹ thuật bảo vệ, thúc đẩy phát triển các sản phẩm đảm bảo an toàn thông tin.
Để xây dựng và triển khai các biện pháp bảo vệ cơ sở hạ tầng thông tin, cần thực hiện được 5 nhiệm vụ cơ bản sau:
- Thường xuyên đánh giá về mặt kỹ thuật các tấn công và điểm yếu trong các hệ thống thông tin
- Thực thi các biện pháp kỹ thuật đảm bảo xác thực và duy trì việc kiểm soát cấp quyền truy nhập chặt chẽ cho người dùng.
- Thực thi các biện pháp kỹ thuật bảo vệ mạng, phát hiện và ngăn chặn tấn công. - Kiểm soát chặt chẽ việc quản lý thông tin và các kênh thông tin giữa các cơ quan, tổ
chức
- Xây dựng các trung tâm phân tích dữ liệu, các trung tâm nghiên cứu phát triển công nghệ an toàn bảo mật, chia sẻ thông tin.
3.6.2.5. Xây dựng quy trình phối hợp xử lý sự cố
Thường thì một tấn công trên mạng có phạm vi ảnh hưởng rất rộng do tính kết nối rộng khắp của các hệ thống mạng và Internet. Hơn nữa, tác động của tấn công xảy ra rất nhanh, tốc độ lan truyền rất cao. Để đảm bảo an toàn thông tin và xử lý tận gốc nguy cơ tấn công, cần có sự phối hợp, liên kết của nhiều cơ quan, tổ chức trên phạm vi không chỉ trong một tỉnh mà còn ở phạm vi quốc gia và quốc tế. Sự phối hợp xử lý giúp cho thông tin về tấn công được chia sẻ giữa các cơ quan, tổ chức. Mặt khác, phối hợp xử lý cũng giúp ngăn chặn sự lây lan của các phần mềm độc hại trên diện rộng, giảm thiểu được thiệt hại do các tấn công phá hoại gây ra.
Xây dựng quy trình phối hợp xử lý sự cố phải thực thi được 6 nhiệm vụ sau: - Tăng cường sự phối hợp của các chuyên gia trong các cơ quan, tổ chức
- Tăng cường năng lực nhận biết tấn công và khả năng phản ứng của mỗi cơ quan, tổ chức
- Tăng cường phối hợp phản ứng, xử lý sự cố
- Tăng cường sự gắn kết giữa các cơ quan chính quyền và các doanh nghiệp, người dùng mạng hướng tới bảo vệ cơ sở hạ tầng thông tin dùng chung.
- Thiết lập mạng lưới giám sát, cảnh báo sớm để kịp thời phát hiện, ngăn chặn và chống tấn công.
CHƯƠNG 4: ĐỀ XUẤT CÁC BIỆN PHÁP ĐẢM BẢO ATTT
4.1. Tổng quan về các biện pháp đảm bảo ATTT
Các biện pháp quản lý ATTT gồm hai nhóm: Biện pháp về quản lý tổ chức; Biện pháp kỹ thuật.
4.1.1. Biện pháp quản lý
Biện pháp tổ chức quản lý về ATTT bao gồm: Các chính sách về ATTT như các văn bản quy phạm pháp luật về an toàn thông tin, các quy định, quy trình sử dụng, khai thác hệ thống thông tin cần tuân thủ theo các quy định về ATTT.
Trong quá trình xây dựng dự án đầu tư, thiết kế hệ thống, chứng nhận hệ thống tuân thủ theo chuẩn và chính sách an toàn, cần rà soát, đánh giá điểm yếu, có các biện pháp khắc phục.
Các biện pháp bảo vệ khác gồm: bảo vệ phòng máy, cáp kết nối, quyền đăng nhập, quyền sử dụng khai thác thông tin…
4.1.2. Biện pháp kỹ thuật
Các biện pháp kỹ thuật cơ bản có thể áp dụng bao gồm :
- Hệ thống vành đai bảo vệ: Bức tường lửa, hệ thống phòng thủ, khu vực bảo vệ - Hệ thống mật mã:
o Mật khẩu, nhận dạng, xác thực, cấp quyền: Quản lý, kiểm tra mật khẩu, danh tính; Xác thực chủ thể; Xác thực đối tượng được truy nhập
o Hệ thống mã khóa bí mật o Hệ thống mã khóa công khai
- Các phương thức/ công nghệ bảo vệ truyền thông: IPSec, TLS, SSL, VPN - Chữ ký số, chứng chỉ số, hạ tầng mã khóa công khai PKI
- Hệ thống phát hiện tấn công, chống xâm nhập trái phép IDS / IPS - Hệ thống dò tìm, cài bẫy, bắt giữ (Honeypot, Honeynet)
- Hệ thống theo dõi, giám sát, cảnh báo - Hệ thống lưu trữ, khôi phục dữ liệu
4.2. Các biện pháp tổ chức quản lý
4.2.1. Nhiệm vụ quản lý an toàn thông tin
Nhiệm vụ của quản lý ATTT là quản lý được các đặc tính bí mật, toàn vẹn và sẵn sàng của các hệ thống thông tin phục vụ các hoạt động của một tổ chức.
Để tăng cường đảm bảo an toàn thông tin trên Internet, quản lý an toàn thông tin cần thực hiện nghiêm túc các yêu cầu sau đây:
1. Nghiêm chỉnh chấp hành pháp luật về bưu chính, viễn thông và Internet, Luật công nghệ thông tin, Luật giao dịch điện tử; có trách nhiệm đảm bảo an ninh thông tin trong hoạt động Internet; thực hiện các yêu cầu về đảm bảo an ninh thông tin của Bộ TT&TT, Bộ Công an và các cơ quan nhà nước có thẩm quyền theo quy định của pháp luật.
2. Rà soát, kiểm tra, đánh giá các hệ thống thiết bị phục vụ việc lưu trữ, cung cấp