An ninh bảo mật - Phần 6: An toàn, an ninh thông tin và mạng lưới

Nội dung text: An ninh bảo mật - Phần 6: An toàn, an ninh thông tin và mạng lưới

1. B giáo trình nh ng ki n th c c b n v công ngh thông tin và truy n thông cho lãnh o trong c quan nhà n ưc HC PH N 6 AN TOÀN, AN NINH THÔNG TIN VÀ M NG L I Korea Information Security Agency Trung tâm ào t o phát tri n công ngh thông tin và truy n APCICT thông Châu Á - Thái Bình D ư ng
2. B giáo trình nh ng ki n th c c b n v CNTT&TT cho lãnh o trong c quan nhà n ưc Hc ph n 6: An toàn, an ninh thông tin và m ng l ưi Giáo trình này phát hành theo Gi y phép Creative Commons 3.0. xem b n sao c a gi y phép này, xin truy c p website: .org/licenses/by/3.0/ Các quan im, hình v và ánh giá nêu trong n ph m này là thu c trách nhi m ca các tác gi , không nh t thi t phi coi là quan im hay s xác nh n ca Liên Hp Qu c. Nh ng ch c v ưc s d ng và s trình bày d li u trong n b n này không hàm ý th hi n b t k quan im nào ca Ban Th ư ký Liên Hi p Qu c có liên quan n t ư cách pháp lý c a b t k qu c gia, vùng lãnh th , thành ph ho c khu vc, hay c a chính quy n c a n ưc s t i, ho c có liên quan n vi c phân nh biên gi i hay ranh gi i c a các qu c gia. Vi c c p tên công ty và các s n ph m th ươ ng m i không bao hàm s xác nh n ca Liên H p qu c. Trung tâm ào t o công ngh thông tin và truy n thông Châu Á Thái Bình Dươ ng Trung (UN-APCICT) Bonbudong, T ng 3 Công viên công ngh Songdo 7-50 Songdo-dong, Yeonsu-gu, Thành ph Incheon, Hàn Qu c in tho i: +82 32 245 1700-02 Fax: +82 32 245 7712 E-mail: info@unapcict.org Thi t k và trình bày: Scandinavian Publishing Co., Ltd Xu t b n t i: Hàn Qu c 2
3. LI GI I THI U Th k 21 ã ánh d u s tác ng l n nhau c a con ng ưi trên toàn c u. Th gi i ang m ra c ơ h i cho hàng tri u ng ưi nh công ngh m i, nh ng thông tin và ki n th c thi t y u ưc m r ng ã c i thi n m t cách áng k cu c s ng c a con ng ưi và giúp gi m c nh nghèo nàn. iu này ch tr thành hi n th c khi có s liên k t cùng v i vi c chia s giá tr , cùng cam k t và th ng nht s phát tri n t ng th và phù h p. Trong nh ng n m g n ây, Châu Á Thái Bình D ươ ng ưc bi t n nh ư khu v c n ng ng nh t trong l nh v c công ngh thông tin và truy n thông (ICT). Theo báo cáo c a Liên minh Vi n thông Th gi i, khu v c này ã có trên 2 t thuê bao in tho i, trong ó có 1,4 t thuê bao di ng. Tinh n n m 2008, ch riêng n và Trung Qu c ã chi m ¼ s l ưng thuê bao di ng trên toàn th gi i. Khu v c Châu Á Thái Bình D ươ ng ưc cho là chi m 40% s l ưng ng ưi s d ng internet trên th gi i và ng th i là th tr ưng b ng r ng l n nh t, v i chi m 39% th tr ưng toàn c u. Cùng v i t c phát tri n nhanh c a công ngh , nhi u v n ưc nh c n khi kho ng cách s bi n m t. Nh ưng iu áng ti c, kho ng cách s v n hi n h u, thm chí 5 n m sau khi H i ngh th ưng nh th gi i v Xã h i thông tin (WSIS) di n ra Geneva vào n m 2003, b t ch p s phát tri n n t ưng c a công ngh và nh ng cam k t c a các n ưc l n trong khu v c. K t qu là truy nh p truy n thông c ơ b n v n còn xa l v i nhi u ng ưi, c bi t là nh ng ng ưi nghèo. Hơn 25 qu c gia trong khu v c g m nh ng n ưc ang phát tri n, ã có gn 10 ng ưi s d ng internet trên 100 dân, ph n l n t p trung các thành ph ln. Trong khi ó m t vài n ưc ã phát tri n trong khu v c thì t l r t cao v i hơn 80 ng ưi s d ng internet trên 100 dân. S chênh l ch v m c ph c p bng r ng gi a các n ưc phát tri n và ang phát tri n v n còn là gi m t kho ng cách l n. gi m d n kho ng cách s và nh n di n úng ti m n ng c a ICT cho phát tri n kinh t xã h i trong khu v c, nh ng nhà l p pháp các n ưc phát tri n c n xây d ng các chính sách ưu tiên và khung iu ch nh, ch nh ngu n 3
4. qu , và t o iu ki n cho xúc ti n u t ư vào l nh v c công nghi p ICT và nâng cao k n ng ICT cho công dân n ưc h . Trong K ho ch Hành ng c a WSIS có ch rõ, “ m i ng ưi s có c ơ hi ti p c n nh ng k n ng và ki n th c c n thi t hi u, th c hành và t ưc nh ng l i ích t Xã h i Thông tin và Kinh t Tri th c.”. Trong ph n cu i c a k ho ch này ã kêu g i s h p tác qu c t và khu v c trong nh ng l nh v c có ti m n ng, c bi t nh n m nh vào vi c t o t p m t s l ưng l n các chuyên gia ICT. h tr t t cho l i kêu g i t K ho ch hành ng c a WSIS, APCICT ã xây d ng ch ươ ng trình gi ng d y y v ICT – H c thu t ICT c n thi t cho nhà lãnh o tr c thu c c ơ quan nhà n ưc. Ch ươ ng trình này bao g m 8 ph n có liên k t ch t ch v i nhau, v i m c tiêu truy n t nh ng ki n th c và kinh nghi m c n thi t giúp các nhà l p pháp xây d ng và thi hành sáng ki n ICT hi u qu h ơn. APCICT là m t trong 5 h c vi n c a y ban Kinh t Xã h i Liên h p qu c Châu Á Thái Bình D ươ ng. APCICT xúc ti n ch ươ ng trình phát tri n kinh t xã h i phù h p và toàn di n Châu Á Thái Bình D ươ ng thông qua vi c phân tích, chu n hóa, khai thác ti m n ng, h p tác khu v c và chia s ki n th c. Trong quá trình h p tác v i các c ơ quan Liên h p qu c khác, các t ch c qu c t, các qu c gia và nh ng t ch c liên quan, ESCAP, i di n là APCICT, ưc giao nhi m v h tr vi c s d ng, c i ti n và d ch thu t các bài gi ng cho các qu c gia khác nhau, phù h p v i các trình trung và cao c p c a các nhân viên trong c ơ quan nhà n ưc, v i m c ích ư a k n ng và ki n th c thu th p ưc làm gia t ng nh ng l i ích t ICT và thi t l p nh ng hành ng c th t ưc m c tiêu phát tri n. Noeleen Heyzer TL. T ng Th ư ký Liên h p qu c Và Giám c iu hành c a ESCAP 4
5. LI T A Ch ng ưng phát tri n c a b giáo trình nh ng ki n th c c ơ b n v công ngh thông tin và truy n thông (CNTT&TT) cho lãnh o trong c ơ quan nhà nưc th c s là m t kinh nghi m mang tính trí tu cao. B giáo trình không ch ph c v cho vi c xây d ng các k n ng CNTT&TT, mà còn m ưng cho m t ph ươ ng th c m i v xây d ng ch ươ ng trình gi ng d y - thông qua s h p tác ca các thành viên và t ch v quy trình. B giáo trình là m t ch ươ ng trình mang tính chi n l ưc c a APCICT, phát tri n trên c ơ s k t qu kh o sát ánh giá nhu c u m t cách toàn di n ưc ti n hành trên 20 n ưc trong khu v c và s tham kh o ý ki n c a các nhân viên thu c c ơ quan nhà n ưc, thành viên các c ơ quan phát tri n qu c t , các vi n hàn lâm và c ơ s giáo d c; nh ng nghiên c u và phân tích k l ưng v im m nh và im y u c a giáo trình ào t o; thông tin ph n h i t nh ng ng ưi tham gia xây d ng chu i bài gi ng ca APCICT – t ch c các bu i h i th o khu v c và qu c gia liên quan n n i dung bài gi ng và các ph ươ ng pháp ào t o khoa hc; và s trao i góp ý th ng th n c a các chuyên gia hàng u trong các l nh vc ICT ph c v phát tri n. Các h i th o v giáo trình di n ra các khu v c thu ưc nh ng l i ích vô giá t các ho t ng trao i kinh nghi m và ki n th c gi a nh ng ng ưi tham d n t các qu c gia khác nhau. ó là m t quy trình các tác gi xây d ng n i dung. Vi c xây d ng 8 h c ph n trong b giáo trình ánh d u m t s kh i u quan tr ng trong vi c nâng cao s h p tác hi n t i và xây d ng các m i liên h mi nh m phát tri n các k n ng thi t l p chính sách phát tri n CNTT&TT kh p khu v c. APCICT cam k t cung c p s h tr k thu t trong vi c gi i thi u b giáo trình qu c gia nh ư m t m c tiêu chính h ưng t i vi c m b o r ng b giáo trình s ưc ph bi n t i t t c nh ng nhà l p pháp. APCICT c ng ang xúc ti n m t cách ch t ch v i m t s vi n ào t o trong khu v c và qu c t , nh ng t ch c có m i quan h m t thi t v i c ơ quan nhà n ưc c p trung ươ ng và a ph ươ ng c i ti n, d ch thu t và truy n t các n i dung c a Giáo trình t i nh ng qu c gia có nhu c u. APCICT ang ti p t c m r ng h ơn n a v i tưng tham gia nghiên c u giáo trình hi n t i và k ho ch phát tri n m t giáo trình m i. 5
6. Hơn n a, APCICT ang xúc ti n nhi u kênh m b o r ng n i dung Giáo trình n ưc nhi u ng ưi h c nh t trong khu v c. Ngoài ph ươ ng th c hc tr c ti p thông qua các t ch c l p h c các khu v c và qu c gia, APCICT cng t ch c các l p h c o (AVA), phòng h c tr c tuy n cho phép nh ng h c viên tham gia bài gi ng ngay t i ch làm vi c c a h . AVA m b o r ng t t c các ph n bài gi ng và tài li u i kèm c ng nh ư b n trình chi u và bài t p tình hu ng d dàng ưc truy nh p tr c tuy n và t i xu ng, s d ng l i, c i ti n và bn a hóa, và nó bao g m nhi u tính n ng khác nhau nh ư bài gi ng o, công c qu n lý h c t p, công c phát tri n n i dung và ch ng ch . Vi c xu t b n và gi i thi u 8 h c ph n c a b giáo trình thông qua các bu i h i th o khu v c, ti u khu v c, qu c gia có s t n tâm c ng hi n, tham gia tích c c c a nhi u cá nhân và t ch c. Tôi mu n nhân c ơ h i này bày t lòng cm ơn nh ng n l c và k t qu t ưc c a nhóm c ng tác và các i tác t các B , ngành, h c vi n, và các t ch c khu v c và qu c gia ã tham gia h i th o v b giáo trình. H không ch c ng cung c p nh ng thông tin u vào có giá tr , ph c v n i dung c a bài gi ng, mà quan tr ng h ơn, h ã tr thành nh ng ng ưi ng h vi c truy n t b giáo trình trên t n ưc mình, t o ra k t qu là nh ng th a thu n chính th c gi a APCICT và m t s vi n i tác c a các qu c gia và trong khu v c c i ti n và phát hành bài gi ng giáo trình chính th c cho t n ưc h . Tôi c ng mu n g i l i c m ơn c bi t cho nh ng n l c c ng hi n c a nhi u cá nhân n i b t, nh ng ng ưi ã t o nên thành qu cho bài gi ng này. H là Shahid Akhtar C V n D án Giáo trình; Patricia Arinto, Biên t p; Christine, Qu n lý xu t b n; toàn b tác gi b giáo trình; và nh ng nhóm APCICT. Chúng tôi hy v ng r ng b giáo trình s giúp các qu c gia thu h p ưc nh ng h n ch c a ngu n nhân l c CNTT&TT, xóa b nh ng rào c n nh n th c v CNTT&TT, và xúc ti n ng d ng CNTT&TT trong vi c thúc y phát tri n kinh t xã h i và t ưc m c tiêu phát tri n thiên nhiên k . Hyeun – Suk Rhee Giám c UN-APCICT 6
7. V CHU I H C PH N Trong k nguyên thông tin ngày nay, vi c truy c p thông tin m t cách d dàng ang làm thay i cách chúng ta s ng, làm vi c và gi i trí. N n kinh t s - còn ưc g i là kinh t tri th c, kinh t m ng hay kinh t m i, ưc mô t nh ư mt s chuy n ti p t s n xu t hàng hóa sang t o l p ý t ưng. Công ngh thông tin và truy n thông ang óng m t vai trò quan tr ng và toàn di n trên m i m t ca kinh t xã h i. Nh ư m t k t qu, chính ph trên kh p th gi i ang quan tâm nhi u h ơn ti CNTT&TT trong s phát tri n qu c gia. i v i các n ưc, phát tri n CNTT&TT không ch phát tri n v công nghi p CNTT&TT là m t l nh v c c a nn kinh t mà còn bao g m c vi c ng d ng CNTT&TT trong ho t ng kinh t, xã h i và chính tr . Tuy nhiên, gi a nh ng khó kh n mà chính ph các n ưc ph i i m t trong vi c thi hành các chính sách CNTT&TT, nh ng nhà l p pháp th ưng không n m rõ v m t công ngh ang s d ng cho s phát tri n qu c gia. Cho n khi không th iu ch nh ưc nh ng iu h không hi u, nhi u nhà l p pháp né tránh t o l p các chính sách v CNTT&TT. Nh ưng ch quan tâm t i công ngh mà không t o l p các chính sách thì c ng là m t sai l m vì nh ng nhà công ngh th ưng ít có ki n th c v thi hành nh ng công ngh h ang phát tri n ho c s d ng. B giáo trình nh ng ki n th c c ơ b n v công ngh thông tin và truy n thông (CNTT&TT) cho lãnh o trong c ơ quan nhà n ưc do Trung tâm ào t o Phát tri n Công ngh thông tin và Truy n thông Liên h p qu c và Châu Á Thái Bình D ươ ng (UN-APCICT) xây d ng nh m ph c v cho: 1. Các nhà ho ch nh chính sách v CNTT&TT c m c qu c gia và a ph ươ ng; 2. Quan ch c chính ph ch u trách nhi m v phát tri n và thi hành các ng d ng c a CNTT&TT; và 3. Nh ng nhà qu n lý trong l nh v c công ang tìm ki m ch c danh qu n lý d án v CNTT&TT. 7
8. B giáo trình h ưng n nh ng v n liên quan t i CNTT&TT ph c v phát tri n trên c khía c nh chính sách và công ngh . M c ích c t y u c a giáo trình CNTT&TT không t p trung vào k thu t mà truy n t s hi u bi t v nh ng iu công ngh s có kh n ng ho c ang h ưng t i, tác ng t i nh ư th nào trong vi c ho ch nh chính sách. Các ch trong bài gi ng ưc thi t k da trên phân tích nhu c u và kh o sát nh ng ch ươ ng trình ào t o trên kh p th gi i. Hc ph n ưc c u t o theo cách mà ng ưi h c có th t h c m t cách c l p ho c bài gi ng cho m t khóa h c. H c ph n v a mang tính ch t riêng l nh ưng c ng liên k t v i nh ng ch và tình hu ng th o lu n trong ph n khác ca chu i. M c tiêu là t o ưc s th ng nh t t t c các ph ncác ph n. Mi ph n b t u v i vi c trình bày m t ch và k t qu mà ng ưi c s thu ưc. N i dung các ph n ưc chia thành các m c bao g m bài t p và tình hu ng giúp hi u sâu h ơn nh ng n i dung chính. Bài t p có th ưc th c hi n b i t ng cá nhân ho c m t nhóm h c viên. Bi u và b ng bi u ưc cung cp minh h a nh ng n i dung c a bu i th o lu n. Tài li u tham kh o ưc li t kê cho ng ưi c có th t tìm hi u sâu h ơn v bài gi ng. Vi c s d ng CNTT&TT ph c v phát tri n r t a d ng, trong m t vài tình hu ng ho c thí d bài gi ng có th xu t hi n nh ng mâu thu n. ây là iu áng ti c. ó c ng là s kích thích và thách th c c a quá trình rèn luy n mi và c ng là tri n v ng khi t t c các n ưc b t u khai ti m n ng c a CNTT&TT nh ư công c phát tri n. H tr chu i h c ph n còn có m t ph ươ ng th c h c tr c tuy n – H c vi n o ACICT (AVA – – vi phòng h c o s chi u b n trình bày c a ng ưi d y d ưi d ng video và Power Point c a h c ph n. Ngoài ra, APCICT ã phát tri n m t kênh cho phát tri n CNTT&TT (e- Co Hub – m t a ch tr c tuy n dành cho nh ng h c viên phát tri n CNTT&TT và nh ng nhà l p pháp nâng cao kinh nghi m h c t p. E-Co Hub cho phép truy c p nh ng ki n th c v các ch khác nhau c a phát tri n CNTT&TT và cung c p m t giao di n chia s ki n th c và kinh nghi m, và h p tác trong vi c nâng cao CNTT&TT ph c v phát tri n. 8
9. HC PH N 6 Trong th i i thông tin, tin t c là m t tài s n ưc b o v và nh ng nhà ho ch nh chính sách c n n m ưc b o m t thông tin là gì và làm th nào ch ng l i các xâm ph m và r r thông tin. Ph n này gi i thi u t ng quan v nhu cu b o m t thông tin, xu h ưng và các v n b o m t thông tin, c ng nh ư quá trình xây d ng chi n l ưc b o m t thông tin. Mc tiêu c a h c ph n Hc ph n nh m t ưc các m c tiêu: 1. Làm sáng t khái ni m an toàn, an ninh thông tin và các khái ni m liên quan; 2. Mô t nh ng thách th c i v i b o m t thông tin và làm th nào có th xác nh chúng; 3. Th o lu n v nhu c u thi t l p và th c hi n chính sách an ninh thông tin, c ng nh ư s thay i phát tri n c a chính sách an ninh thông tin; và 4. Gi i thi u t ng quan v các tiêu chu n b o m an toàn, an ninh thông tin ưc s d ng m t s qu c gia c ng nh ư các t ch c an ninh thông tin qu c t . Kt qu thu ưc Sau khi nghiên c u xong h c ph n này, ng ưi c có th : 1. nh ngh a an toàn, an ninh thông tin và các khái ni m liên quan; 2. Nh n nh nh ng thách th c i v i an ninh thông tin; 3. ánh giá chính sách an ninh thông tin hi n có theo các tiêu chu n qu c t v b o m an toàn, an ninh thông tin; và 4. Xây d ng ho c ưa ra các khuy n ngh v chính sách an ninh thông tin thích h p. 9
10. MC L C LI GI I THI U 3 LI T A 5 V CHU I H C PH N 7 HC PH N 6 9 1. NHU C U V AN NINH THÔNG TIN 17 1.1. Các khái ni m c ơ b n trong An ninh thông tin 17 1.2. Các tiêu chu n cho ho t ng an ninh thông tin 23 2. CÁC NH H NG VÀ XU H NG AN NINH THÔNG TIN 26 2.1. Các ki u t n công an ninh thông tin 26 2.2. Xu h ưng c a các m i hi m h a an ninh thông tin 31 2.3. C i thi n an ninh, b o m t 37 3. CÁC HO T NG AN NINH THÔNG TIN 44 3.1. Các ho t ng an ninh thông tin qu c gia 44 3.2. Các ho t ng an ninh thông tin qu c t 56 4. PH Ơ NG PHÁP AN NINH THÔNG TIN 65 4.1. Ph ươ ng pháp an ninh thông tin 65 4.2. M t s ví d v ph ươ ng pháp an ninh thông tin 74 5. B O V BÍ M T RIÊNG T 80 5.1. Khái ni m bí m t riêng t ư 80 5.2. Các xu h ưng c a chính sách bí m t riêng t ư 81 5.3. ánh giá tác ng bí m t riêng t ư (Privacy Impact Assessment - PIA) 89 6. S THÀNH L P VÀ HO T NG C A CSIRT 93 6.1. Phát tri n và v n hành m t CSIRT 93 6.2. Các c ơ quan CSIRT qu c t 108 6.3. Các c ơ quan CSIRT qu c gia 110 10
11. 7. VÒNG I C A CHÍNH SÁCH AN NINH THÔNG TIN 113 7.1. Thu th p thông tin và phân tích k h 114 7.2. Xây d ng chính sách an ninh thông tin 117 7.3. Th c hi n/th c thi chính sách 129 7.4. Xem xét l i và ánh giá Chính sách an ninh thông tin 135 PH L C 137 Tài li u c thêm 137 Các l ưu ý i v i Gi ng viên 139 V KISA 141 11
12. DANH M C HÌNH V Hình 1. 4R trong an ninh thông tin 20 Hình 2. M i t ươ ng quan gi a r i ro và tài s n thông tin 21 Hình 3. Các ph ươ ng pháp qu n lý r i ro 22 Hình 4. Hi n tr ng th ư rác 34 Hình 5. Mô hình phòng th theo chi u sâu DID 39 Hình 6. Hành ng mang tính dài h n c a ENISA 49 Hình 7. Dòng tiêu chu n ISO/IEC 27001 63 Hình 8. Mô hình quy trình Plan-Do-Check-Act ưc áp d ng cho các quá trình ISMS 66 Hình 9. CAP và CCP 73 Hình 10. Quy trình ho ch nh an ninh u vào/ u ra 75 Hình 11. Quy trình ch ng nh n BS7799 75 Hình 12. Ch ng nh n ISMS Nh t B n 76 Hình 13. Ch ng nh n ISMS c a KISA 77 Hình 14. Mô hình nhóm an ninh 94 Hình 15. Mô hình CSIRT phân tán n i b 95 Hình 16. Mô hình CSIRT t p trung n i b 96 Hình 17. Mô hình CSIRT k t h p 96 Hình 18. Mô hình CSIRT iu ph i 97 Hình 19. Vòng i c a chính sách an ninh thông tin 113 Hình 20. Ví d v c u trúc h th ng và m ng l ưi 116 Hình 21. Hình m u c a t ch c an ninh thông tin qu c gia 118 Hình 22. Khuôn kh an ninh thông tin 122 Hình 23. Các l nh v c công tác trong vi c th c thi chính sách an ninh thông tin 130 12
13. DANH M C B NG BI U Bng 1. S so sánh thông tin v i các tài s n h u hình 18 Bng 2. Các tiêu chu n liên quan và ph m vi c a an ninh thông tin 23 Bng 3. Th ng kê t t i ph m m ng n m 2007 36 Bng 4. Các vai trò và k ho ch c a m i lo i d a trên Chi n l ưc qu c gia th nh t v An ninh thông tin 54 Bng 5. Các tiêu chu n so sánh trong ISO/IEC27001 65 Bng 6. S l ưng c ơ quan ch ng nh n theo qu c gia 68 Bng 7. Thành ph n k t c u c a l p trong SFR 70 Bng 8. Thành ph n k t c u c a l p trong SACs 71 Bng 9. Ch ng nh n ISMS c a m t s qu c gia khác 78 Bng 10. Quy trình PIA 89 Bng 11. Các ví d v PIA 91 Bng 12. Các d ch v CSIRT 106 Bng 13. Danh sách các c ơ quan CSIRT qu c gia 110 Bng 14. Các b lu t liên quan n an ninh thông tin c a Nh t B n 126 Bng 15. Các b lu t liên quan n an ninh thông tin c a EU 126 Bng 16. Các b lu t liên quan n an ninh thông tin c a M 127 Bng 17. Ngân sách b o v thông tin c a Nh t và M 128 Bng 18. Ví d v c ng tác trong vi c phát tri n chính sách an ninh thông tin130 Bng 19. Ví d v h p tác trong vi c qu n lý và b o v c ơ s h t ng thông tin, truy n thông 131 Bng 20. Ví d v h p tác trong vi c i phó s c an ninh thông tin 132 Bng 21. Ví d v h p tác trong vi c ng n ng a s c và vi ph m n anh ninh thông tin 133 Bng 22. Ví d v h p tác trong b o v bí m t riêng t ư 134 13
14. DANH M C T VI T T T APCERT Asia-Pacific Computer Emergency Response Team APCICT Asian and Pacific Training Centre for Information and Communication Technology for Development APEC Asia-Pacific Economic Cooperation BPM Baseline Protection Manual BSI British Standards Institution BSI Bundesamt f r Sicherheit in der Informationstechnik, Germany CAP Certificate Authorizing Participant CC Common Criteria CCP Certificate Consuming Participant CCRA Common Criteria Recognition Arrangement CECC Council of Europe Convention on Cybercrime CERT Computer Emergency Response Team CERT/CC Computer Emergency Response Team Coordination Center CIIP Critical Information Infrastructure Protection CISA Certified Information Systems Auditor CISO Chief Information Security Officer CISSP Certified Information Systems Security Professional CM Configuration Management CSEA Cyber Security Enhancement Act CSIRT Computer Security Incident Response Team DID Defense-In-Depth DNS Domain Name Server DoS Denial-of-Service ECPA Electronic Communications Privacy Act EGC European Government Computer Emergency Response Team ENISA European Network and Information Security Agency ERM Enterprise Risk Management ESCAP Economic and Social Commission for Asia and the Pacific ESM Enterprise Security Management EU European Union FEMA Federal Emergency Management Agency FIRST Forum of Incident Response and Security Teams 14
15. FISMA Federal Information Security Management Act FOI Freedom of Information GCA Global Cybersecurity Agenda HTTP Hypertext Transfer Protocol ICT Information and Communication Technology ICTD Information and Communication Technology for Development IDS Intrusion Detection System IGF Internet Governance Forum IM Instant-Messaging IPS Intrusion Prevention System ISACA Information Systems Audit and Control Association ISMS Information Security Management System ISO/IEC International Organization for Standardization and International Electrotechnical Commission ISP Internet Service Provider ISP/NSP Internet and Network Service Provider IT Information Technology ITU International Telecommunication Union ITU-D International Telecommunication Union Development Sector ITU-R International Telecommunication Union Radiocommunication Sector ITU-T International Telecommunication Union Standardization Sector KISA Korea Information Security Agency MIC Ministry of Information and Communication, Republic of Korea NIS Network and Information Security NISC National Information Security Center, Japan NIST National Institute of Standards and Technology, USA OECD Organisation for Economic Co-operation and Development OMB Office of Management and Budget, USA OTP One-Time Passwords PC Personal Computer PP Protection Profile PSG Permanent Stakeholders Group RFID Radio Frequency Identification SAC Security Assurance Component SFR Security Functional Requirement 15
16. SME Small and Medium Enterprise ST Security Target TEL Telecommunication and Information Working Group TOE Target of Evaluation TSF TOE Security Functions UK United Kingdom UN United Nations US United States USA United States of America WPISP Working Party on information Security and Privacy WSIS World Summit on the Information Society 16
17. 1. NHU C U V AN NINH THÔNG TIN Ph n này nh m m c ích: . Gi i thích khái ni m thông tin và an ninh thông tin; và . Mô t nh ng tiêu chu n ư c áp d ng cho các ho t ng an ninh thông tin. Cu c s ng con ng ưi ngày nay ph thu c nhi u vào công ngh thông tin và truy n thông (ICT). iu này khi n cho các cá nhân, t ch c và các qu c gia d b t n công qua các h th ng thông tin, nh ư các hình th c hacking (thâm nh p trái phép), cyberterrorism (kh ng b m ng), cybercrime (t i ph m m ng) c ng nh ư các hình th c t ươ ng t . Mt s cá nhân và t ch c ưc trang b có th i phó v i các cu c t n công nh ư v y. Chính ph có vai trò quan tr ng trong công tác m b o an ninh thông tin thông qua vi c m r ng c ơ s h t ng thông tin – truy n thông và thi t l p các h th ng b o v ch ng l i nh ng nguy c ơ i vi an ninh thông tin. 1.1. Các khái ni m c b n trong An ninh thông tin “Thông tin” là gì? Thông th ưng, thông tin ưc nh ngh a là k t qu c a ho t ng trí óc; ó là s n ph m vô hình, ưc truy n t i qua các ph ươ ng ti n truy n thông. Trong l nh v c ICT, thông tin là k t qu c a quá trình x lý, thao tác và t ch c d li u, có th ơ n gi n nh ư vi c thu th p s li u th c t . Trong ph m vi c a An ninh thông tin, thông tin ưc nh ngh a nh ư m t “tài s n”, có giá tr do ó nên ưc bo v . Hc ph n này s s d ng nh ngh a v thông tin và an ninh thông theo tiêu chu n ISO/IEC 27001. Ngày nay, giá tr c a thông tin ph n ánh s chuy n i t mt xã h i nông nghi p sang xã h i công nghi p và cu i cùng là xã h i h ưng thông tin (information-oriented society). Trong xã h i nông nghi p, t ai là tài s n quan 17
18. tr ng nh t và qu c gia nào có s n l ưng l ươ ng th c nhi u nh t s chi m ưc li th c nh tranh. Trong xã h i công nghi p, v i s c m nh t ư b n, nh ư có ưc các ngu n d tr d u m là nhân t ch ch t c a kh n ng c nh tranh. Trong xã hi h ưng thông tin và tri th c, thông tin là tài s n quan tr ng nh t và n ng l c thu th p, phân tích và s d ng thông tin là l i th c nh tranh cho b t k qu c gia nào. Vi vi n c nh chuy n i t giá tr tài s n h u hình sang giá tr tài s n thông tin, có m t s ng thu n cao ó là thông tin c n ưc b o v . Bn thân thông tin có giá tr cao h ơn ph ươ ng ti n l ưu tr chúng. B ng 1 s i chi u thông tin v i các tài s n h u hình. Bng 1. S so sánh thông tin v i các tài s n h u hình c im Tài s n thông tin Tài s n h u hình Hình thái – S duy trì Không có hình d ng v t lý và có Có hình d ng v t lý th linh ho t Giá tr - Tính bi n i Có giá tr cao h ơn khi ư c x lý Tng giá tr là s t ng h p các và ph i h p giá tr thành ph n S chia s Không gi i h n vi c tái s n xu t Vi c tái s n xu t là không th ; các tài s n thông tin và m i ng ư i khi tái s n xu t, giá tr c a tài có th chia s giá tr sn s b gi m i Ph ươ ng ti n truy n Cn ư c phát tán thông qua các Có th phân phát m t cách c thông – Tính ph ph ươ ng ti n truy n thông lp (nh hình thái v t lý c a tài thu c sn) Nh ư chúng ta th y b ng 1, tài s n thông tin v c ơ b n khác v i tài s n hu hình. Chính vì v y, thông tin có th b t n công b i nh ng lo i hình r i ro khác. Các m i hi m h a i v i tài s n thông tin Khi giá tr c a tài s n thông tin nâng lên, nhu c u ki m soát c ng nh ư truy nh p thông tin gi a con ng ưi v i nhau gia t ng. Các nhóm hình thành và s dng thông tin v i nhi u m c tiêu khác nhau, và m t s c g ng giành ưc 18
19. thông tin b ng b t k cách th c nào. Nó bao g m thâp nh p trái phép (hacking), ánh c p (piracy) và phá h y các h th ng thông tin thông qua virus máy tính và các hình th c khác. Nh ng hi m h a i kèm v i quá trình tin h c hóa ưc th o lu n trong ph n 2 c a h c ph n này. Mt trái c a môi tr ưng h ưng thông tin bao g m các v n sau: Gia t ng nh ng hành vi ng x trái v i quy t c n y sinh t tình tr ng nc danh – ICT có th ưc s d ng duy trì tình trng n c danh, t o iu ki n d dàng cho các cá nhân dàn x p nh ng hành vi ph m t i và ng x trái quy t c, bao g m c vi c chi m d ng thông tin m t cách b t h p pháp. Xung t quy n ki m soát và s h u thông tin – S ph c t p v quy n ki m soát và s h u thông tin ngày m t t ng lên cùng v i vi c m r ng quá trình tin h c hóa. Ví d nh ư khi chính ph n l c xây d ng m t c ơ s d li u ng ưi dân d ưi mô hình chính ph in t , m t s b ph n có phàn nàn v kh nng xâm ph m bí m t i t ư t vi c ph ơi bày các thông tin cá nhân cho ng ưi khác. Kho ng cách thông tin và m c giàu có gi a các t ng l p, qu c gia – Kích th ưc c a v t ch a ng tài s n thông tin có th bi u th s giàu có trong xã h i h ưng thông tin/tri th c. Các qu c gia phát tri n có kh n ng s n xu t ra thông tin và ki m l i t vi c bán thông tin nh ư các s n ph m hàng hóa. Ng ưc li, các n ưc nghèo thông tin, có nhu c u u t ư l n ch có th truy c p thông tin. Tình tr ng ph i bày thông tin t ng lên b t ngu n t các h th ng mng tiên ti n – Xã h i h ưng thông tin/tri th c là m t xã h i m ng l ưi. C th gi i ưc k t n i nh ư m t h th ng m ng duy nh t, iu này có ngh a là s yu kém c a m t ph n nào ó trong m ng l ưi s tác ng x u n các ph n còn li. An ninh thông tin là gì? áp l i nh ng c g ng giành l y thông tin m t cách b t h p pháp, con ng ưi ang n l c ng n ch n t i ph m liên quan n thông tin ho c gi m thi u thi t h i do t i ph m gây ra. iu này ưc g i là an ninh thông tin. Di n t m t cách ơ n gi n, an ninh thông tin là vi c nh n bi t giá tr c a thông tin và b o v nó. 19
20. 4R trong an ninh thông tin B 4R trong an ninh thông tin ó là Right Information (thông tin úng), Right People (con ng ưi úng), Right Time (th i gian úng) và Right Form (nh d ng úng). Ki m soát toàn b 4R này là cách th c t t nh t ki m soát và duy trì giá tr c a thông tin. Hình 1. 4R trong an ninh thông tin Duy trì s úng n và tính Ch sn sàng i v i y ca thông tin nh ng ai ưc c p quy n Giá tr thông tin Cung c p thông tin theo Truy c p và s d ng theo mt nh d ng chu n nhu c u “Right Information” th hi n s úng n và tính ch t y ca thông tin, m b o tính toàn v n c a thông tin. “Right People” có ngh a là thông tin ch s n sàng i v i nh ng ng ưi ưc c p quy n, m b o tính bí m t c a thông tin. “Right Time” th hi n kh n ng có th truy c p và tính kh d ng c a thông tin theo yêu c u c a th c th có th m quy n. iu này m b o tính s n sàng c a thông tin. “Right Form” th hi n vi c cung c p thông tin theo m t nh d ng chu n. b o m an ninh thông tin, mô hình 4R ph i ưc áp d ng m t cách úng n. iu này có ngh a là tính bí m t, tính toàn v n và tính s n sàng cn ưc giám sát trong quá trình qu n lý thông tin. 20
21. An ninh thông tin c ng yêu c u s am hi u rõ ràng v giá tr c a tài s n thông tin, cng nh ư kh n ng b xâm ph m và nh ng m i e d a t ươ ng ng. Vn này ưc bi t n nh ư công tác qu n lý r i ro. Hình 2 th hi n s t ươ ng quan gi a tài s n thông tin và r i ro. Hình 2. M i t ư ng quan gi a r i ro và tài s n thông tin Khai thác Mi e d a Kh n ng b t n công Bo v Tng lên Khai thác ch ng l i Tng lên Gi m i Qu n lý Ri ro Tài s n òi h i Có Tng lên a ra b i Yêu c u Giá tr tài s n an ninh Ri ro ưc xác nh thông qua giá tr tài s n, các m i e d a và kh n ng b xâm ph m. Công th c nh ư sau: Ri ro = ∫ (Giá tr tài s n, Các m i e d a, Kh n ng b xâm ph m) Ri ro t l thu n v i giá tr tài s n, các m i e d a và kh n ng b xâm ph m. Do ó, ri ro có th b t ng lên hay gi m i thông qua vi c thay i quy mô giá tr tài s n, các m i e d a và kh n ng b xâm ph m. iu này có th th c hi n thông qua công tác qu n lý r i ro. Các ph ươ ng pháp qu n lý r i ro bao g m: Thu hp r i ro (gi m nh r i ro) – Ph ươ ng pháp này ưc th c hi n khi kh n ng x y ra c a các m i e d a/kh n ng b xâm h i cao nh ưng tác ng c a chúng th p. Nó òi h i s am hi u các m i e d a và kh n ng b xâm ph m là 21
22. gì, thay i hay gi m thi u chúng, và vi c tri n khai m t bi n pháp i phó. Tuy vy, vi c thu hp r i ro không làm gi m giá tr c a r i ro t i m c ‘0’. Ch p nh n r i ro – Ph ươ ng pháp này ưc th c hi n khi kh n ng x y ra c a các m i e d a/kh n ng b xâm h i th p và nh h ưng c a chúng có v th p ho c có th ch p nh n ưc. Di chuy n r i ro – Nu r i ro m c quá cao ho c t ch c không có kh nng chu n b các gi i pháp ki m soát c n thi t thì r i ro có th ưc di chuy n ra bên ngoài t ch c. M t ví d ó là áp d ng m t chính sách b o hi m. Tránh xa r i ro – Nu các m i e doa và kh n ng b xâm ph m có kh nng cao x y ra và tác ng c a chúng c ng m c r t cao thì ph ươ ng pháp t t nh t là tránh xa r i ro, ví d nh ư b ng cách thuê ngoài i ng c ng nh ư trang thi t b x lý d li u. Hình 3 là m t bi u minh h a cho b n ph ươ ng pháp qu n lý r i ro. Trong hình này, góc phân t ư s ‘1’ là Thu hẹp r ủi ro , góc ph n t ư s ‘2’ là Ch ấp nh ận r ủi ro , góc ph n t ư s ‘3’ là Di chuy ển r ủi ro , và góc ph n t ư s ‘4’ là Tránh xa r ủi ro . Hình 3. Các ph ư ng pháp qu n lý r i ro Cao Kh nng 1 4 ca các mi e da/Kh nng b xâm ph m 2 3 Th p Tác ng Cao Nhân t chính trong vi c xem xét l a ch n ph ươ ng pháp qu n lý r i ro thích h p ó là m i quan h chi phi – hi u qu . Công tác phân tích chi phí – hi u 22
23. qu nên ưc ti n hành tr ưc khi thi t l p các ph ươ ng án thu hp r i ro, ch p nh n r i ro, di chuy n r i ro hay tránh xa r i ro. 1.2. Các tiêu chu n cho ho t ng an ninh thông tin Các ho t ng an ninh thông tin không th th c hi n m t cách hi u qu mà thi u m t k ho ch v t ch t và k thu t cng nh ư qu n tr m t cách ng b . Nhi u t ch c có nh ng tiêu chu n khuy n ngh cho các ho t ng an ninh thông tin. Tiêu bi u là các yêu c u an ninh thông tin c a y ban K thu t chung (ISO/IEC) gi a T ch c Tiêu chu n hóa Qu c t (International Organization for Standardization - ISO) và Hi ng K thu t in Quc t (International Electrotechnical Commission - IEC); các tiêu chu n ánh giá CISA (Certified Information Systems Auditor) và CISSP (Certified Information Systems Security Professional) c a Hi p h i iu hanh và Ki m toán h th ng thông tin ISACA (Information Systems Audit and Control Association). Các tiêu chu n này khuy n ngh cho các ho t ng an ninh thông tin ng nh t, nh ư xây dng m t chính sách an ninh thông tin, xây d ng và iu hành m t t ch c an ninh thông tin, qu n lý ngu n nhân l c, qu n lý an ninh các y u t v t ch t, qu n lý an ninh các y u t k thu t, qu n lý ho t ng kinh doanh liên t c và ki m toán h th ng. Bng 2 li t kê các tiêu chu n liên quan t i l nh v c an ninh thông tin. Bng 2. Các tiêu chu n liên quan và ph m vi c a an ninh thông tin Ph m vi an ninh ISO/IEC 27001 CISA CISSP thông tin Chính sách an ninh Qu n tr IT Th c ti n qu n lý an ninh Qu n tr iu hành Mô hình và ki n trúc an ninh T ch c v an ninh Qu n tr IT thông tin Qu n lý tài s n Bo v tài s n thông Th c ti n qu n lý an tin ninh An ninh ngu n nhân lc 23
24. Qu n lý các tình Khôi ph c các th m Lp k ho ch khôi hu ng b t ng liên ha và tính liên t c ph c th m h a và l p quan t i an ninh ca công vi c kinh k ho ch duy trì tính thông tin doanh liên t c c a công vi c kinh doanh Qu n lý tính liên t c Khôi ph c các th m Lp k ho ch khôi trong công vi c kinh ha và tính liên t c ph c th m h a và l p doanh ca công vi c kinh k ho ch duy trì tính doanh liên t c c a công vi c kinh doanh S tuân th Quá trình ki m toán Lu t l , công tác iu h th ng thông tin tra và các n i quy An ninh môi tr ư ng An ninh các y u t Các y u t v t ch t và các y u t v t ch t vt ch t Qu n lý iu hành và Qu n lý vòng i c ơ Công ngh mã hóa truy n thông s h t ng và các h An ninh m ng l ư i th ng và truy n thông An ninh iu hành Các y u t k thu t Qu n tr truy nh p Bo trì và phát tri n, H tr và giao phát thu nh n các h th ng dch v IT thông tin Tiêu chu n ISO/IEC27001 1 t p trung vào an ninh qu n tr . C th , nó nh n m nh công tác ki m toán ho t ng và tài li u nh ư hành vi qu n tr và vi c giám sát các quy t c c ng nh ư chính sách/ nh h ưng. Ti p ó, vi c xác nh n và các bi n pháp i phó ưc yêu c u ư a ra b i nhà qu n tr . Do v y, ISO/IEC27001 c g ng xác nh nh ng im y u trong trang thi t b , các h th ng an ninh và nh ng y u t t ươ ng t trong m t ưng l i qu n tr . Ng ưc l i, không có c p nào v an ninh các y u t v t ch t và ngu n nhân l c trong CISA 2. CISA t p trung vào các ho t ng ki m toán và qu n tr 1 ISO, “ISO/IEC27001:2005,” csnumber =42103. 2 Xem ISACA, “Standards for Information Systems Auditing,” CISA_Certification&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=16&ContentID=19566. 24
25. h th ng thông tin. Theo ó, vai trò c a ki m toán viên và hi u qu c a quá trình ki m toán ưc xem là r t quan tr ng. CISSP 3 thì ch y u t p trung và an ninh các y u t k thu t. Nó nh n mnh công tác s p x p và iu hành trang thi t b nh ư các h th ng máy tính và máy ch . Bài t p 1. ánh giá m c nh n th c v an ninh thông tin c a các thành viên trong ơ n v b n. 2. Các bi n pháp an ninh thông tin ưc th c hi n trong ơ n v c a bn là gì? Phân lo i các bi n pháp này theo nh ng tiêu chí c a 4 ph ươ ng pháp an ninh thông tin. 3. Cho ví d v các bi n pháp an ninh thông tin theo các l nh v c qu n tr iu hành, các y u t v t ch t và k thu t trong t ch c ca b n ho c t i các t ch c khác trong vùng hay qu c gia b n sng. Các thành viên tham d khóa h c có th làm bài t p theo nhóm. N u các thành viên n t nhi u qu c gia khác nhau, vi c phân nhóm có th ti n hành theo m i qu c gia. T ki m tra 1. Thông tin khác v i các tài s n khác nh ư th nào? 2. Ti sao an ninh thông tin liên quan t i m t chính sách? 3. Các cách th c m b o an ninh thông tin là gi? Phân bi t các ph ươ ng pháp ti n hành an ninh thông tin. 4. Phân bi t s khác nhau gi a ba ph m vi an ninh thông tin (qu n tr iu hành, các y u t v t ch t, các y u t k thu t). 3 Xem (ISC)², “CISSP® - Certified Information Systems Security Professional,” 25
26. 2. CÁC NH H NG VÀ XU H NG AN NINH THÔNG TIN Ph n này nh m m c ích: . Gi i thi u các m i e d a i v i an ninh thông tin; và . Miêu t các bi n pháp i phó ch ng l i các m i e d a này. 2.1. Các ki u t n công an ninh thông tin Thâm nh p trái phép (Hacking) Hacking là m t hành ng truy c p t i m t máy tính ho c m ng máy tính nh m giành ưc hay ch nh s a thông tin mà không có s cho phép h p pháp. Hacking có th ưc phân lo i thành hình th c thâm nh p mang tính tiêu khi n, t i ph m hay mang tính chính tr , tùy thu c vào m c ích c a cu c t n công. Hacking mang tính tiêu khi n là vi c thay i trái phép các ch ươ ng trình hay d li u m t cách ơ n gi n nh m th a mãn s tò mò c a tin t c (hacker). Hacking mang tính ch t t i ph m ưc s d ng trong ho t ng gian l n và gián ip. Hacking mang tính chính tr là hình th c can thi p vào các website qu ng bá nh ng thông ip chính tr không ưc phép. 4 Gn ây, hacking ngày càng g n li n v i kh ng b m ng và chi n tranh mng, to ra m t m i e d a l n i v i an ninh qu c gia. T ch i d ch v (DoS) Tn công t ch i d ch v ng n ch n ng ưi dùng h p pháp s d ng m t dch v nào ó trong khi k ph m t i giành quy n truy nh p t i h th ng máy móc ho c d li u. Tình hu ng này x y ra khi k t n công “làm tràn” m t h th ng m ng v i kh i l ưng l n d li u ho c c ý chi m d ng ngu n tài nguyên gi i h n, nh ư vi c ch n ng kh n ng ki m soát ti n trình hay xp hàng ch 4 Suresh Ramasubramanian, Salman Ansari and Fuatai Purcell, “Governing Internet Use: Spam, Cybercrime and e-Commerce,” in Danny Butt (ed.), Internet Governance: Asia-Pacific Perspectives (Bangkok: UNDP-APDIP, 2005), 95, 26
27. các k t n i m ng. Ho c chúng có th phá h ng các thành ph n v t lý trong m ng lưi thao túng d li u trong quá trình truy n ư a, k c d li u ã ưc mã hóa. 5 Chi n tranh m ng gi a M và Trung Qu c Mt nhóm tin t c có tên PoizonBox t i M ã b bu c t i xóa s h ơn 350 website c a Trung Qu c trong vòng 1 tháng. Nhóm này c ng b cho là ã t n công 24 website Trung Qu c, trong ó có website c a 8 t ch c chính ph Trung Hoa, ngày 30/4/2001. Các tin t c Trung Qu c sau ó ã tuyên b Cu c chi n tranh m ng l n th 6 v i B Qu c Phòng và ánh vào các website M t 30/4 – 1/5/2001, trong ó có website c a các t ch c chính ph M . Các cu c t n công ã khi n Lu n m góc ph i nâng tình tr ng an ninh các h th ng máy tính c a mình t INFO-CON NORMAL lên INFO-CON ALPHA. Ngày 1/5/2001, Trung tâm B o v H t ng qu c gia c a C c iu tra Liên Bang ư a ra c nh báo r ng tin t c Trung Qu c ã t n công website c a các công ty và chính ph M . Sau cu c chi n tranh m ng này, M nh n ra r ng các hi m h a in t (gi ng nh ư hacking) có th là nguyên nhân gây ra nhi u thi t h i cho các t ch c chính ph M và sau ó ã t ng c ưng kh n ng phòng th ch ng l i các m i e d a m ng thông qua vi c nâng m c ngân sách tài chính cho an ninh thông tin và c i thi n chính sách thông tin bên trong các t ch c chính ph . Ngu ồn: Attrition.org, “Cyberwar with China: Self-fulfilling Prophecy” (2001), war.html. 5 ESCAP, “Module 3: Cyber Crime and Security,” use-for-business-development/module3-sources.asp. 27
28. Kh ng b m ng ch ng l i Estonia Ngày 4/5/2007 t i th ph c a Estonia, cu c di d i ài t ưng ni m c a Liên bang Xô Vi t t trung tâm thành ph t i m t ngh a trang quân i ã kích ng cu c t n công kh ng b m ng kéo dài ba tu n ch ng li Estonia, trong ó có t n công t ch i d ch v DoS v i kho ng 1 tri u máy tính. Website và m ng máy tính c a ph t ng th ng, Qu c hi Estonia, nhi u c ơ quan chính ph , ng c m quy n, báo chí và ngân hàng b ánh s p. Th m chí m ng không dây c ng là m c tiêu ca cu c t n công. Sau ó, Estonia ã tìm ra v trí c a k t n công n m t i m t t ch c chính ph c a Nga. Chính ph Nga ã ph quy t cáo bu c này. Khi cu c t n công kh ng b m ng x y ra, Estonia không th i phó ngay l p t c do thi u m t i ph n ng nhanh và không có chính sách an ninh thông tin. Ngu ồn: Beatrix Toth, “Estonia under cyber attack” (Hun-CERT, 2007), Mã c (Malicious code) Mã c ưc hi u là các ch ươ ng trình có th gây ra nh ng h ư h i cho m t h th ng khi ưc th c thi. Virus, sâu worm và Trojan là các lo i c a mã c. Virus máy tính là m t ch ươ ng trình hay mã l p trình gây h ư hai cho d li u và h th ng máy tính b ng cách t tái t o thông qua b n sao chép ban u ti m t ch ươ ng trình, phân vùng kh i ng máy tính hay tài li u khác. Sâu máy tính là m t lo i virus có kh n ng t tái t o mà không làm bi n i t p tin (file) nh ưng nó th ưng trú trong b nh chính, s d ng m t ph n h iu hành, vô th c và th ưng vô hình i v i ng ưi dùng. Vi c không ki m soát ưc s nhân b n c a chúng dân t i tiêu t n tài nguyên h th ng, gây ch m ho c tc ngh n các tác v khác. Trojan là m t ch ươ ng trình mà s xu t hi n c a nó là h u ích và/ho c vô hi, nh ưng th t ra nó có m t ch c n ng nguy hi m nh ư các ch ươ ng trình n t ng t i d li u lên ho c các on mã l nh khi n cho m t h th ng có th b t n công, xâm ph m. 28
29. Cu c kh ng b Internet 1.25 t i Hàn Qu c Ngày 25/01/2003, m t virus máy tính có tên “Slammer worm” ã gây ra s c ng t các k t n i Internet trên toàn qu c t i Hàn Qu c. S c này r t cu c kéo dài h ơn 9 gi ng h , ưc xác nh nguyên nhân là do d ch v máy ch tên mi n(DNS) b ánh s p b i sâu máy tính. Hu qu c a s c khi n th tr ưng mua bán tr c tuy n b thi t h i mt kho n ưc tính 200.000 – 500.000 USD và t ng giá tr giao dch tr c tuy n b th t thoát lên t i 22,5 t USD. K t qu báo cáo cho th y thi t h i do Slammer worm gây ra l n h ơn c thi t h i gây bi virus CodeRed và Nimda vì n n nhân ch là nh ng ng ưi dùng bình th ưng. Cu c kh ng b Internet ã thúc y chính ph Hàn Qu c thông qua công tác qu n lý toàn di n i v i các nhà cung c p d ch v Internet (ISP) và Công ty an ninh thông tin (Information Security Company). Các h th ng an ninh thông tin và b o v h t ng thông tin ã ưc thi t l p, và m t ban hay ơ n v an ninh thông tin ưc xây d ng trong m i t ch c. Ki n trúc xã h i (Social engineering) Thu t ng “ki n trúc xã h i” dùng ch m t b k thu t ưc s d ng lôi kéo ng ưi dùng trong vi c bày t , chia s các thông tin mang tính bí m t. Mc dù nó c ng t ươ ng t nh ư m t th on hay s gian l n ơ n gi n, hình th c in hình này ưc áp dng thu thu t thông tin hay truy nh p h th ng máy tính. Trong h u h t các tr ưng h p, k t n công không bao gi i m t v i nn nhân. Tn công l a o (Phishing) Phishing là hành ng l y c p thông tin cá nhân thông qua Internet nh m mc ích l a g t tài chính, ây là m t ví d c a Social engineering. Phishing ngày càng tr thành m t ho t ng t i ph m quan tr ng trên m ng Internet. 29
30. V t n công Ngân hàng Th y S ưc bi t n là v n c p tr c tuy n “l n ch ưa t ng có” Ngày 19/01/2007, ngân hàng Th y S Nordea b t n công b ng hình th c l a o tr c tuy n phishing. Cu c t n công b t u t mt Trojan t t o ưc g i d ưi danh ngh a c a ngân hàng t i m t s khách hàng. Ng ưi g i khuy n khích khách hàng t i m t ng d ng “ng n ch n th ư rác”. Ng ưi dùng t i v t p tin ính kèm có tên ranking.zip ho c ranking.exe ã b nhi m Trojan ưc bi t n là haxdoor.ki b i m t s công ty b o m t. Th c ch t haxdoor ã cài t trình theo dõi thao tác bàn phím keylogger ghi l i nh ng thông tin ánh c p và có kh n ng t n mình nh s d ng công c rootkit ( là công c ụ ph ần m ềm do k ẻ xâm nh ập đư a vào máy tính nh ằm m ục đích cho phép mình quay l ại xâm nh ập máy tính đó và dùng nó cho các m ục đích x ấu mà không b ị phát hi ện). Các bi n k .ki c a Trojan ưc kích ho t khi khách hàng ng nh p vào trang (site) tr c tuy n c a ngân hàng Nordea. Khách hàng b chuy n t i m t trang ch gi m o, n ơi h in các thông tin ng nh p quan tr ng, k c s l n ng nh p. Sau khi khách hàng in thông tin, m t thông báo l i xu t hi n, thông báo v i h r ng site ang g p ph i các s c k thu t. K ph m t i sau ó s d ng thông tin chi ti t c a khách hàng thu ưc trên website th t c a ngân hàng Nordea rút ti n t tài kho n khách hàng. Khách hàng c a Nordea b l a o b ng e-mail có ch a Trojan trong hơn 15 tháng. 250 khách hàng ph n ánh b nh h ưng v i t ng thi t hi ưc tính kho ng 7 – 8 tri u krona Th y S (7.300 – 8.300USD). Tình hu ng này minh ch ng r ng t n công m ng có th nh h ưng ti c các công ty tài chính có m c b o m t cao. Ngu ồn: Tom Espiner, “Swedish bank hit by ‘biggest ever’ online heist,” ZDNet.co.uk (19 January 2007), 39285547,00.htm. 30
31. 2.2. Xu h ưng c a các m i hi m h a an ninh thông tin 6 Mt ho t ng quan tr ng trong công tác b o m an ninh thông tin là phân tích xu h ưng c a hi m h a an ninh. iu này h ưng t i vi c tìm ki m các mô hình hi m h a an ninh theo tr t t th i gian nh n bi t cách th c chúng thay i và phát tri n, xoay theo m t chi u h ưng m i hay chuy n i. Quá trình liên t c thu th p, liên k t thông tin và phát tri n các c tr ưng i kèm này ưc th c hi n có th lưng tr ưc các nguy c ơ t ươ ng t ho c có th ng th i chu n b nh ng i sách phù h p i phó v i nh ng hi m h a ó. Nh ng t ch c th c hi n vi c phân tích xu h ưng các m i hi m h a an ninh thông tin và chia s các báo cáo hi m h a an ninh thông tin g m có: • CERT ( • Symantec ( • IBM ( Dưi ây là mô t v các xu h ưng hi m h a an ninh thông tin ã ưc báo cáo: Các công c tn công t ng 7 Ngày nay, nh ng k xâm nh p s d ng các công c t ng cho phép chúng có th thu th p thông tin c a hàng ngàn máy ch l ưu tr Internet (host) mt cách d dàng và nhanh chong. H th ng m ng có th b quét t m t v trí xa và v i các host ưc nh n nh là có im y u s s d ng nh ng công c t ng này. K xâm nh p ghi l i nh ng thông tin cho m c ích s d ng sau này, chia s ho c giao d ch v i nh ng k xâm nh p khác ho c có th t n công ngay lp t c. Mt s công c (nh ư Cain&Abel) t ng th c hi n m t lo t nh ng t n công nh nh m t i m t m c tiêu tng th . Ví d , k xâm nh p có th s d ng mt ch ươ ng trình nghe tr m gói tin (packet sniffer) l y m t kh u c a router ho c firewall, ng nh p vào firewall vô hi u hóa b l c (filter), và sau ó s dng m t d ch v t p tin m ng c d li u trên máy ch . 6 ưc trích t Tim Shimeall and Phil Williams, Models of Information Security Trend Analysis (Pittsburgh: CERT Analysis Center, 2002), 7 ưc trích t CERT, “Security of the Internet,” Carnegie Mellon University, 31
32. Các công c t n công khó phát hi n Mt s công c t n công s d ng mô hình t n công ki u m i mà không b phát hi n b i các công c dò tìm hi n t i. Ví d , các k thu t anti – forensic ưc s d ng che d u hay n i b n ch t c a nh ng công c t n công. Các công c a d ng thay i hình th c theo m i l n chúng ưc s d ng. M t vài công c này s d ng các giao th c chung nh ư giao th c truy n t i siêu v n b n (HTTP) khi n cho khó có th phân bi t chúng v i giao d ch m ng h p pháp. 8 Sâu MSN Messenger là m t ví d in hình cho tình hu ng này. Sâu trong trình nh n tin nhanh (IM) MSN Messenger gi t i các danh b trong s a ch c a ng ưi b nhi m mt t p tin ưc thi t k xâm nh p vào h th ng sau khi ư a ra c nh báo l n u r ng h nh n nh n m t t p tin. Các hành ng trên trình IM ca ng ưi s d ng b b t ch ưc, gây ra s hoang mang. 9 Khôi ph c nhanh h n các kh n ng b t n công Hàng n m, s l ưng các s n ph m ph n m m khôi ph c kh n ng b t n công m i ưc báo cáo ti Trung tâm i ng s c máy tính Computer Emergency Response Team Coordination Center (CERT/CC) nhi u h ơn g p ôi, gây khó kh n cho các nhà qu n tr trong vi c c p nh t các b n vá (patch). Nh ng k xâm nh p bi t iu ó và chi m l i th .10 Mt s k xâm nh p ti n hành t n công zero-day ho c zero-hour (l h ng ch ưa ưc công b ), theo ó m t máy tính có nguy c ơ b khai thác qua các ng d ng có kh n ng b t n công mà không có b n vá hay s b o v b i chúng ch ưa ưc phát hi n b i nhà qu n tr .11 S gia t ng hi m h a b t i x ng và s h i t các ph ư ng th c t n công Hi m h a b t i x ng là m t tình hu ng mà trong ó k t n công có li th v ưt trên c kh n ng ch ng . S l ưng các m i hi m ho b t i x ng gia tng cùng v i kh n ng t ng hóa c a s phát tri n hi m h a c ng nh ư tính ch t tinh vi c a các công c t n công. 8 Suresh Ramasubrahmanian et al., op. cit., 94. 9 Munir Kotadia, “Email worm graduates to IM,” ZDNet.co.uk (4 April 2005), security/0,1000000189,39193674,00.htm. 10 Suresh Ramasubrahmanian et al., op. cit. 11 Wikipedia, “Zero day attack,” Wikimedia Foundation Inc., 32
33. S h i t các ph ươ ng th c t n công th hi n s th ng nh t các cách th c tn công khác nhau c a k th c hi n nh m t o ra h th ng m ng toàn c u nh m h tr cho ho t ng phá h i ưc s p x p. Mt ví d là Mpack, ây là Trojan ưc cài t lên máy tính c a ng ưi dùng thông qua vi c giao ti p v i các máy ch Mpack. K t n công t o ra các giao d ch t i nh ng máy ch này b ng cách phá h i các website chính th c vì th nh ng khách vi ng th m website này s ưc chuy n h ưng t i máy ch Web gi m o, ho c b ng cách g i ưng liên kt (link) t i máy ch Web gi m o thông qua các thông ip th ư rác (spam). Nh ng máy ch Web gi m o này s chuy n h ưng trình duy t c a ng ưi dùng ti các máy ch Mpack. 12 S gia t ng các nguy c t n công c s h t ng Tn công c ơ s h t ng là nh ng t n công có nh h ưng sâu r ng t i các thành ph n ch ch t c a m ng Internet. Chúng là m i quan tâm b i s l ưng các t ch c và ngưi s d ng Internet c ng nh ư s gia t ng tính ph thu c i v i Internet ca h trong vi c th c hi n các ho t ông kinh doanh hàng ngày. Hu qu c a các cu c t n công c ơ s h t ng v i hình th c DoS, làm thi t h i các thông tin nh y c m, phát tán tin t c sai và làm ch ch i áng k các ngu n l c t nh ng nhi m v khác. Botnet là m t ví d v t n công c ơ s h t ng. Thu t ng botnet dùng ch m t nhóm các máy tính nhi m c b iu khi n t xa b i m t máy ch iu lnh (command control server). Các máy tính b nhi m c s phát tán sâu và Trojan thông qua h th ng m ng. Th ư rác nhanh chóng t ng lên do s d ng botnet. Th ư rác là nh ng thông ip không mong mu n có s l ưng l n có th ưc g i thông qua e-mail, tin nh n, các ng c ơ tìm ki m, blog và th m chí là qua in tho i di ng. Hình 4 cho th y xu h ưng gia t ng l ưng th ư rác. 12 Symantec, Symantec Internet Security Threat Report: Trends for January–June 07, Volume XII (September 2007), 13, whitepaper_internet_security_threat_report_xii_exec_summary_09_2007.en-us.pdf. 33
34. Hình 4. Hi n tr ng th ư rác Th rác nh n c m i ngày Tng s S li u i chi u n n Tin nh Nm 34
35. i phó v i Botnet gi m thi t h i do botnet gây ra, Liên minh vi n thông qu c t (ITU) khuy n ngh m t s k t h p gi a chính sách, công ngh và ph ươ ng pháp lu n mang tính xã h i. V chính sách: Các quy t c và lu t t i ph m m ng, ch ng th ư rác có hi u qu . Xây d ng n ng l c gi a các i t ưng n m gi chính sách có liên quan . Khuôn kh toàn di n cho các ho t ng và h p tác qu c t . Nh t quán gi a pháp ch v t i ph m m ng và s riêng t ư . Khuôn kh cho vi c thi hành t i ơ n v v gi m thi u t i ph m mng và botnet V k thu t: Các k thu t và công c nh n di n c ng nh ư thu th p thông tin v nh ng botnet th c s . Nh ng bài th c hành t t nh t cho ISP gi m thi u các ho t ng botnet . Nh ng bài th c hành t t nh t cho cán b ào t o và c ơ quan ng ký gi m thi u các ho t ng botnet . Xây d ng n ng l c cho các nhà cung c p giao d ch tr c tuy n và th ươ ng m i in t V xã h i: Sáng ki n ào t o r ng rãi v an ninh và an toàn Internet . To iu ki n thu n l i v các truy nh p ICT b o m cho ng ưi dùng B công c PTF ITU SPAM là m t gói gi i pháp toàn di n giúp các nhà ho ch nh chính sách, nhà qu n lý và các doanh nghi p trong vi c iu ch nh chính sách và khôi ph c tính riêng t ư i v i e-mail. B công c này c ng khuy n ngh vi c chia s thông tin gi a các qu c gia nh m ng n ch n nh ng s c mang t m qu c t . 35
36. Thay i m c ích t n công Tr ưc ây, các cu c t n công m ng và máy tính th ưng x y ra vì tính hi u k hay t th a mãn b n thân. Ngày nay, m c ích t n công th ưng là vì ti n b c, vu kh ng và phá ho i. Hơn n a, nh ng ki u t n công này ch th hi n cho m t ph n nh trong ph m vi r ng l n c a t i ph m m ng. Ti ph m m ng là hình th c phá ho i có ch ý, ánh s p hay làm sai l ch d li u s ho c các lu ng thông tin vì các nguyên nhân chính tr , kinh t , tôn giáo hay h t ư t ưng. Hu h t các hình th c t i ph m ph bi n bao g m xâm nh p trái phép, t ch i d ch v , mã c và ki n trúc xã h i. Gn ây, t i ph m mng ã tr thành m t ph n c a kh ng b m ng và chi n tranh m ng v i các tác hi t i an ninh qu c gia. Bng 3 d ưi ây cho th y nh ng gì mà th ph m c a t i ph m m ng ki m ưc. Bng 3. Th ng kê t t i ph m m ng n m 2007 Tài s n nh giá (b ng USD) Chi tr cho m i l n cài t qu ng cáo duy 30 cents t i M , 20 cents t i Canada, 10 nh t cents t i Anh, 2 cents t i nh ng n ơi khác Gói ph n m m gây h i (Malware), phiên 1.000USD – 2.000USD bn c ơ b n Gói ph n m m gây h i (Malware) v i Giá c không c nh v i m c kh i u dch v i kèm 20USD Cho thuê b th thu t phá ho i (Exploit 0,99USD – 1USD kit) trong 1 gi Cho thuê b th thu t phá ho i (Exploit 1,60USD – 2USD kit) trong 2,5 gi i Cho thuê b th thu t phá ho i (Exploit 4USD, có th nhi u h ơn kit) trong 5 gi Trojan ánh c p thông tin mà không b 80USD, có th nhi u h ơn 36
37. phát hi n Tn công DoS phân tán 100USD/ngày 10.000 máy tính b nhi m c 1.000USD ánh c p tài kho n tín d ng ngân hàng Giá c không c nh v i m c kh i u 50USD 1 tri u a ch e-mail m i thu th p ư c 8USD tr lên, ph thu c vào ch t l ư ng (không ki m nh) Ngu ồn: Trend Micro, 2007 Threat Report and Forecast (2007), 41, AL.pdf 2.3. Ci thi n an ninh, b o m t Do xu h ưng v các m i e d a an ninh và các công ngh t n công, phòng th m nh m òi h i m t chi n l ưc linh ho t, cho phép thích ng v i môi tr ưng thay i, các th t c và chính sách rõ ràng, vi c s d ng các công ngh bo m t thích h p, và c nh giác không ng ng. Mt iu h u ích ó là b t u ch ươ ng trình c i ti n b o m t b ng vi c xác nh hi n tr ng an ninh. Không th thi u i vi m t ch ươ ng trình b o m t là các tài li u v chính sách và th t c, c ng nh ư công ngh h tr cho vi c th c hi n. Qu n tr an ninh Qu n tr an ninh bao g m m t chi n l ưc an ninh thông tin, chính sách và các ưng l i ch o. Mt chi n l ưc an ninh thông tin t ra nh h ưng cho t t c các ho t ng an ninh thông tin. Mt chính sách an ninh thông tin là m t tài li u k ho ch m c cao cho an ninh thông tin c a toàn b t ch c. Nó cung c p m t khuôn kh cho vi c ra các quy t nh, nh ư m t k ho ch an ninh v t lý và qu n tr . 37
38. Bi m t chính sách an ninh thông tin có quan im dài h n, nó nên tránh c p n m t công ngh nh t nh, và bao hàm s phát tri n k ho ch ho t ng liên t c hi u qu . ưng l i ch o an ninh thông tin ưc xây d ng d a trên chính sách và chi n l ưc an ninh thông tin. ưng l i ch o s ch rõ các quy t c cho m i lnh v c liên quan n an ninh thông tin. Và do ưng l i ch o phi bao hàm toàn di n trên ph m vi qu c gia, chúng ph i ưc phát tri n và ư a ra b i chính ph , ưc th c hi n b i các t ch c. Các tiêu chu n an ninh thông tin ph i ưc chuyên bi t hóa và c th do ó chúng có th ưc áp d ng cho t t c các l nh v c an ninh thông tin. Mt iu thu n l i cho m i qu c gia phát tri n các tiêu chu n sau khi phân tích các tiêu chu n an ninh k thu t, v t lý và qu n tr thì chúng ưc s d ng r ng rãi trên toàn th gi i. Các tiêu chu n s ưc dành riêng cho môi tr ưng ICT ang ph bi n. Chi n l ưc, chính sách và ưng l i ch o an ninh thông tin c a m t qu c gia s tuân th quy t c có liên quan. Ph m vi c a chúng s n m cho ranh gi i c a các lu t l qu c t và qu c gia. Ti n trình và s v n hành an ninh thông tin Mt khi các ưng l i, chính sách và chi n l ưc an ninh thông tin ưc xây d ng, các ti n trình và th t c v n hành an ninh thông tin c ng s c n ưc xác nh. Bi k ph m t i t n công vào thông tin hay k h thông tin n i b , do ó qu n lý ngu n nhân l c là y u t quan tr ng nh t trong v n hành an ninh thông tin. Do ó c n chú ý nh ng v n sau ây: 1. Ch ươ ng trình giáo d c và ào t o v an ninh thông tin – Có nhi u ph ươ ng pháp c i thi n m c an ninh thông tin c a m t t ch c tuy nhiên giáo dc và ào t o là nh ng ho t ng c ơ b n. Các thành viên c a m t t ch c ph i ánh giá úng nhu c u i v i an ninh thông tin và t ưc các k n ng liên quan thông qua quá trình ào t o. Tuy nhiên, iu quan tr ng là phát tri n nhi u các ch ươ ng trình t i a hóa s tham gia b i vì các ch ươ ng trình giáo d c, ào t o v an ninh thông tin ưc tiêu chu n hóa có th không hi u qu . 38
39. 2. Tng c ưng các ho t ng xúc ti n thông qua r t nhi u s ki n – S tham gia c a ng ưi lao ng có vai trò quan tr ng i v i vi c th c hi n thành công ưng l i ch o, chính sách và chi n l ưc an ninh thông tin. An ninh thông tin s ưc y m nh trong i ng ng ưi lao ng thông qua các ho t ng hàng ngày. 3. Bo m trách nhi m c a ng ưi ng u – Trong khi ng ưi lao ng có th có nh n th c cao v an ninh thông tin và h có quy t tâm ln duy trì an ninh thông tin thì r t khó m b o an ninh thông tin mà không có s h tr t c p lãnh o cao nh t trong t ch c. Cn ph i có ưc s ng h t Ch t ch H i ng qu n tr (Chief Executive Officer) và Giám c Công ngh thông tin (Chief Information Officer). An ninh v m t công ngh Có r t nhi u công ngh ã ưc phát tri n giúp các t ch c b o m cho h th ng thông tin c a mình ch ng l i nh ng k xâm nh p. Nh ng công ngh này giúp cho thông tin và các h th ng có th ch ng l i các cu c t n công, dò tìm các ho t ng nghi ng và b t th ưng, ng th i i phó nh ng v n phát sinh ưc coi là an ninh hi u qu . Các h th ng an ninh ngày nay ưc thi t k và phát tri n d a trên mô hình Phòng th ủ theo chi ều sâu DID (Defense In Depth) d n t i vi c qu n lý ng b nh ng công ngh liên quan. Mô hình này khác v i mô hình phòng th vành ai, ch có m t l p phòng th ch ng l i các hi m h a. Mô hình DID bao gm vi c ng n ng a, dò tìm và ch ng ch u l i, v i các m i hi m h a ưc gi m bt theo m i pha (Hình 5). Hình 5. Mô hình phòng th theo chi u sâu DID 39
40. Ch ng ch u Dò tìm Ng n ng a li Tn công Phòng th ng/Linh ho t Tng b o v và ch ng suy gi m Ngu ồn: Defense Science Board, Protecting the Homeland: Defensive Information Operations 2000 Summer Study Volume II (Washington, D.C.: Defense Science Board, 2001), 5, Công ngh ng n ng a (Prevention Technology) Các công ngh ng n ng a b o v ch ng l i nh ng k t n công và các m i hi m h a v l ưu tr hay c p h th ng. Nh ng công ngh này bao g m: 1. Mt mã (Cryptography): Cng ưc xem là mã hóa, m t mã là m t quá trình d ch thông tin t nh d ng g c (d ưi hình th c v n b n – plaintext) thành nh d ng ưc mã hóa, khó hi u ( ưc g i là v n b n m t mã – ciphertext). Gi i mã ưc hi u là quá trình tác ng vào ciphertext và dch ng ưc nó tr l i thành plaintext. Mt mã ưc s d ng b o v r t nhi u ng d ng. Thông tin v m t mã và các công ngh liên quan (IPSec, SSH, SSL, VPN, OTP, ) có th tìm th y nhi u h ơn t i các trang web sau: - IETF RFC ( - RSA Laboratories’ Frequently Asked Questions About Today’s Cryptography (http:// www.rsa.com/rsalabs/node.asp?id=2152) 2. Mt kh u s d ng 1 l n (One-time passwords - OTP): Nh ư tên g i, OPT ch có th s d ng ưc m t l n. Mt kh u t nh có th d b truy nh p h ơn thông qua các k thu t ánh c p m t kh u (password loss), ánh h ơi m t kh u (password sniffing), b khóa m t kh u b ng thu t toán “vét c n” (brute-force password cracks) và các hình th c t ươ ng t . Hi m h a này có th ưc gi m i r t nhi u nh vi c thay i m t kh u m t cách liên t c, 40
41. nh ư ưc th c hi n v i OTP. Vì lý do này, OTP ưc s d ng m bo cho các giao d ch tài chính in t nh ư d ch v ngân hàng tr c tuy n (online banking). 3. Tưng l a (Firewalls): T ưng l a qu n lý m t s lu ng giao d ch gi a các mng máy tính có các m c tin c y khác nhau nh ư gi a m ng Internet – khu v c không có tin c y, và m t m ng n i b – khu v c có tin c y cao h ơn. Mt khu v c v i m c tin c y trung bình, ưc t v trí gi a m ng Internet và m t m ng n i b tin c y thì th ưng ưc hi u nh ư mt “m ng vành ai” (perimeter network) hay vùng phi quân s (demilitarized zone). 4. Công c phân tích kh n ng b t ng công (Vulnerability analysis tool): Do s gia t ng v s l ưng các ph ươ ng th c t n công c ng nh ư kh n ng b tn công trong nh ng ng d ng thông th ưng, cn ánh giá th ưng xuyên v kh n ng b t n công c a h th ng. Trong an ninh máy tính, m t kh nng b t n công là m t im y u cho phép k t n công xâm ph m h th ng. Các kh n ng b t n công có th là k t qu t nh ng m t kh u y u, li ph n m m, virus máy tính, m t on mã nhi m c, chèn lnh SQL (SQL Injection) hay ph n m m c h i. Các công c phân tích kh n ng b t n công cung c p các d ch v phân tích. Tuy nhiên, nh ng công c này cung c p mi n phí b i c ng ng Internet có th b l i d ng b i k xâm nh p. bi t thêm thông tin, có th xem t i: . INSECURE Security Tool ( . FrSIRT Vulnerability Archive ( . Secunia Vulnerability Archive ( . SecurityFocus Vulnerability Archive ( Các công c phân tích kh n ng t n công m ng l ưi có th s d ng phân tích kh n ng t n công các ngu n tài nguyên m ng nh ư b nh tuy n (router), t ưng l a (firewall) và máy ch (server). Mt công c phân tích kh n ng b t n công máy ch s phân tích nh ng kh n ng nh ư m t kh u y u, cách th c c u hình y u và l i thi t l p quy n cho phép i v i t p tin trong h th ng n i b . Công c phân tích kh n ng b t n công máy ch v t ươ ng i cho chúng ta nhi u k t qu chính xác h ơn công c phân tích kh n ng b t n công m ng l ưi b i vì công c này phân tích nhi u nguy c ơ b t n công h ơn trong h th ng n i b . Công c phân tích kh n ng b t n công Web s phân tích nhng kh n ng tn công c a các d ch v Web nh ư XSS và SQL Injection. bi t thêm thông tin, có th xem tài li u Open Web Application Security Project t i a ch : 41
42. Công ngh dò tìm (Detection Technology) Công ngh dò tìm ưc s d ng phát hi n và l n theo s xâm nh p và nh ng tr ng thái không bình th ưng trong m ng l ưi hay trong các h th ng quan tr ng. Công ngh dò tìm bao g m: Ph n m m ch ng virus (Antivirus): Ph n m m ch ng virus là m t ch ươ ng trình máy tính dùng nh n di n, lo i tr hay làm vô hi u mã c, bao g m sâu máy tính (worm), t n công l a o (phishing), rootkit, Trojan và ph n m m c h i khác (malware). 13 H th ng dò tìm xâm nh p (Intrusion detection system - IDS): M t h th ng IDS s thu th p và phân tích thông tin t r t nhi u khu v c trong m t máy tính hay mt m ng l ưi nh n di n các l h ng an ninh có th xy ra. Ch c n ng dò tìm xâm nh p bao g m phân tích nh ng mô hình ho t ng b t th ưng và kh nng phát hi n ra các mô hình t n công. H th ng ng n ng a xâm nh p (Intrusion prevention system - IPS): Vi c ng n ng a xâm nh p là c g ng phát hi n ra nh ng e d a ti m n ng và i phó l i vi chúng tr ưc khi b s d ng trong các cu c t n công. M t h th ng IPS s giám sát l ưu l ưng m ng l ưi và ư a ra các ho t ng ngay l p t c ch ng l i các mi e d a ti m n ng theo m t t p các quy t c ưc thi t l p b i nhà qu n tr mng. Ví d , h th ng IPS có th khóa l ưu l ưng t m t a ch IP nghi ng .14 Công ngh tích h p (Integration Technology) Công ngh tích h p th c hi n vi c tích h p nh ng ch c n ng quan tr ng i v i an ninh thông tin c a các tài s n c t lõi nh ư d oán, dò tìm và l n theo du v t xâm nh p. Công ngh tích h p bao g m: 1. Qu n tr an ninh t ch c (Enterprise security management - ESM): Mt h th ng ESM th c hi n qu n lý, ki m soát và iu hành gi i pháp an ninh thông tin nh ư m t h th ng IDS và IPS d a trên m t chính sách nh t quán. Nó ưc s d ng t o ra các gi i pháp khác cho nh ng im y u b ng cách s d ng nh ng l i th c a m i gi i pháp an ninh thông tin và t i a hóa hi u qu an ninh thông tin theo m t chính sách nh t quán. Gn ây, các h th ng ESM có th qu n lý nh ng công ngh an ninh hi n có m t cách t ng h p do s thi u h t ngu n nhân l c v n hành các công ngh an ninh, s gia t ng các cu c t n công c p cao h ơn nh ư s h i t các ph ươ ng th c t n công, và s n i lên c a các công c t n công khó có th phát hi n. Vi ESM, hi u qu c a công tác qu n lý ưc nâng lên và các bi n pháp i phó ch ng c ng ưc thi t l p. 13 Wikipedia, “Antivirus software,” Wikimedia Foundation, Inc., 14 SearchSecurity.com, “Intrusion prevention,” TechTarget, 42
43. 2. Qu n tr r i ro t ch c (Enterprise risk management - ERM): ERM là m t h th ng giúp d báo t t c nh ng r i ro liên quan t i t ch c, bao g m các ph m vi bên ngoài c a an ninh thông tin và các bi n pháp c u hình mt cách t ng. Vi c s d ng ERM b o v thông tin òi h i ph i xác nh ưc nh ng m c tiêu chính xác v thi t k và qu n lý r i ro cho s phát tri n c a h th ng. H u h t các t ch c xây d ng và t i ưu các h th ng ERM c a mình thông qua các ơ n v t ư v n an ninh thông tin chuyên nghi p thay vì t mình th c hi n công vi c ó. Câu h i suy ngh 1. Các m i hi m h a an ninh thông tin trong t ch c c a b n có kh nng b t n công là gì? T i sao? 2. Nh ng gi i pháp công ngh an ninh thông tin nào ưc th c hi n trong t ch c c a b n? 3. T ch c c a b n có m t chính sách, chi n l ưc và ưng l i ch o an ninh thông tin hay không? N u có, làm th nào nh ng yu t ó t ươ ng x ng v i các m i e d a mà t ch c c a b n có kh n ng b t n công? N u không, b ng cách nào b n khuy n ngh v chính sách, chi n l ưc và ưng l i ch o an ninh thông tin i v i t ch c c a b n? T ki m tra 1. Ti sao vi c th c hi n phân tích xu h ưng m i e d a an ninh thông tin l i quan tr ng? 2. Ti sao qu n tr ngu n nhân l c l i là y u t quan tr ng nh t trong các ho t ng an ninh thông tin? Nh ng ho t ng ch ch t trong qu n tr ngu n nhân l c i v i an ninh thông tin là gì? 3. Hãy gi i thích mô hình phòng th theo chi u sâu Defense-in-Depth ca an ninh công ngh . Nó ho t ng nh ư th nào? 43
44. 3. CÁC HO T NG AN NINH THÔNG TIN Ph n này nh m m c ích: . ư a ra ví d v các ho t ng an ninh thông tin c a nhi u qu c gia nh m cung c p nh ư m t h ư ng d n trong vi c t o l p chính sách an ninh thông tin; và . Làm n i b t vai trò h p tác qu c t trong vi c tri n khai chính sách an ninh thông tin 3.1. Các ho t ng an ninh thông tin qu c gia Chi n l ưc an ninh thông tin c a M Sau cu c t n công kh ng b ngày 11/9/2001, chính ph M ã thành l p B N i an Hoa K (Department of Homeland Security) nh m t ng c ưng an ninh qu c gia không ch ch ng l i các hi m h a v t lý mà còn i phó v i nh ng m i e d a m ng l ưi. M th c hi n các h at ng an ninh thông tin mang tính toàn di n và hi u qu thông qua h th ng các nhân viên an ninh thông tin (Information Security Officer). Chi n l ưc an ninh thông tin c a M bao gm Chi n l ưc qu c gia cho B N i an (National Strategy for Homeland Security), Chi n l ưc qu c gia v An ninh v t lý i v i nh ng tài s n ch ch t và c ơ s h t ng t i h n (National Strategy for the Physical Security of Critical Infrastructures and Key Assets), và Chi n l ưc qu c gia v Không gian m ng an toàn (National Strategy to Secure Cyberspace). Chi n l ưc qu c gia v Không gian m ng an toàn 15 t ra t m nhìn v an ninh m ng l ưi và b o v các tài s n c ng và c s h t ng t i h n. Nó xác nh các ho t ng và m c tiêu rõ ràng ng n ch n nh ng cu c t n công m ng l ưi nh m vào các tài s n và c ơ s h t ng t i h n. Nm v n ưu tiên ưc xác nh trong Chi n l ưc Không gian m ng an toàn ó là: . H th ng Ph n ng an ninh không gian m ng qu c gia (National Cyberspace Security Response System) . Ch ươ ng trình gi m thi u kh n ng b t n công và e d a i v i an ninh không gian m ng qu c gia (National Cyberspace Security Threat and Vulnerability Reduction Program) 15 The White House, The National Strategy to Secure Cyberspace (Washington, D.C.: The White House, 2003), 44
45. . Ch ươ ng trình ào t o và trang b nh n th c v an ninh không gian m ng qu c gia (National Cyberspace Security Awareness and Training Program) . An ninh không gian m ng các c ơ quan chính ph (Securing Government’s Cyberspace) . Ph i h p an ninh không gian m ng qu c t và an ninh qu c gia (National Security and International Cyberspace Security Cooperation) Si t ch t Lu t An ninh thông tin (Information Security Law) o lu t t ng c ưng An ninh m ng n m 2002 16 (Cyber Security Enhancement Act of 2002 - CSEA) bao g m ch ươ ng 2 c a Lu t An ninh qu c ni (Homeland Security Law). Nó ư a ra s b sung v hình ph t i v i lo i hình t i ph m m ng, ngo i l c a vi c công b tình tr ng kh n c p, nh ng tr ưng h p mang tính thi n chí, ng n c m qu ng cáo trên Internet b t h p pháp, bo v bí m t riêng t ư và nh ng v n khác. Ngo i l c a vi c công b tình tr ng kh n c p (Emergency Disclosure Exception - EDE): Tr ưc ngày 11/9, o lu t v s riêng t ư trong liên l c in t (Electronic Communications Privacy Act - ECPA) c m các nhà cung c p d ch v truy n thông in t (nh ư các ISP) công b các liên l c c a ng ưi dùng (nh ư th ư tho i, e-mail và các t p tin ính kèm). Quy nh EDE cho phép các ISP chia s n i dung c a m t e-mail hay m t liên l c in t v i các c ơ quan thi hành lu t pháp mà không c n m b o tuân theo o lu t Ái qu c M (USA Patriot Act) ưc ban hành sau ngày 11/9/2001. Các quy nh ngo i l v tính ch t công khai trong tr ưng h p kh n c p ã ưc c ng c trong lu t CSEA. Các c ơ quan chính ph nh n n i dung nghi ng ưc yêu c u báo cáo t i B tr ưng T ư pháp (Attorney General) v ngày công khai, các bên liên quan, s nguyên cáo có liên quan c ng nh ư s l ưng liên l c, trong vòng 90 ngày sau khi công b . Ngo i l i v i các tr ưng h p mang tính thi n chí (Good Faith Exception): Lu t CSEA quy nh mi n tr ph m t i và trách nhi m công dân trong tr ưng h p vi c l y thông tin (eavesdropping) ưc yêu c u b i ng ưi ch hay ng ưi iu hành máy tính. Cm qu ng cáo trên Internet i v i các thi t b không ưc phép : ECPA c m vi c s n xu t, phân ph i, chi m gi và qu ng cáo tr c tuy n qua ôi dây, mi ng và các thi t b ch n liên l c in t . Các thi t b l y thông tin h p pháp (eavesdropping devices) có th ưc qu ng cáo. Tuy nhiên, ng ưi qu ng cáo ưc yêu c u bi t các n i dung qu ng cáo. 16 Computer Crime and Intellectual Property Section, SEC. 225. Cyber Security Enhancement Act of 2002 (Washington, D.C.: Department of Justice, 2002), 45
46. Tng s tr ng ph t i v i các ph m t i máy tính : Theo o lu t v Lm d ng và gian l n máy tính (US Computer Fraud and Abuse Act) vi c c ý truy c p vào m t máy tính và gây thi t hi cho nó mà không có s cho phép thì ưc coi là b t h p pháp. Tr ưc ngày 11/9, b t k cá nhân nào b phát hi n là ph m t i này u s b k t án b tù v i m c không h ơn 5 n m trong tr ưng h p ln u ph m t i và không h ơn 10 n m trong tr ưng h ơp ph m t i l n hai. Sau ngày 11/9, s tr ng ph t i v i t i này ã ưc s a l i thành b tù không h ơn 10 n m trong tr ưng h p ph m t i l n u và không h ơn 20 n m i v i tr ưng hp ph m t i l n hai. Các iu kho n ph trong CSEA quy nh r ng m t ng ưi ph m t i có th b k t án tù không nhi u h ơn 20 n m n u ng ưi ph m t i gây ra ho c c g ng gây ra t n h i v th xác nghiêm tr ng; cô ta/anh ta có th b k t án chung thân n u gây ra ho c c g ng gây ra cái ch t. S mi n tr trách nhi m c a nh ng ng ưi h tr : ECPA min tr trách nhi m ph m t i i v i nhà cung c p d ch v thông tin liên l c h tr trong vi c ch n liên l c ho c cung c p thông tin cho các c ơ quan th c thi pháp lu t. o lu t Qu n lý an ninh thông tin Liên bang ( Federal Information Security Management Act - FISMA) 17 : bao g m ch ươ ng 3 c a Lu t chính ph in t (e-Government Act) n m 2002. Lu t này b o v m ng l ưi h t ng qu c gia, và kêu g i t ng c ưng n l c b o v an ninh thông tin cho t t c các công dân, các c ơ quan an ninh qu c gia và c ơ quan th c thi pháp lu t. Các m c tiêu chính c a Qu n lý An ninh thông tin Liên bang ó là: (1) cung c p m t khuôn kh toàn di n cho vi c t ng c ưng hi u qu ki m soát an ninh thông tin i v i các tài s n và ho t ng; và (2) phát tri n các k ho ch ki m soát và duy trì i vi công tác b o v thông tin/các h th ng thông tin, ng th i cung c p m t c ơ ch t ng c ưng qu n lý các ch ươ ng trình an ninh thông tin. Chi n l ưc an ninh thông tin c a Liên minh Châu Âu Trong m t thông báo ư a ra vào tháng 5 n m 2006 18 , y ban Châu Âu mô t chi n l ưc m i c a Liên minh Châu Âu (EU) v an ninh thông tin, bao g m mt s bi n pháp ph thu c l n nhau dính dáng n nhi u bên liên quan. Nh ng bi n pháp này g m có vi c thi t l p m t Khuôn kh iu ti t cho các giao ti p in t (Regulatory Framework for Electronic Communications) n m 2002, k t ni v i sáng ki n i2010 v vi c t o d ng m t Xã h i thông tin Châu Âu (European Information Society), và thành l p C ơ quan An ninh Thông tin và Mng l ưi Châu Âu (European Network and Information Security Agency - ENISA) n m 2004. Theo thông báo, nh ng bi n pháp này ph n ánh m t cách ti p c n theo 3 khía c nh c a v n an ninh trong Xã h i Thông tin bao g m 17 Office of Management and Budget, Federal Information Security Management Act: 2004 Report to Congress (Washington, D.C.: Executive Office of the President of the United States, 2005), 18 Europa, “Strategy for a secure information society (2006 communication),” European Commission, 46
47. các bi n pháp an ninh thông tin và m ng l ưi (network and information security - NIS) rõ ràng, khuôn kh iu ti t i v i các giao ti p in t (bao g m các vn b o m t d li u và s riêng t ư), và u tranh ch ng t i ph m m ng. Thông báo l ưu ý nh ng cu c t n công nh m vào các h th ng thông tin, s gia t ng c a các thi t b di ng, vi c h ưng t i môi tr ưng in t “ambient intelligence” (m t môi tr ưng nh y c m và ph n ng v i s hi n di n c a con ng ưi), và nâng cao m c nh n th c c a ng ưi dùng v các v n an ninh ch o mà y ban Châu Âu h ưng t i xác nh thông qua i tho i, h p tác và trao quy n. Nh ng chi n l ưc này ưc mô t trong thông báo sau: i tho i . y ban ã xuât m t lo t các bi n pháp ưc thi t k t ch c mt cu c i tho i m , bao g m và a d ng nh ng i t ưng liên quan: . Mt phép o ki m (ch m im) i v i các chính sách qu c gia liên quan n an ninh thông tin và m ng l ưi, nh m giúp nh n nh nh ng th c ti n có hi u qu nh t theo ó chúng có th ưc tri n khai trên m t n n t ng r ng l n trên toàn Châu Âu. c bi t, phép o này s xác nh nh ng ho t ng t i ưu nâng cao nh n th c c a các doanh nghi p v a và nh (SME) c ng nh ư ng ưi dân v nh ng hi m h a và thách th c g n v i an ninh thông tin và m ng l ưi; và . Mt c u trúc a i t ưng liên quan (multi-stakeholder) cân nh c xem làm th nào khai thác t t nh t nh ng công c iu ti t hi n có. Tranh lu n này s ưc t ch c trong n i dung c a các bu i h i th o, h i ngh . Hp tác . Vi c l p chính sách hi u qu c n có m t kh n ng n m b t rõ ràng v bn ch t c a các thách th c ưc ch ra, c ng nh ư tính tin c y, c p nh t c a các d li u kinh t và th ng kê Theo ó, y ban s yêu c u ENISA: . Xây d ng m t quan h h p tác tin c y v i các Thành viên Chính ph và nh ng i t ưng liên quan nh m phát tri n m t khuôn kh thích hp cho vi c thu th p d li u; và . Ki m tra tính kh thi v m t h th ng c nh báo và chia s thông tin Châu Âu nh m i phó hi u qu i v i các m i e d a. H th ng này là m t c ng thông tin Châu Âu a ngôn ng , cung c p thông tin theo yêu c u vè các m i hi m h a, r i ro và nh ng c nh báo. Song song v i ó, y ban s m i các Thành viên Chính ph , khu v c tư nhân và c ng ng nghiên c u t o nên s h p tác nh m m b o tính s n sàng c a d li u liên quan n l nh v c an ninh ICT. 47
48. S trao quy n S trao quy n i cho nh ng i t ưng liên quan là m t iu ki n tiên quy t kích thích nh n th c c a h v nh ng hi m h a và nhu c u an ninh. Vì lý do này, các Thành viên Chính ph ưc m i : . Tham gia tích c c trong vi c xu t các phép o ki m, ch m im im nh ng chính sách qu c gia; . y m nh, trong khuôn kh h p tác v i ENISA, các chi n d ch nh n th c v l i ích t ưc c a các ho t ng, hành vi và nh ng công ngh an ninh hi u qu ; . Là òn b y ư a ra nh ng d ch v chính ph in t nh m thúc y các ho t ng an ninh tích c c; và . Khuy n khích s phát tri n c a các ch ươ ng trình an ninh thông tin và mng l ưi nh ư m t ph n c a giáo trình giáo d c i h c. Nh ng i t ưng liên quan trong khu v c t ư nhân c ng ưc khuy n khích nh m t o ra các sáng ki n : . Xác nh trách nhi m c a các ISP và ơ n v s n xu t ph n m m trong quan h cung c p các m c an ninh t ươ ng x ng và có th ki m tra; . Tng c ưng tính a d ng, tính m , tính t ươ ng h p, tính h u d ng và s c nh tranh nh ư các nhân t chính c a an ninh, ng th i khuy n khích s phát tri n c a các d ch v và s n ph m b o m t nâng cao nh m ch ng l i hành vi ánh c p ID và các t n công xâm nh p – bí mt riêng t ư khác; . Ph bi n các ho t ng an ninh có k t qu t t cho nh ng nhà iu hành m ng l ưi, nhà cung c p d ch v và SME; . y m nh các ch ươ ng trình ào t o trong khu v c t ư nhân nh m cung c p cho nhân viên các ki n th c và k n ng c n thi t cho vi c th c hi n các ho t ng an ninh; . Hưng t i các ch ươ ng trình ch ng nh n an ninh cho nh ng d ch v , quy trình và s n ph m mà s áp ng các nhu c u c th c a EU; và . Thu hút gi i b o hi m i v i vi c phát tri n các ph ươ ng pháp và công c qu n lý r i ro. Ngu ồn: Abridged from Europa, “Strategy for a secure information society (2006 communication),” European Commission, 48
49. Hi ng Công ưc Châu Âu v t i ph m m ng – CECC (Council of Europe Convention on Cybercrime) Nm 2001, Liên minh Châu Âu EU ã công b CECC, c ơ quan “ ư a ra hưng d n cho t t c các chính ph có nhu c u phát tri n pháp lu t ch ng t i ph m m ng” và “cung c p khuôn kh h p tác trên ph m vi qu c t cho l nh v c này”. 39 qu c gia Châu Âu ã ký vào hi p ưc, ngoài ra còn có Canada, Nh t Bn, Nam Phi và Hoa K . iu này khi n cho CECC, có hi u l c t tháng 7/2004, “là hi p ưc qu c t ràng bu c duy nh t ưc th c hi n cho t i nay” 19 . Cơ quan An ninh Thông tin và M ng l ưi Châu Âu – ENISA (European Network and Information Security Agency) ENISA ưc thành l p b i Qu c h i Châu Âu và Hi ng EU vào ngày 10/3/2004 “nh m giúp t ng c ưng an ninh thông tin và m ng l ưi trong c ng ng (Châu Âu) ng th i xúc ti n làm n i b t vai trò c a an ninh thông tin và mng l ưi i v i l i ích c a ng ưi dân, ng ưi tiêu dùng, các doanh nghi p và các t ch c ho t ng trong khu v c công”. Tm nhìn c a Nhóm các bên liên quan th ưng tr c (Permanent Stakeholders Group - PSG) v ENISA 20 ưc ư a ra rõ ràng vào tháng 5/2006 cho th y ENISA nh ư m t trung tâm n i tr i v l nh v c an ninh thông tin và mng l ưi, m t di n àn dành cho các bên liên quan NIS, m t nhân t nh hưng nh n th c an ninh thông tin cho toàn b dân c ư c a EU. khép l i v n này, các hành ng mang tính dài h n sau ây c a ENISA ưc quy nh trong T m nhìn PSG (Hình 6): Hình 6. Hành ng mang tính dài h n c a ENISA Ngu ồn: (Source: Paul Dorey and Simon Perry, ed. The PSG Vision for ENISA (Permanent Stakeholders Group, 2006), 6version.pdf) 19 Council of Europe, “Cybercrime: a threat to democracy, human rights and the rule of law,” 20 Paul Dorey and Simon Perry, ed. The PSG Vision for ENISA (Permanent Stakeholders Group, 2006), 49
50. 1. H p tác và iu ph i th m quy n an ninh thông tin và m ng lưi qu c gia c a các thành viên chính ph Hi n t i, s h p tác gi a các c ơ quan qu c gia r t y u. S vi c có th ưc th c hi n t t h ơn nhi u thông qua thúc y t ng c ưng truy n thông và h p tác gi a các c ơ quan qu c gia, c bi t là vi c chia s nh ng kinh nghi m t t t các c ơ quan i tr ưc v i nh ng c ơ quan mi b t u. 2. H p tác v i các vi n nghiên c u Mc ích c a ENISA nên ưc h ưng vào nghiên c u c ơ b n và nh m t i s phát tri n v m t k thu t t p trung và các l nh v c có li ích l n nh t i v i vi c qu n lý r i ro an ninh có th c trong các h th ng th c t . ENISA không nên h tr cho m t nghiên c u nh ng vn c a chính nó, mà th c hi n vi c iu ch nh nh ng ưu tiên và quy trình hi n t i trong các ch ươ ng trình ã có. 3. H p tác v i các bên bán ph n c ng và ph n m m (vendor) Các nhà cung c p ph n c ng và ph n m m là nh ng i th c nh tranh 50
51. tranh rõ ràng v quy n l i và iu này có th là khó kh n i v i h khi công khai các bài h c th c ti n v i nhau. ENISA có th ư a ra quan im không thiên v và là m t di n àn cho các cu c th o lu n nh y c m, trong khi duy trì s c m nh c n thi t ch ng l i hành vi phi c nh tranh. Tm nhìn dài h n c a ENISA t p trung nhi u h ơn vào vi c t o l p nh ng công ngh tin c y v thông tin và m ng l ưi có th kháng c li các lo i sâu và nh ng v n khác, thay vì m r ng s l ưng các xu h ưng an ninh hi n t i. iu này có th t ưc v i vi c y mnh các k thu t phát tri n ph n m m và ki n trúc úng, an toàn, tin cy. 4. Tham gia vào các c quan thi t l p tiêu chu n Vi cách nhìn nh n bi t và công khai nh ng sáng ki n có giá tr cao, ENISA nên theo dõi và giám sát các ch liên quan n NIS trong các c ơ quan thi t l p tiêu chu n, bao g m c nh ng gì i kèm vi công vi c c a r t nhi u c ơ quan i di n và ch ng nh n an ninh hi n t i. 5. Tham gia vào quà trình l p pháp thông qua v n ng hành lang và óng góp ý ki n ENISA nên ho t ng nâng cao v trí c a m t ơ n v t ư v n tin c y ưc tham v n s m trong quá trình xu t và so n th o các nh hưng c ng nh ư pháp ch khác v các v n liên quan n NIS. 6. Làm vi c v i các t ch c ng ưi s d ng Thông th ưng các t ch c ng ưi s d ng không m y khi ưc có m t trong các c ơ quan thi t l p tiêu chu n và lu t pháp nh ư là các vendor. ENISA có th mang l i cho các nhóm ng ưi dùng cu i s hiu bi t thông su t trong công tác xây d ng tiêu chu n và c ơ h i tác ng vào công vi c này. 7. Nh n nh và xúc ti n nh ng bài h c th c ti n t t c a các Thành viên chính ph t i ng ưi dùng cu i ENISA không ch b o v các l i ích c a doanh nghi p mà còn nâng cao s tin t ưng c a ng ưi dùng trong vi c s d ng các ph ươ ng ti n s và Internet. 51
52. 8. Xây d ng m t gi i pháp chính tr và k thu t qu n lý nh n dng Thi u s tin t ưng v Internet là c n tr chính i v i ph m vi r ng ln các khách hàng h ưng t i kinh doanh in t . Kh n ng có th ki m tra m t cách úng n v ch s h u c a m t site, m t a ch e-mail, hay m t s d ch v tr c tuy n s là m t b ưc i l n thay i và nâng cao s tin t ưng c a ng ưi dùng nói chung v Internet. Các gi i pháp k thu t trong l nh v c này có th ưc theo ui trong quá trình phát tri n ngành, tuy nhiên ENISA có th h ưng t i các chính sách r ng l n c a EU cho v n xác th c các th c th tr c tuy n. 9. Th c hi n cân i các n l c cho v n an ninh c a c “Thông tin” và “M ng l ưi” ENISA nên liên h v i nh ng nhà cung c p d ch v m ng và Internet (ISP/NSP) l n nh t giúp h nh n di n các bài h c th c ti n t t nh t i v i l i ích c a doanh nghi p và ng ưi tiêu dùng trên toàn Châu Âu. iu này là quan tr ng b i các ISP/NSP có th óng vai trò then ch t trong vi c t ng c ưng an ninh Internet trên ph m vi r ng. S iu ph i và h p tác m nh c a các ISP ang là v n ít ưc quan tâm th i im hi n t i. Ngu ồn: Source: Abridged from Paul Dorey and Simon Perry, ed. The PSG Vision for ENISA (Permanent Stakeholders Group, 2006), tedmay2006version.pdf. Chi n l ưc An ninh thông tin c a Hàn Qu c Mc dù Hàn Qu c là m t trong nh ng qu c gia tiên ti n nh t th gi i v công ngh thông tin, nhu c u b o v an ninh thông tin m i ch ưc c p g n ây. N m 2004, Chính ph Hàn Qu c thông qua B Thông tin và Truy n thông (Ministry of Information and Communication - MIC) ư a ra m t L trình An ninh thông tin trung và dài h n (Medium- and Long-term Information Security Roadmap) nh m m c tiêu thi t l p m t n n t ng an ninh thông tin m b o môi tr ưng k t n i an toàn cho M ng h i t b ng r ng (Broadband Convergence 52
53. Network) ng th i nh m phát tri n k thu t an ninh ch ng l i tình tr ng sao chép b t h p pháp c a các thi t b di ng th h k t ti p. Thêm vào ó, Hàn Qu c ã ký Hi p ưc Seoul - Melbourne nh m xây d ng s c ng tác gi a các qu c gia Châu Á Thái Bình D ươ ng ch ng th ư rác thông qua vi c th c thi m t h th ng giám sát th ư rác, i phó v m t công ngh , ào t o và c ng c nh n th c cho ng ưi dùng, t ng c ưng h p công và tư thông qua chia s thông tin gi a các qu c gia và trao i ngu n nhân l c. Các m c tiêu c th c a L trình An ninh thông tin bao g m: (1) m b o an toàn h t ng m ng l ưi; (2) m b o tính tin c y c a các thi t b và d ch v IT m i; (3) y m nh n n t ng an ninh thông tin c a Hàn Qu c. Vi c th c hi n l trình này i h i ngu n ngân sách 247,89 tri u USD phân b trong 4 n m (43 tri u USD trong n m 2005, 55,5tri u USD trong n m 2006 và 80,1 tri u USD trong n m 2008). m b o an toàn h t ng m ng l ưi: Theo L trình, an toàn h t ng mng l ưi ưc m b o thông qua vi c phát tri n m t c u trúc n n t ng an ninh thông tin cho s tích h p và ph i h p gi a r t nhi u h th ng máy tính không ng nh t; xây d ng công tác qu n lý an ninh DNS th h k ti p; và phát tri n mt c ơ ch phân tán m ng l ưi nh m ng n ch ng thi t h i trong môi tr ưng Mng h i t b ng r ng t m ng phân tán t i các m ng t ư nhân và ng ưc l i. m b o tính tin c y c a các thi t b và d ch v IT m i: Mt mô hình ánh giá tác ng an ninh thông tin có th ánh giá nguy c ơ b t n công và các mi e d a v t lý, k thu t và qu n tr s ưc phát tri n nh m ng n ch n hi u qu các l h ng an ninh thông tin trong các d ch v IT m i. Mt th t c ch ng nh n i v i các m c ánh giá an ninh thông tin s ưc ư a vào s d ng ây. i v i các d ch v IT th h k ti p, h th ng ch ng nh n s ưc nâng c p bao g m các b n ghi v giao d ch, quy n h n, con ng ưi và các y u t t ươ ng t . Hơn n a, m t k ho ch v vi c phát tri n công ngh an ninh thông tin ã ưc xây d ng, bao g m công ngh xác th c cho các m ng gia ình, công ngh nh n di n u cu i ng n ch n truy nh p b t h p pháp, công ngh b o m t cho dch v th h k ti p và công ngh b o m t cho n i dung th h k ti p. To l p h t ng an ninh thông tin: L trình An ninh thông tin Hàn Qu c bao g m t m nhìn cho vi c nâng cao công tác iu ti t áp ng các nhu c u c a mt môi tr ưng truy n thông ang thay i và chu n b cho các m i e d a trong t ươ ng lai. Th nh t, Trung tâm d ch v x lý các v n liên quan t i Internet (Internet Incident Response Service Centre) nên ưc t ng c ưng i phó v i các hình th c thâm nh p ngày càng nâng cao và tinh vi. Các h th ng hp tác an ninh thông tin trong và ngoài n ưc nên ưc c ng c và h tr chúng i v i hình th c an ninh thông tin nghèo nàn ang ưc cung c p. Th hai, nh ng v n liên quan n công ngh nh ư lu t b o v bí m t riêng t ư c n ưc phát tri n và m t Trung tâm d ch v x lý th ư rác (Spam Response Service 53
54. Centre) c n ưc ư a vào ho t ng. Th ba, các b lu t hi n t i v an ninh thông tin c n ưc c i ti n áp ng các nhu c u c a m t môi tr ưng thông tin mi lúc, m i n ơi, m i i t ưng (ubiquitous environment). T ươ ng t nh ư v y, nh n th c v an ninh thông tin c n ưc y m nh thông qua các chi n d ch và các ch ươ ng trình ào t o chuyên gia an ninh thông tin. Chi n l ưc An ninh thông tin c a Nh t B n21 Gi v ng m c tiêu tr thành m t ‘qu c gia tiên ti n v an ninh thông tin’ 22 , Nh t B n ã xác nh m t b chi ti t các m c tiêu, d án và nguyên t c c ơ bn trong l nh v c an ninh thông tin. H i ng Chính sách An ninh thông tin (Information Security Policy Council) và Trung tâm An ninh thông tin qu c gia (National Information Security Center - NISC) là các t ch c h t nhân ang giám sát t t c nh ng v n liên quan t i an ninh thông tin di n ra trên c n ưc. Trong l nh v c nghiên c u v các m i e d a m ng, Trung tâm Thanh l c m ng lưi (Cyber Clean Center) ưc l p ra phân tích các c im c a các máy tính ma và xây d ng ph ươ ng pháp i phó an toàn và hi u qu . Chi n l ưc An ninh thông tin c a Nh t B n ưc chia ra làm hai ph n: (1) Chi n l ưc qu c gia th nh t v An ninh thông tin (First National Strategy on Information Security), ưc áp d ng m t cách t ng quát; và (2) An ninh Nh t Bn YYYY (Secure Japan YYYY). Chi n lưc qu c gia th nh t v An ninh thông tin ch p nh n nhu c u i v i t t c các “th c th ” trong m t xã h i IT “ tham gia vào quá trình t o l p m t môi tr ưng s d ng IT an toàn”. Chi n lưc ch p nh n các th c th “mà trên th c t thông qua và th c hi n các bi n pháp nh ư m t thành ph n c a xã h i IT.” 23 Nh ng ‘th c th th c thi’ này ưc chia ra làm b n lo i: chính quy n trung ươ ng và a ph ươ ng, c ơ s h t ng thi t yu, các doanh nghi p và các cá nhân. M i lo i u ưc yêu c u l p ra các vai trò, k ho ch và ho t ng cho mình (nh ư trong b ng 4). Bng 4. Các vai trò và k ho ch c a m i lo i d a trên Chi n l ưc qu c gia th nh t v An ninh thông tin Lo i Vai trò K ho ch Chính quy n trung ươ ng ư a ra “các bài h c th c Tiêu chu n i v i các và a ph ươ ng ti n t t nh t” v bi n bi n pháp pháp an ninh thông tin 21 ưc trích t NISC, Japanese Government’s Efforts to Address Information Security Issue (November 2007), 22 Information Security Policy Council, The First National Strategy on Information Security (2 February 2006), 5. 23 Ibid., 11. 54