nh ngh a an toàn, an ninh thông tin và các khái ni m liên quan; 2... Asia-Pacific Economic Cooperation Baseline Protection Manual British Standards Institution Bundesamt f r Sicherheit i
Trang 1B giáo trình Nh ng ki n th c c b n v Công ngh thông tin
Korea Information Security Agency
TRUNG TÂM ÀO T O PHÁT TRI N
Trang 3L I GI I THI U
Th k 21 đã đánh d u s tác đ ng l n nhau c a con ng i trên toàn c u Th
gi i đang m ra c h i cho hàng tri u ng i nh công ngh m i, nh ng thông tin và ki n th c thi t y u đ c m r ng đã c i thi n m t cách đáng k cu c
s ng c a con ng i và giúp gi m c nh nghèo nàn i u này ch tr thành hi n
th c khi có s liên k t cùng v i vi c chia s giá tr , cùng cam k t và th ng
nh t s phát tri n t ng th và phù h p
Trong nh ng n m g n đây, Châu Á Thái Bình D ng đ c bi t đ n nh khu
v c n ng đ ng nh t trong l nh v c công ngh thông tin và truy n thông (ICT) Theo báo cáo c a Liên minh Vi n thông Th gi i, khu v c này đã có trên 2 t thuê bao đi n tho i, trong đó có 1,4 t thuê bao di đ ng Tinh đ n n m 2008,
ch riêng n và Trung Qu c đã chi m ¼ s l ng thuê bao di đ ng trên toàn th gi i Khu v c Châu Á Thái Bình D ng đ c cho là chi m 40% s
l ng ng i s d ng internet trên th gi i và đ ng th i là th tr ng b ng
r ng l n nh t, chi m 39% th tr ng toàn c u
Cùng v i t c đ phát tri n nhanh c a công ngh , nhi u v n đ đ c nh c
đ n khi kho ng cách s bi n m t Nh ng đi u đáng ti c, kho ng cách s v n
hi n h u Th m chí 5 n m, sau khi H i ngh Th gi i v Xã h i thông tin (WSIS) di n ra Geneva vào n m 2003, b t ch p s phát tri n n t ng c a công ngh và nh ng cam k t c a các n c l n trong khu v c K t qu là truy nh p truy n thông c b n v n còn xa l v i nhi u ng i, đ c bi t là
nh ng ng i nghèo
H n 25 qu c gia trong khu v c g m nh ng n c đang phát tri n, đã có g n
10 ng i s d ng internet trên 100 dân, ph n l n t p trung các thành ph
l n Trong khi đó m t vài n c đã phát tri n trong khu v c thì t l r t cao
v i h n 80 ng i s d ng internet trên 100 dân S chênh l ch v m c đ ph
c p b ng r ng gi a các n c phát tri n và đang phát tri n v n còn gi m t kho ng cách l n
gi m d n kho ng cách s và nh n di n đúng ti m n ng c a ICT cho phát tri n kinh t xã h i trong khu v c, nh ng nhà l p pháp các n c phát tri n
c n xây d ng các chính sách u tiên và khung đi u ch nh, ch đ nh ngu n qu ,
và t o đi u ki n cho xúc ti n đ u t vào l nh v c công nghi p ICT và nâng cao k n ng ICT cho công dân n c h
Trang 4Trong K ho ch Hành đ ng c a WSIS có ch rõ, "… m i ng i s có c h i
ti p c n nh ng k n ng và ki n th c c n thi t đ hi u, th c hành và đ t đ c
nh ng l i ích t Xã h i Thông tin và Kinh t Tri th c" Trong ph n cu i c a
k ho ch này đã kêu g i s h p tác qu c t và khu v c trong nh ng l nh v c
có ti m n ng, đ c bi t nh n m nh vào vi c t o t p m t s l ng l n các chuyên gia ICT
h tr t t cho l i kêu g i t K ho ch hành đ ng c a WSIS, APCICT đã xây d ng ch ng trình gi ng d y đ y đ v ICT – B giáo trình Nh ng ki n
th c c b n v Công ngh thông tin và Truy n thông cho lãnh đ o trong c quan nhà n c Ch ng trình này bao g m 8 ph n có liên k t ch t ch v i
nhau, v i m c tiêu truy n đ t nh ng ki n th c và kinh nghi m c n thi t giúp các nhà l p pháp xây d ng và thi hành sáng ki n ICT hi u qu h n
APCICT là m t trong 5 h c vi n c a y ban Kinh t Xã h i Liên h p qu c Châu Á Thái Bình D ng APCICT xúc ti n ch ng trình phát tri n kinh t
xã h i phù h p và toàn di n Châu Á Thái Bình D ng thông qua vi c phân tích, chu n hóa, khai thác ti m n ng, h p tác khu v c và chia s ki n th c Trong quá trình h p tác v i các c quan Liên h p qu c khác, các t ch c
qu c t , các qu c gia và nh ng t ch c liên quan, ESCAP, đ i di n là APCICT, đ c giao nhi m v h tr vi c s d ng, c i ti n và d ch thu t các bài gi ng cho các qu c gia khác nhau, phù h p v i các trình đ trung và cao
c p c a các nhân viên trong c quan nhà n c, v i m c đích đ a k n ng và
ki n th c thu th p đ c làm gia t ng nh ng l i ích t ICT và thi t l p nh ng hành đ ng c th đ đ t đ c m c tiêu phát tri n
Noeleen Heyzer
TL T ng Th ký Liên h p qu c
và Giám đ c đi u hành c a ESCAP
Trang 5L I T A
Ch ng đ ng phát tri n c a B giáo trình Nh ng ki n th c c b n v Công
ngh thông tin và Truy n thông (CNTT&TT) cho lãnh đ o trong c quan nhà
n c th c s là m t kinh nghi m mang tính trí tu cao B giáo trình không
ch ph c v cho vi c xây d ng các k n ng CNTT&TT, mà còn m đ ng cho m t ph ng th c m i v xây d ng ch ng trình gi ng d y - thông qua s
vi n hàn lâm và c s giáo d c; nh ng nghiên c u và phân tích k l ng v
đi m m nh và đi m y u c a giáo trình đào t o; thông tin ph n h i t nh ng
ng i tham gia xây d ng chu i bài gi ng c a APCICT – t ch c các bu i h i
th o khu v c và qu c gia liên quan đ n n i dung bài gi ng và các ph ng pháp đào t o khoa h c; và s trao đ i góp ý th ng th n c a các chuyên gia hàng đ u trong các l nh v c ICT ph c v phát tri n Các h i th o v giáo trình
di n ra các khu v c thu đ c nh ng l i ích vô giá t các ho t đ ng trao đ i kinh nghi m và ki n th c gi a nh ng ng i tham d đ n t các qu c gia khác nhau ó là m t quy trình đ các tác gi xây d ng n i dung
Vi c xây d ng 8 h c ph n trong b giáo trình đánh d u m t s kh i đ u quan
tr ng trong vi c nâng cao s h p tác hi n t i và xây d ng các m i liên h
m i nh m phát tri n các k n ng thi t l p chính sách phát tri n CNTT&TT
kh p khu v c APCICT cam k t cung c p s h tr k thu t trong vi c gi i thi u b giáo trình qu c gia nh m t m c tiêu chính h ng t i vi c đ m b o
r ng b giáo trình s đ c ph bi n t i t t c nh ng nhà l p pháp APCICT
c ng đang xúc ti n m t cách ch t ch v i m t s vi n đào t o trong khu v c
và qu c t , nh ng t ch c có m i quan h m t thi t v i c quan nhà n c c p trung ng và đ a ph ng đ c i ti n, d ch thu t và truy n đ t các n i dung
c a Giáo trình t i nh ng qu c gia có nhu c u APCICT đang ti p t c m r ng
h n n a v đ i t ng tham gia nghiên c u giáo trình hi n t i và k ho ch phát tri n m t giáo trình m i
Trang 6H n n a, APCICT đang xúc ti n nhi u kênh đ đ m b o r ng n i dung B giáo trình đ n đ c nhi u ng i h c nh t trong khu v c Ngoài ph ng th c
h c tr c ti p thông qua các t ch c l p h c các khu v c và qu c gia, APCICT c ng t ch c các l p h c o (AVA), phòng h c tr c tuy n cho phép
nh ng h c viên tham gia bài gi ng ngay t i ch làm vi c c a h AVA đ m
b o r ng t t c các ph n bài gi ng và tài li u đi kèm c ng nh b n trình chi u
và bài t p tình hu ng d dàng đ c truy nh p tr c tuy n và t i xu ng, s d ng
l i, c i ti n và b n đ a hóa, và nó bao g m nhi u tính n ng khác nhau nh bài
gi ng o, công c qu n lý h c t p, công c phát tri n n i dung và ch ng ch
Vi c xu t b n và gi i thi u 8 h c ph n c a b giáo trình thông qua các bu i
h i th o khu v c, ti u khu v c, qu c gia có s t n tâm c ng hi n, tham gia tích c c c a nhi u cá nhân và t ch c Tôi mu n nhân c h i này đ bày t lòng c m n nh ng n l c và k t qu đ t đ c c a nhóm c ng tác và các đ i tác t các B , ngành, h c vi n, và các t ch c khu v c và qu c gia đã tham gia h i th o v b giáo trình H không ch c ng cung c p nh ng thông tin
đ u vào có giá tr , ph c v n i dung c a bài gi ng, mà quan tr ng h n, h đã
tr thành nh ng ng i ng h vi c truy n đ t b giáo trình trên đ t n c mình, t o ra k t qu là nh ng th a thu n chính th c gi a APCICT và m t s
vi n đ i tác c a các qu c gia và trong khu v c đ c i ti n và phát hành bài
gi ng giáo trình chính th c cho đ t n c h
Tôi c ng mu n g i l i c m n đ c bi t cho nh ng n l c c ng hi n c a nhi u
cá nhân n i b t, nh ng ng i đã t o nên thành qu cho bài gi ng này H là Shahid Akhtar C V n D án Giáo trình; Patricia Arinto, Biên t p; Christine,
Qu n lý xu t b n; toàn b tác gi b giáo trình; và nh ng nhóm APCICT Chúng tôi hy v ng r ng b giáo trình s giúp các qu c gia thu h p đ c
nh ng h n ch c a ngu n nhân l c CNTT&TT, xóa b nh ng rào c n nh n
th c v CNTT&TT, và xúc ti n ng d ng CNTT&TT trong vi c thúc đ y phát tri n kinh t xã h i và đ t đ c m c tiêu phát tri n thiên nhiên k
Hyeun-Suk Rhee
Giám đ c UN-APCICT
Trang 7V CHU I H C PH N
Trong k nguyên thông tin ngày nay, vi c truy c p thông tin m t cách d dàng đang làm thay đ i cách chúng ta s ng, làm vi c và gi i trí N n kinh t s - còn đ c g i là kinh t tri th c, kinh t m ng hay kinh t m i, đ c mô t
nh m t s chuy n ti p t s n xu t hàng hóa sang t o l p ý t ng Công ngh thông tin và truy n thông đang đóng m t vai trò quan tr ng và toàn di n trên
m i m t c a kinh t xã h i
Nh m t k t qu , chính ph trên kh p th gi i đang quan tâm nhi u h n t i CNTT&TT trong s phát tri n qu c gia i v i các n c, phát tri n CNTT&TT không ch phát tri n v công nghi p CNTT&TT là m t l nh v c
c a n n kinh t mà còn bao g m c vi c ng d ng CNTT&TT trong ho t
đ ng kinh t , xã h i và chính tr
Tuy nhiên, gi a nh ng khó kh n mà chính ph các n c ph i đ i m t trong
vi c thi hành các chính sách CNTT&TT, nh ng nhà l p pháp th ng không
n m rõ v m t công ngh đang s d ng cho s phát tri n qu c gia Cho đ n khi không th đi u ch nh đ c nh ng đi u h không hi u, nhi u nhà l p pháp
né tránh t o l p các chính sách v CNTT&TT Nh ng ch quan tâm t i công ngh mà không t o l p các chính sách thì c ng là m t sai l m vì nh ng nhà công ngh th ng ít có ki n th c v thi hành nh ng công ngh h đang phát tri n ho c s d ng
B giáo trình Nh ng ki n th c c b n v Công ngh thông tin và Truy n
thông cho lãnh đ o trong c quan nhà n c do Trung tâm ào t o Phát tri n
Công ngh thông tin và Truy n thông Liên h p qu c và Châu Á Thái Bình
D ng (UN-APCICT) xây d ng nh m ph c v cho:
Trang 8B giáo trình h ng đ n nh ng v n đ liên quan t i CNTT&TT ph c v phát tri n trên c khía c nh chính sách và công ngh M c đích c t y u c a giáo trình CNTT&TT không t p trung vào k thu t mà truy n đ t s hi u bi t v
nh ng đi u công ngh s có kh n ng ho c đang h ng t i, tác đ ng t i nh
th nào trong vi c ho ch đ nh chính sách Các ch đ trong bài gi ng đ c thi t k d a trên phân tích nhu c u và kh o sát nh ng ch ng trình đào t o trên kh p th gi i
H c ph n đ c c u t o theo cách mà ng i h c có th t h c m t cách đ c
l p ho c bài gi ng cho m t khóa h c H c ph n v a mang tính ch t riêng l
nh ng c ng liên k t v i nh ng ch đ và tình hu ng th o lu n trong ph n khác c a chu i M c tiêu là t o đ c s th ng nh t t t c các ph n
M i ph n b t đ u v i vi c trình bày m t ch đ và k t qu mà ng i đ c s thu đ c N i dung các ph n đ c chia thành các m c bao g m bài t p và tình hu ng đ giúp hi u sâu h n nh ng n i dung chính Bài t p có th đ c
th c hi n b i t ng cá nhân ho c m t nhóm h c viên Bi u đ và b ng bi u
đ c cung c p đ minh h a nh ng n i dung c a bu i th o lu n Tài li u tham
kh o đ c li t kê đ cho ng i đ c có th t tìm hi u sâu h n v bài gi ng
Vi c s d ng CNTT&TT ph c v phát tri n r t đa d ng, trong m t vài tình
hu ng ho c thí d bài gi ng có th xu t hi n nh ng mâu thu n ây là đi u đáng ti c ó c ng là s kích thích và thách th c c a quá trình rèn luy n m i
và c ng là tri n v ng khi t t c các n c b t đ u khai thác ti m n ng c a CNTT&TT nh công c phát tri n
H tr chu i h c ph n còn có m t ph ng th c h c tr c tuy n – H c vi n
o APCICT (AVA – http://www.unapcict.org/academy) – v i phòng h c o
s chi u b n trình bày c a ng i d y d i d ng video và Power Point c a
th c và kinh nghi m, và h p tác trong vi c nâng cao CNTT&TT ph c v phát tri n
Trang 9H C PH N 6
Trong th i đ i thông tin, tin t c là m t tài s n đ c b o v và nh ng nhà
ho ch đ nh chính sách c n n m đ c b o m t thông tin là gì và làm th nào đ
ch ng l i các xâm ph m và r r thông tin Ph n này gi i thi u t ng quan v nhu c u b o m t thông tin, xu h ng và các v n đ b o m t thông tin, c ng
nh quá trình xây d ng chi n l c b o m t thông tin
3 Th o lu n v nhu c u thi t l p và th c hi n chính sách an ninh thông tin,
c ng nh s thay đ i phát tri n c a chính sách an ninh thông tin;
4 Gi i thi u t ng quan v các tiêu chu n b o đ m an toàn, an ninh thông tin
đ c s d ng m t s qu c gia c ng nh các t ch c an ninh thông tin
qu c t
K t qu thu đ c
1 nh ngh a an toàn, an ninh thông tin và các khái ni m liên quan;
2 Nh n đ nh nh ng thách th c đ i v i an ninh thông tin;
3 ánh giá chính sách an ninh thông tin hi n có theo các tiêu chu n qu c t
v b o đ m an toàn, an ninh thông tin;
4 Xây d ng ho c đ a ra các khuy n ngh v chính sách an ninh thông tin thích h p
Trang 10M C L C
L i gi i thi u ……… …
L i t a ………
V chu i h c ph n ………
H c ph n 6 ………
3 5 7 9 M c tiêu c a h c ph n
K t qu thu đ c
Danh m c các hình
Danh m c b ng ………
Danh m c các t vi t t t ………
9 9 11 12 11 1 Nhu c u v an ninh thông tin ……… 15
1.1 Các khái ni m c b n trong An ninh thông tin
1.2 Các tiêu chu n cho ho t đ ng An ninh thông tin ……….……… 15 21 2 Các đ nh h ng và xu h ng An ninh thông tin ……… 25
2.1 Các ki u t n công An ninh thông tin ……
2.2 Xu h ng c a các m i hi m h a an ninh thông tin ………….…
2.3 C i thi n an ninh, b o m t ………
25 30 36 3 Các ho t đ ng An ninh thông tin ……….……… 43
3.1 Các ho t đ ng An ninh thông tin qu c gia
3.2 Các ho t đ ng An ninh thông tin qu c t ……….… 43 58 4 Ph ng pháp An ninh thông tin ……….……… 68
4.1 Ph ng pháp An ninh thông tin ….………
4.2 M t s ví d v ph ng pháp An ninh thông tin ……… 68 78 5 B o v bí m t riêng t ………… ……….……… 85
5.1 Khái ni m bí m t riêng t ………
5.2 Các xu h ng c a chính sách bí m t riêng t ………
5.3 ánh giá tác đ ng bí m t riêng t ( Privacy Impact Assessment – PIA) 85 86 96 6 S thành l p và ho t đ ng c a CSIRT ……….……… 101
6.1 S phát tri n và v n hành m t CSIRT …
6.2 Các c quan CSIRT qu c t ………
6.3 Các c quan CSIRT qu c gia ………
101
119
121
Trang 117 Vòng đ i c a chính sách An ninh thông tin …….……….… 125
7.1 Thu th p thông tin và phân tích k h …
7.2 Xây d ng chính sách An ninh thông tin ………
7.3 Th c hi n/ th c thi chinh sách ………
7.4 Xem xét l i và đánh giá chinh sách An ninh thông tin………
126 129 142 148 Ph l c ……… …….………149
Tài li u đ c thêm …
Các l u ý đ i v i gi ng viên ………
V KISA ………
149
151
153
Danh m c các hình
Hình 1
Hình 2
Hình 3
Hình 4
Hình 5
Hình 6
Hình 7
Hình 8
Hình 9
Hình 10
Hình 11
Hình 12
Hình 13
Hình 14
Hình 15
Hình 16
Hình 17
Hình 18
Hình 19
Hình 20
Hình 21
Hình 22
Hình 23
4R trong An ninh thông tin
M i t ng quan gi a r i ro và tài s n thông tin
Các ph ng pháp qu n lý r i ro
Hi n tr ng th rác
Mô hình phòng th theo chi u sâu DID
Hành đ ng mang tính dài h n c a ENISA
Dòng tiêu chu n ISO/IEC 27001
Mô hình quy trình Plan-Do-Check- Act đ c áp d ng cho các quy trình
ISMS
CAP và CCP
Quy trình ho ch đ nh an ninh đ u vào/ đ u ra
Quy trình ch ng nh n BS7799
Ch ng nh n ISMS Nh t B n
Ch ng nh n ISMS c a KISA
Mô hình nhóm an ninh
Mô hình CSIRT phân tán n i b
Mô hình CSIRT t p trung n i b
Mô hình CSIRT k t h p
Mô hình CSIRT đi u ph i
Vòng đ i c a chính sách An ninh thông tin
Ví d v c u trúc h th ng và m ng l i
Hình m u c a t ch c An ninh thông tin qu c gia
Khuôn kh An ninh thông tin
Các l nh v c công tác trong vi c th c thi chính sách An ninh thông tin
18
19
20
33
38
50
66
69
78
79
80
81
82
103
104
105
106
107
126
128
131
135
142
Trang 12v An ninh thông tin Các tiêu chu n so sánh trong ISO/IEC27001
S l ng c quan ch ng nh n theo qu c gia Thành ph n k t c u c a l p trong SFR Thành ph n k t c u c a l p trong SACs
Ch ng nh n ISMS c a m t s qu c gia khác Quy trình PIA
Các ví d v PIA Các d ch v CSIRT Danh sách các c quan CSIRT qu c gia Các b lu t liên quan đ n an ninh thông tin c a Nh t B n Các b lu t liên quan đ n an ninh thông tin c a EU Các b lu t liên quan đ n an ninh thông tin c a M Ngân sách b o v thông tin c a Nh t và M
Ví d v c ng tác trong vi c phát tri n chính sách an ninh thông tin
Ví d v h p tác trong vi c qu n lý và b o v c s h t ng thông tin, truy n thông
Ví d v h p tác trong vi c đ i phó s c an ninh thông tin
Ví d v h p tác trong vi c ng n ng a s c và vi ph m đ n an ninh thông tin Ví d v h p tác trong b o v bí m t riêng t
Trang 13Asia-Pacific Economic Cooperation Baseline Protection Manual
British Standards Institution Bundesamt f r Sicherheit in der Informationstechnik, Germany Certificate Authorizing Participant
Common Criteria Certificate Consuming Participant Common Criteria Recognition Arrangement Council of Europe Convention on Cybercrime Computer Emergency Response Team
Computer Emergency Response Team Coordination Center Critical Information Infrastructure Protection
Certified Information Systems Auditor Chief Information Security Officer Certified Information Systems Security Professional Configuration Management
Cyber Security Enhancement Act Computer Security Incident Response Team Defense-In-Depth
Domain Name Server Denial-of-Service Electronic Communications Privacy Act European Government Computer Emergency Response Team European Network and Information Security Agency
Enterprise Risk Management Economic and Social Commission for Asia and the Pacific Enterprise Security Management
European Union Federal Emergency Management Agency Forum of Incident Response and Security Teams Federal Information Security Management Act Freedom of Information
Global Cybersecurity Agenda Hypertext Transfer Protocol Information and Communication Technology Information and Communication Technology for Development Intrusion Detection System
Internet Governance Forum Instant-Messaging
Intrusion Prevention System Information Systems Audit and Control Association Information Security Management System
International Organization for Standardization and International Electrotechnical Commission
Internet Service Provider Internet and Network Service Provider Information Technology
International Telecommunication Union International Telecommunication Union Development Sector International Telecommunication Union Radiocommunication Sector International Telecommunication Union Standardization Sector Korea Information Security Agency
Ministry of Information and Communication, Republic of Korea
Trang 14WPISP
WSIS
Network and Information Security National Information Security Center, Japan National Institute of Standards and Technology, USA Organisation for Economic Co-operation and Development Office of Management and Budget, USA
One-Time Passwords Personal Computer Protection Profile Permanent Stakeholders Group Radio Frequency Identification Security Assurance Component Security Functional Requirement Small and Medium Enterprise Security Target
Telecommunication and Information Working Group Target of Evaluation
TOE Security Functions United Kingdom United Nations United States United States of America Working Party on information Security and Privacy World Summit on the Information Society
Trang 151 NHU C U V AN NINH THÔNG TIN
Ph n này nh m m c đích:
• Gi i thích khái ni m thông tin và an ninh thông tin;
• Mô t nh ng tiêu chu n đ c áp d ng cho các ho t đ ng an ninh thông tin
Cu c s ng con ng i ngày nay ph thu c nhi u vào công ngh thông tin và truy n thông (ICT) i u này khi n cho các cá nhân, t ch c và các qu c gia
d b t n công qua các h th ng thông tin, nh các hình th c hacking (thâm
nh p trái phép), cyberterrorism (kh ng b m ng), cybercrime (t i ph m
m ng) c ng nh các hình th c t ng t M t s cá nhân và t ch c đ c trang b đ có th đ i phó v i các cu c t n công nh v y Chính ph có vai trò quan tr ng trong công tác đ m b o an ninh thông tin thông qua vi c m r ng
c s h t ng thông tin – truy n thông và thi t l p các h th ng b o v ch ng
l i nh ng nguy c đ i v i an ninh thông tin
1.1 Các khái ni m c b n trong An ninh thông tin
"Thông tin" là gì?
Thông th ng, thông tin đ c đ nh ngh a là k t qu c a ho t đ ng trí óc; đó
là s n ph m vô hình, đ c truy n t i qua các ph ng ti n truy n thông Trong
l nh v c ICT, thông tin là k t qu c a quá trình x lý, thao tác và t ch c d
li u, có th đ n gi n nh vi c thu th p s li u th c t
Trong ph m vi c a An ninh thông tin, thông tin đ c đ nh ngh a nh m t “tài
s n”, có giá tr do đó nên đ c b o v H c ph n này s s d ng đ nh ngh a
v thông tin và an ninh thông tin theo tiêu chu n ISO/IEC 27001
Ngày nay, giá tr c a thông tin ph n ánh s chuy n đ i t m t xã h i nông nghi p sang xã h i công nghi p và cu i cùng là xã h i h ng thông tin (information-oriented society) Trong xã h i nông nghi p, đ t đai là tài s n quan tr ng nh t và qu c gia nào có s n l ng l ng th c nhi u nh t s chi m
đ c l i th c nh tranh Trong xã h i công nghi p, v i s c m nh t b n, nh
có đ c các ngu n d tr d u m là nhân t ch ch t c a kh n ng c nh tranh Trong xã h i h ng thông tin và tri th c, thông tin là tài s n quan tr ng
nh t và n ng l c thu th p, phân tích và s d ng thông tin là l i th c nh tranh cho b t k qu c gia nào
Trang 16V i vi n c nh chuy n đ i t giá tr tài s n h u hình sang giá tr tài s n thông tin, có m t s đ ng thu n cao đó là thông tin c n đ c b o v B n thân thông tin có giá tr cao h n ph ng ti n l u tr chúng B ng 1 s đ i chi u thông tin
v i các tài s n h u hình
B ng 1 S so sánh thông tin v i các tài s n h u hình
xu t các tài s n thông tin và
m i ng i có th chia s giá tr
Vi c tái s n xu t là không th ; khi tái s n xu t, giá tr c a tài
c a tài s n)
Nh chúng ta th y b ng 1, tài s n thông tin v c b n khác v i tài s n h u hình Chính vì v y, thông tin có th b t n công b i nh ng lo i hình r i ro khác
Các m i hi m h a đ i v i tài s n thông tin
Khi giá tr c a tài s n thông tin nâng lên, nhu c u ki m soát c ng nh truy
nh p thông tin gi a con ng i v i nhau gia t ng Các nhóm hình thành và s
d ng thông tin v i nhi u m c tiêu khác nhau, và m t s c g ng đ giành
đ c thông tin b ng b t k cách th c nào Nó bao g m thâm nh p trái phép (hacking), đánh c p (piracy) và phá h y các h th ng thông tin thông qua virus máy tính và các hình th c khác Nh ng hi m h a đi kèm v i quá trình tin h c hóa đ c th o lu n trong ph n 2 c a h c ph n này
M t trái c a môi tr ng h ng thông tin bao g m các v n đ sau:
Gia t ng nh ng hành vi ng x trái v i quy t c n y sinh t tình tr ng
n c danh – ICT có th đ c s d ng đ duy trì tình tr ng n c danh, t o đi u
ki n d dàng cho các cá nhân dàn x p nh ng hành vi ph m t i và ng x trái quy t c, bao g m c vi c chi m d ng thông tin m t cách b t h p pháp
Trang 17Xung đ t quy n ki m soát và s h u thông tin – S ph c t p v quy n ki m
soát và s h u thông tin ngày m t t ng lên cùng v i vi c m r ng quá trình tin
h c hóa Ví d nh khi chính ph n l c xây d ng m t c s d li u ng i dân
d i mô hình chính ph đi n t , m t s b ph n có phàn nàn v kh n ng xâm
ph m bí m t đ i t t vi c ph i bày các thông tin cá nhân cho ng i khác
Kích th c c a v t ch a đ ng tài s n thông tin có th bi u th s giàu có trong
xã h i h ng thông tin/tri th c Các qu c gia phát tri n có kh n ng s n xu t
ra thông tin và ki m l i t vi c bán thông tin nh các s n ph m hàng hóa
Ng c l i, các n c nghèo thông tin, có nhu c u đ u t l n ch có th truy
c p thông tin
gi i đ c k t n i nh m t h th ng m ng duy nh t, đi u này có ngh a là s
y u kém c a m t ph n nào đó trong m ng l i s tác đ ng x u đ n các ph n còn l i
An ninh thông tin là gì?
áp l i nh ng c g ng giành l y thông tin m t cách b t h p pháp, con ng i đang n l c đ ng n ch n t i ph m liên quan đ n thông tin ho c gi m thi u thi t h i do t i ph m gây ra i u này đ c g i là an ninh thông tin
Di n đ t m t cách đ n gi n, an ninh thông tin là vi c nh n bi t giá tr c a thông tin và b o v nó
4R trong an ninh thông tin
B 4R trong an ninh thông tin đó là Right Information (thông tin đúng), Right People (con ng i đúng), Right Time (th i gian đúng) và Right Form (đ nh
d ng đúng) Ki m soát toàn b 4R này là cách th c t t nh t đ ki m soát và duy trì giá tr c a thông tin
Trang 18Hình 1 4Rs trong An ninh thông tin
“Right Information” th hi n s đúng đ n và tính ch t đ y đ c a thông tin,
đ m b o tính toàn v n c a thông tin
“Right People” có ngh a là thông tin ch s n sàng đ i v i nh ng ng i đ c
c p quy n, đ m b o tính bí m t c a thông tin
“Right Time” th hi n kh n ng có th truy c p và tính kh d ng c a thông tin theo yêu c u c a th c th có th m quy n i u này đ m b o tính s n sàng c a thông tin
“Right Form” th hi n vi c cung c p thông tin theo m t đ nh d ng chu n
b o đ m an ninh thông tin, mô hình 4R ph i đ c áp d ng m t cách đúng
đ n i u này có ngh a là tính bí m t, tính toàn v n và tính s n sàng c n đ c giám sát trong quá trình qu n lý thông tin
An ninh thông tin c ng yêu c u s am hi u rõ ràng v giá tr c a tài s n thông tin, c ng nh kh n ng b xâm ph m và nh ng m i đe d a t ng ng V n đ này đ c bi t đ n nh công tác qu n lý r i ro Hình 2 th hi n s t ng quan
gi a tài s n thông tin và r i ro
Duy trì s đúng đ n và tính
Cung c p thông tin theo
Giá tr thông tin
Trang 19Hình 2 M i t ng quan gi a r i ro và tài s n thông tin
R i ro đ c xác đ nh thông qua giá tr tài s n, các m i đe d a và kh n ng b xâm ph m Công th c nh sau:
R i ro = (Giá tr tài s n, Các m i đe d a, Kh n ng b xâm ph m)
R i ro t l thu n v i giá tr tài s n, các m i đe d a và kh n ng b xâm ph m
Do đó, r i ro có th b t ng lên hay gi m đi thông qua vi c thay đ i quy mô giá tr tài s n, các m i đe d a và kh n ng b xâm ph m i u này có th th c
hi n thông qua công tác qu n lý r i ro
Các ph ng pháp qu n lý r i ro bao g m:
n ng x y ra c a các m i đe d a/kh n ng b xâm h i cao nh ng tác đ ng c a chúng th p Nó đòi h i s am hi u các m i đe d a và kh n ng b xâm ph m
là gì, thay đ i hay gi m thi u chúng, và vi c tri n khai m t bi n pháp đ i phó Tuy v y, vi c thu h p r i ro không làm gi m giá tr c a r i ro t i m c ‘0’
Trang 20Di chuy n r i ro – N u r i ro m c quá cao ho c t ch c không có kh n ng
chu n b các gi i pháp ki m soát c n thi t thì r i ro có th đ c di chuy n ra bên ngoài t ch c M t ví d đó là áp d ng m t chính sách b o hi m
Nhân t chính trong vi c xem xét l a ch n ph ng pháp qu n lý r i ro thích
h p đó là m i quan h chi phi – hi u qu Công tác phân tích chi phí – hi u
qu nên đ c ti n hành tr c khi thi t l p các ph ng án thu h p r i ro, ch p
nh n r i ro, di chuy n r i ro hay tránh xa r i ro
Trang 211.2 Các tiêu chu n cho ho t đ ng an ninh thông tin
Các ho t đ ng an ninh thông tin không th th c hi n m t cách hi u qu mà thi u m t k ho ch v t ch t và k thu t c ng nh qu n tr m t cách đ ng b
Nhi u t ch c có nh ng tiêu chu n khuy n ngh cho các ho t đ ng an ninh thông tin Tiêu bi u là các yêu c u an ninh thông tin c a y ban K thu t chung (ISO/IEC) gi a T ch c Tiêu chu n hóa Qu c t (International Organization for Standardization - ISO) và H i đ ng K thu t đi n Qu c t (International Electrotechnical Commission - IEC); các tiêu chu n đánh giá CISA (Certified Information Systems Auditor) và CISSP (Certified Information Systems Security Professional) c a Hi p h i i u hành và Ki m toán h th ng thông tin ISACA (Information Systems Audit and Control Association) Các tiêu chu n này khuy n ngh cho các ho t đ ng an ninh thông tin đ ng nh t, nh xây d ng m t chính sách an ninh thông tin, xây
d ng và đi u hành m t t ch c an ninh thông tin, qu n lý ngu n nhân l c,
qu n lý an ninh các y u t v t ch t, qu n lý an ninh các y u t k thu t, qu n
lý ho t đ ng kinh doanh liên t c và ki m toán h th ng
B ng 2 li t kê các tiêu chu n liên quan t i l nh v c an ninh thông tin
B ng 2 Các tiêu chu n liên quan và ph m vi c a An ninh thông tin
• Qu n tr IT
• Qu n lý tài s n • B o v tài s n
thông tin
• Th c ti n qu n lý an ninh
• An ninh ngu n nhân l c
• Qu n lý các tình
hu ng b t ng liên quan t i an ninh thông tin
• Khôi ph c các
th m h a và tính liên t c c a công
vi c kinh doanh
• L p k ho ch khôi
ph c th m h a và l p
k ho ch duy trì tính liên t c c a công vi c kinh doanh
Trang 22• Qu n lý tính liên
t c trong công vi c kinh doanh
• Khôi ph c các
th m h a và tính liên t c c a công
vi c kinh doanh
• L p k ho ch khôi
ph c th m h a và l p
k ho ch duy trì tính liên t c c a công vi c kinh doanh
• S tuân th • Quá trình ki m
toán h th ng thông tin
• Lu t l , công tác đi u tra và các n i quy
• An ninh đi u hành
• Qu n tr truy
nh p
• B o trì và phát tri n, thu nh n các
h th ng thông tin
• H tr và giao phát d ch v IT
Tiêu chu n ISO/IEC270011
t p trung vào an ninh qu n tr C th , nó nh n
m nh công tác ki m toán ho t đ ng và tài li u nh hành vi qu n tr và vi c giám sát các quy t c c ng nh chính sách/đ nh h ng Ti p đó, vi c xác nh n
và các bi n pháp đ i phó đ c yêu c u đ a ra b i nhà qu n tr Do v y, ISO/IEC27001 c g ng xác đ nh nh ng đi m y u trong trang thi t b , các h
th ng an ninh và nh ng y u t t ng t trong m t đ ng l i qu n tr
Ng c l i, không có đ c p nào v an ninh các y u t v t ch t và ngu n nhân
l c trong CISA2
CISA t p trung vào các ho t đ ng ki m toán và qu n tr h
th ng thông tin Theo đó, vai trò c a ki m toán viên và hi u qu c a quá trình
ki m toán đ c xem là r t quan tr ng
CISSP3 thì ch y u t p trung vào an ninh các y u t k thu t Nó nh n m nh công tác s p x p và đi u hành trang thi t b nh các h th ng máy tính và máy ch
Trang 23M t vài đi u c n làm
1 ánh giá m c đ nh n th c v an ninh thông tin c a các thành viên
trong đ n v b n
2 Các bi n pháp an ninh thông tin đ c th c hi n trong đ n v c a b n
là gì? Phân lo i các bi n pháp này theo nh ng tiêu chí c a 4 ph ng
pháp an ninh thông tin
3 Cho ví d v các bi n pháp an ninh thông tin theo các l nh v c qu n
tr đi u hành, các y u t v t ch t và k thu t trong t ch c c a b n
ho c t i các t ch c khác trong vùng hay qu c gia b n s ng
Các thành viên tham d khóa h c có th làm bài t p theo nhóm N u các
thành viên đ n t nhi u qu c gia khác nhau, vi c phân nhóm có th ti n
hành theo m i qu c gia
T ki m tra
1 Thông tin khác v i các tài s n khác nh th nào?
2 T i sao an ninh thông tin liên quan t i m t chính sách?
3 Các cách th c đ m b o an ninh thông tin là gi? Phân bi t các ph ng
pháp ti n hành an ninh thông tin
4 Phân bi t s khác nhau gi a ba ph m vi an ninh thông tin (qu n tr
đi u hành, các y u t v t ch t, các y u t k thu t)
Trang 252 CÁC NH H NG VÀ XU H NG AN NINH THÔNG TIN
Ph n này nh m m c đích:
• Gi i thi u các m i đe d a đ i v i an ninh thông tin;
• Miêu t các bi n pháp đ i phó ch ng l i các m i đe d a này
2.1 Các ki u t n công An ninh thông tin
Hacking là m t hành đ ng truy c p t i m t máy tính ho c m ng máy tính
nh m giành đ c hay ch nh s a thông tin mà không có s cho phép h p pháp Hacking có th đ c phân lo i thành hình th c thâm nh p mang tính tiêu khi n, t i ph m hay mang tính chính tr , tùy thu c vào m c đích c a cu c t n công Hacking mang tính tiêu khi n là vi c thay đ i trái phép các ch ng trình hay d li u m t cách đ n gi n nh m th a mãn s tò mò c a tin t c (hacker) Hacking mang tính ch t t i ph m đ c s d ng trong ho t đ ng gian l n và gián đi p Hacking mang tính chính tr là hình th c can thi p vào các website đ qu ng bá nh ng thông đi p chính tr không đ c phép.4
G n đây, hacking ngày càng g n li n v i kh ng b m ng và chi n tranh
m ng, t o ra m t m i đe d a l n đ i v i an ninh qu c gia
4 Suresh Ramasubramanian, Salman Ansari and Fuatai Purcell, “Governing Internet Use: Spam,
Cybercrime and e-Commerce,” in Danny Butt (ed.), Internet Governance: Asia-Pacific Perspectives
(Bangkok: UNDP-APDIP, 2005), 95, http://www.apdip.net/projects/igov/ICT4DSeries-iGov-Ch5.pdf
Trang 26Chi n tranh m ng gi a M và Trung Qu c
M t nhóm tin t c có tên PoizonBox t i M đã b bu c t i xóa s h n 350 website c a Trung Qu c trong vòng 1 tháng Nhóm này c ng b cho là
đã t n công 24 website Trung Qu c, trong đó có website c a 8 t ch c chính ph Trung Hoa, ngày 30/4/2001 Các tin t c Trung Qu c sau đó đã tuyên b Cu c chi n tranh m ng l n th 6 v i B Qu c Phòng và đánh vào các website M t 30/4 – 1/5/2001, trong đó có website c a các t
ch c chính ph M Các cu c t n công đã khi n L u n m góc ph i nâng tình tr ng an ninh các h th ng máy tính c a mình t INFO-CON NORMAL lên INFO-CON ALPHA Ngày 1/5/2001, Trung tâm B o v
H t ng qu c gia c a C c đi u tra Liên Bang đ a ra c nh báo r ng tin
t c Trung Qu c đã t n công website c a các công ty và chính ph M Sau cu c chi n tranh m ng này, M nh n ra r ng các hi m h a đi n t (gi ng nh hacking) có th là nguyên nhân gây ra nhi u thi t h i cho các
t ch c chính ph M và sau đó đã t ng c ng kh n ng phòng th
ch ng l i các m i đe d a m ng thông qua vi c nâng m c ngân sách tài chính cho an ninh thông tin và c i thi n chính sách thông tin bên trong các t ch c chính ph
Ngu n: Attrition.org, “Cyberwar with China: Self-fulfilling Prophecy” (2001), http://attrition.org/security/commentary/cn-us-war.html
T n công t ch i d ch v ng n ch n ng i dùng h p pháp s d ng m t d ch
v nào đó trong khi k ph m t i giành quy n truy nh p t i h th ng máy móc
ho c d li u Tình hu ng này x y ra khi k t n công “làm tràn” m t h th ng
m ng v i kh i l ng l n d li u ho c c ý chi m d ng ngu n tài nguyên gi i
Trang 27http://www.unescap.org/icstd/POLICY/publications/internet-use-for-business-development/module3-Kh ng b m ng ch ng lai Estonia
Ngày 4/5/2007 t i th ph c a Estonia, cu c di d i đài t ng ni m c a
Liên bang Xô Vi t t trung tâm thành ph t i m t ngh a trang quân đ i
đã kích đ ng cu c t n công kh ng b m ng kéo dài ba tu n ch ng l i
Estonia, trong đó có t n công t ch i d ch v DoS v i kho ng 1 tri u
máy tính Website và m ng máy tính c a ph t ng th ng, Qu c h i
Estonia, nhi u c quan chính ph , đ ng c m quy n, báo chí và ngân
hàng b đánh s p Th m chí m ng không dây c ng là m c tiêu c a cu c
t n công
Sau đó, Estonia đã tìm ra v trí c a k t n công n m t i m t t ch c
chính ph c a Nga Chính ph Nga đã ph quy t cáo bu c này
Khi cu c t n công kh ng b m ng x y ra, Estonia không th đ i phó
ngay l p t c do thi u m t đ i ph n ng nhanh và không có chính sách an
ninh thông tin
Ngu n: Beatrix Toth, “Estonia under cyber attack” (Hun-CERT, 2007),
http://www.cert.hu/dmdocuments/Estonia_attack2.pdf
Mã đ c (Malicious code)
Mã đ c đ c hi u là các ch ng trình có th gây ra nh ng h h i cho m t h
th ng khi đ c th c thi Virus, sâu worm và Trojan là các lo i c a mã đ c
Virus máy tính là m t ch ng trình hay mã l p trình gây h h i cho d li u và
h th ng máy tính b ng cách t tái t o thông qua b n sao chép ban đ u t i
m t ch ng trình, phân vùng kh i đ ng máy tính hay tài li u khác
Sâu máy tính là m t lo i virus có kh n ng t tái t o mà không làm bi n đ i
t p tin (file) nh ng nó th ng trú trong b nh chính, s d ng m t ph n h
đi u hành, vô th c và th ng vô hình đ i v i ng i dùng Vi c không ki m soát đ c s nhân b n c a chúng d n t i tiêu t n tài nguyên h th ng, gây
Trang 28Cu c kh ng b Internet 1.25 t i Hàn Qu c
Ngày 25/01/2003, m t virus máy tính có tên “Slammer worm” đã gây ra
s c ng t các k t n i Internet trên toàn qu c t i Hàn Qu c S c này
r t cu c kéo dài h n 9 gi đ ng h , đ c xác đ nh nguyên nhân là do
dch v máy ch tên mi n (DNS) b đánh s p b i sâu máy tính
H u qu c a s c khi n th tr ng mua bán tr c tuy n b thi t h i m t kho n c tính 200.000 – 500.000 USD và t ng giá tr giao d ch tr c tuy n b th t thoát lên t i 22,5 t USD K t qu báo cáo cho th y thi t h i
do Slammer worm gây ra l n h n c thi t h i gây b i virus CodeRed và Nimda vì n n nhân ch là nh ng ng i dùng bình th ng
Cu c kh ng b Internet đã thúc đ y chính ph Hàn Qu c thông qua công tác qu n lý toàn di n đ i v i các nhà cung c p d ch v Internet (ISP) và Công ty an ninh thông tin (Information Security Company) Các h
th ng an ninh thông tin và b o v h t ng thông tin đã đ c thi t l p, và
m t ban hay đ n v an ninh thông tin đ c xây d ng trong m i t ch c
Ki n trúc xã h i (Social engineering)
Thu t ng “ki n trúc xã h i” dùng đ ch m t b k thu t đ c s d ng đ lôi kéo ng i dùng trong vi c bày t , chia s các thông tin mang tính bí m t M c
dù nó c ng t ng t nh m t th đo n hay s gian l n đ n gi n, hình th c
đi n hình này đ c áp d ng đ thu th p thông tin hay truy nh p h th ng máy tính Trong h u h t các tr ng h p, k t n công không bao gi đ i m t v i
n n nhân
Phishing là hành đ ng l y c p thông tin cá nhân thông qua Internet nh m m c đích l a g t tài chính, đây là m t ví d c a Social engineering Phishing ngày càng tr thành m t ho t đ ng t i ph m quan tr ng trên m ng Internet
Trang 29Heist V t n công Ngân hàng Th y S đ c bi t đ n là v n c p
Ngày 19/01/2007, ngân hàng Th y S Nordea b t n công b ng hình th c
l a đ o tr c tuy n phishing Cu c t n công b t đ u t m t Trojan t t o
đ c g i d i danh ngh a c a ngân hàng t i m t s khách hàng Ng i
g i khuy n khích khách hàng t i m t ng d ng “ng n ch n th rác”
Ng i dùng t i v t p tin đính kèm có tên ranking.zip ho c ranking.exe
đã b nhi m Trojan đ c bi t đ n là haxdoor.ki b i m t s công ty b o
m t
Th c ch t haxdoor đã cài đ t trình theo dõi thao tác bàn phím keylogger
đ ghi l i nh ng thông tin đánh c p và có kh n ng t n mình nh s
d ng công c rootkit (là công c ph n m m do k xâm nh p đ a vào
và dùng nó cho các m c đích x u mà không b phát hi n) Các bi n k
.ki c a Trojan đ c kích ho t khi khách hàng đ ng nh p vào trang (site)
tr c tuy n c a ngân hàng Nordea Khách hàng b chuy n t i m t trang
ch gi m o, n i h đi n các thông tin đ ng nh p quan tr ng, k c s
l n đ ng nh p Sau khi khách hàng đi n thông tin, m t thông báo l i xu t
hi n, thông báo v i h r ng site đang g p ph i các s c k thu t K
ph m t i sau đó s d ng thông tin chi ti t c a khách hàng thu đ c trên
website th t c a ngân hàng Nordea đ rút ti n t tài kho n khách hàng
Khách hàng c a Nordea b l a đ o b ng e-mail có ch a Trojan trong h n
15 tháng 250 khách hàng ph n ánh b nh h ng v i t ng thi t h i c
tính kho ng 7 – 8 tri u krona Th y S (7.300 – 8.300USD) Tình hu ng
này minh ch ng r ng t n công m ng có th nh h ng t i c các công ty
tài chính có m c đ b o m t cao
Ngu n: Tom Espiner, “Swedish bank hit by ‘biggest ever’ online heist,”
ZDNet.co.uk (19 January 2007), http://news.zdnet.co.uk/security/0,1000000189,
39285547,00.htm
Trang 302.2 Xu h ng c a các m i hi m h a an ninh thông tin 6
M t ho t đ ng quan tr ng trong công tác b o đ m an ninh thông tin là phân tích xu h ng c a hi m h a an ninh i u này h ng t i vi c tìm ki m các
mô hình hi m h a an ninh theo tr t t th i gian đ nh n bi t cách th c chúng thay đ i và phát tri n, xoay theo m t chi u h ng m i hay chuy n đ i Quá trình liên t c thu th p, liên k t thông tin và phát tri n các đ c tr ng đi kèm này đ c th c hi n đ có th l ng tr c các nguy c t ng t ho c có th
đ ng th i chu n b nh ng đ i sách phù h p đ i phó v i nh ng hi m h a đó
Nh ng t ch c th c hi n vi c phân tích xu h ng các m i hi m h a an ninh thông tin và chia s các báo cáo hi m h a an ninh thông tin g m có:
Ngày nay, nh ng k xâm nh p s d ng các công c t đ ng cho phép chúng
có th thu th p thông tin c a hàng ngàn máy ch l u tr Internet (host) m t cách d dàng và nhanh chóng H th ng m ng có th b quét t m t v trí xa
và v i các host đ c nh n đ nh là có đi m y u s s d ng nh ng công c t
đ ng này K xâm nh p ghi l i nh ng thông tin cho m c đích s d ng sau này, chia s ho c giao d ch v i nh ng k xâm nh p khác ho c có th t n công ngay l p t c M t s công c (nh Cain&Abel) t đ ng th c hi n m t lo t
nh ng t n công nh nh m t i m t m c tiêu t ng th Ví d , k xâm nh p có
th s d ng m t ch ng trình nghe tr m gói tin (packet sniffer) đ l y m t
kh u c a router ho c firewall, đ ng nh p vào firewall đ vô hi u hóa b l c (filter), và sau đó s d ng m t d ch v t p tin m ng đ đ c d li u trên máy
ch
6
c trích t Tim Shimeall and Phil Williams, Models of Information Security Trend Analysis
(Pittsburgh: CERT Analysis Center, 2002),
http://citeseerx.ist.psu.edu/viewdoc/summary?doi=10.1.1.11.8034
7
c trích t CERT, “Security of the Internet,” Carnegie Mellon University,
http://www.cert.org/encyc_article/tocencyc.html
Trang 31b n (HTTP) khi n cho khó có th phân bi t chúng v i giao d ch m ng h p pháp.8 Sâu MSN Messenger là m t ví d đi n hình cho tình hu ng này Sâu trong trình nh n tin nhanh (IM) MSN Messenger g i t i các danh b trong s
đ a ch c a ng i b nhi m m t t p tin đ c thi t k đ xâm nh p vào h
th ng sau khi đ a ra c nh báo l n đ u r ng h nh n m t t p tin Các hành
đ ng trên trình IM c a ng i s d ng b b t ch c, gây ra s hoang mang.9
Hàng n m, s l ng các s n ph m ph n m m khôi ph c kh n ng b t n công
m i đ c báo cáo t i Trung tâm đ i ng s c máy tính Computer Emergency Response Team Coordination Center (CERT/CC) nhi u h n g p đôi, gây khó kh n cho các nhà qu n tr trong vi c c p nh t các b n vá (patch)
Nh ng k xâm nh p bi t đi u đó và chi m l i th 10
M t s k xâm nh p ti n hành t n công zero-day ho c zero-hour (l h ng ch a đ c công b ), theo đó
m t máy tính có nguy c b khai thác qua các ng d ng có kh n ng b t n công mà không có b n vá hay s b o v b i chúng ch a đ c phát hi n b i nhà qu n tr 11
Suresh Ramasubrahmanian et al., op cit., 94
9 Munir Kotadia, “Email worm graduates to IM,” ZDNet.co.uk (4 April 2005), http://news.zdnet.co.uk/
Trang 32S h i t các ph ng th c t n công th hi n s th ng nh t các cách th c t n công khác nhau c a k th c hi n nh m t o ra h th ng m ng toàn c u nh m
h tr cho ho t đ ng phá h i đ c s p x p M t ví d là Mpack, đây là Trojan
đ c cài đ t lên máy tính c a ng i dùng thông qua vi c giao ti p v i các máy ch Mpack K t n công t o ra các giao d ch t i nh ng máy ch này
b ng cách phá h i các website chính th c vì th nh ng khách vi ng th m website này s đ c chuy n h ng t i máy ch Web gi m o, ho c b ng cách
g i đ ng liên k t (link) t i máy ch Web gi m o thông qua các thông đi p
th rác (spam) Nh ng máy ch Web gi m o này s chuy n h ng trình duy t c a ng i dùng t i các máy ch Mpack.12
T n công c s h t ng là nh ng t n công có nh h ng sâu r ng t i các thành ph n ch ch t c a m ng Internet Chúng là m i quan tâm b i s l ng các t ch c và ng i s d ng Internet c ng nh s gia t ng tính ph thu c đ i
v i Internet c a h trong vi c th c hi n các ho t đông kinh doanh hàng ngày
H u qu c a các cu c t n công c s h t ng v i hình th c DoS, làm thi t h i các thông tin nh y c m, phát tán tin t c sai và làm ch ch đi đáng k các ngu n l c t nh ng nhi m v khác
Botnet là m t ví d v t n công c s h t ng Thu t ng botnet dùng đ ch
m t nhóm các máy tính nhi m đ c b đi u khi n t xa b i m t máy ch đi u
l nh (command control server) Các máy tính b nhi m đ c s phát tán sâu và Trojan thông qua h th ng m ng
Th rác nhanh chóng t ng lên do s d ng botnet Th rác là nh ng thông đi p không mong mu n có s l ng l n có th đ c g i thông qua e-mail, tin
nh n, các đ ng c tìm ki m, blog và th m chí là qua đi n tho i di đ ng Hình
Trang 34• Xây d ng n ng l c gi a các đ i t ng n m gi chính sách có liên quan
• Khuôn kh toàn di n cho các ho t đ ng và h p tác qu c t
• Nh ng bài th c hành t t nh t cho ISP đ gi m thi u các ho t đ ng botnet
• Nh ng bài th c hành t t nh t cho cán b đào t o và c quan đ ng ký đ
gi m thi u các ho t đ ng botnet
• Xây d ng n ng l c cho các nhà cung c p giao d ch tr c tuy n và th ng
m i đi n t
V xã h i: Sáng ki n đào t o r ng rãi v an ninh và an toàn Internet
• T o đi u ki n thu n l i v các truy nh p ICT b o đ m cho ng i dùng
B công c PTF ITU SPAM là m t gói gi i pháp toàn di n giúp các nhà
ho ch đ nh chính sách, nhà qu n lý và các doanh nghi p trong vi c đi u
chnh chính sách và khôi ph c tính riêng t đ i v i e-mail B công c này c ng khuy n ngh vi c chia s thông tin gi a các qu c gia nh m
Trang 35T i ph m m ng là hình th c phá ho i có ch ý, đánh s p hay làm sai l ch d
li u s ho c các lu ng thông tin vì các nguyên nhân chính tr , kinh t , tôn giáo hay h t t ng H u h t các hình th c t i ph m ph bi n bao g m xâm nh p trái phép, t ch i d ch v , mã đ c và ki n trúc xã h i G n đây, t i ph m
m ng đã tr thành m t ph n c a kh ng b m ng và chi n tranh m ng v i các tác h i t i an ninh qu c gia
B ng 3 d i đây cho th y nh ng gì mà th ph m c a t i ph m m ng ki m
đ c
B ng 3 Th ng kê t t i ph m m ng n m 2007
Chi tr cho m i l n cài đ t qu ng cáo duy
nh t 30 cents tcents t i Anh, 2 cents t i nh ng n i khác i M , 20 cents t i Canada, 10 Gói ph n m m gây h i (Malware), phiên
Gói ph n m m gây h i (Malware) v i d ch
Cho thuê b th thu t phá ho i (Exploit kit)
ánh c p tài kho n tín d ng ngân hàng Giá c không c đ nh v i m c kh i đ u
50USD
1 tri u đ a ch e-mail m i thu th p đ c
Ngu n: Trend Micro, 2007 Threat Report and Forecast (2007), 41,
http://trendmicro.mediaroom.com/file.php/66/2007+Trend+Micro+Report_FINAL.pdf
Trang 362.3 C i thi n an ninh, b o m t
Do xu h ng v các m i đe d a an ninh và các công ngh t n công, phòng th
m nh m đòi h i m t chi n l c linh ho t, cho phép thích ng v i môi tr ng thay đ i, các th t c và chính sách rõ ràng, vi c s d ng các công ngh b o
M t chi n l c an ninh thông tin đ t ra đ nh h ng cho t t c các ho t đ ng
an ninh thông tin
M t chính sách an ninh thông tin là m t tài li u k ho ch m c cao cho an
ninh thông tin c a toàn b t ch c Nó cung c p m t khuôn kh cho vi c ra các quy t đ nh, nh m t k ho ch an ninh v t lý và qu n tr
B i m t chính sách an ninh thông tin có quan đi m dài h n, nó nên tránh đ
c p đ n m t công ngh nh t đ nh, và bao hàm s phát tri n k ho ch ho t
đ ng liên t c hi u qu
ng l i ch đ o an ninh thông tin đ c xây d ng d a trên chính sách và
chi n l c an ninh thông tin ng l i ch đ o s ch rõ các quy t c cho m i
l nh v c liên quan đ n an ninh thông tin Và do đ ng l i ch đ o ph i bao hàm toàn di n trên ph m vi qu c gia, chúng ph i đ c phát tri n và đ a ra b i chính ph , đ c th c hi n b i các t ch c
chúng có th đ c áp d ng cho t t c các l nh v c an ninh thông tin M t đi u thu n l i cho m i qu c gia đ phát tri n các tiêu chu n sau khi phân tích các tiêu chu n an ninh k thu t, v t lý và qu n tr thì chúng đ c s d ng r ng rãi trên toàn th gi i Các tiêu chu n s đ c dành riêng cho môi tr ng ICT đang ph bi n
Trang 37Chi n l c, chính sách và đ ng l i ch đ o an ninh thông tin c a m t qu c gia s tuân th quy t c có liên quan Ph m vi c a chúng s n m cho ranh gi i
c a các lu t l qu c t và qu c gia
M t khi các đ ng l i, chính sách và chi n l c an ninh thông tin đ c xây
d ng, các ti n trình và th t c v n hành an ninh thông tin c ng s c n đ c xác đ nh B i k ph m t i t n công vào thông tin hay k h thông tin n i b ,
do đó qu n lý ngu n nhân l c là y u t quan tr ng nh t trong v n hành an ninh thông tin Do đó c n chú ý nh ng v n đ sau đây:
1 Ch ng trình giáo d c và đào t o v an ninh thông tin – Có nhi u ph ng pháp đ c i thi n m c đ an ninh thông tin c a m t t ch c tuy nhiên giáo
d c và đào t o là nh ng ho t đ ng c b n Các thành viên c a m t t ch c
ph i đánh giá đúng nhu c u đ i v i an ninh thông tin và đ t đ c các k
n ng liên quan thông qua quá trình đào t o Tuy nhiên, đi u quan tr ng là phát tri n nhi u các ch ng trình đ t i đa hóa s tham gia b i vì các
ch ng trình giáo d c, đào t o v an ninh thông tin đ c tiêu chu n hóa có
th không hi u qu
2 T ng c ng các ho t đ ng xúc ti n thông qua r t nhi u s ki n – S tham gia c a ng i lao đ ng có vai trò quan tr ng đ i v i vi c th c hi n thành công đ ng l i ch đ o, chính sách và chi n l c an ninh thông tin An ninh thông tin s đ c đ y m nh trong đ i ng ng i lao đ ng thông qua các ho t đ ng hàng ngày
3 B o đ m trách nhi m c a ng i đ ng đ u – Trong khi ng i lao đ ng có
th có nh n th c cao v an ninh thông tin và h có quy t tâm l n đ duy trì
an ninh thông tin thì r t khó đ đ m b o an ninh thông tin mà không có s
h tr t c p lãnh đ o cao nh t trong t ch c C n ph i có đ c s ng h
t Ch t ch H i đ ng qu n tr (Chief Executive Officer) và Giám đ c Công ngh thông tin (Chief Information Officer)
Có r t nhi u công ngh đã đ c phát tri n đ giúp các t ch c b o đ m cho
h th ng thông tin c a mình ch ng l i nh ng k xâm nh p Nh ng công ngh này giúp cho thông tin và các h th ng có th ch ng l i các cu c t n công, dò tìm các ho t đ ng nghi ng và b t th ng, đ ng th i đ i phó nh ng v n đ phát sinh đ c coi là an ninh hi u qu
Trang 38Các h th ng an ninh ngày nay đ c thi t k và phát tri n d a trên mô hình
Phòng th theo chi u sâu DID (Defense In Depth) d n t i vi c qu n lý đ ng
b nh ng công ngh liên quan Mô hình này khác v i mô hình phòng th vành đai, ch có m t l p phòng th ch ng l i các hi m h a Mô hình DID bao
g m vi c ng n ng a, dò tìm và ch ng ch u l i, v i các m i hi m h a đ c
gi m b t theo m i pha (Hình 5)
Hình 5 Mô hình phòng th theo chi u sâu DID
Ngu n: Defense Science Board, Protecting the Homeland: Defensive Information Operations 2000 Summer Study Volume II (Washington, D.C.: Defense Science Board,
2001), 5, http://www.acq.osd.mil/dsb/reports/dio.pdf
Công ngh ng n ng a (Prevention Technology)
Các công ngh ng n ng a b o v ch ng l i nh ng k t n công và các m i
hi m h a v l u tr hay c p đ h th ng Nh ng công ngh này bao g m:
1 M t mã (Cryptography): C ng đ c xem là mã hóa, m t mã là m t quá trình d ch thông tin t đ nh d ng g c (d i hình th c v n b n – plaintext) thành đ nh d ng đ c mã hóa, khó hi u (đ c g i là v n b n m t mã – ciphertext) Gi i mã đ c hi u là quá trình tác đ ng vào ciphertext và d ch
Trang 39đi r t nhi u nh vi c thay đ i m t kh u m t cách liên t c, nh đ c th c
hi n v i OTP Vì lý do này, OTP đ c s d ng đ đ m b o cho các giao
dch tài chính đi n t nh d ch v ngân hàng tr c tuy n (online banking)
4 Công c phân tích kh n ng b t n công (Vulnerability analysis tool): Do s gia t ng v s l ng các ph ng th c t n công c ng nh kh n ng b t n công trong nh ng ng d ng thông th ng, c n đánh giá th ng xuyên v
kh n ng b t n công c a h th ng Trong an ninh máy tính, m t kh n ng
b t n công là m t đi m y u cho phép k t n công xâm ph m h th ng Các
kh n ng b t n công có th là k t qu t nh ng m t kh u y u, l i ph n
m m, virus máy tính, m t đo n mã nhi m đ c, chèn l nh SQL (SQL Injection) hay ph n m m đ c h i Các công c phân tích kh n ng b t n công cung c p các d ch v phân tích Tuy nhiên, nh ng công c này cung
c p mi n phí b i c ng đ ng Internet có th b l i d ng b i k xâm nh p
bi t thêm thông tin, có th xem t i:
• INSECURE Security Tool (http://sectools.org)
• FrSIRT Vulnerability Archive (http://www.frsirt.com/english)
• Secunia Vulnerability Archive (http://secunia.com)
• SecurityFocus Vulnerability Archive (http://www.securityfocus.com/bid) Các công c phân tích kh n ng t n công m ng l i có th s d ng đ phân tích kh n ng t n công các ngu n tài nguyên m ng nh b đ nh tuy n (router), t ng l a (firewall) và máy ch (server)
Trang 40M t công c phân tích kh n ng b t n công máy ch s phân tích nh ng kh
n ng nh m t kh u y u, cách th c c u hình y u và l i thi t l p quy n cho phép đ i v i t p tin trong h th ng n i b Công c phân tích kh n ng b t n công máy ch v t ng đ i cho chúng ta nhi u k t qu chính xác h n công c phân tích kh n ng b t n công m ng l i b i vì công c này phân tích nhi u nguy c b t n công h n trong h th ng n i b
Công c phân tích kh n ng b t n công Web s phân tích nh ng kh n ng t n công c a các d ch v Web nh XSS và SQL Injection bi t thêm thông tin,
có th xem tài li u Open Web Application Security Project t i đ a ch : http://www.owasp.org/index.php/Top_10_2007
Công ngh dò tìm (Detection Technology)
Công ngh dò tìm đ c s d ng đ phát hi n và l n theo s xâm nh p và
nh ng tr ng thái không bình th ng trong m ng l i hay trong các h th ng quan tr ng Công ngh dò tìm bao g m:
1 Ph n m m ch ng virus (Antivirus): Ph n m m ch ng virus là m t ch ng trình máy tính dùng đ nh n di n, lo i tr hay làm vô hi u mã đ c, bao
g m sâu máy tính (worm), t n công l a đ o (phishing), rootkit, Trojan và
ph n m m đ c h i khác (malware).13
2 H th ng dò tìm xâm nh p (Intrusion detection system - IDS): M t h
th ng IDS s thu th p và phân tích thông tin t r t nhi u khu v c trong m t máy tính hay m t m ng l i đ nh n di n các l h ng an ninh có th x y
ra Ch c n ng dò tìm xâm nh p bao g m phân tích nh ng mô hình ho t
đ ng b t th ng và kh n ng phát hi n ra các mô hình t n công
3 H th ng ng n ng a xâm nh p (Intrusion prevention system - IPS): Vi c
ng n ng a xâm nh p là c g ng phát hi n ra nh ng đe d a ti m n ng và đ i phó l i v i chúng tr c khi b s d ng trong các cu c t n công M t h
th ng IPS s giám sát l u l ng m ng l i và đ a ra các ho t đ ng ngay
l p t c ch ng l i các m i đe d a ti m n ng theo m t t p các quy t c đ c thi t l p b i nhà qu n tr m ng Ví d , h th ng IPS có th khóa l u l ng
