Phân tích tác động của chính sách KH&CN đối với sự phát triển các sản phẩm an toàn và bảo mật cho hệ thống thông tin điện tử từ trong tiến trình hội nhập quốc tế

ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN --- NGUYỄN KIM ANH PHÂN TÍCH TÁC ĐỘNG CỦA CHÍNH SÁCH KH&CN ĐỐI VỚI SỰ PHÁT TRIỂN CÁC SẢN PHẨM AN TOÀN VÀ BẢO MẬT CH

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN

-

NGUYỄN KIM ANH

PHÂN TÍCH TÁC ĐỘNG CỦA CHÍNH SÁCH KH&CN ĐỐI VỚI SỰ PHÁT TRIỂN CÁC SẢN PHẨM AN TOÀN

VÀ BẢO MẬT CHO HỆ THỐNG THÔNG TIN ĐIỆN TỬ

TRONG TIẾN TRÌNH HỘI NHẬP QUỐC TẾ

LUẬN VĂN THẠC SĨ KHOA HỌC QUẢN LÝ

Ề

Hà Nội, năm 2009

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN

-

NGUYỄN KIM ANH

PHÂN TÍCH TÁC ĐỘNG CỦA CHÍNH SÁCH KH&CN ĐỐI VỚI SỰ PHÁT TRIỂN CÁC SẢN PHẨM AN TOÀN

VÀ BẢO MẬT CHO HỆ THỐNG THÔNG TIN ĐIỆN TỬ

TRONG TIẾN TRÌNH HỘI NHẬP QUỐC TẾ

Chuyên ngành: Quản lý Khoa học và Công nghệ

Mã số: 60.34.72

LUẬN VĂN THẠC SĨ KHOA HỌC QUẢN LÝ

Ề Người hướng dẫn khoa học: TS Nguyễn Nam Hải

Hà Nội - 2009

1

MỤC LỤC

MỤC LỤC 1

LỜI CÁM ƠN ERROR! BOOKMARK NOT DEFINED DANH MỤC CÁC TỪ VIẾT TẮT 4

PHẦN MỞ ĐẦU 5

1 Lý do nghiên cứu 5

2 Tổng quan tình hình nghiên cứu 6

3 Mục tiêu nghiên cứu 8

4 Phạm vi nghiên cứu 8

5 Mẫu khảo sát 9

6 Vấn đề nghiên cứu 9

7 Giả thuyết nghiên cứu 9

8 Phương pháp chứng minh luận điểm 10

9 Kết cấu của Luận văn 11

PHẦN NỘI DUNG .13

CHƯƠNG 1 NHỮNG VẤN ĐỀ LÝ LUẬN .13

1.1 Hệ thống khái niệm có liên quan 13

1.1.1Một số khái niệm cơ bản về an toàn và bảo mật cho Hệ thống thông tin điện tử 13 1.1.2 Chính sách KH&CN 21

1.1.3 Phân tích chính sách 23

1.2 Một số điểm đặc trưng của các sản phẩm AT&BM 23

1.2.1 Sản phẩm được bán với giá rất cao 24

1.2.2Chi phí cho nội dung mang tính chất nghiệp vụ của các sản phẩm rất tốn kém 25

1.2.3 Sản phẩm đa dạng về chủng loại 26

1.2.4 Độ an toàn của các thiết bị nhập khẩu không cao 26

1.3 Chính sách KH&CN với việc phát triển sản phẩm AT&BM 27

1.4 Kết luận Chương 1 28

CHƯƠNG 2.VẤN ĐỀ AT&BM VÀ CÁC TIÊU CHÍ ĐÁNH GIÁ SẢN PHẨM AT&BM .29

2

2.1 Vấn đề AT&BM hiện nay 29

2.1.1 Ngoài nước 30

2.1.2 Trong nước 32

2.2 Hiện trạng các sản phẩm AT&BM 39

2.3 Nhu cầu phát triển và các tiêu chí đánh giá sản phẩm AT&BM 42

2.3.1 Những lợi ích thu được khi áp dụng sản phẩm AT&BM tin cậy vào HTTT trong nền kinh tế hội nhập ngày một sâu rộng 42

2.3.2 Tìm hiểu thực tế việc triển khai AT&BM tại một số cơ quan và doanh nghiệp trong năm vừa qua 43

2.3.2.1 Đối tượng khảo sát 43

2.3.2.2 Nội dung và phương pháp 44

2.3.2.3 Kết quả thu nhận 45

2.3.2.4 Đánh giá kết quả 45

2.3.3 Các tiêu chí đánh giá sản phẩm AT&BM trên thế giới 46

2.3.4 Tiêu chí chung về AT&BM 48

2.3.5 Hoạt động thừa nhận lẫn nhau về Tiêu chí chung - Tổ chức thừa nhận lẫn nhau về Tiêu chí chung 51

2.4 Kết luận Chương 2 52

CHƯƠNG 3 TÁC ĐỘNG CỦA CHÍNH SÁCH KH&CN ĐỐI VỚI SỰ PHÁT TRIỂN SẢN PHẨM AT&BM CHO HTTT TRONG TIẾN TRÌNH HỘI NHẬP QUỐC TÊ .54

3.1 Chính sách KH&CN liên quan tới lĩnh vực AT&BM trong thời gian qua 54

3.1.1 Luật Giao dịch điện tử số 51/2005/QH11 ngày 29/11/2005 55

3.1.2 Luật Công nghệ Thông tin 56

3.1.3 Nghị định số 64/2007/NĐ-CP 56

3.1.4 Nghị định số 90/2008/NĐ-CP 57

3.1.5 Các Nghị định số: 27/2007/NĐ-CP 57

3.1.6 Quyết định số 138/2007/QĐ-TTg 58

3.1.7 Nghị định số 26/2007/NĐ-CP 59

3.1.8 Nghị định số 73/2007/NĐ-CP 59

3.1.9 Các Quyết định số 19/2008/QĐ-BTTTT và 20/2008/QĐ-BTTTT 60

3.1.10 Luật Tiêu chuẩn và Quy chuẩn kỹ thuật 60

3.2 Tác động của chính sách KH&CN đối với sự phát triển sản phẩm AT&BM 62

3

3.2.1 Chính sách KH&CN làm thay đổi nhận thức về vấn đề AT&BM 62

3.2.2 Chính sách KH&CN thúc đẩy ứng dụng các sản phẩm AT&BM 67

3.2.3 Chính sách KH&CN thúc đẩy nghiên cứu, sản xuất các sản phẩm AT&BM 78 3.2.4 Chính sách KH&CN có tác động đến quá trình phân phối các sản phẩm AT&BM 84

3.3 Xu hướng phát triển của những lĩnh vực áp dụng các sản phẩm AT&BM 86

3.4 Đề xuất các nhóm chính sách KH&CN để phát triển các sản phẩm AT&BM đến năm 2020 89

3.4.1 Ban hành các quy định bắt buộc về AT&BM trong các tổ chức, đặc biệt là các cơ quan Chính phủ 89

3.4.2 Công nhận, tuân theo chuẩn CC và chuẩn bị gia nhập CCRA 90

3.4.3 Xây dựng hệ thống đầy đủ các tiêu chuẩn quốc gia và các quy chuẩn kỹ thuật về AT&BM 92

3.4.4 Xây dựng hệ thống Hạ tầng cơ sở khóa công khai quốc gia 93

3.4.5 Một số chính sách khác: 94

3.4.5.1 Nâng cao nhận thức về AT&BM cho nhiều đối tượng khác nhau 94

3.4.5.2 Nâng cao chất lượng đào tạo về lĩnh vực AT&BM 94

3.4.5.3 Nâng cao hiệu quả phòng thí nghiệm trọng điểm an toàn thông tin 95

3.4.5.4 Chuyển giao công nghệ để có thể nhanh chóng chủ động sản xuất được một số loại sản phẩm AT&BM quan trọng trong thời gian ngắn 95

3.5 Kết luận Chương 3 96

KẾT LUẬN .98

KHUYẾN NGHỊ .99

DANH MỤC TÀI LIỆU THAM KHẢO 100

PHẦN PHỤ LỤC 101

Phụ lục 1:BẢNG HỎI KHẢO SÁT TÌNH HÌNH AT&BM 101

Phụ lục 2: Kết quả Điều tra 108

Phụ lục 3: Một số văn bản Quy phạm pháp luật có liên quan 112

Tiêu chí chung về An toàn và Bảo mật thông tin

5 CAP Certificate Authorizing Participants

Quốc gia cấp chứng nhận

6 CCP Certificate Consuming Participants

Quốc gia chấp thuận chứng nhận

7 CCRA Common Criteria Recognition Arrangement

Tổ chức thừa nhận lẫn nhau về Tiêu chí chung

8 CNTT Công nghệ thông tin

9 CNTT-TT Công nghệ thông tin và Truyền thông

10 HTTT Hệ thống thông tin điện tử

11 KH&CN Khoa học và Công nghệ

12 PKI Public Key Infrastructure

Hạ tầng Khoá công khai

13 TMĐT Thương mại điện tử

mỏ Urengoy cung cấp cho nhiều nước cộng hòa thuộc Liên Xô, các quốc gia XHCN Đông Âu và bán cho các quốc gia Tây Âu Nguyên nhân chính của vụ

nổ này là vấn đề an toàn, bảo mật của Hệ thống thông tin điện tử

Năm 2003 trong cuốn sách có tựa đề “At the Abyss: An Insider’s History of the Cold War”, tác giả Thomas Reed, nguyên sĩ quan tình báo cao cấp từng làm việc dưới thời Tổng thống Ronald Reagan cho biết chính Tổng thống Reagan đã ra lệnh cho CIA tổ chức phá hoại đường ống dẫn khí đốt xuyên Siberia của Liên Xô vào 1982 Đích thân giám đốc CIA chỉ huy vụ phá hoại này Đầu năm 1982, tình báo Pháp đã cung cấp cho CIA một thông tin có liên quan đến Công ty điện tử Unbeknownst của Canada - Công ty ký được Hợp đồng lắp đặt toàn bộ Hệ thống máy tính điều hành hoạt động của đường ống dẫn khí đốt với tập đoàn Gazprom của Liên Xô CIA đã cho dùng tiền mua chuộc một chuyên viên máy tính của Công ty này đánh cắp bản sao bộ

mã khóa của Hệ thống máy tính này

Sau khi có được bản sao mã khóa, các chuyên viên máy tính của CIA

đã tìm cách thâm nhập vào mạng máy tính điều hành hoạt động của đường ống dẫn khí đốt xuyên Siberia và thả vào đó một quả bom lôgíc, là một virus máy tính cực mạnh thâm nhập vào phần mềm của Hệ thống máy tính Đến chiều ngày 15/6/1982, CIA đã cho kích hoạt quả bom lôgíc làm cho hoạt động của Hệ thống máy tính bị tê liệt khiến khí đốt bị nén với khối lượng lớn trong đường ống dẫn ngang qua khu vực Tobolks và phát nổ dữ dội Sức nổ của vụ

6

nổ mạnh tương đương 3.000 tấn thuốc nổ TNT…

Ngày nay các Hệ thống thông tin điện tử ngày càng đóng vai trò quan trọng trong đời sống kinh tế, chính trị của mỗi quốc gia, các hệ thống này luôn là đối tượng phá hoại của nhiều loại tội phạm trên phạm vi toàn cầu Các cuộc tấn công vào các HTTT có thể để lại hậu quả không khác gì một cuộc chiến tranh thông thường mà thậm chí còn trầm trọng hơn Tất cả các hoạt động từ an ninh, quốc phòng đến các hoạt động trọng yếu của Quốc gia đều gắn chặt với các HTTT Ví dụ trên chỉ là một trong số vô vàn các cuộc tấn công để lại hậu quả nghiêm trọng trong thời gian vừa qua Làm thế nào để có thể phòng chống có hiệu quả các loại phá hoại nhằm vào HTTT nói chung và các HTTT thiết yếu của quốc gia nói riêng trở nên một nhiệm vụ cấp bách của mọi quốc gia Đây là một vấn đề đặt ra cho mỗi quốc gia nói chung và với Việt nam trong thời kỳ công nghiệp hóa, hiện đại hoá nói riêng Gắn liền với việc giải quyết vấn đề này chính là vấn đề nghiên cứu phát triển, sản xuất và ứng dụng các sản phẩm AT&BM

Để phục vụ mục tiêu này, các chính sách KH&CN để phát triển các sản phẩm AT&BM, nhất là trong giai đoạn hội nhập quốc tế hiện nay đóng một vai trò rất quan trọng

Việc nghiên cứu tác động của chính sách KH&CN tới sự phát triển của lĩnh vực AT&BM nước ta và đề xuất chính sách liên quan đến lĩnh vực này sẽ giúp cho các nhà lãnh đạo, quản lý KH&CN nhanh chóng có được các quyết định chính xác, kịp thời để thúc đẩy phát triển lĩnh vực AT&BM ở nước ta hội nhập quốc tế

2 Tổng quan tình hình nghiên cứu

2.1 Ngoài nước:

Các HTTT hiện đại đã nhanh chóng thay thế các thế hệ cũ, lạc hậu và

chuẩn AT&BM đã trở thành thước đo độ an toàn cho các sản phẩm này

Mỹ có nhiều cơ quan, tổ chức liên quan đến việc nghiên cứu và ban hành các chính sách về AT&BM như Ủy ban về các hệ thống an ninh quốc gia (Committee on National Security Systems - CNSS), Hàn quốc có Bộ thông tin, truyền thông (MIC), Cục tình báo quốc gia, Các nước phương tây

và Nga là những nước đi đầu trong những nghiên cứu này và đã ban hành nhiều chính sách áp dụng vào thực tiễn

Nền tảng pháp lý, KH&CN của mỗi quốc gia một khác Do đó, mỗi quốc gia đều đã đầu tư nghiên cứu để đưa ra các chính sách cho phù hợp với đặc thù của nước mình

2.2 Trong nước:

Đảng và Nhà nước ta rất coi trọng và quan tâm đến công tác đảm bảo AT&BM Vấn đề AT&BM đã được thể hiện trong hàng loạt các văn bản quy phạm pháp luật như:

- Luật Giao dịch điện tử số 51/2005/QH11 ngày 29/11/2005

- Luật Công nghệ thông tin số 67/2006/QH11 ngày 29/06/2006

- Luật Tiêu chuẩn và quy chuẩn kỹ thuật số 68/2006/QH11 ngày 29/06/2006

- Nghị định số 26/2007/NĐ-CP ngày 15/02/2007 của Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử về Chữ ký số và dịch vụ chứng thực Chữ ký số

- Nghị định số 27/2007/NĐ-CP ngày 23/02/2007 về giao dịch điện tử trong hoạt động tài chính

8

- Nghị định số 35/2007/NĐ-CP ngày 08/03/2007 về giao dịch điện tử trong hoạt động ngân hàng

- Nghị định số 64/2007/NĐ-CP ngày 10/04/2007 về ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước

- Nghị định số 73/2007/NĐ-CP ngày 07/05/2007 về hoạt động nghiên cứu, sản xuất, kinh doanh, sử dụng mật mã bảo vệ thông tin trong lĩnh vực không thuộc phạm vi bí mật nhà nước

- Các Quyết định số 19/2008/QĐ-BTTTT và 20/2008/QĐ-BTTTT ngày 09/04/2008 của Bộ Thông tin và Truyền thông ban hành Danh mục Tiêu chuẩn và áp dụng tiêu chuẩn về ứng dụng CNTT trong cơ quan nhà nước

- …

Những chính sách này có thể nói là đặt nền móng cơ sở pháp lý ban đầu cho các hoạt động AT&BM ở Việt Nam

3 Mục tiêu nghiên cứu

- Phân tích tác động của chính sách KH&CN đối với việc phát triển các sản phẩm AT&BM trong tiến trình hội nhập quốc tế

- Đề xuất xây dựng và hoàn thiện chính sách KH&CN đến năm 2020 để thúc đẩy phát triển ngành công nghiệp AT&BM hội nhập quốc tế

9

Phạm vi thời gian:

- Nghiên cứu các chính sách có đến thời điểm hiện nay

- Đề xuất Chính sách KH&CN trong lĩnh vực AT&BM đến năm 2020

5 Mẫu khảo sát

- Một số Trung tâm Tin học/Trung tâm CNTT) các Bộ, ngành

- Các cơ quan, đơn vị tham gia thương mại điện tử: các doanh nghiệp

- Các nhà sản xuất, phân phối các sản phẩm AT&BM

6 Vấn đề nghiên cứu

- Chính sách KH&CN có tác động thế nào đến phát triển ngành

AT&BM?

- Các chính sách đã được ban hành ở Việt nam:

+ Đã đáp ứng được thực tế đòi hỏi như thế nào?

+ Có những điểm nào chưa phù hợp hoặc còn thiếu?

- Đề xuất chính sách KH&CN đến 2020 để thúc đẩy phát triển ngành

công nghiệp AT&BM hội nhập quốc tế?

7 Giả thuyết nghiên cứu

- Trong quá trình hội nhập, chính sách KH&CN có tác động đến nhiều

lĩnh vực khác nhau để phát triển các sản phẩm AT&BM:

+ đối với vấn đề nhận thức về AT&BM của các tổ chức

+ đối với việc thúc đẩy nghiên cứu, sản xuất sản phẩm

+ đối với quá trình phân phối sản phẩm

+ đối với việc ứng dụng các sản phẩm

- Các chính sách này ở Việt nam đã được đầu tư xây dựng và ban hành:

Nhà nước đã bước đầu xây dựng được nền móng cơ sở luật pháp cho hoạt động AT&BM (liệt kê ở 2.2), song nhìn chung, hệ thống cơ sở pháp lý

10

vẫn còn thiếu, nhất là các hướng dẫn và các quy định cụ thể cho nhiều lĩnh vực khác nhau, đặc biệt còn thiếu hệ thống các tiêu chuẩn và quy chuẩn kỹ thuật dẫn đến khó khăn cho việc quản lý chất lượng sản phẩm, định hướng cho các nhà cung cấp sản phẩm cũng như các hoạt động xuất nhập khẩu

- Đề xuất chính sách KH&CN đến 2020 để thúc đẩy phát triển ngành

công nghiệp AT&BM hội nhập quốc tế:

+ Ban hành các quy định bắt buộc về AT&BM trong các tổ chức + Xây dựng hệ thống các Tiêu chuẩn quốc gia và các Quy chuẩn kỹ

thuật cụ thể trong lĩnh vực AT&BM, trong đó sử dụng và tham chiếu CC của quốc tế nhằm hỗ trợ cho nghiên cứu, sản xuất, phân phối và ứng dụng các sản phẩm AT&BM

+ Tiến tới gia nhập Tổ chức các nước công nhận lẫn nhau về CC

(CCRA), trong đó, xây dựng Hệ thống kiểm định/đánh giá và cấp chứng nhận sự phù hợp cho các sản phẩm AT&BM là nội dung quan trọng

8 Phương pháp chứng minh luận điểm

8.1 Chứng minh bằng lý thuyết:

- Phân tích những tác động của chính sách KH&CN đến sự phát triển của

ngành AT&BM

- Dự báo chính sách KH&CN đến 2020

8.2 Chứng minh bằng thực tiễn: Thu thập, phân tích, và xử lý thông tin

thông qua các phương pháp sau:

- Nghiên cứu tài liệu:

+ Nghiên cứu các văn bản quy phạm pháp luật Nhà nước đã ban hành

liên quan đến lĩnh vực AT&BM trong những năm qua

11

+ Nghiên cứu, tìm hiểu các văn bản pháp luật của nước ngoài, đặc

biệt của các nước phát triển đối với lĩnh vực này

+ So sánh tình hình trong nước và quốc tế

- Quan sát, lấy số liệu từ thực tế: qua Bộ câu hỏi thăm dò, phỏng vấn,

khảo sát hiện trường và bằng một số kỹ thuật chuyên ngành

9 Kết cấu của Luận văn

PHẦN I: PHẦN MỞ ĐẦU

Trình bày tổng quan về tình hình nghiên cứu, bao gồm: Tên đề tài, lý

do chọn đề tài, tổng quan tình hình nghiên cứu, mục tiêu nghiên cứu, phạm vi nghiên cứu, mẫu khảo sát, câu hỏi nghiên cứu, giả thuyết nghiên cứu, phương pháp nghiên cứu

PHẦN II: PHẦN NỘI DUNG Chương 1 Cơ sở lý luận, gồm:

- Hệ thống các khái niệm có liên quan

- Một số điểm đặc trưng đối với sản phẩm AT&BM

- Chính sách KH&CN với việc phát triển sản phẩm AT&BM

12

Chương 3: Phân tích tác động của chính sách KH&CN đối với việc phát triển các sản phẩm AT&BM cho các HTTT trong tiến trình hội nhập quốc tế, gồm:

- Chính sách KH&CN có liên quan tới lĩnh vực AT&BM trong thời gian

qua

- Tác động của chính sách KH&CN đối với sự phát triển sản phẩm

AT&BM

- Xu hướng phát triển của các lĩnh vực áp dụng sản phẩm AT&BM

- Đề xuất Chính sách KH&CN đối với sự phát triển các sản phẩm

AT&MB đến năm 2020 để hội nhập quốc tế

13

PHẦN NỘI DUNG CHƯƠNG 1 NHỮNG VẤN ĐỀ LÝ LUẬN

1.1 Hệ thống khái niệm có liên quan

1.1.1 Một số khái niệm cơ bản về an toàn và bảo mật cho Hệ thống thông tin điện tử

Trong lĩnh vực bảo vệ hệ thống thông tin điện tử, người ta thường nhắc tới các thuật ngữ: an ninh thông tin, an toàn thông tin và bảo mật thông tin

An ninh thông tin (Information security): là hoạt động đảm bảo cho

người sử dụng thông tin được quyền truy cập đến chỉ những thông tin mà mình được quyền sử dụng [4, tr.8]

An toàn thông tin (Information safety): là hoạt động bảo đảm cho việc

sử dụng thông tin được thông suốt, không bị ngừng trệ, không có sự cố, không bị mất mát [4, tr.8]

Bảo mật thông tin (Information Confidentiality): là hoạt động bảo

đảm cho thông tin không bị lộ ra ngoài [4, tr.10]

Ba thuật ngữ trên có thể được sử dụng không tách rời nhau mà bao trùm lên nhau, nhiều khi một thuật ngữ hay hai thuật ngữ kết hợp với nhau

được dùng bao hàm cả ba nội dung trên Trong Luận văn này, khái niệm An

toàn và bảo mật thông tin (AT&BM) được dùng với nghĩa cả ba nội dung

Các khái niệm sẽ trình bày sau đây do Tiến sĩ khoa học Ghegzda D.P Ivasko tổng hợp trong cuốn sách "Các cơ sở an toàn cho HTTT" [6]

Các thuộc tính cơ bản của thông tin

- Tính tin cậy (Confidentiality): đảm bảo rằng chỉ những người được phép mới

có thể truy nhập vào HTTT

14

- Tính toàn vẹn (Intergrity): bảo vệ tính chính xác và đầy đủ của thông tin và các phương pháp xử lý thông tin

- Tính sẵn sàng (Availability): đảm bảo rằng những người sử dụng được phép

có thể truy nhập vào HTTT khi cần

AT&BM cho HTTT

Gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với HTTT để bảo vệ, khôi phục các hệ thống và nội dung thông tin trước các hiểm hoạ do tự nhiên hoặc con người gây ra, nhằm bảo đảm cho các HTTT thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, toàn vẹn và tin cậy

Các hiểm hoạ AT&BM đối với HTTT

Hiểm hoạ AT&BM được hiểu là các tác động (chủ ý hay ngẫu nhiên) lên HTTT, trực tiếp hay gián tiếp gây nên tổn thất cho hệ thống

Hiểm hoạ ngẫu nhiên là các hiểm hoạ thông thường độc lập với các

điều khiển gây phá hỏng tài sản của HTTT, thường liên quan đến các thảm hoạ thiên nhiên, các lỗi phần cứng hay phần mềm có thể dẫn đến các hoạt động không chính xác của HTTT hay sử dụng các ứng dụng không đúng

Hiểm hoạ có chủ ý được xác định khi đối phương (người/nhóm người,

thường được gọi là hacker hay tội phạm mạng) sử dụng các kỹ thuật đặc biệt tiếp cận để làm lộ thông tin, nhằm khám phá, sửa đổi trái phép thông tin do

Hệ thống quản lý

Các dạng hiểm hoạ bao gồm: hiểm hoạ phá hoại tính tin cậy của thông

tin, hiểm hoạ phá hoại tính toàn vẹn của thông tin và các hiểm hoạ phá hoại khả năng sẵn sàng của hệ thống:

- Hiểm hoạ lên tính tin cậy được hiểu như khái niệm “truy nhập trái phép” để làm lộ thông tin Chống lại các hiểm hoạ này được quan tâm nhiều

bị phá hoại bởi kẻ tội phạm hay là kết quả tác động khách quan từ phía môi trường vận hành Hiểm hoạ này đang là vấn đề thời sự nóng hổi nhất

- Hiểm hoạ đe doạ tính sẵn sàng của HTTT phá hoại khả năng làm việc (từ chối dịch vụ) hướng tới việc tạo tình trạng mà khi đó tài nguyên của HTTT trở nên không thể truy nhập được hay giảm khả năng làm việc của nó

Các dạng vi phạm AT&BM

Một số dạng vi phạm điển hình (thường được coi là các gian lận trong

HTTT) có thể liệt kê như sau:

- Truy nhập thông tin bất hợp pháp: Người dùng A gửi qua mạng cho người

dùng B một file có chứa thông tin quan trọng được bảo vệ Người dùng C không có quyền đọc file này nhưng lại có thể theo dõi quá trình truyền dữ

liệu và sao chép file trong khi truyền

- Mạo danh để tạo thông tin giả, thay đổi thông tin, gian lận trong các giao dịch: Người dùng D gửi thông báo cho người dùng E, một người dùng F

chặn bắt thông báo, thay đổi nội dung thông báo, sau đó mới chuyển tiếp cho người dùng E với tư cách D Người dùng E đón nhận thông báo đó như một thông báo hợp pháp Một trường hợp nữa là thông báo có thể bị chặn bắt

hoặc làm trễ nhằm mục đích lấy cắp các thông tin quan trọng

- Ngăn chặn truyền tin giữa các người dùng: là hành động ngăn chặn không cho thông tin được gửi tới đích cần nhận

AT&BM trong một HTTT thường đồng nghĩa với vấn đề an toàn về mặt vật lý (đối với tài sản, bao gồm: thông tin, máy tính và mạng…) và phương thức quản lý (quy trình vận hành, tổ chức quản lý và nhân lực) trong Hệ thống

đó

Các vấn đề liên quan tới AT&BM cho HTTT

Thông thường khi xem xét vấn đề AT&BM của một HTTT, ta thường xem xét 03 vấn đề sau: tấn công, các kỹ thuật đảm bảo AT&BM và các dịch

vụ AT&BM

- Tấn công (hay còn gọi là thâm nhập trái phép): là một hành động dẫn

đến lộ thông tin của một HTTT và thường ở các dạng sau:

+ Chặn bắt thông tin: Loại tấn công này thực hiện truy nhập bất hợp pháp

tới thông tin Đây là loại tấn công vào tính tin cậy Đối tượng truy nhập bất hợp pháp có thể là người, chương trình hoặc một máy tính

+ Làm gián đoạn hoặc ngắt dòng thông tin: Loại tấn công này làm cho

thông tin của hệ thống bị phá huỷ hoặc trở nên không sẵn sàng phục vụ hoặc không sử dụng được Đây là loại tấn công vào tính sẵn sàng

+ Thay đổi nội dung thông tin: Loại tấn công này thực hiện thay đổi bất

hợp pháp nội dung thông tin tức là tấn công vào tính toàn vẹn

+ Giả mạo: Loại tấn công này nhằm đưa những thông tin giả mạo vào hệ

thống Tấn công này liên quan đến các vấn đề xác thực thông tin

17

- Dịch vụ AT&BM: là các dịch vụ nâng cao tính AT&BM cho các

HTTT nhằm chống lại các tấn công của tin tặc Các dịch vụ AT&BM gồm:

+ Bảo mật: Đảm bảo thông tin trong Hệ thống chỉ được truy nhập bởi

những người có thẩm quyền Dạng truy nhập bao gồm: in, hiển thị và các dạng khám phá thông tin

+ Xác thực (Chứng thực): Đảm bảo nguồn gốc và tính đúng đắn của đối

tượng cần xác thực Để xác thực thì thường sử dụng chữ ký số

+ Đảm bảo tính toàn vẹn: Đảm bảo rằng chỉ những đối tượng có thẩm

quyền mới có thể thay đổi các tài nguyên của HTTH Việc thay đổi bao gồm: ghi, thay đổi trạng thái, xóa, tạo, làm trễ hoặc gửi lại các thông tin

đã được truyền

+ Chống chối bỏ: nhằm ngăn chặn người gửi hoặc người nhận chối bỏ

việc đã gửi thông báo và đã nhận thông báo Như vậy, khi thông báo đã được gửi, người nhận có thể chứng minh được ai là người đã gửi thông báo Tương tự, khi thông báo đã được nhận, người gửi có thể chứng minh ai là người đã nhận thông báo

+ Kiểm soát truy nhập: Đảm bảo việc truy nhập thông tin được kiểm soát

bởi hệ thống

+ Sẵn sàng: Đảm bảo sự sẵn sàng phục vụ của các tài nguyên mạng đối

với người sử dụng hợp pháp

- Kỹ thuật đảm bảo AT&BM: Các kỹ thuật được thiết kế để phát hiện,

ngăn ngừa hoặc loại bỏ tấn công Một số kỹ thuật cơ bản ta thường gặp trong các HTTT được thể hiện dưới dạng sau:

+ Tường lửa (Firewall): là sản phẩm sử dụng để kiểm soát luồng thông

tin giữa mạng Intranet và mạng Internet, ngăn chặn việc truy nhập trái phép từ bên ngoài vào mạng nhằm bảo vệ các nguồn thông tin nội bộ

18

+ Sản phẩm phát hiện các truy nhập mạng trái phép (IDS): là sản phẩm

nhằm phát hiện các dấu hiệu tấn công hệ thống và thực hiện cảnh báo cho người quản trị hay hệ thống biết về nguy cơ xảy ra tấn công trước khi nó xảy ra

+ Sản phẩm ngăn chặn truy nhập trái phép (IPS): là sản phẩm kết hợp

giữa IDS và tường lửa, là một hệ thống chủ động, có khả năng phát hiện và ngăn ngừa các truy nhập trái phép, ngăn chặn các cuộc tấn công… từ đó, đưa ra những phản ứng tích cực bảo vệ hệ thống

+ Sản phẩm diệt Virus và các phần mềm độc hại (spyware, malware): là

phần mềm dùng rà soát toàn bộ Hệ thống để phát hiện và loại bỏ các chương trình độc hại cũng như virus trong các mạng máy tính, đồng thời khôi phục và sửa chữa những phần đã bị phá huỷ Virus và các phần mềm độc hại là một trong những đối tượng nguy hiểm nhất trong các HTTT hiện nay

+ Sản phẩm chống thư rác: là sản phẩm nhằm ngăn chặn việc phát tán

các thư rác trong các hệ thống thư tín điện tử

+ Hệ thống lọc lưu lượng: lọc bỏ virus, spam, spyware hay các trang web

có nội dung xấu để bảo vệ người dùng trong mạng

+ Cập nhật bản vá lỗ hổng: nhiều phần mềm ứng dụng, phần mềm hệ

thống khi đưa vào vận hành mới phát hiện ra những điểm yếu (lỗ hổng)

mà những điểm mà kẻ tấn công mạng có thể lợi dụng để tấn công Khi

đó các nhà sản xuất phần mềm phải thiết kế những đoạn chương trình

bổ sung để khắc phục những điểm yếu đó Những đoạn chương trình này được gọi là những miếng vá Người dùng phải thường xuyên cập nhật những miếng vá này của nhà sản xuất phát hành để khắc phục những điểm yếu của phần mềm mà mình đang sử dụng

+ …

19

Sản phẩm AT&BM là sản phẩm CNTT (bao gồm cả phần cứng và

phần mềm) sử dụng các kỹ thuật và dịch vụ AT&BM (chẳng hạn Firewall, IDS, IPS, chứng chỉ số, PKI…) để đảm bảo an toàn và bảo mật cho Hệ thống thông tin điện tử

Chữ ký số (Digital signature)

Chữ ký số là một giải pháp công nghệ đảm bảo tính duy nhất cho một người khi giao dịch thông tin trên mạng, đảm bảo các thông tin cung cấp là của người đó Chữ ký số được dùng để đánh dấu hoặc ký lên một tài liệu điện

tử theo một quá trình tương tự như chữ ký trên giấy, nhưng được thực hiện bằng công nghệ mật mã Nói cách khác, nó là một “dấu vân tay„ có thể gắn kèm lên các thông báo điện tử, nhận dạng duy nhất người gửi, bảo đảm tài liệu này không bị thay đổi theo bất kỳ cách gì từ khi được người gửi “ký lên„

và có thể được xác minh khi cần

Chứng chỉ số (Digital Certificate)

Chứng chỉ số là một tài liệu do Tổ chức cung cấp dịch vụ chứng thực chữ ký số (CA) cấp, bao gồm khoá công khai (Public key) của người dùng và các thông tin cần thiết về người dùng Tài liệu này được ký bởi CA nhằm tránh những thay đổi bất hợp pháp nội dung của chứng chỉ Chứng chỉ được

20

công bố công khai trên mạng để cộng đồng người dùng dễ dàng có được khoá công khai của người mà mình muốn có

Hạ tầng cơ sở khóa công khai (Public Key Infrastructure - PKI)

PKI là tập hợp các giải pháp về công nghệ, các văn bản về pháp lý phục

vụ cho việc phân phối và quản lý chứng chỉ số

ISO 17799

AT&BM là một nội dung không thể thiếu được và rất quan trọng khi triển khai các HTTT Khi nói đến AT&BM cho HTTT cần phải đề cập một cách tổng thể từ các kỹ thuật AT&BM đến các quy định về quản lý chứ không thể đề cập một cách phiến diện

ISO 17799 là tiêu chuẩn quốc tế về Hệ thống quản lý AT&BM, dùng

để đánh giá mức độ AT&BM cho Hệ thống CNTT ISO 17799 ra đời vào năm

2000 Phiên bản hiện tại phát hành vào năm 2005 gọi là ISO/IEC 17799:2005, sau đó vào năm 2007, được đổi thành ISO/IEC 27001:2005 (thường gọi là ISO 27001) và 27002:2005 (thường gọi là ISO 27002), trong đó:

- ISO 27001 cung cấp mô hình chuẩn để thiết lập, triển khai, vận hành, theo dõi, đánh giá, duy trì cải tiến hệ thống quản lý AT&BM;

- ISO 27002 là một hệ thống các biện pháp, các khuyến cáo để ISO 27001 tham chiếu đến

Kể từ khi ban hành đến nay, việc áp dụng Hệ thống quản lý AT&BM phù hợp ISO 17799 đã được triển khai rộng rãi ở hầu hết các quốc gia trên thế giới Hiểu và vận dụng đúng đắn ISO 17799 vào thực tiễn ứng dụng sẽ nâng cao độ AT&BM cho HTTT của mỗi tổ chức Tuy nhiên, việc vận dụng và vận dụng như thế nào các chuẩn này phụ thuộc vào từng điều kiện cụ thể của mỗi quốc gia, mỗi doanh nghiệp và mỗi tổ chức

21

1.1.2 Chính sách KH&CN

Trước khi đi vào tìm hiểu Chính sách KH&CN chúng ta sẽ tìm hiểu trước khái niệm về Chính sách

Thuật ngữ “Chính sách” (Policy) thường được sử dụng rộng rãi trên

sách báo, trên các phương tiện thông tin đại chúng và cả trong đời sống xã hội Chính sách là một thiết chế rất phức tạp và quan trọng của quản lý

Có nhiều cách tiếp cận để xem xét khái niệm về chính sách: tiếp cận chính trị học, tiếp cận xã hội học, tiếp cận tâm lý học, tiếp cận kinh tế học… Tổng hợp từ tất cả các cách tiếp cận trên, Vũ Cao Đàm đã đưa ra định nghĩa

như sau: "Chính sách là một tập hợp biện pháp được thể chế hoá, mà một chủ thể quyền lực, hoặc chủ thể quản lý đưa ra, trong đó tạo sự ưu đãi một nhóm

xã hội, kích thích vào động cơ hoạt động của nhóm này, định hướng hoạt động của họ nhằm thực hiện một mục tiêu ưu tiên nào đó trong chiến lược phát triển của một hệ thống xã hội" [1, tr 26]

Khi nói đến chính sách, có thể hiểu đó là một tập hợp biện pháp được

thể chế hoá (dưới dạng các đạo luật, pháp lệnh, sắc lệnh; các văn bản dưới luật như nghị định, thông tư, chỉ thị của Chính phủ; hoặc các văn bản quy định nội bộ của các tổ chức) và phải tác động vào động cơ hoạt động của các

cá nhân và nhóm xã hội, đồng thời phải hướng động cơ các cá nhân và các nhóm xã hội đó vào một mục tiêu nào đó của hệ thống xã hội

Mọi chính sách đều có 2 nội dung: Mục tiêu của chính sách và phương tiện để đạt mục tiêu

Chính sách KH&CN là một loại hình chính sách được phân loại theo

mục tiêu tác động của chính sách Khái niệm về chính sách KH&CN được nhiều nhà nghiên cứu, hoạch định chính sách và các nhà quản lý đưa ra theo nhiều quan điểm khác nhau

22

UNESCO đưa ra khái niệm: “Chính sách KH&CN là tập hợp các biện pháp lập pháp và hành pháp được thực thi nhằm nâng cao, tổ chức và sử dụng tiềm lực KH&CN quốc gia với mục tiêu đạt phát triển quốc gia và nâng cao vị thế quốc gia trên thế giới”

Theo Đặng Duy Thịnh: “Chính sách KH&CN là những phương châm, điều lệ, quy định Đó là những nguyên tắc và quy tắc do một nhà nước, một

ngành, một sơ sở (viện, trường, doanh nghiệp) trong một thời kỳ nhất định và với một mục tiêu chiến lược nhất định đặt ra nhằm phát triển KH&CN”

Nói cách khác chính sách KH&CN là tập hợp các văn bản quy phạm pháp luật nhằm định hướng thúc đẩy sự phát triển KH&CN và làm cơ sở cho công tác quản lý KH&CN của một quốc gia, một vùng lãnh thổ

Chính sách KH&CN có thể phân theo các hình thái:

- Chính sách mang tính chất của một chiến lược, một đường lối, chủ trương chung (các Văn kiện của Đảng và Nhà nước về KH&CN)

- Chính sách vừa mang tính chỉ đạo tầm vĩ mô, vừa cụ thể hóa các vấn

đề phát triển KH&CN trong cả nước (chính sách KH&CN của Nhà nước)

- Chính sách phát triển KH&CN của từng vùng, từng lĩnh vực, từng vấn

đề cụ thể

Chính sách KH&CN có thể phân theo thời gian:

- Chính sách KH&CN mang tính chiến lược dài hạn, thường có hiệu lực từ 10 đến 20 năm hoặc lâu hơn

- Chính sách KH&CN trung hạn, thường có hiệu lực thực hiện trong khoảng 5 đến 10 năm

- Chính sách KH&CN ngắn hạn, thường có hiệu lực giải quyết một số vấn đề mang tính cấp bách, cụ thể trong một thời gian nhất định, thường có hiệu lực dưới 5 năm, có khi chỉ một đến vài năm

23

1.1.3 Phân tích chính sách

Phân tích chính sách là công việc thường xuyên của nhà quản lý Đó là việc xem xét chính sách từ nhiều giác độ khác nhau, để phát hiện điểm mạnh, điểm yếu của chính sách để nhằm vào các mục đích sử dụng khác nhau [1, tr 194]

Tuy nhiên, hiện nay nhu cầu phân tích chính sách không chỉ là của nhà quản lý, mà còn là nhu cầu của các tổ chức kinh doanh, nhu cầu của dân chúng

và bất cứ ai quan tâm đến chính sách Với những người là đối tượng tác động của chính sách, thì việc phân tích sẽ giúp tìm được chỗ có lợi nhất cho công việc, tránh những vùng cấm của chính sách có thể gây phương hại cho công việc của đơn vị mình hoặc cá nhân mình Với các cơ quan hoạch định chính sách, việc phân tích chính sách sẽ giúp phát hiện những chỗ bất cập của chính sách, có thể gây phương hại đến lợi ích của cộng đồng hoặc việc thực hiện mục tiêu toàn xã hội để tìm biện pháp điều chỉnh

Phân tích chính sách bao gồm nhiều nội dung: phân tích các chính sách hiện hành (phân tích tác nhân dẫn đến chính sách, triết lý của chính sách; phương tiện thực hiện chính sách; tác động của chính sách; các ảnh hưởng của chính sách; phân hoá xã hội do chính sách; các xung đột xã hội do chính sách; các phản ứng xã hội do chính sách…) và phân tích một chính sách trước khi quyết định

1.2 Một số điểm đặc trƣng của các sản phẩm AT&BM

Cùng với sự phát triển mạnh mẽ của CNTT&TT là sự phát triển âm thầm nhưng mãnh liệt, đầy sức cạnh tranh của nền công nghệ chế tạo các sản phẩm AT&BM Mỗi một phương tiện hoặc thiết bị truyền thông, thiết bị xử lý thông tin mới ra đời là ngay lập tức xuất hiện nhu cầu AT&BM trên các thiết

bị đó Tuy nhiên, khác với các ngành sản xuất các sản phẩm khác, lĩnh vực

24

nghiên cứu, chế tạo các sản phẩm AT&BM chứa đựng rất nhiều yếu tố đặc trưng mà các yếu tố đó liên quan mật thiết đến quá trình định hướng, hoạch định chính sách đối với công tác nghiên cứu, sản xuất và ứng dụng các sản phẩm đó đảm bảo cho nhu cầu AT&BM tại mỗi quốc gia

Để nhìn nhận một cách hoàn chỉnh hơn cho quá trình nghiên cứu và chế tạo các sản phẩm AT&BM chúng ta sẽ xem xét những vấn đề đặc thù của các sản phẩm này, các mối quan hệ giữa nhập ngoại các sản phẩm với việc tự nghiên cứu chế tạo, giữa việc "đóng kín" với việc “mở rộng” các quan hệ giao lưu khoa học kỹ thuật mật mã, giữa nghiên cứu tham khảo các sản phẩm này được nhập ngoại với việc triển khai ứng dụng các sản phẩm đó,

Trước hết, chúng ta cần nhìn nhận lại một số đặc trưng sau đây của các sản phẩm AT&BM:

1.2.1 Sản phẩm được bán với giá rất cao

Các sản phẩm AT&BM thường được bán ra với giá rất cao Điều đó được các hãng sản xuất và các nhà cung cấp lý giải bằng các nguyên nhân sau:

- Công nghệ sản xuất các sản phẩm AT&BM là công nghệ cao, nó phải phù hợp, tương thích và đuổi kịp, thậm chí phải đón đầu công nghệ của các thiết bị xử lý thông tin hiện đại Các sản phẩm AT&BM thường được chế tạo trên nền của các hệ thống "mở", kết hợp chặt chẽ giữa công nghệ hiện đại với trí tuệ nhân tạo, đảm bảo tính mềm dẻo, độ mật cao, độ chính xác tuyệt đối của thiết bị đối với quá trình bảo vệ thông tin Phần

"chất xám" được hòa vào giá trị của sản phẩm chiếm một tỷ trọng khá lớn

- Dung lượng của lô hàng sản xuất nhỏ (thông thường chỉ khoảng một vài trăm đơn vị sản phẩm) vì một mặt hàng nào đó thường được sản xuất và

- Các yếu tố về độ mật phải được đảm bảo, lòng tin của người mua hàng đối với nhà sản xuất phải đạt tới độ tin cậy cao Như vậy, trong một chừng mực nào đó, giá của “lòng tin” và giá của “sự tín nhiệm” đã được tính gộp cả vào giá thành của thiết bị

1.2.2 Chi phí cho các nội dung mang tính chất nghiệp vụ của các sản phẩm rất tốn kém

Chi phí cho các nội dung mang tính chất nghiệp vụ đối với các sản phẩm AT&BM rất tốn kém do phải quan tâm ở nhiều góc độ, đòi hỏi phải đảm bảo độ an toàn cao về cơ, nhiệt, độ ẩm, bức xạ, cơ chế tự huỷ hoặc cơ chế điều khiển từ xa

- Các sản phẩm AT&BM bắt buộc phải hoạt động tốt trong các điều kiện làm việc khắc nghiệt nhất, không bị tê liệt trong chiến tranh điện tử tức

là không bị ảnh hưởng bởi các trường điện từ hoặc các điều kiện không thuận lợi về môi trường

- Các thông tin không bị rò rỉ từ các sản phẩm AT&BM thông qua các môi trường truyền dẫn

- Trong trường hợp sản phẩm AT&BM bị thất lạc hoặc rơi vào tay đối phương thì các khả năng bị lộ về tin tức hoặc công nghệ được đảm bảo ở mức nhỏ nhất, không làm phương hại đến các sản phẩm hoặc các sản phẩm AT&BM khác đang còn hoạt động trên mạng thông tin mật

- Các sản phẩm phần mềm mật mã (kể cả các sản phẩm phần mềm được

1.2.4 Độ an toàn của các thiết bị nhập khẩu không cao:

- Không quốc gia nào lại cho phép các công ty của mình xuất khẩu ra nước ngoài những thiết bị đạt trình độ cao nhất hoặc các thiết bị mà mình đang sử dụng Thực tế cũng đã cho thấy điều này Các sản phẩm AT&BM được phép xuất khẩu thường thường là chậm hàng chục năm về mặt khoa học mật mã (thuật toán và giải pháp mã hóa, phân phối khóa) và chậm từ 5 đến 7 năm về mặt công nghệ Bên cạnh đó, quá trình xuất khẩu các thiết bị này luôn luôn bị kiểm soát chặt chẽ bởi luật của từng quốc gia hoặc các công ước quốc

tế mà các quốc gia xuất khẩu mật mã đã tham gia ký kết

- Vì lợi ích kinh tế, các công ty sản xuất các thiết bị mật mã có thể bị chi phối bởi một số cường quốc mật mã trên thế giới như Mỹ, Anh, Đức, Do vậy mà nhiều thiết bị mật mã đã bị "cài rệp" hoặc bị "đặt bẫy" Mặc dù khi chào hàng, các nhà sản xuất luôn luôn quảng cáo cho khả năng "tuyệt vời" của các thiết bị AT&BM do họ sản xuất nhưng trên thực tế thì không hoàn toàn vậy

Trong các thiết bị đó có thể chỉ được cài đặt các thuật toán mã hóa yếu, tức là các thuật toán mã hóa dễ dàng bị phá bởi các cơ quan tình báo thông tin như Uỷ ban an ninh quốc gia Mỹ (National Security Agency), Cơ quan thông tin liên lạc Chính phủ Anh (Goverment Communications Head Quarters), Cơ

27

quan tình báo thông tin tín hiệu Ixraen (Israel's Sigint Services), Cục an toàn thông tin liên bang (Bundesamt fỹr Sicherheit in der Informationstechnik) hay Cục 62 thuộc Cơ quan tình báo Đức (BundesNacrichtenDienst), Hơn nữa, các máy mã trên có thể còn được thiết kế sao cho khi khách hàng sử dụng thì khóa mã sẽ được truyền đi tự động cùng với bản tin đã được mã hóa Như vậy, các cơ quan tình báo đã chi phối nhà sản xuất sẽ dễ dàng đọc được các thông tin đã mã Đó là mối nguy hiểm tiềm ẩn mà không phải quốc gia nào cũng đủ khả năng kiểm soát được độ tin cậy của các sản phẩm nhập ngoại Tính hai mặt của các thiết bị mật mã nhập ngoại thể hiện rất rõ ở yếu tố này Các nhà sản xuất các thiết bị hoặc sản phẩm này sẽ nhận được các điều khoản

ưu đãi hoặc sự bảo trợ của một quốc gia nào đó nếu họ đồng ý tạo ra các "cửa sau" trong các sản phẩm mật mã của mình

1.3 Chính sách KH&CN với việc phát triển sản phẩm AT&BM

Phát triển các sản phẩm AT&BM là một lĩnh vực còn mới ở nước ta Sản phẩm AT&BM là một loại hình sản phẩm đặc thù, hết sức nhậy cảm và liên quan với nhiều lĩnh vực, nhiều ngành khác nhau đặc biệt là khu vực an ninh quốc phòng Chính vì vậy, để có thể phát triển các sản phẩm này cần có

sự định hướng, chỉ đạo rất chặt chẽ của Chính phủ và sự phối hợp của các ngành liên quan

Chính sách KH&CN đóng vai trò quan trọng trong việc thúc đẩy nghiên cứu, sản xuất và ứng dụng các sản phẩm AT&BM trong HTTT Các chính sách đó liên quan và đề cập đến hàng loạt khía cạnh khác nhau như: các loại hình nghiên cứu khoa học và phát triển công nghệ, việc quản lý các sản phẩm AT&BM, liên quan đến nhiều đối tượng (nhà sản xuất, nhà phân phối, người tiêu dùng )

Chính sách KH&CN đưa ra các định hướng phát triển và thúc đẩy

28

nghiên cứu các tiêu chí để đánh giá sự phù hợp của sản phẩm trong HTTT; quy định các tiêu chuẩn và các quy chuẩn kỹ thuật làm cơ sở định hướng cho các nhà sản xuất trong nước cũng như các nhà nhập khẩu hướng đến những sản phẩm tin cậy và tương thích Ngoài ra, chính sách KH&CN cũng hỗ trợ cho việc xây dựng các chế tài ứng dụng các sản phẩm AT&BM trong HTTT, nhất là ở các khu vực trọng yếu của quốc gia

Chính vì vậy mà các chính sách KH&CN phát triển các sản phẩm AT&BM cho các HTTT cần được quan tâm xây dựng và hoàn thiện để tạo nền tảng vững chắc cho việc phát triển các sản phẩm này

Việc nghiên cứu để phân tích tác động của chính sách này sẽ giúp các nhà lãnh đạo, các nhà quản lý thấy được những mặt tích cực cũng như những mặt chưa phù hợp của chính sách đã ban hành đối với sự phát triển của ngành

Từ đó, có định hướng để điều chỉnh, hoàn thiện Hệ thống chính sách nhằm phát triển ngành công nghiệp mới này trong tiến trình hội nhập quốc tế

1.4 Kết luận Chương 1

Chương 1 đã trình bày các cơ sở lý luận gồm các khái niệm liên quan đến AT&BM, đặc trưng của sản phẩm AT&BM và chính sách KH&CN đối với việc phát triển các sản phẩm này Đây là các căn cứ quan trọng để phân tích tác động chính sách KH&CN đối với việc phát triển các sản phẩm AT&BM trong quá trình hội nhập quốc tế sẽ được trình bày ở các Chương sau

29

CHƯƠNG 2

VẤN ĐỀ AT&BM VÀ CÁC TIÊU CHÍ ĐÁNH GIÁ SẢN PHẨM AT&BM

Chương này sẽ xem xét tình hình AT&BM hiện nay trên thế giới cũng như ở Việt Nam, tập trung phân tích nhu cầu phát triển các sản phẩm AT&BM cho HTTT và xem xét các tiêu chí phổ biến trên thế giới để đánh giá các sản phẩm AT&BM Các tiêu chí này chính là cơ sở để các sản phẩm AT&BM được xác định là tin cậy và đảm bảo cho tính hội nhập của sản phẩm trên thị trường trong nước và quốc tế

Tìm hiểu và đánh giá việc triển khai AT&BM tại một số cơ quan và doanh nghiệp trong năm vừa qua, qua đó có được những đánh giá về tác động của các chính sách KH&CN đối với việc ứng dụng các sản phẩm AT&BM cho HTTT tại các tổ chức này, tác giả luận văn đã tham gia cùng một số cơ quan và tổ chức lấy số liệu thực tế thông qua điều tra, phỏng vấn, khảo sát hiện trường Những kết quả này có thể được dùng làm căn cứ để dự báo nhu cầu về sản phẩm AT&BM ở nước ta trong thời gian tới

2.1 Vấn đề AT&BM hiện nay

Ngày nay Internet đã trở thành môi trường công tác của hầu hết các tổ chức Từ Chính phủ điện tử, Ngân hàng điện tử cho đến Thương mại điện tử đều hoạt động trên cơ sở hạ tầng mạng Internet Internet đã trở nên một yếu tố không thể thiếu được trong nhiều hoạt động của cuộc sống hiện đại, tỷ trọng các thông tin quan trọng, giao dịch quan trọng truyền tải qua mạng Internet ngày càng lớn

Các hiểm họa đến với HTTT từ nhiều phía song chủ yếu xuất phát từ mạng Internet Theo các thống kê của các Công ty an ninh mạng thì có đến 80% nguốn gốc các hiểm họa đối với HTTT xuất phát từ mạng Internet

30

Theo đại diện của hãng Checkpoint, một công ty về an ninh mạng nổi tiếng thì các mối nguy hiểm từ Internet có chiều hướng gia tăng nhanh hơn sự phát triển bền vững của Internet Nếu thế giới không làm điều gì để ngăn chặn kịp thời thì Internet có thể phải ngừng hoạt động vì các mối nguy hiểm cho người dùng vượt quá những lợi ích mà nó đem đến Chính vì vậy, việc bảo đảm AT&BM cho các HTTT ngày càng được quan tâm nhiều hơn trong các

tổ chức

2.1.1 Ngoài nước

Công ty chuyên cung cấp các sản phẩm AT&BM McAfee ước tính trong năm 2008 các doanh nghiệp trên toàn thế giới đã thiệt hại hơn 1 nghìn

tỷ đôla do mất AT&BM và còn cảnh báo rằng sự suy yếu của kinh tế thế giới

sẽ làm gia tăng các vụ tấn công vào HTTT trong năm 2009 McAfee đưa ra nhận định trên dựa vào những con số khổng lồ về các vụ tấn công các HTTT

từ một nghiên cứu do Trung tâm Bảo đảm và Bảo mật thông tin của đại học Purdue tiến hành Ngoài ra, thông tin được điều tra từ hơn 800 CIO tại Mỹ, Anh, Đức, Nhật Bản, Trung Quốc, Ấn độ đã cho thấy: trong năm trước các công ty này đã thiệt hại đến 4,6 tỉ đôla và phải chi 600 triệu đôla để vá lỗ hổng do HTTT bị tấn công [17]

Theo một chuyên gia AT&BM Mỹ, máy tính của Bộ Quốc phòng Mỹ thường bị tấn công Năm 2007, một hacker đã đột nhập thành công vào hệ thống E-mail của Bộ Quốc phòng Mỹ, buộc cơ quan này phải khẩn cấp ngắt mạng của 1500 máy tính để bảo đảm AT&BM Trước đó, các hacker đã thành công trong việc đột nhập máy tính của Bộ An ninh nội địa Mỹ, cơ quan đi đầu

về chống tội phạm mạng Bộ Quốc phòng Mỹ đã từ chối bình luận trước nguồn gốc tấn công cũng như im lặng trước câu hỏi liệu hacker đã đọc được nội dung email trong Hệ thống hay chưa [11, tr 58]

31

Ngày 12/08/2007 tin tặc đã tấn công Website chính thức của Liên Hiệp quốc và để lại thông điệp phản đối các chính sách của Mỹ và Israel ở Trung Đông Ở trang dành để đưa ra các thông báo và bình luận của Tổng Thư ký Ban Ki-moon, các tin tặc đã để lại thông điệp được lặp đi, lặp lại nhiều lần

“Bị “hack” bởi kerem125, M0sted và Gsy Đây là sự phản đối qua mạng Internet Mỹ và Israel không được giết trẻ em và những người khác Hoà bình muôn năm Chấm dứt chiến tranh” [18] Liên Hiệp Quốc đã buộc phải tạm

ngưng hoạt động các trang web bị ảnh hưởng để sửa lỗi và phục hồi được các tuyên bố của Tổng thư ký

Chỉ số mất an toàn trên mạng CNTT trên thế giới trong những năm gần đây đã chứng minh về sự gia tăng liên tục của các hiểm họa đối với các HTTT đặc biệt là các HTTT trọng yếu của Quốc gia Kết quả của nhiều cuộc điều tra khác nhau đã cho thấy số lượng các tấn công cũng như thiệt hại về tài chính ngày một nặng nề Trong giai đoạn 2003 đến 2008 con số này liên tục tăng khoảng 5% hàng tháng (số liệu do Công ty an ninh mạng Ecop cung cấp) Đây quả là một con số đáng báo động về mức độ tội phạm mạng

Những báo cáo mới nhất của bộ phận nghiên cứu an ninh Security Labs của Websense – hãng bảo mật nội dung Internet hàng đầu thế giới đã tổng kết:

- 77% các trang web chính thống đã từng bị lợi dụng để nhúng các đoạn

mã độc hại (Các đoạn chương trình được cài đặt vào máy một cách bất

hợp pháp nhằm mục đích phá hoại hoặc đánh cắp thông tin)

- 70% trong số 100 trang web nổi tiếng hàng đầu thế giới đã từng là nơi lưu trữ các nội dung độc hại hoặc chuyển hướng người dùng sang các trang web có chứa mã độc hại

- 84,5% thư điện tử là thư rác, 90,4% thư điện tử mà chủ hộp thư không muốn nhận có chứa các liên kết dẫn đến các trang web có chứa mã độc hại

Ngoài ra, các quốc gia phát triển còn đầu tư rất nhiều để triển khai những trung tâm ở quy mô toàn quốc như Trung tâm ứng cứu khẩn cấp (Cert), Trung tâm giám sát an ninh mạng hay hạ tầng PKI quốc gia Song không vì thế mà người ta có thể an tâm về thông tin khi tác nghiệp trên mạng Interrnet

Ví dụ điển hình là gần đây tại Mỹ đã xẩy ra vụ tin tặc thu được rất nhiều thông tin tuyệt mật về máy bay F22 qua mạng Interrnet Các hệ thống phòng

vệ hiện nay hầu hết hoạt động tương đối thụ động, nghĩa là các dạng tấn công mới thường xuất hiện trước các giải pháp bảo vệ Như vậy tấn công luôn đi trước các nhà làm AT&BM một bước Đây cũng là một điều cần phải suy nghĩ cho các nhà nghiên cứu, sản xuất các sản phẩm AT&BM

Một điều cần quan tâm nữa là các website bị tấn công vẫn hoạt động cập nhật dữ liệu bình thường, thậm chí người quản trị không hay biết trong khi nguồn tài nguyên thông tin đã bị sao chép, đánh cắp, sửa đổi Không chỉ dừng ở việc đột nhập website, nhiều kẻ tấn công còn chuyển sang các hoạt động trục lợi như tấn công vào hệ thống lưu trữ cước phí Internet của các ISP

để xoá cước phí, đánh cắp thông tin của các doanh nghiệp để bán cho đối thủ của họ, ăn cắp mật khẩu của các tài khoản nhằm biển thủ tiền…, thông tin tại các website đã bị sửa đổi vì mục đích xấu, khiến người truy cập website hiểu sai nội dung thông tin dẫn đến những hậu quả không tốt

Theo đánh giá của các chuyên gia trong nước và nước ngoài, HTTT của Việt nam còn nhiều lỗ hổng, thiếu sự tin cậy Đây là một cản trở lớn cho quá trình phát triển các giao dịch điện tử

Hiện nay, điểm mất an toàn nhất của các Công ty chứng khoán nằm ở website Hacker có thể thâm nhập qua đường website rồi sau đó tiến vào các

hệ thống có liên quan, đưa thông tin thất thiệt, âm thầm thay đổi kết quả giao dịch, sửa chỉ số chứng khoán, lấy cắp hay sửa đổi thông tin tài khoản của nhà đầu tư… được quản lý trên đó Điều này nguy hiểm ở chỗ chúng ta không thể xác định nhanh chóng và chính xác được công ty nào bị tấn công vì hacker không dại gì đánh sập website để mọi người dễ nhận thấy, hơn nữa hacker có thể tạo ra hàng loạt tin sai giống nhau ở một loạt các website để các nhà đầu

34

tư không nghi ngờ

Tháng 04/2007, Trung tâm An ninh mạng BKIS đã đưa ra một báo cáo

về việc tồn tại các lỗ hổng ở 12/22 website chứng khoán, nếu không được vá lỗi kịp thời, hacker dễ lợi dụng các lỗ hổng này để chiếm quyền kiểm soát bất

kỳ lúc nào BKIS đã gửi Công văn cho Ủy Ban Chứng khoán nhà nước về vấn

đề này

Sau đó, vào cuối năm 2007, BKIS tiến hành một cuộc khảo sát mới đối với gần 150 website về chứng khoán hiện đang hoạt động thì có tới 40% website có lỗi và hacker có thể đăng nhập hệ thống quản trị website dễ dàng [15, tr 52] Đây là loại lỗi của Hệ thống và có thể xảy ra ở nhiều điểm khác nhau của Hệ thống Nó là hậu quả của việc doanh nghiệp không quan tâm tới vấn đề AT&BM đúng mức Nguyên nhân thì có nhiều, chẳng hạn, khi đưa một phần mềm vào Hệ thống, doanh nghiệp đã không yêu cầu các nhà sản xuất đảm bảo rằng chương trình nguồn của phần mềm đã tuân theo các tiêu chí AT&BM chưa, cũng như không thuê tư vấn độc lập để kiểm tra về mức độ AT&BM của phần mềm

Tính riêng năm 2007, thiệt hại do virus gây ra ước khoảng 2.300 tỷ đồng, 6.752 virus mới xuất hiện trong năm (trung bình là 18,49 virus/ngày) với hơn 33 triệu lượt máy tính nhiễm virus Năm 2007 cũng là năm “báo động đỏ” của AT&BM cho HTTT Việt Nam khi có tới 342 website của Việt Nam

bị hacker trong và ngoài nước tấn công [8, trg 16 và 9, tr 38]

Bên cạnh những thiệt hại có thể thống kê được bằng các con số thì có những thiệt hại không thể thống kê được như lòng tin của người sử dụng dịch

vụ, của thị trường vào hệ thống mạng cũng như các dịch vụ cung cấp qua mạng bị giảm sút Viễn cảnh thiếu AT&BM cũng khiến không ít các cơ sở ngừng triển khai việc kinh doanh trực tuyến

Năm 2008 là năm có nhiều sự kiện liên quan tới vấn đề AT&BM ở Việt

35

nam: website ngân hàng Techcombank bị tấn công sau khi chính hacker đã gửi cảnh báo tới Ngân hàng này mà không được hồi âm; 03 tên miền quan trọng của PAvietnam (PA vietnam.net, PA vietnamcom và dotvndns.com) - nhà cung cấp dịch vụ thuê chỗ (Hosting) lớn tại Việt Nam đã bị hacker chiếm quyền điều khiển, khiến khoảng 8.000 website khách hàng đang sử dụng máy chủ tên miền PAvietnam bị tê liệt; hệ thống quảng cáo liên kết www.lienket247.com đã bị hacker tấn công và xoá sạch toàn bộ cơ sở dữ liệu của hơn 2.000 websites thành viên liên kết… Dù chưa có thống kê thật đầy đủ nhưng có thể ước tính con số thiệt hại lên tới nhiều tỷ đồng, chưa kể đến những doanh nghiệp lâm vào tình thế phá sản hoặc kéo theo những vụ khiếu kiện

Theo bản tin An ninh mạng của BKIS tháng 01/2009 thì trong năm

2008, BKIS đã tiến hành khảo sát và phát hiện ra lỗ hổng nguy hiểm tại 140 website của các cơ quan, doanh nghiệp quan trọng tại Việt Nam BKIS cũng

đã kiểm tra website của 26 Ngân hàng tại Việt Nam và phát hiện 8 website có những lỗ hổng nghiêm trọng về AT&BM Theo đó, tin tặc có thể lợi dụng những kẽ hở này để thay đổi, xóa nội dung website hoặc toàn bộ cơ sở dữ liệu làm ảnh hưởng tới khách hàng và cả uy tín của Ngân hàng Sau khi phát hiện các lổ hổng, BKIS đã gửi Công văn cảnh báo và hướng dẫn khắc phục tới 8 ngân hàng nói trên đồng thời cũng hướng dẫn Nhà cung cấp dịch vụ di động Mobifone tại Việt Nam vá lỗ hổng trên website

Đến cuối năm 2008, hơn một nửa các lỗ hổng bảo mật được khám phá

có liên quan đến ứng dụng Web và trong đó hơn 74% do không được vá kịp thời; số lượng các tấn công đã cao gấp 30 lần số lượng tấn công được phát hiện trong nửa đầu của năm Theo thống kê của BKIS, tổng cộng trong năm

2008, đã có 33.137 dòng virus máy tính mới xuất hiện tại Việt Nam, trong đó 33.101 dòng có xuất xứ từ nước ngoài và 36 dòng có xuất xứ từ Việt Nam;

36

khoảng 60 triệu lượt máy tính trong cả nước bị nhiễm Virus gây thiệt hại khoảng 30.000 tỷ đồng, gấp 10 lần năm 2007 Ngoài ra, có 210 website Việt Nam bị hacker trong nước tấn công, 251 website Việt Nam bị hacker nước ngoài tấn công

Sự lây lan virus và các loại mã độc trên mạng tại các cơ quan, doanh nghiếp là rất lớn và rất khó để có thể ngăn chặn triệt để Các hacker không chỉ nhắm tới các HTTT của doanh nghiệp mà còn tấn công cả các HTTT của Chính phủ

Theo ghi nhận của VnExpress, có khá nhiều trang web có tên miền đuôi

.gov.vn hiện diện tại zone-h, trang web nêu "công trạng" của hacker trên khắp thế giới, như: namdinh.gov.vn, haiphong.gov.vn, dalat.gov.vn, cantho.gov.vn, mot.gov.vn (Bộ Thương Mại), conganphutho.gov.vn (Công an Phú Thọ) [19]

Nghiêm trọng hơn, một số website tên miền gov.vn đã bị hacker nước ngoài kiểm soát và gắn mã độc phát tán virus Nếu tình trạng này còn tiếp diễn thì an ninh quốc gia cũng có thể sẽ bị ảnh hưởng Hiện tại, chưa có thống

kê chính thức về thiệt hại kinh tế, chính trị và xã hội liên quan đến vấn đề này

Theo điều tra của VNCERT và VNISA tiến hành năm 2008, khi tiến hành tấn công thử một số website của các cơ quan nhà nước, thì chỉ có 23% trong số đó nhận biết được là có cuộc tấn công Chính phủ cũng đã có một số Công văn nhắc nhở cho các cơ quan, bộ, ngành để cảnh báo về việc này

Trong báo cáo tại hội thảo An ninh, Bảo mật Việt Nam lần thứ 4, thiếu tướng Nguyễn Viết Thế - Cục trưởng Cục Tin học nghiệp vụ, Bộ Công an cho biết, trong 3 tháng đầu năm 2009 có tới 42 website (trong đó có nhiều website của các cơ quan, tổ chức của nhà nước) bị tấn công

Việc cung cấp các dịch vụ công trên mạng (phục vụ mục tiêu xây dựng Chính phủ điện tử) bắt đầu được triển khai ở một số website và Cổng thông

từ phía người dân mà còn cả từ phía các cơ quan, đơn vị này

Sự việc một học sinh cấp 3 hack thành công website của Bộ Giáo dục

và Đào tạo, thay chân dung Bộ trưởng Nguyễn Thiện Nhân đã tạo sự chú ý dư luận với những tranh cãi theo nhiều luồng ý kiến, quan điểm khác nhau Ngay sau đó, các website Liên đoàn bóng đá Việt Nam VFF và Bộ Giao thông vận tải liên tiếp bị nhòm ngó và bẻ khóa Sự việc xới lên một vấn đề, dù không mới nhưng vẫn nóng bỏng và đầy tính thời sự: tình trạng AT&BM website cũng như HTTT trong các cơ quan Bộ, ngành, cơ quan trọng yếu trực thuộc Trung ương là đáng báo động

Sau những gì đã xẩy ra với AT&BM cho các HTTT năm 2007 - 2008, các chuyên gia đã bắt tay tìm nguyên nhân dẫn đến tình trạng này Có thể thống kê một số nguyên nhân chính:

- Các tổ chức chưa thực sự quan tâm đến vấn đề này, kinh phí đầu tư cho AT&BM còn hạn chế, có những đơn vị chỉ dành 3% ngân sách của mình cho AT&BM - đó là con số quá nhỏ so với tốc độ gia tăng tấn công của hacker

- Trên website còn nhiều lỗ hổng, các bản vá lỗ hổng không thường xuyên được cập nhật

- Chính sách, văn bản pháp luật của Việt Nam về loại tội phạm mới này còn ít và nghèo nàn, chưa có đủ sức mạnh để răn đe

- Nguyên nhân chủ yếu là do người sử dụng chưa thực hiện đúng quy

38

định về AT&BM, tạo kẽ hở để kẻ xấu khai thác, lợi dụng, tấn công

Để có được bức tranh đầy đủ về công tác AT&BM, Trung tâm Bảo mật thông tin kinh tế - xã hội của Ban Cơ yếu Chính phủ đã tiến hành khảo sát tại các cơ quan nhà nước và hơn 50 doanh nghiệp lớn Từ kết quả khảo sát đã rút

ra một số kết luận về hiện trạng công tác AT&BM cho các HTTT ở nước ta như sau [nguồn từ Ban Cơ yếu Chính phủ]:

1- AT&BM đang thật sự cần thiết đối với nhiều cơ quan, tổ chức và doanh nghiệp, đặc biệt trong giai đoạn nước ta ngày càng hoà nhập sâu vào kinh tế thị trường và gia nhập WTO Tuy nhiên, hoạt động triển khai thực tế không tương xứng với yêu cầu đặt ra, nhiều cơ quan, doanh nghiệp chưa thật

sự coi trọng vấn đề này do một số nguyên nhân sau: chưa thấy rõ tác hại của việc thiếu biện pháp AT&BM; các cấp lãnh đạo và quản lý chưa nhận thức được đầy đủ nên chưa quan tâm đến vai trò của AT&BM

2- Một số tổ chức, doanh nghiệp đã triển khai các giải pháp AT&BM song lại thiếu đồng bộ, chắp vá

3- Trong nước đã xuất hiện các tổ chức nghiên cứu, áp dụng các công nghệ AT&BM song nói chung quy mô còn nhỏ, thiếu cơ bản, sản phẩm AT&BM phần lớn được chuyển giao từ nước ngoài và trong nhiều trường hợp chưa làm chủ được công nghệ Hoạt động kinh doanh, xuất nhập khẩu sản phẩm AT&BM còn thiếu kiểm soát từ các cơ quan có thẩm quyền

4- Nhà nước đã bước đầu xây dựng được cơ sở luật pháp cho hoạt động AT&BM, song nhìn chung hệ thống cơ sở pháp lý vẫn còn thiếu, nhất là các hướng dẫn và quy định cụ thể cho nhiều lĩnh vực khác nhau Việc tuyên truyền, phổ biến cũng chưa được chú trọng

Thực tế trên đã đặt ra nhiệm vụ ngày một nặng nề cho công tác AT&BM, đòi hỏi cần phải nhanh chóng triển khai các giải pháp nhằm tạo ra các sản phẩm AT&BM có chất lượng và độ tin cậy cao Để làm được điều đó,