Chuyen de 3 an ninh, an toan trong quan ly thong tin
Transcript of Chuyen de 3 an ninh, an toan trong quan ly thong tin
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 11
AN TOÀN THÔNG TINAN TOÀN THÔNG TIN
“ “ Việc liên lạc là một việc quan Việc liên lạc là một việc quan trọng bậc nhất trong công tác trọng bậc nhất trong công tác cách mệnh, vì chính nó quyết cách mệnh, vì chính nó quyết định sự thống nhất chỉ huy, sự định sự thống nhất chỉ huy, sự phân phối lực lượng và do đó phân phối lực lượng và do đó đảm bảo thắng lợi”đảm bảo thắng lợi” Hồ Chí MinhHồ Chí Minh
AN TOÀN THÔNG TINAN TOÀN THÔNG TIN
Nội dung: Nội dung:
1.1.Khái niệmKhái niệm
2.2.Tầm quan trọngTầm quan trọng
3.3.Nguy cơNguy cơ
4.4.Chính sách an toàn thông tinChính sách an toàn thông tin
5.5.Kết luậnKết luận
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 22
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 33
I. Khái niệmI. Khái niệm
An toàn thông tinAn toàn thông tin
Khả dụng
Ngu
yên
vẹn
Bảo
mật
An toàn thông tin
I. Khái niệm I. Khái niệm
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 44
Lớp ứng dụng
Mức quản lý
Mức kiểm soát
Mức người sử dụng
Lớp dịch vụ
Lớp hạ tầng
Lớp ứng dụngKiểm soát truy nhập
Chứng thực
Chống chối bỏ
Bảo mật số liệu
An toàn luồng tin
Nguyên vẹn số liệu
Khả dụng
Riêng tư
Nguy cơ
Tấn công
Phá hủy
Cắt bỏ
Bóc, tiết lộ
Gián đoạn
Sửa đổi
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 55
II. Tầm quan trọngII. Tầm quan trọng
• Để cụ thể hoá vấn đề an toàn thông tin Để cụ thể hoá vấn đề an toàn thông tin mạng, nhiều nước đã hình thành thuật ngữ mạng, nhiều nước đã hình thành thuật ngữ “hạ tầng cơ sở trọng yếu”. “hạ tầng cơ sở trọng yếu”.
• Khái niệm cơ sở hạ tầng trọng yếu rất quan Khái niệm cơ sở hạ tầng trọng yếu rất quan trọng vì những lý do sau:trọng vì những lý do sau:
- Thứ nhất, nó có thể giúp làm rõ tại sao an - Thứ nhất, nó có thể giúp làm rõ tại sao an toàn thông tin mạng lại quan trọng.toàn thông tin mạng lại quan trọng.
- Thứ hai, danh sách hạ tầng cơ sở trọng yếu Thứ hai, danh sách hạ tầng cơ sở trọng yếu rất quan trọng vì như vậy sẽ giúp cho các rất quan trọng vì như vậy sẽ giúp cho các cơ quan nhà nước xác định được trách cơ quan nhà nước xác định được trách nhiệm để cải thiện an toàn thông tin mạng.nhiệm để cải thiện an toàn thông tin mạng.
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 66
II. Tầm quan trọngII. Tầm quan trọng
• Hoạt động của các hạ tầng cơ sở trọng yếu lại dựa vào Hoạt động của các hạ tầng cơ sở trọng yếu lại dựa vào mạng hạ tầng công nghệ thông tin mà người ta thường mạng hạ tầng công nghệ thông tin mà người ta thường gọi là không gian mạng (Cyberspace).gọi là không gian mạng (Cyberspace).
• Đó chính là hệ thống thần kinh - hệ thống điều khiển Đó chính là hệ thống thần kinh - hệ thống điều khiển bao gồm hàng trăm ngàn máy tính, máy chủ, chuyển bao gồm hàng trăm ngàn máy tính, máy chủ, chuyển mạch, định tuyến, cáp quang được kết nối với nhau, nó mạch, định tuyến, cáp quang được kết nối với nhau, nó cho phép các hạ tầng cơ sở trọng yếu này hoạt động. cho phép các hạ tầng cơ sở trọng yếu này hoạt động. An toàn cho hệ thống thần kinh này gồm cả hai phần: An toàn cho hệ thống thần kinh này gồm cả hai phần: phần hữu hình gồm các máy tính, máy chủ, định tuyến,phần hữu hình gồm các máy tính, máy chủ, định tuyến,…cáp truyền dẫn và phần vô hình sẽ là các phần mềm …cáp truyền dẫn và phần vô hình sẽ là các phần mềm và các gói tin được lưu giữ, truyền đi trong hệ thống và các gói tin được lưu giữ, truyền đi trong hệ thống thần kinh này mà chúng ta gọi là an toàn thông tin thần kinh này mà chúng ta gọi là an toàn thông tin mạng. mạng.
II. Tầm quan trọngII. Tầm quan trọng
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 77
An toàn thông tin quốc gia
n
iISNIS1
Trong đó i = 1, 2, 3,…, n hạ tầng cơ sở trọng yếu
l
k
m
j NSSSI11
n
1iPCSS
n
iSNS1
An ninh quốc gia
S: an ninh các lĩnh vựci = 1, 2, 3,…, n
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 88
II. Tầm quan trọngII. Tầm quan trọng
Chính phủ
Quố
c ph
òng
Doa
nh n
ghiệ
p
Nhà nước
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 99
III. Nguy cơIII. Nguy cơ1. Những nguy cơ hiện hữu1. Những nguy cơ hiện hữu
TênTên NămNăm Thiệt hạiThiệt hại
Sâu Morris Sâu Morris 1988 1988 Làm tê liệt 10% máy tính trên mạng InternetLàm tê liệt 10% máy tính trên mạng Internet
Vi rút Melisa Vi rút Melisa 5/1999 5/1999 100.000 máy tính bị ảnh hưởng/1 tuần Thiệt hại 1,5 tỷ 100.000 máy tính bị ảnh hưởng/1 tuần Thiệt hại 1,5 tỷ USDUSD
Vi rút ExplorerVi rút Explorer 6/1999 6/1999 Thiệt hại 1,1 tỷ USDThiệt hại 1,1 tỷ USD
Vi rút Love BugVi rút Love Bug 5/2000 5/2000 Thiệt hại 8,75 tỷ USDThiệt hại 8,75 tỷ USD
Vi rút SircamVi rút Sircam 7/2001 7/2001 2,3 triệu máy tính bị nhiễm, thiệt hại 1,25 tỷ USD2,3 triệu máy tính bị nhiễm, thiệt hại 1,25 tỷ USD
Sâu Code RedSâu Code Red 7/20017/2001 359.000 máy tính bị nhiễm/14 giờ, Thiệt hại 2,75 tỷ USD359.000 máy tính bị nhiễm/14 giờ, Thiệt hại 2,75 tỷ USD
Sâu NimdaSâu Nimda 9/20019/2001 160.000 máy tính bị nhiễm, Thiệt hại 1,5 tỷ USD160.000 máy tính bị nhiễm, Thiệt hại 1,5 tỷ USD
KlezKlez 20022002 Thiệt hại 175 triệu USDThiệt hại 175 triệu USD
BugBearBugBear 20022002 Thiệt hại 500 triệu USDThiệt hại 500 triệu USD
BadtransBadtrans 20022002 90% máy tính bị nhiễm/10 phútThiệt hại 1,5 tỷ USD90% máy tính bị nhiễm/10 phútThiệt hại 1,5 tỷ USD
BlasterBlaster 20032003 Thiệt hại 700 triệu USDThiệt hại 700 triệu USD
NachiNachi 20032003 Thiệt hại 500 triệu USDThiệt hại 500 triệu USD
SoBig.FSoBig.F 20032003 Thiệt hại 2,5 tỷ USDThiệt hại 2,5 tỷ USD
Sâu MyDoomSâu MyDoom 1/20041/2004 100.000 máy tính bị nhiễm/1 giờ, Thiệt hại hơn 4 tỷ USD100.000 máy tính bị nhiễm/1 giờ, Thiệt hại hơn 4 tỷ USD
III. Nguy cơIII. Nguy cơ
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1010
Virus máy tính năm 2007 (tại Việt ) Số lượng
Số lượt máy tính bị nhiễm virus 33.646.000 lượt máy tính
Số virus mới xuất hiện trong năm 6.752 virus mới
Số virus xuất hiện trung bình trong 1 ngày 18,49 virus mới / ngày
Virus lây lan nhiều nhất trong năm: W32.Winib.Worm
Lây nhiễm 511.000 máy tính
Năm Số virus mới xuất hiện Tỷ lệ máy tính bị nhiễm virus (%)
2005 232 94%2006 880 93%2007 6.752 96%
III. Nguy cơIII. Nguy cơ
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1111
III. Nguy cơIII. Nguy cơ
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1212
III. Nguy cơIII. Nguy cơ
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1313
- nguy cơ tia chớp
- DDOS
- Tấn công hạ tầng trọng yếu
- nguy cơ tia chớp
- DDOS
- Tấn công hạ tầng trọng yếu
- Nguy cơ rộng
- Nguy cơ Warhol
- Tấn công tín dụng quốc gia
- Tấn công hạ tầng
- Vi rút
- Sâu
- DOS
- Tấn công tín dụng
Máy tính riêng lẻ
Tổ chức riêng lẻ
Khu vực
Lĩnh vực
Toàn cầu
1990s 2000 2002 2004 Thời gian
2. Nguy cơ tương lai
III. Nguy cơIII. Nguy cơ
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1414
Nguy cơ tia chớp
Nguy cơ Warhol
Sâu E-mail
Vi rút MacroVi rút File
Loại IIĐối phó nhân công: khó/bất khả thiTự động đối phó: có thể
Nguy cơ diện rông
Loại IIIĐối phó nhân công: bất khả thiTự động đối phó: hy vọngKhóa tiên tiến: có thể
Loại IĐối phó nhân công: có thể
Đầu 1990s Giữa 1990s Cuối 1990s 2000 2003 Thời gian
Giây
Phút
Giờ
Ngày
Tuần, tháng
III. Nguy cơIII. Nguy cơ
1. Hạ tầng viễn thông:1. Hạ tầng viễn thông: Như chúng ta đã biết ngày nay trên thế giới Như chúng ta đã biết ngày nay trên thế giới cũng như Việt Nam tất cả các hệ thống viễn thông đều dựa trên cũng như Việt Nam tất cả các hệ thống viễn thông đều dựa trên các hệ thống máy tính và ngày càng lệ thuộc vào máy tính nên có các hệ thống máy tính và ngày càng lệ thuộc vào máy tính nên có thể dễ dàng bị tấn công và làm cho gián đoạn hoặc đình trệ. Hạ thể dễ dàng bị tấn công và làm cho gián đoạn hoặc đình trệ. Hạ tầng viễn thông được chia thành một số loại mạng như sau:tầng viễn thông được chia thành một số loại mạng như sau:
• Hệ thống viễn thông cố định: hệ thống viễn thông cố định cung Hệ thống viễn thông cố định: hệ thống viễn thông cố định cung cấp một hạ tầng mạng cho mạng điện thoại cố định, truyền số liệu cấp một hạ tầng mạng cho mạng điện thoại cố định, truyền số liệu và là phương tiện chủ yếu của thương mại điện tử và Chính phủ và là phương tiện chủ yếu của thương mại điện tử và Chính phủ điện tử. Đồng thời các phương tiện truyền thông như Internet đều điện tử. Đồng thời các phương tiện truyền thông như Internet đều dựa trên cơ sở mạng này. dựa trên cơ sở mạng này.
• Hệ thống thông tin di động: đối với các nhà cung cấp dịch vụ điện Hệ thống thông tin di động: đối với các nhà cung cấp dịch vụ điện thoại di động, do trong môi trường hoàn toàn máy tính hóa, nên họ thoại di động, do trong môi trường hoàn toàn máy tính hóa, nên họ cũng dễ dàng trở thành nạn nhân của bọn tội phạm mạng.cũng dễ dàng trở thành nạn nhân của bọn tội phạm mạng.
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1515
III. Nguy cơIII. Nguy cơ
• Dịch vụ truyền số liệu: hiện tại mạng truyền số liệu còn ký sinh Dịch vụ truyền số liệu: hiện tại mạng truyền số liệu còn ký sinh trên mạng điện thoại, nhưng trong tương lai gần, phần lớn mạng trên mạng điện thoại, nhưng trong tương lai gần, phần lớn mạng viễn thông được dùng để trao đổi số liệu như tất cả các mạng viễn thông được dùng để trao đổi số liệu như tất cả các mạng diện rộng của các tổ chức ngân hàng, hàng không, các hệ thống diện rộng của các tổ chức ngân hàng, hàng không, các hệ thống khảo sát thăm dò.....khảo sát thăm dò.....
• Mạng Internet: đây là môi trường lý tưởng để cho các loại tội Mạng Internet: đây là môi trường lý tưởng để cho các loại tội phạm mạng thâm nhập các hệ thống, các phương tiện thiết bị phạm mạng thâm nhập các hệ thống, các phương tiện thiết bị viễn thông, công nghệ thông tin, các cơ quan tổ chức để đạt được viễn thông, công nghệ thông tin, các cơ quan tổ chức để đạt được các lợi ích của chúng.các lợi ích của chúng.
• Hệ thống thông tin của quân đội: Mặc dù phần lớn hệ thống Hệ thống thông tin của quân đội: Mặc dù phần lớn hệ thống thông tin này tách biệt với các hệ thống thông tin khác, nhưng nó thông tin này tách biệt với các hệ thống thông tin khác, nhưng nó dựa trên mạng viễn thông cơ sở và hệ thống máy tính nên nó dựa trên mạng viễn thông cơ sở và hệ thống máy tính nên nó cũng trở thành mục tiêu của tội phạm mạng.cũng trở thành mục tiêu của tội phạm mạng.
• Hệ thống điều hành và kiểm soát của các cơ quan Chính phủ.Hệ thống điều hành và kiểm soát của các cơ quan Chính phủ.
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1616
III. Nguy cơIII. Nguy cơ
2. Hạ tầng cơ sở kinh tế:2. Hạ tầng cơ sở kinh tế:
• Các tổ chức tài chính: tất cả các ngân hàng, các trung tâm giao dịch Các tổ chức tài chính: tất cả các ngân hàng, các trung tâm giao dịch chứng khoán... đều sử dụng máy tính để duy trì các tài khoản và các chứng khoán... đều sử dụng máy tính để duy trì các tài khoản và các giao dịch tài chính.giao dịch tài chính.
• Các nhà máy công nghiệp của Nhà nước và tư nhân sử dụng máy tính Các nhà máy công nghiệp của Nhà nước và tư nhân sử dụng máy tính để hiển thị và điều khiển các vật tư thiết bị mà con người không thể để hiển thị và điều khiển các vật tư thiết bị mà con người không thể tiếp cận vì lý do bảo vệ sức khỏe.tiếp cận vì lý do bảo vệ sức khỏe.
• Thị trường mua bán công khai và không công khai.Thị trường mua bán công khai và không công khai.
• Các doanh nghiệp tư nhân.Các doanh nghiệp tư nhân.
• Các trung tâm kinh doanh lớn.Các trung tâm kinh doanh lớn.
3. Tâm lý xã hội:3. Tâm lý xã hội:
• Các phương tiện truyền thông như TV, Radio.Các phương tiện truyền thông như TV, Radio.
• Các bệnh viện.Các bệnh viện.
• Hệ thống luật, kiểm soát dân sự.Hệ thống luật, kiểm soát dân sự.
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1717
IV. Chính sách an toàn IV. Chính sách an toàn thông tinthông tin
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1818
Người sử dụng
Doanh nghiệp
Toàn cầu
Hạ tầng cơ sở
Thương khẩu QG5 vấn đề
IV. Chính sách an toàn IV. Chính sách an toàn thông tinthông tin
7 Giải pháp7 Giải pháp- Con ngườiCon người
- Hành lang pháp lýHành lang pháp lý
- Tổ chứcTổ chức
- Quy trìnhQuy trình
- Công nghệCông nghệ
- Hợp tácHợp tác
- Thưởng phạtThưởng phạt
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1919
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
1.1. Chiến lượcChiến lược
• Năng lực an toàn thông tin là vấn đề Năng lực an toàn thông tin là vấn đề cốt lõi cần xây dựng đơn vị.cốt lõi cần xây dựng đơn vị.
• Dựa vào bên thứ 3 cho tất cả hoặc Dựa vào bên thứ 3 cho tất cả hoặc phần nào đó.phần nào đó.
• Cần một thời gian ngắn để bên thứ 3 Cần một thời gian ngắn để bên thứ 3 giúp cải thiện chương trình sau đó giúp cải thiện chương trình sau đó chuyển giao công nghệ cho cán bộ.chuyển giao công nghệ cho cán bộ.
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2020
1. Chiến lược2. Hợp phần3. Quản lý
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
• Có cần lãnh đạo có năng lực cho đơn vị.Có cần lãnh đạo có năng lực cho đơn vị.
• Có đào tạo đầy đủ cho cán bộ và họ có Có đào tạo đầy đủ cho cán bộ và họ có đạt được chứng nhận của ngành.đạt được chứng nhận của ngành.
• Có tiếp tục chương trình đào tạo để Có tiếp tục chương trình đào tạo để đảm bảo cán bộ có được chứng nhận đảm bảo cán bộ có được chứng nhận của ngành.của ngành.
• Đơn vị theo mô hình tập trung hay Đơn vị theo mô hình tập trung hay phân tán.phân tán.
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2121
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
• Bạn có muốn cách ly trách nhiệm Bạn có muốn cách ly trách nhiệm trong đơn vị như thế nào.trong đơn vị như thế nào.
• Vai trò và trách nhiệm của cán bộ an Vai trò và trách nhiệm của cán bộ an toàn thông tin.toàn thông tin.
• Phối hợp tối ưu nhất cán bộ trong Phối hợp tối ưu nhất cán bộ trong đơn vị an toàn thông tin.đơn vị an toàn thông tin.
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2222
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
2. Hợp phần2. Hợp phần
• Quản lý an toànQuản lý an toàn
• Cán bộ kỹ thuậtCán bộ kỹ thuật
• Kiểm soátKiểm soát
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2323
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
• Quản lý an toànQuản lý an toàn
- Lãnh đạo an toàn thông tin hiểu biết rộng:Lãnh đạo an toàn thông tin hiểu biết rộng:
+ An toàn thông tin+ An toàn thông tin
+ Hoạt động của đơn vị+ Hoạt động của đơn vị
- Nhà quản lý an toàn thông tin cần:Nhà quản lý an toàn thông tin cần:
+ Chứng chỉ kỹ năng attt (CISSP)+ Chứng chỉ kỹ năng attt (CISSP)
+ Chứng chỉ quản lý attt (CISM)+ Chứng chỉ quản lý attt (CISM)
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2424
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
• Cán bộ kỹ thuậtCán bộ kỹ thuật
Cần có:Cần có: + Kỹ năng thích hợp theo + Kỹ năng thích hợp theo lĩnh vựclĩnh vực
+ SysAdmin+ SysAdmin
+ Audit+ Audit
+ Network Security+ Network Security
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2525
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
• Kiểm soátKiểm soát
Đảm bảo cho chương trình hoạt động phù Đảm bảo cho chương trình hoạt động phù hợp với chính sách đã đề ra:hợp với chính sách đã đề ra:
+ Có vai trò rất quan trọng+ Có vai trò rất quan trọng
+ Phải hiểu về chương trình attt+ Phải hiểu về chương trình attt
+ Có kinh nghiệm+ Có kinh nghiệm
+ Có chứng chỉ kiểm soát hệ thống + Có chứng chỉ kiểm soát hệ thống thông tin (CISA)thông tin (CISA)
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2626
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
3. Quản lý3. Quản lý
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2727
Vai trò trong chương trình attt
CEO - Thiết lập trương trình attt chung- Kiểm soát quá trình chung
Lãnh đạo attt Duy trì cấu trúc và chiến lược attt
Giám đốc thông tin (CIO)
Thuê và quản lý nhóm attt
Giám đốc an toàn (CSO)
Xây dựng lộ trình attt và báo cáo quy trình theo mục tiêu chung
Giám đốc attt (CISO) Chiến lược hóa và thực hiện thành công nguồn lực ngoài
Director of Information Security
Đảm bảo nhận thức chung về attt trong đơn vị
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2828
Vị trí của attt trong đơn vị IT
CIO
Dịch vụ & hỗ trợ khách hàng
Ứng dụng kinh doanh
Vận hành ATTT
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2929
Tổ chức ATTT theo chức năng
ATTT
AT mạng AT Host AT ứng dụngNhận thức
về AT
IV. Chính sách an toàn thông tin – IV. Chính sách an toàn thông tin – Hành lang pháp lýHành lang pháp lý
Cần xây dựng các văn bản QPPL:Cần xây dựng các văn bản QPPL:
1.1.Các văn bản có tính quy định về Các văn bản có tính quy định về ATTTATTT
2.2.Các văn bản mang tính chế tàiCác văn bản mang tính chế tài
3.3.Các loại văn bản khácCác loại văn bản khác
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3030
IV. Chính sách an toàn thông tin – IV. Chính sách an toàn thông tin – Hành lang pháp lýHành lang pháp lý
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3131
Mức quản lý
Kiểm soát truy nhập
Chứng thực
Chống chối bỏ
Bảo mật số liệu
An toàn luồng tin
Nguyên vẹn số liệu
Khả dụng
Riêng tư
Nguy cơ
Tấn công
Phá hủy
Cắt bỏ
Bóc, tiết lộ
Gián đoạn
Sửa đổi
Mức kiểm soát
Mức người sử dụng
Lớp dịch vụ
Lớp hạ tầng
Lớp ứng dụng
1. Các văn bản về ATTT
IV. Chính sách an toàn thông tin – IV. Chính sách an toàn thông tin – Hành lang pháp lýHành lang pháp lý
• Các văn bản QPPLCác văn bản QPPL
1.1.Luật Công nghệ thông tin. Luật Công nghệ thông tin.
2.2.Pháp lệnh Bưu chính, Viễn thông.Pháp lệnh Bưu chính, Viễn thông.
3.3.Nghị định 55/2001/NĐ-CP.Nghị định 55/2001/NĐ-CP.
4.4.Nghị định 160/2004/NĐ-CP.Nghị định 160/2004/NĐ-CP.
5.5.Nghị định số 64/2007/NĐ-CPNghị định số 64/2007/NĐ-CP..
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3232
IV. Chính sách an toàn thông tin – IV. Chính sách an toàn thông tin – Hành lang pháp lýHành lang pháp lý
2. Chế tài2. Chế tài
- Luật hình sự- Luật hình sự
- Luật tội phạm mạng- Luật tội phạm mạng
3. Văn bản khác3. Văn bản khác
- Luật tố tụng hình sự- Luật tố tụng hình sự
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3333
IV. Chính sách an toàn thông tin – Tổ IV. Chính sách an toàn thông tin – Tổ chứcchức
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3434
Kinh nghiệm quốc tế
IV. Chính sách an toàn thông tin – Tổ IV. Chính sách an toàn thông tin – Tổ chứcchức
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3535
Uỷ Ban bảo vệ cơ sở hạ tầng thông tin (CPII)Thủ tướng làm chủ tịch Uỷ ban
Bộ Tài chính & Kinh tế Bộ Tư pháp Bộ Quốc phòng
Bộ Thông tin
Bảo vệ hạ tầng viễn thông
KISA (Cục An toàn thông tin Hàn quốc – 1996)
KrCERT/CCCIP (Communication Infrastructure Protection)
Uỷ Ban bảo vệ cơ sở hạ tầng thông tin (CPII)Thủ tướng làm chủ tịch Uỷ ban
Bộ Tài chính & Kinh tế Bộ Tư pháp Bộ Quốc phòng
Bộ Thông tin
Bảo vệ hạ tầng viễn thông
IV. Chính sách an toàn thông tin – Tổ IV. Chính sách an toàn thông tin – Tổ chứcchức
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3636
Cơ quan tình báo quốc gia Hàn Quốc NIS
Tổng cục An toàn mạng quốc gia NCSC
Bộ Quốc phòng Hàn Quốc
Cục An toàn mạng quân sự
Bộ Thông tin Hàn Quốc
Cục An toàn thông tin
Các cơ quan của Chính phủT
rực
tiếp
xử
lý
Chỉ đạoChỉ đạo
IV. Chính sách an toàn thông tin – Tổ IV. Chính sách an toàn thông tin – Tổ chứcchức
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3737
IV. Chính sách an toàn thông tin – Tổ IV. Chính sách an toàn thông tin – Tổ chứcchức
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3838
IV. Chính sách an toàn thông tin – Tổ IV. Chính sách an toàn thông tin – Tổ chứcchức
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3939
Bộ Quốc phòng Bộ thông tin và Truyền thông
An toàn, an ninh thông tin quốc gia
Bộ Công an
Cơ quan an toàn thông tin
Trung tâm VNCERT
Tổng cục An ninh
Tổng cục Cảnh sát
Bộ Nội vụ
Ban Cơ yếu
Tổ chức an toàn, an ninh thông tin mạng Việt Nam
IV. Chính sách an toàn thông tin – Quy IV. Chính sách an toàn thông tin – Quy trìnhtrình
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4040
1. Lên kế hoạch2. Hợp phần3. Quản trị
1. Lên kế hoạch
Chính sách
Tiêu chuẩn
Biện pháp
Hướng dẫn chung phản ánh triết lý của đơn vị về attt
Tài liệu chi tiết để đơn vị dùng quản lý chương trình attt
Các bước chi tiết để đơn vị thực hiện để đạt mục tiêu cao hơn
IV. Chính sách an toàn thông tin – Quy IV. Chính sách an toàn thông tin – Quy trìnhtrình
2. Hợp phần2. Hợp phần- Quản trị tài khoảnQuản trị tài khoản
+ Hệ thống quản lý thông tin nguồn + Hệ thống quản lý thông tin nguồn nhân lực (HRIS).nhân lực (HRIS).
+ Cán bộ trong biên chế, ngoài biên + Cán bộ trong biên chế, ngoài biên chếchế
+ Độ dài từ khóa tối thiểu 8 ký tự+ Độ dài từ khóa tối thiểu 8 ký tự
+ 90 ngày lại thay đổi từ khóa+ 90 ngày lại thay đổi từ khóa
+ Nhận thức về attt+ Nhận thức về attt
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4141
IV. Chính sách an toàn thông tin – Quy IV. Chính sách an toàn thông tin – Quy trìnhtrình
- Phản ứng khẩn cấpPhản ứng khẩn cấp+ Lập kế hoạch+ Lập kế hoạch
+ Dễ hiểu, đơn giản (thao tác trong trường + Dễ hiểu, đơn giản (thao tác trong trường hợp khẩn cấp)hợp khẩn cấp)
+ Khớp nối, phối hợp+ Khớp nối, phối hợp
+ Bộ phận chịu trách nhiệm (không nêu tên + Bộ phận chịu trách nhiệm (không nêu tên cá nhân)cá nhân)
+ Liên lạc+ Liên lạc
+ Ủy quyền+ Ủy quyền
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4242
IV. Chính sách an toàn thông tin – Quy IV. Chính sách an toàn thông tin – Quy trìnhtrình
- Quản lý thương khẩuQuản lý thương khẩu
+ Tần suất quét: 1 lần/1 quý+ Tần suất quét: 1 lần/1 quý
+ Thời gian quét: theo quy định+ Thời gian quét: theo quy định
+ Báo cáo kết quả+ Báo cáo kết quả
+ Xúc tiến hàn khẩu+ Xúc tiến hàn khẩu
- Truy nhập từ xaTruy nhập từ xa
+ Ủy quyền: ai được truy nhập+ Ủy quyền: ai được truy nhập
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4343
IV. Chính sách an toàn thông tin – Quy IV. Chính sách an toàn thông tin – Quy trìnhtrình
+ Tin tức: loại tin được phép+ Tin tức: loại tin được phép
+ Phương pháp truy nhập: + Phương pháp truy nhập:
+ Máy tính tại gia đình+ Máy tính tại gia đình
3. Quản trị3. Quản trị
+ Đánh giá sự tuân thủ+ Đánh giá sự tuân thủ
+ Lập một nhóm mẫu+ Lập một nhóm mẫu
+ Lập ban ATTT+ Lập ban ATTT
+ Phù hợp thông lệ quốc tế+ Phù hợp thông lệ quốc tế
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4444
IV. Chính sách an toàn thông tin – Công IV. Chính sách an toàn thông tin – Công nghệnghệ
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4545
Internet
Extranet-Limited Access-Public & Partner
Intranet-Broad Employee Access- File & Print sharing
Mission- Critical Zone-Mission Critical Applications- Limited Employee Access
Customer/Partner access via SSL
Remote employee access via VPN + 2nd factor of authentication
1. Chiến lược2. Hợp phần3. Quản lý
Cấu trúc tổng quát chương trình ATTT
1. Chiến lược
IV. Chính sách an toàn thông tin – Công IV. Chính sách an toàn thông tin – Công nghệnghệ
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4646
An toàn Gateway-AAA-Firewall/VPN-Anti-Virus Protection-Intrusion Detection-Content Filtering
An toàn Server-AAA-Firewall/VPN-Anti-Virus Protection-Vulnerability Management-Intrusion Detection
An toàn Client-AAA-Firewall/VPN-Anti-Virus Protection-Intrusion Detection
Phòng vệ sâu
IV. Chính sách an toàn thông tin – Công IV. Chính sách an toàn thông tin – Công nghệnghệ
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4747
AAA
Firewall & VPN
Anti-Virus
Vulnerability Management
Intrusion Detection
Content Filtering
Management & Reporting
2. Hợp phần
Cấu trúc công nghệ
IV. Chính sách an toàn thông tin – Công IV. Chính sách an toàn thông tin – Công nghệnghệ
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4848
3. Quản lý
-Quét và điều trị-Rà soát độc lập chương trình ATTT-Cập nhật chương trình chống vi rút-Chương trình kiểm soát: kiểm soát được sự cố/tháng
IV. Chính sách an toàn thông tin – Hợp IV. Chính sách an toàn thông tin – Hợp táctác
• Cải thiện năng lực tìm và phòng ngừa tấn Cải thiện năng lực tìm và phòng ngừa tấn công: các cơ quan tình báo, quốc phòng công: các cơ quan tình báo, quốc phòng và hành pháp phải cải thiện khả năng tìm và hành pháp phải cải thiện khả năng tìm ra nhanh nguồn tấn công hoặc các hoạt ra nhanh nguồn tấn công hoặc các hoạt động có nguy cơ để cho phép đối phó kịp động có nguy cơ để cho phép đối phó kịp thời và hiệu quả.thời và hiệu quả.
• Cải tiến việc phối hợp giữa các cơ quan Cải tiến việc phối hợp giữa các cơ quan trong một quốc gia để đối phó với các trong một quốc gia để đối phó với các cuộc tấn công mạngcuộc tấn công mạng
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4949
IV. Chính sách an toàn thông tin – Hợp IV. Chính sách an toàn thông tin – Hợp táctác
• Giành quyền đối phó thích hợp: khi Giành quyền đối phó thích hợp: khi một quốc gia, nhóm khủng hay một quốc gia, nhóm khủng hay những ý đồ khác tấn công vào một những ý đồ khác tấn công vào một quốc gia nào đó qua mạng, thì quốc quốc gia nào đó qua mạng, thì quốc gia bị tấn công không thể bị giới hạn gia bị tấn công không thể bị giới hạn trong thủ thục tố tụng, mà có thể trong thủ thục tố tụng, mà có thể giành quyền đối phó trước kịp thời và giành quyền đối phó trước kịp thời và thích hợp.thích hợp.
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5050
IV. Chính sách an toàn thông tin – Hợp IV. Chính sách an toàn thông tin – Hợp táctác
• Hợp tác với các tổ chức quốc tế và với Hợp tác với các tổ chức quốc tế và với tổ chức thuộc chuyên môn để tạo tổ chức thuộc chuyên môn để tạo thuận lợi và thúc đẩy “văn hóa an toàn thuận lợi và thúc đẩy “văn hóa an toàn mạng” toàn cầu: mỗi một quốc gia cần mạng” toàn cầu: mỗi một quốc gia cần phải quan tâm tới an toàn mạng ngoài phải quan tâm tới an toàn mạng ngoài phạm vi biên giới của mìnhphạm vi biên giới của mình
• Tăng cường nỗ lực công tác phản tình Tăng cường nỗ lực công tác phản tình báobáo
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5151
IV. Chính sách an toàn thông tin – Hợp IV. Chính sách an toàn thông tin – Hợp táctác
• Mối nước cần nỗ lực phối hợp giải quyết Mối nước cần nỗ lực phối hợp giải quyết các vấn đề về kỹ thuật, khoa học và các vấn đề về kỹ thuật, khoa học và các chính sách liên quan đảm bảo sự các chính sách liên quan đảm bảo sự hoàn chỉnh của các mạng thông tinhoàn chỉnh của các mạng thông tin
• Mỗi một nước nên thiết lập hệ thống Mỗi một nước nên thiết lập hệ thống cảnh báo quốc gia và quốc tế để phát cảnh báo quốc gia và quốc tế để phát hiện và ngăn chặn các cuộc tấn công hiện và ngăn chặn các cuộc tấn công mạngmạng
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5252
IV. Chính sách an toàn thông tin – Thưởng IV. Chính sách an toàn thông tin – Thưởng phạtphạt
• Thực hiện công tác thanh tra, kiểm Thực hiện công tác thanh tra, kiểm tratra
• Tuyên dương, khen thưởngTuyên dương, khen thưởng
• Xử phạtXử phạt
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5353
V. KẾT LUẬNV. KẾT LUẬN
• 10 Điểm cần quan tâm10 Điểm cần quan tâm
1.1.CEO lãnh đạo chương trình ATTTCEO lãnh đạo chương trình ATTT
+ Xây dựng chiến lược+ Xây dựng chiến lược
+ Đảm bảo thực hiện phù hợp + Đảm bảo thực hiện phù hợp mục tiêumục tiêu
+ Xây dựng mô hình quản lý+ Xây dựng mô hình quản lý
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5454
V. KẾT LUẬNV. KẾT LUẬN
2. Xây dựng mức trách nhiệm2. Xây dựng mức trách nhiệm
+ Phân cấp quản lý+ Phân cấp quản lý
+ Lựa chọn cán bộ có kinh + Lựa chọn cán bộ có kinh nghiệmnghiệm
+ Không bố trí cán bộ làm bán + Không bố trí cán bộ làm bán thời gianthời gian
+ Xây dựng cơ chế báo cáo trực + Xây dựng cơ chế báo cáo trực tiếptiếp
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5555
V. KẾT LUẬNV. KẾT LUẬN
3. Lập bộ phận quản trị ATTT liên chức 3. Lập bộ phận quản trị ATTT liên chức năngnăng
+ Đảm bảo kết hợp chặt chẽ với + Đảm bảo kết hợp chặt chẽ với các bộ phận kháccác bộ phận khác
+ Đảm bảo phù hợp với quy định + Đảm bảo phù hợp với quy định và luậtvà luật
+ Xây dựng chính sách ATTT+ Xây dựng chính sách ATTT
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5656
V. KẾT LUẬNV. KẾT LUẬN
4. Xây dựng ma trận quản lý chương 4. Xây dựng ma trận quản lý chương trìnhtrình
+ Để đảm bảo không khác nhau+ Để đảm bảo không khác nhau
+ Đánh giá được hiệu quả của + Đánh giá được hiệu quả của chương trìnhchương trình
+ Giúp cải tiến quy trình+ Giúp cải tiến quy trình
5. Thực hiện chế độ thường xuyên cải 5. Thực hiện chế độ thường xuyên cải tiến chương trình ATTTtiến chương trình ATTT
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5757
V. KẾT LUẬNV. KẾT LUẬN
6. Thực hiện rà soát độc lập chương trình 6. Thực hiện rà soát độc lập chương trình ATTTATTT
7. Triển khai các mức an toàn tại 7. Triển khai các mức an toàn tại Gateway, Server và ClientGateway, Server và Client
8. Phân chia thành các vùng ATTT8. Phân chia thành các vùng ATTT
9. Bắt đầu với chương trình cơ bản sau đó 9. Bắt đầu với chương trình cơ bản sau đó cải tiến dầncải tiến dần
10. Xem ATTT là khoản đầu tư thiết yếu10. Xem ATTT là khoản đầu tư thiết yếu
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5858
XIN CHÂN TRỌNG CẢM ƠNXIN CHÂN TRỌNG CẢM ƠN
Nguyễn Thanh HảiNguyễn Thanh Hải
Phó giám đốc Trung tâm VNCERTPhó giám đốc Trung tâm VNCERT
Tel: 04 6404421Tel: 04 6404421
Mobile: 0912289689Mobile: 0912289689
Email: [email protected]: [email protected]
04/13/2304/13/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5959