Tải bản đầy đủ (.doc) (101 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Kỹ thuật

XÂY DỰNG GIẢI PHÁP ĐÁNH GIÁ AN NINH AN TOÀN MẠNG

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (629.07 KB, 101 trang )

MỤC LỤC
Trang phụ bìa …………………………………………………………………
Bản cam đoan …………………………………………………………………
Mục lục ………………………………………………………………………
Tóm tắt luận văn ………………………………………………………………
Danh mục các ký hiệu, viết tắt, các bảng, các hình vẽ ………………………
DANH MỤC CÁC BẢNG 7
DANH MỤC CÁC HÌNH VẼ 7
Chương 1 3
MỘT SỐ VẤN ĐỀ CHUNG VỀ AN NINH AN TOÀN MẠNG VÀ QUẢN
LÝ THÔNG TIN 3
2.1. Giới thiệu 15
a. Tài sản 18
b. Tính sẵn sàng 18
c. Tính bí mật 18
d. An toàn thông tin 18
e. Sự kiện an toàn thông tin 18
f. Sự cố an toàn thông tin 19
g. Hệ thống quản lý an toàn thông tin 19
h. Tính toàn vẹn 19
i. Rủi ro tồn đọng 19
j. Sự chấp nhận rủi ro 19
k. Phân tích rủi ro 19
l. Đánh giá rủi ro 19
m. Quản lý rủi ro 19
n. Xử lý rủi ro 19
o. Thông báo áp dụng 19
p. Tổ chức 20
Bao gồm khuôn khổ để xây dựng mục tiêu, thiết lập định hướng và nguyên tắc cho
việc đảm bảo an toàn thông tin 21
Chú ý đến các hoạt động nghiệp vụ, pháp lý, quy định và các điều khoản bắt buộc


về bảo mật 21
Đưa vào các yêu cầu kinh doanh, các yêu cầu và chế tài về pháp lý cũng như các
nghĩa vụ về an toàn an ninh có trong hợp đồng 22
Thực hiện sự thiết lập và duy trì hệ thống quản lý ATTT như một phần trong chiến
lược quản lý rủi ro của tổ chức 22
Thiết lập các chỉ tiêu đánh giá rủi ro có thể xảy ra (xem 2.3.1.3) 22
Được ban quản lý phê duyệt 22
Xác định hệ phương pháp đánh giá rủi ro thích hợp với hệ thống quản lý ATTT, và
các quy định, pháp lý, an toàn bảo mật thông tin đã xác định 22
Phát triển chỉ tiêu cho các rủi ro có thể chấp nhận và vạch rõ các mức rủi ro có thể
chấp nhận được (xem 2.4.1.6) 22
Xác định các tài sản trong phạm vi hệ thống quản lý ATTT và đối tượng quản lý các
tài sản này 22
Xác định các mối đe doạ có thể xảy ra đối với tài sản 22
Xác định các yếu điểm có thể bị khai thác bởi các mối đe doạ trên 22
Xác định những tác động xấu tới các tính chất quan trọng của tài sản cần bảo đảm:
bí mật, toàn vẹn và sẵn sàng 23
Đánh giá các ảnh hưởng hoạt động của tổ chức do sự cố về an toàn thông tin, chú ý
đến các hậu quả của việc mất tính bí mật, toàn vẹn hay sẵn sàng của các tài sản 23
Đánh giá các khả năng thực tế có thể xảy ra sự cố an toàn thông tin bắt nguồn từ
các mối đe dọa và nguy cơ đã dự đoán. Đồng thời đánh giá các tác động tới tài sản
và các biện pháp bảo vệ đang thực hiện 23
Ước lượng các mức độ của rủi ro 23
Xác định rủi ro được chấp nhận hay phải có biện pháp xử lý dựa trên các chỉ tiêu
chấp nhận rủi ro đã được thiết lập trong mục 2.3.1.3.2 23
Áp dụng các biện pháp quản lý thích hợp 23
Chấp nhận rủi ro với điều kiện chúng hoàn toàn thỏa mãn các chính sách và tiêu
chuẩn chấp nhận rủi ro của tổ chức (xem 2.3.1.3.2) 23
Tránh các rủi ro 23
Chuyển giao các rủi ro các bộ phận khác như bảo hiểm, nhà cung cấp v.v 23

Các mục tiêu quản lý và biện pháp quản lý đã được lựa chọn trong mục 2.3.1.7) và
các cơ sở tiến hành lựa chọn 24
Các mục tiêu quản lý và biện pháp quản lý đang được thực hiện 24
Sự loại trừ các mục tiêu quản lý và biện pháp quản lý trong phụ lục A cũng như giải
trình cho việc này 24
Lập kế hoạch xử lý rủi ro trong đó xác định các hoạt động quản lý thích hợp, tài
nguyên, trách nhiệm và mức độ ưu tiên để quản lý các rủi ro an toàn thông tin (xem
2.4) 25
Triển khai kế hoạch xử lý rủi ro nhằm đạt được mục tiêu quản lý đã xác định trong
đó bao gồm cả sự xem xét kinh phí đầu tư cũng như phân bổ vai trò, trách nhiệm 25
Triển khai các biện pháp quản lý được lựa chọn trong 2.3.1.7 để thỏa mãn các mục
tiêu quản lý 25
Định nghĩa cách tính toán mức độ hiệu quả của các biện pháp quản lý hoặc nhóm
các biện pháp quản lý đã lựa chọn và chỉ ra các kết quả này sẽ được sử dụng như
thế nào trong việc đánh giá tính hiệu quả quản lý nhằm tạo ra những kết quả có thể
so sánh được và tái tạo được (xem 2.3.3.3) 25
Triển khai các chương trình đào tạo nâng cao nhận thức (xem 2.4.2.2) 25
Quản lý hoạt động hệ thống quản lý ATTT 25
Quản lý các tài nguyên dành cho hệ thống quản lý ATTT (xem 2.4.2) 25
Triển khai các thủ tục và các biện pháp quản lý khác có khả năng phát hiện các sự
kiện an toàn thông tin cũng như phản ứng với các sự cố an toàn thông tin (xem
2.3.3.1) 25
2.3.3. Giám sát và xem xét hệ thống quản lý ATTT 25
i. Nhanh chóng phát hiện ra các lỗi trong kết quả xử lý 25
ii. Nhanh chóng xác định các tấn công, lỗ hổng và sự cố an toàn thông tin 25
iii. Cho phép ban quản lý xác định kết quả các các công nghệ cũng như con người
đã đem lại có đạt mục tiêu đề ra hay không 26
iv. Hỗ trợ phát hiện các sự kiện an toàn thông tin do đó ngăn chặn sớm các sự cố an
toàn thông tin bằng các chỉ thị cần thiết 26
v. Xác định đúng hiệu quả của các hoạt động xử lý lỗ hổng an toàn thông tin 26

i. Tổ chức 26
ii. Công nghệ 26
iii. Mục tiêu và các quá trình nghiệp vụ 26
iv. Các mối nguy hiểm, đe doạ an toàn thông tin đã xác định 26
v. Tính hiệu quả của các biện pháp quản lý đã thực hiện 26
vi. Các sự kiện bên ngoài chẳng hạn như thay đổi trong môi trường pháp lý, quy
định, điều khoản phải tuân thủ, hoàn cảnh xã hội 27
i. Các yêu cầu trong hoạt động nghiệp vụ 34
ii. Các yêu cầu an toàn bảo mật 34
iii. Các quy trình nghiệp vụ có ảnh hưởng tới các yêu cầu trong hoạt động nghiệp vụ
của tổ chức 34
iv. Các yêu cầu về pháp lý và quy định 34
v. Các ràng buộc theo các hợp đồng đã ký kết 34
vi. Mức độ rủi ro và/hoặc chỉ tiêu chấp nhận rủi ro 34
2.7.3. Hành động phòng ngừa 35
TÓM TẮT LUẬN VĂN
Họ và tên học viên: Âu Duy Anh
Chuyên ngành: Hệ thống thông tin. Khóa: 22
Cán bộ hướng dẫn: TS. Phạm Việt Trung
Tên đề tài: Xây dựng giải pháp đánh giá an ninh an toàn mạng.
Tóm tắt: Luận văn trình bày các nghiên cứu về bộ tiêu chuẩn ISO
27001 và lý thuyết an ninh mạng nhằm đưa ra một phương pháp đánh giá an
ninh mạng, đưa ra bộ câu hỏi hỗ trợ đánh giá an ninh mạng theo tiêu chuẩn
ISO 27001. Luận văn cũng trình bày một phương pháp lượng hóa an ninh
mạng và đề xuất tiêu chuẩn an ninh phù hợp với điều kiện thực tế ở Việt Nam
và tương thích với bộ tiêu chuẩn ISO 27001.
DANH MỤC CÁC TỪ VIẾT TẮT
ATTT An toàn thông tin
CNTT Công nghệ thông tin
HTQL Hệ thông quản lý

HTTT Hệ thống thông tin
IT Information Technology
ISMS Information Security Management System
ISO International Organization for Standardization
PDCA Plan, Do, Check, Action
TC Tổ chức
DANH MỤC CÁC BẢNG
Bảng 1.1. Danh sách 15 virus lây lan nhiều nhất năm 2011
Bảng 1.2. Thống kê về virus năm 2011 tại Việt Nam
Bảng 1.3. Thiệt hại do virus gây ra theo các năm
Bảng 3.1. Cơ sở dữ liệu danh mục nghiệp vụ
DANH MỤC CÁC HÌNH VẼ
Hình 1.1. Những mối đe dọa bảo mật thông tin lớn nhất năm 2011
Hình 1.2. Biểu đồ số lượng website bị hack theo các năm
Hình 1.3. Biểu đồ số lượng website bị hack năm 2011
Hình 1.3. Biểu đồ số lượng website bị hack năm 2011
Hình 2.1. Áp dụng mô hình PDCA cho các quy trình hệ thống quản lý ATTT
Hình 3.1. Giao diện đăng nhập
Hình 3.2. Danh mục module nghiệp vụ
Hình 3.3. Nội dung câu hỏi và các câu trả lời
Hình 3.4. Lập bài kiểm tra đánh giá
Hình 3.5. Thực hiện đánh giá
Hình 3.6. Mô hình cây an toàn hệ thống thông tin
Hình 3.7. Giá trị độ đo lớn nhất của hệ thống
Hình 3.8. Giá trị độ đo thực tế của hệ thống
MỞ ĐẦU
Sự bùng nổ của công nghệ thông tin, đặc biệt là các ứng dụng phần
mềm máy tính và mạng máy tính đã đưa lại cho xã hội các lợi ích vô cùng to
lớn, làm biến đổi phong cách của nhiều lĩnh vực, làm thay đổi về chất công
nghệ lưu trữ, truyền tải và xử lý thông tin.

Đặc biệt, trong thời kỳ hội nhập và phát triển kinh tế như hiện nay công
nghệ thông tin đã trở thành một công cụ đắc lực, nhiều cơ quan, doanh nghiệp
ứng dụng công nghệ thông tin đã mang lại lợi nhuận lớn. Công nghệ thông tin
trở thành yếu tố sống còn. Tuy vậy, lợi ích và sự tiện dụng ngày càng nhiều,
rủi ro cũng càng lớn và điều này làm chậm lại quá trình ứng dụng của công
nghệ thông tin mạng máy tính trong nhiều ngành, nhiều lĩnh vực. Một trong lý
do hàng đầu gây ra sự chậm chễ này đó là vấn đề an toàn, an ninh hệ thống
thông tin.
Hầu hết các tổ chức và doanh nghiệp của Việt Nam khi xây dựng hệ
thống mạng đều không tuân thủ theo quy tắc chuẩn nào về an toàn thông tin.
Chính vì lý do đó làm cho các hệ thống thông tin rất dễ bị các tin tặc tấn công.
Theo thống kê trong năm 2011 có 2.245 website của các cơ quan doanh
nghiệp tại Việt Nam bị tấn công, trung bình mỗi tháng có 187 website bị tấn
công. Đặc biệt trong tháng 5 và 6 năm 2011, tin tặc liên tục triển khai các
cuộc tấn công dồn dập vào máy chủ của công ty phân phối FPT, 200 website
tiếng việt, trong đó có khoảng 10% là website của các cơ quan chính phủ. Các
hình thức tấn công bao gồm tấn công từ chối dịch vụ, tấn công khai thác lỗ
hổng bảo mật để lấy dữ liệu hoặc thâm nhập vào hệ thống , thay đổi nội dung
website,… Năm 2011, cũng có 38.961 dòng virus xuất hiện mới.
Giải pháp toàn diện và hiệu quả nhất để giải quyết các vấn đề trên là áp
dụng hệ thống quản lý an ninh thông tin ISMS (Information Security
Management System) theo tiêu chuẩn ISO 27001.
1
Tiêu chuẩn ISO 27001 là tiêu chuẩn đảm bảo an toàn thông tin được áp
dụng rộng rãi trên thế giới. Tiêu chuẩn này giúp các cơ quan tổ chức đưa ra
mô hình cho hệ thống quản lý an toàn thông tin cùng với các quy tắc cần thiết
phải áp dụng trong công tác đảm bảo an toàn thông tin. Việc áp dụng ISO
27001 cũng làm tăng nhận thức cho đội ngũ cấn bộ nhân viên về an toàn
thông tin , giảm thiểu các nguy cơ rủi ro. Việc áp dụng tiêu chuẩn ISO 27001
cũng giúp cho các cơ quan doanh nghiệp tạo được niềm tin với các doanh

nghiệp cơ quan khác tạo lợi thế trong cạnh tranh của cơ quan, tổ chức.
Trên cơ sở phân tích đánh giá rủi ro của hệ thống thông tin và hướng
dẫn của tiêu chuẩn, luận văn tập trung nghiên cứu tiêu chuẩn ISO 272001 dựa
vào đó xây dựng giải pháp đánh giá anh ninh mạng của cơ quan tổ chức để
giúp các cơ quan, tổ chức đặc biệt là các cơ quan chính phủ, quân sự, các tổ
chức nhận biết được tình trạng an ninh của đơn vị mình từ đó xây dựng chính
sách, biện pháp xử lý phù hợp. Luận văn cũng đưa ra một số đề xuất để xây
dựng bộ chuẩn chung riêng cho các cơ quan, tổ chức theo tiêu chuẩn ISO
27001.
Luận văn được trình bày theo ba chương:
Chương 1: Trình bày tổng quan về các mạng, các khái niệm, kiến thức
cơ bản về mạng, về an toàn thông tin, các nguy cơ mất an toàn hệ thống thông
tin và nhu cầu về hệ thống quản lý an toàn thông tin.
Chương 2: Trình bày về tiêu chuẩn quốc tế ISO 27001.
Chương 3: Đề xuất một số nội dung an ninh an toàn mạng bao gồm bộ
câu hỏi tham vấn, xây dựng phần mềm hỗ trợ đánh giá, quy trình đánh giá an
toàn thông tin và đề xuất tiêu chuẩn an ninh an toàn thông tin.
2
Chương 1
MỘT SỐ VẤN ĐỀ CHUNG VỀ AN NINH AN TOÀN MẠNG VÀ
QUẢN LÝ THÔNG TIN
1.1. Hệ thống an ninh thông tin
1.1.1. Mục tiêu thiết kế
Hệ thống thông tin được thiết kế nhằm giải quyết 4 mục tiêu: Tính bảo
mật. Tính toàn vẹn, Tính sẵn sàng và Tính trách nhiệm. Nhắm tới 4 mục tiêu
này khi thiết kế hệ thống thông tin là điều kiện cần để có được một hệ thống
an toàn. Ba đặc tính: Tính bảo mật. Tính toàn vẹn, Tính sẵn sàng được biết
đến như là tam giác CIA của an ninh hệ thống thông tin. Vấn đề trách nhiệm
đôi khi cũng quan trọng không kém ví dụ khi cần xác định thêm rằng ai có
trách nhiệm với bộ phận nào của mạng máy tính.

+ Tính bảo mật: mục tiêu của tính bảo mật là ngăn chặn hoặc giảm
thiểu sự truy cập trái phép hoặc để lộ thông tin và dữ liệu.
+ Tính toàn vẹn: mục tiêu của tính toàn vẹn là đảm bảo dữ liệu được xử
lý thực sự là dữ liệu đúng.
+ Tính sẵn sàng: mục tiêu của tính sẵn sàng là bảo vệ hệ thống và dữ
liệu luôn được đáp ứng khi cần.
+ Tính trách nhiệm: Tổ chức có nhiều tài nguyên được chia sẻ giữa các
bộ phận và cá nhân. Nếu có việc bất ngờ sảy ra, ai sẽ có trách nhiệm giải
quyết. Ai sẽ xác định thông tin đúng hay không. Vậy xác định xem ai sở hữu
dữ liệu và có trách nhiệm đảm bảo rằng chúng là chính xác là một ý tưởng tốt.
1.1.2. Kiến trúc logic các miền an ninh
Hiện nay, mạng và các hệ thống mạng đang trở nên phổ biến và phức
tạp hơn, việc sử dụng đường truyền riêng giữa các văn phòng, công ty, các
quốc gia và qua internet đang trở bên phổ biến. Có thể ngăn cách các mạng
bằng cách sử dụng phần mềm và phần cứng, router là một ví dụ. cũng có thể
3
cấu hình một số máy trên mạng nằm trong một không gian địa chỉ nhất định
và những máy khác nằm trong không gian địa chỉ khác và giữa chúng không
thể thấy nhau trừ khi sử dụng router để kết nối chúng lại. Đồng thời một vài
bộ nguyển mạch có thể cho phép nhân vùng mạng thành các khối nhỏ hơn
hoặc thành các miền riêng tư (private zones). Dưới đây là 4 miền thường gặp
nhất trong các mạng hiện nay:
+ Internet
+ Intranet
+ Extranet
+ DMZ
Tuy mạng internet đem lại nhiều lợi ích cho các cá nhân và tổ chức.
nhưng nó lại tạo ra những thách thức về an ninh thông tin. Bằng cách thiết lập
miền DMZ, Intranet và Extranet có thể tạo ra môi trường an ninh vật lý cho tổ
chức.

+ Internet: internet là một miền khổng lồ kết nối tất cả các máy tínhvà
các mạng (nếu được nối) lại với nhau. Internet có thể được sử dụng bởi bất kỳ
ai truy cập vào cổng thông tin Internet (Internet Portal) hoặc nhà cung cấp
dịch vụ Internet (Internet service Provider - ISP). Internet là môi trường phải
được coi như ở mức tin cậy về an ninh thấp nhất cho những người sử dụng
nó. Luôn phải giả định rằng, đang có những người truy cập vào trang web có
ý đồ xấu mặc dù có thể người đó muốn mua sản phẩm hoặc thuê dịch vụ của
mình. Nói một cách tổng quát, không có cách nào để biết điều này trừ phi
giám sát các hành động của tất cả mọi người tham gia sử dụng internet.
+ Intranet: Intranet là một miền riêng được thiết lập và duy trì bởi một
công ty hay một tổ chức. Truy cập vào Intranet bị giới hạn trong phạm vi hệ
thống Intranet. Intranet sử dụng công nghệ tương đương công nghệ mà
Internet sử dụng. Intranet có thể được kết nối với internet, tuy nhiên lại không
4
thể truy cập được từ những người dùng không phải là thành viên của Intranet.
Sự truy cập vào Intranet chỉ cho phép ở những người dùng tin cậy trong mạng
công ty hoặc những người dùng ở các vị trí từ xa (nhưng vẫn trong một công ty)
+ Extranet: Extranet là miền Intranet mở rộng kết nối ra bên ngoài tới
một miền Intranet khác. Miền Extranet cho phép kết nối tới phần kia bởi một
mạng riêng hoặc một kênh truyền thông an toàn sử dụng Internet. Các kết nối
Extranet bao hàm các kết nối tin cậy giữa hai tổ chức. Kết nối này có thể đi
qua Internet và sử dụng giao thức đường hầm (Tunneling) để thực hiện kết
nối an toàn.
+ DMZ: Miền phi quân sự (Demilitarized Zone - DMZ) là nơi có thể
đặt các server cho mục đích truy cập từ những người dùng không tin cậy
( những người dùng bất kỳ ). Bằng cách cô lập các server trong miền DMZ,
có thể che dấu hoặc loại bỏ sự truy cập tới các vùng khác trong mạng. Tuy
vẫn có thể truy cập tới những server này nhưng người dùng không tin cậy lại
không thể truy cập tới các tài nguyên khác trong mạng của tổ chức. việc này
có thẻ thực hiện được bằng cách sử dụng tường lửa để ngăn cách các mạng

hoặc các phân đoạn mạng. Khi thiết lập miền DMZ, một cá nhân truy cập đến
những tài nguyên này có thể không cần phải được xác thực bằng những thông
tin các nhân. Hình 1.4 thể hiện một server đặt trong miền DMZ. Chú ý rằng
phần còn lại của mạng không hiện hữu với những người dùng không tin cậy.
Điều này giúp giảm nhẹ mối đe dọa thâm nhập đối với mạng trong.
1.1.3. Kiến trúc mạng
Một vài công nghệ mới hỗ trợ thiết lập một hệ thống an toàn. Đó là
mạng Lan ảo (VLAN), công nghệ chuyển đổi địa chỉ (NAT) và công nghệ
mạng riêng ảo sử dụng giao thức Tunneling. Những công nghệ này cho phép
cải thiện an ninh hệ thống mạng với chi phí thấp.
+ VLAN
5
Mạng VLAN cho phép tạo nhóm theo người dùng hoặc theo chức năng
và phân đoạn chúng trong mạng. Sự phân đoạn này cho phép che giấu một
đoạn trong mạng với một đoạn khác và hỗ trợ kiểm soát truy cập. VLAN
cũng được thiết lập để kiểm soát một gói tin đi từ điểm này đến điểm khác
trong mạng. Có thể cho rằng VLAN là một phương pháp tốt để chặn các lưu
lượng mạng giữa các đoạn với nhau.
+ NAT
Nat là một công nghệ hỗ trợ an ninh mạng và hệ thống, và thêm vào dó,
Nat cung cấp thêm địa chỉ trên Internet. NAT cho phép tổ chức có một địa chỉ
trên Internet đại diện cho tất cả các máy tính trong mạng. Server NAT cung
cấp địa chỉ IP cho máy trạm hoặc hệ thống nào đó trong mạng và theo dõi lưu
lượng vào ra khỏi mạng. NAT có thể cung cấp một địa chỉ địa diện cho một
máy tính trong mạng. thông qua bộ định tuyến (router) hoặc máy phục vụ
(Server). NAT hiệu quả trong việc che giấu mạng khỏi Internet bởi vì khó có
thể xác định hệ thống nào nằm ở phái bên kia bộ định tuyến. Server NAT
cũng hoạt động hiệu quả như làm một tường lửa trong mạng. Phần lớn các
máy định tuyến hiện nay đều hỗ trợ công nghệ NAT, cung cấp một giải pháp
tường lửa với chi phí rẻ cho một mạng nhỏ, hình dưới đây chỉ ra một bộ định

tuyến cung cấp dịch vụ NAT cho một mạng khi bộ định tuyến cung cấp một
địa chỉ đại diện cho tất cả các kết nối với mạng ngoài (External Network) lên
Internet.
+ Tunneling
Tunneling là công nghệ cho phép thiết lập một kết nối ảo giữa hai hệ
thống hoặc hai mạng sử dụng môi trường sẵn có như Internet. Giao thức
tunneling, hay còn gọi là giao thức đường hầm tạo ra một đường hầm giữa hai
đầu cuối bằng cách đóng gói dữ liệu theo một dạng thức được thống nhất dựa
trên giao thức truyền dẫn. Trong phần lớn các đường hầm, dữ liệu đi qua
6
đường hầm và xuất hiện ở phía bên kia. Giao thức đường hầm hỗ trợ mã hóa
dữ liệu để đảm bảo an ninh. Hiện tại có một vài chuẩn cho giao thức đường
hầm. Hình sau đây thể hiện một kết nối giữa hai mạng qua Internet sử dụng
giao thức tunneling.
1.2. Các nguy cơ đối với an ninh an toàn mạng
1.2.1. Các nguy cơ truyền thống
Trong năm 2011 vấn nạn virus vẫn là một hiểm họa khó lường, theo
thống kê của trung tâm anh ninh mạng máy tính BKAV trong năm có 64,2
triệu máy tính của Việt Nam bị nhiễm virus trong đó lây lan nhiều nhất là
virus: W32.Sality.PE đã lây nhiễm trên 4,2 triệu lượt máy tính. Trung bình
một ngày có hơn 175 nghìn máy tính bị nhiễm virus , có 38.900 dòng virus
xuất hiện mới và lây lan… Đáng chú ý là các virus lây qua thẻ nhớ USB,
virus phá hủy dữ liệu, các loại virus đa hình và hiện tượng virus lây theo bầy
đàn (chứa các phần mềm độc hại gồm sâu, trojan)…
Bảng 1.1 Danh sách 15 virus lây lan nhiều nhất năm 2011
STT Tên virus
1 W32.Sality.PE
2 W32.AutoRunUSB.Worm
3 W32.Vetor.PE
4 W32.StuxnetQKY.Trojan

5 W32.StarterYY. Trojan
6 W32.Kawin. Trojan
7 W32.FakeUserinitIconF.Fam.Worm
8 X97M.XFSic
9 W32.SecretCNC.Heur
10 W32.SalDropFamA.Worm
11 W32.InjectAdwaredDwnMainA.Trojan
12 W32.Tmgrtext.PE
13 W32.CmVirus.Trojan
14 W32.SalDropE.Worm
7
STT Tên virus
15 W32.SysAntiA.Worm
Tình hình an ninh thông tin tại Việt Nam trong một năm vừa qua đã nổi
lên với rất nhiều các cuộc tấn công mạng máy tính, các cuộc tấn công tin học
này nhằm vào mọi cơ quan tổ chức, từ các cơ quan chính phủ tới các công ty
lớn, các doanh nghiệp.
Theo thống kê của hiệp hội An toàn thông tin Việt Nam – VNISA, thì
tấn công từ chối dịch vụ năm 2011 tăng 70% so với năm 2010, tấn công mạng
thì tăng ba lần so với năm 2010.
Theo đánh giá của Symantec, số lượng máy chủ hosting độc hại nhiều
thứ 11 trên thế giới và không gian mạng Việt Nam đã trở thành nơi ưa thích
của hacker thế giới và là “ổ máy tính ma” lớn nhất thế giới.
Đáng lo hơn, ngoài động cơ gấy thiệt hại về kinh tế khi tấn công vào
các website của ngân hàng, các website bán lẻ và các công ty chứng khoán
như các năm trước thì các đợt tấn công với động cơ chính trị ngày càng tăng.
Trên thế giới nhiều cuộc tấn công vào các hệ thống mạng, website của chính
phủ ngày càng nghiêm trọng về mức độ điển hình là ngày 25/07/2010 thế giới
ngỡ ngàng khi 92.000 báo cáo mật về cuộc chiến tại Afghanistan đã được
Wikileaks tiết lộ… Đây là kết quả hoạt động nhiều năm của hacker Julian

Assange, đồng thời là một tổn thất to lớn cho chính quyền mỹ về mặt đảm bảo
các bí mật quốc gia. Và hàng loạt những vụ tẫn công khác như vào tháng 7
năm 2011 mạng lưới máy tính của Hạ viện nhật Bản đã bị tấn công, tháng
9/2011 công ty Công ty Mitsubishi Heavy Industry đã công bố 45 máy chủ
mạng và 38 PC trong mười nhà máy của họ nằm rải rác khắp nước Nhật đã bị
tấn công bằng mã độc… Các cuộc tấn công này đều để lại những hậu quả
nghiêm trọng.
8
Còn tại việt Nam, tháng 6 năm 2011 hơn 275 website của Việt Nam bị
tấn công trong vòng nửa tháng, trong đó có khoảng 70 website là của cơ quan
nhà nước.
Sáu tháng đầu năm 2011, đã có hàng trăm website bị các hacker nước
ngoài tấn công, chiếm quyền điều khiển thay đổi giao diện trong đó có
website của Bộ Nông nghiệp, Bộ Ngoại giao… Các hình thức tấn công bao
gồm: tấn công từ chối dịch vụ, tấn công để khai thác lỗ hổng bảo mật để lấy
dữ liệu hoặc thâm nhập vào hệ thống, thay đổi nội dung website.
Đặc biệt, trong năm 2011 một sự kiện đáng chú ý là website của hãng
bảo mật hàng đầu Việt Nam Bkav bị tấn công từ chối dịch vụ DDOS khiến
nhiều ngưởi không thể truy cập được trong một thời gian dài.
Tình hình đó cho thấy các website của Việt Nam còn nhiều sơ hở về
bảo mật, sự yếu kém trong quan trị website và không thường xuyên kiểm soát
lỗ hổng, hệ thống của cơ quan doanh nghiệp chưa cập nhật kịp so với các kiểu
tấn công hiện nay của hacker.
Tin tặc Việt Nam có trình độ và thủ thuật ngày càng tinh vi hơn, hacker
có thể thâm nhập vào hệ thống có tổ chức hơn, chính vì thế mà tính chất các
cuộc tấn công trở nên nguy hiểm hơn, chính vì vậy mới xảy ra tình trạng một
loạt các website bị thay đổi nội dung thông tin, chiếm quyền điều khiển, thậm
chí bị thay đổi tên miền, bị chiếm quyền sử dụng. Thêm vào đó là số lượng
virus ngày càng gia tăng. Trong các hướng lây lan virus và các mã độc thì đã
xuất hiện dạng lây lan sang các thiết bị di động. Thống kê đã cho thấy có tới

hàng triệu máy tính bị nhiễm virus và gây thiệt hại hàng nghìn tỳ đồng.
Như vậy mục tiêu của các tin tặc không chỉ là các doanh nghiệp nhỏ có
trình độ bảo mật yếu và còn có cả các công ty công nghệ thông tin lớn
(BKAV), các cơ quan chính phủ, xuất hiện nhiều cuộc tấn công với thủ đoạn
9
tinh vi, tổ chức thu thập dữ liệu quan trọng, chiếm quyền điều khiển, thay đổi
nội dung các trang thông tin điện tử .
Vấn đề an ninh mang đang trở lên hiện hữu, ảnh hưởng sâu rộng, tác
động đến các vấn đề chính trị, kinh tế và an ninh quốc gia. Đảm bảo an ninh
mạng đang là vấn đề sống còn của các quốc gia trên thế giới.
Bảng 1.2: Thống kê về virus năm 2011 tại Việt Nam
Virus máy tính năm 2011(tại Việt Nam ) Số lượng
Số lượt máy tính bị nhiễm virus 64.200.000 lượt máy tính
Số virus mới xuất hiện trong năm 38.900 virus mới
Số virus xuất hiện trung bình trong 1 ngày 175.000 / ngày
Virus lây lan nhiều nhất trong năm:
W32.Sality.PE
4.200.000 lượt máy tính
Bảng 1.3: Thiệt hại do virus gây ra theo các năm
Năm
Số lượt máy tính bị nhiễm
virus
Thiệt hại
(tỷ đồng/tháng)
2009 64.700.000 327
2010 58.600.000 492
2011 64.200.000 559
10
Hình 1.1 Những mối đe dọa bảo mật thông tin lớn nhất năm 2011
Hình 1.2: Biểu đồ số lượng website bị hack theo các năm

11
Hình 1.3: Biểu đồ số lượng website bị hack năm 2011
1.2.2. Nguy cơ tương lai
1. Kỹ thuật tấn công tinh vi hơn, hoàn hảo hơn; mã độc ngày càng
“độc” hơn, quy mô các cuộc tấn công lớn hơn….
2. Mạng xã hội đang phát triển mạnh mẽ không chỉ là trảo lưu nhất
thời, đã trở thành một nền tảng mới rất hiệu quả giúp con người giao tiếp, liên
lạc với nhau. Đây chính là một môi trường thuận lợi để những kẻ tấn công lừa
đảo, phát tán virus….
3. Tiếp tục xuất hiện và gia tăng virus đặc biệt là sự bùng nổ virus trên
điện thoại di động….
4. Hình thành nhiều mạng máy tính Ma (bootnet) được điều khiển bởi
các hacker có tính chuyên môn cao, có nguy cơ xuất hiện các cuộc chiến tranh
lớn trên mạng.
5. Điện toán đám mây sẽ là đích nhắm tới của giới tội phạm
12
1.3. Nhu cầu về hệ thống quản lý an toàn thông tin
Theo các chuyên gia an ninh mạng cho biết hầu hết các cuộc tấn công
an ninh mạng tại Việt nam đều xuất phát từ những lỗi hết sức đơn giản,
hacker không cần trình độ cũng có thể thực hiện việc xâm nhập. Phương thức
được chúng sử dụng chủ yếu vấn dựa vào các lỗi cơ bản như SQL injection,
hệ thống không cập nhật bản vá hay mật khẩu quản trị yếu.
Để xảy ra những lỗi đơn giản như vậy là do hầu hết website của các
đơn vị chính phủ, doanh nghiệp không được đánh giá mức độ độc lập về an
ninh trước khi đưa vào vận hành. Hạ tầng mạng và nền tảng ứng dụng các
website này không được thiết kế tổng thể với các giải pháp đàm bảo an ninh.
Đánh giá đúng về tình trạng an ninh của một hệ thống thông tin có ý
nghĩa quan trọng không chỉ những đối với mọi quản trị viên hệ thống mà còn
cho các cấp lãnh đạo, đặc biệt lãnh đạo về công nghệ thông tin. Các nhà quản
lý đang đòi hỏi một hệ thống thông tin đủ tin cậy để đáp ứng môi trường tác

nghiệp của tổ chức, cơ quan.
Thế nào là “đủ tin cậy” ?. Làm thế nào để biết tình trạng an ninh một hệ
thống là thích hợp ?. Để xác định khi nòa an ninh một hệ thống là “đủ tin cậy”
đáp ứng các yêu cầu của người sử dụng, một công việc, nhiệm vụ bảo vệ sơ
bộ cần được xác định, đánh giá cái gì cần được bảo vệ, trong ngữ cảnh nào nó
phải được bảo vệ. trước sự tai hại nào, từ nguyên nhân nào sự tai hại xảy ra.
Đánh giá đúng về tình trạng an ninh mạng là yêu cầu cơ bản để từ đó
đưa ra những giải pháp, các chính sách phù hợp. Nhưng làm thế nào hay giả
pháp nào để đánh giá đúng tình trạng an ninh mạng lại là một vấn đề ?.
Nhu cầu về một hệ thống thông tin đủ tin cậy để đáp ứng nhu cầu cho
cơ quan, tổ chức tác nghiệp đã trở nên rất quan trọng. Để đáp ứng được các
nhu cầu đó áp dụng nhất thiết cần xây dựng Hệ thống quản lý an ninh thông
tin theo chuẩn ISO 27001. Quy trình ISO sẽ bắt buộc các website phải được
13
đánh giá độc lập, nó cung cấp một khuôn khổ cho việc khởi đầu, thiết lập,
quản lý và duy trì an ninh thông tin trong cơ quan, tổ chức để thiết lập một
nền tảng an ninh vững chắc cho chính sách an toàn thông tin, bảo vệ các tài
sản của cơ quan, tổ chức một cách thích.
14
Chương 2
HỆ THỐNG QUẢN LÝ AN TOÀN THÔNG TIN
THEO CHUẨN ISO 27001
2.1. Giới thiệu
2.1.1. Khái quát
Tiêu chuẩn quốc tế ISO/IEC 27001:2005 “Công nghệ thông tin – Các
phương pháp bảo mật – Hệ thống quản lý an toàn thông tin – Các yêu cầu”
(“Information Technology – Security techniques – Information security
management system – Requirements”) được ban hành vào tháng 10/2005 và
được xây dựng dựa trên nội dung tiêu chuẩn Anh BS 7799-2:2002 do Viện
Tiêu chuẩn Anh ban hành năm 2002[1].

Tiêu chuẩn quốc tế này được chuẩn bị để đưa ra một mô hình cho việc
thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp hệ thống
quản lý an toàn thông tin - Information Security Management System
(ATTT). Việc chấp nhận một hệ thống quản lý ATTT sẽ là một quyết định
chiến lược của tổ chức. Thiết kế và triển khai hệ thống quản lý an toàn thông
tin của một tổ chức phụ thuộc vào các nhu cầu và mục tiêu khác nhau, các yêu
cầu về an toàn cần phải đạt, các quy trình đang được sử dụng và quy mô, cấu
trúc của tổ chức. Các điều này và các hệ thống hỗ trợ cần luôn được cập nhật
và thay đổi. Việc đầu tư và triển khai một hệ thống quản lý ATTT cần phải có
tỷ trọng phù hợp với nhu cầu của tổ chức. Tiêu chuẩn này có thể sử dụng để
đánh giá sự tuân thủ của các bộ phận bên trong tổ chức cũng như các bộ phận
liên quan bên ngoài tổ chức.
2.1.2. Phạm vi áp dụng
Tiêu chuẩn này hướng tới việc áp dụng rộng rãi cho nhiều loại hình tổ
chức khác nhau (ví dụ: tổ chức thương mại, cơ quan nhà nước, các tổ chức
15
phi lợi nhuận v.v…). Nội dung tiêu chuẩn chỉ rõ yêu cầu cho từng quá trình:
thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp một hệ
thống quản lý ATTT để đảm bảo an toàn thông tin trước những tất cả các rủi
ro có thể xảy ra với tổ chức. Tiêu chuẩn này cũng chỉ rõ các yêu cầu khi triển
khai các biện pháp bảo vệ an toàn đã được chọn lọc phù hợp với nhu cầu của
tổ chức hoặc một bộ phận của tổ chức.
2.1.3. Cách tiếp cận theo quy trình
Tiêu chuẩn này khuyến khích việc chấp nhận cách tiếp cận theo quy
trình khi thiết lập, triển khai, điều hành, giám sát, xem xét, bảo trì và nâng cấp
hệ thống quản lý ATTT của tổ chức.
Một tổ chức cần xác định và quản lý rất nhiều hoạt động để vận hành
một cách hiệu quả. Bất cứ hoạt động nào sử dụng các tài nguyên và quản lý
việc tiếp nhận các đầu vào chuyển hóa thành đầu ra có thể coi như một quy
trình, Thông thường đầu ra của một quy trình này là đầu vào của một quy

trình tiếp theo.
Việc áp dụng một hệ thống các quy trình trong tổ chức, cùng với sự
nhận biết tương tác giữa các quy trình như vậy, và sự quản lý chúng, có thể
coi như “cách tiếp cận theo quy trình”.
Cách tiếp cận theo quy trình cho quản lý an toàn thông tin được trình
bày trong tiêu chuẩn này nhằm khuyến khích người sử dụng nhấn mạnh các
điểm quan trọng của :
a) Việc hiểu các yêu cầu an toàn thông tin của tổ chức và các sự cần
thiết phải thiết lập chính sách và mục tiêu cho an toàn thông tin.
b) Việc triển khai và điều hành các biện pháp để quản lý rủi ro an toàn
thông tin của tổ chức trước tất cả các rủi.
c) Việc giám sát và xem xét lợi ích và hiệu quả của hệ thống quản ro
chung có thể xảy ra với tổ chức lý ATTT.
16
d) Thường xuyên nâng cấp dựa trên các khuôn khổ mục tiêu đã đặt ra.
e) Tiêu chuẩn này thông qua mô hình “Lập kế hoạch – Thực hiện –
Kiểm tra và Hành động” (PDCA) để áp dụng cho tất cả các quy trình trong
hệ thống quản lý ATTT. Hình 2.1 dưới đây mô tả cách hệ thống quản lý
ATTT lấy đầu vào là các yêu cầu và kỳ vọng về bảo mật thông tin của các bên
thứ ba, sau khi tiến hành các quy trình xử lý cần thiết sẽ đáp ứng an toàn
thông tin theo như các yêu cầu và kỳ vọng đã đặt ra. Hình 2.1 cũng chỉ ra các
liên hệ giữa các quy trình được biểu diễn trong các phần 2.3, 2.4, 2.5, 2.6 và 2.7.
Hình 2.1: Áp dụng mô hình PDCA cho các quy trình hệ thống quản lý ATTT
P (Lập kế hoạch) -
Thiết lập ISMS
Thiết lập các chính sách, mục tiêu, quy trình và thủ
tục liên quan đến việc quản lý các rủi ro và nâng cao
an toàn thông tin nhằm đem lại các kết quả phù hợp
với các chính sách và mục tiêu chung của tổ chức.
D (Thực hiện) - Triển

khai và điều hành
Cài đặt và vận hành các chính sách, biện pháp quản lý,
quy trình và thủ tục của hệ thống quản lý ATTT.
Triển khai và
điều hành hệ
thống ISMS
Triển khai và
điều hành hệ
thống ISMS
Giám sát và
đánh giá hệ
thống ISMS
Giám sát và
đánh giá hệ
thống ISMS
P
D
C
A
Thiết lập hệ
thống ISMS
Thiết lập hệ
thống ISMS
Duy trì và
nâng cấp hệ
thống ISMS
Duy trì và
nâng cấp hệ
thống ISMS
Các bộ

phận liên
quan
Các yêu
cầu và kỳ
vọng về an
toàn thông
tin
Các bộ
phận liên
quan
Các yêu
cầu và kỳ
vọng về an
toàn thông
tin
Các bộ
phận liên
quan
Kết quả
quản lý an
toàn thông
tin
Các bộ
phận liên
quan
Kết quả
quản lý an
toàn thông
tin
17

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×