Tải bản đầy đủ (.pdf) (143 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

an toàn an ninh thông tin và mạng lưới

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.95 MB, 143 trang )










B giáo trình Nhng kin thc c bn v Công ngh thông tin
và Truyn thông cho Lãnh đo trong c quan Nhà nc









Hc phn 6

An toàn, an ninh thông tin và mng li







Korea Information Security Agency


























TRUNG TÂM ÀO TO PHÁT TRIN
CÔNG NGH THÔNG TIN VÀ TRUYN THÔNG
CHÂU Á – THÁI BÌNH DNG

TRNG ÀO TO, BI DNG
CÁN B QUN LÝ THÔNG TIN

VÀ TRUYN THÔNG


ICS



Hc phn 6 An toàn, an ninh thông tin và mng li 3


LI GII THIU

Th k 21 đã đánh du s tác đng ln nhau ca con ngi trên toàn cu. Th
gii đang m ra c hi cho hàng triu ngi nh công ngh mi, nhng thông
tin và kin thc thit yu đc m rng đã ci thin mt cách đáng k cuc
sng ca con ngi và giúp gim cnh nghèo nàn. iu này ch tr thành hin
thc khi có s liên kt cùng vi vic chia s giá tr, cùng cam kt và thng
nht s phát trin tng th và phù hp.

Trong nhng nm gn đây, Châu Á Thái Bình Dng đc bit đn nh khu
vc nng đng nht trong lnh vc công ngh thông tin và truyn thông (ICT).
Theo báo cáo ca Liên minh Vin thông Th gii, khu vc này đã có trên 2 t
thuê bao đin thoi, trong đó có 1,4 t thuê bao di đng. Tinh đn nm 2008,
ch riêng n  và Trung Quc đã chim ¼ s lng thuê bao di đng trên
toàn th gii. Khu vc Châu Á Thái Bình Dng đc cho là chim 40% s
lng ngi s dng internet trên th gii và đng thi là th trng bng
rng ln nht, chim 39% th trng toàn cu.

Cùng vi tc đ phát trin nhanh ca công ngh, nhiu vn đ đc nhc
đn khi khong cách s bin mt. Nhng điu đáng tic, khong cách s vn

hin hu. Thm chí 5 nm, sau khi Hi ngh Th gii v Xã hi thông tin
(WSIS) din ra  Geneva vào nm 2003, bt chp s phát trin n tng ca
công ngh và nhng cam kt ca các nc ln trong khu vc. Kt qu là
truy nhp truyn thông c bn vn còn xa l vi nhiu ngi, đc bit là
nhng ngi nghèo.

Hn 25 quc gia trong khu vc gm nhng nc đang phát trin, đã có gn
10 ngi s dng internet trên 100 dân, phn ln tp trung  các thành ph
ln. Trong khi đó  mt vài nc đã phát trin trong khu vc thì t l rt cao
vi hn 80 ngi s dng internet trên 100 dân. S chênh lch v mc đ ph
cp bng rng gia các nc phát trin và đang phát trin vn còn
gi mt
khong cách ln.

 gim dn khong cách s và nhn din đúng tim nng ca ICT cho phát
trin kinh t xã hi trong khu vc, nhng nhà lp pháp  các nc phát trin
cn xây dng các chính sách u tiên và khung điu chnh, ch đnh ngun qu,
và to điu kin cho xúc tin đu t vào lnh vc công nghip ICT và nâng
cao k nng ICT cho công dân nc h.

4

Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho Lãnh đo trong c quan Nhà nc


Trong K hoch Hành đng ca WSIS có ch rõ, "… mi ngi s có c hi
tip cn nhng k nng và kin thc cn thit đ hiu, thc hành và đt đc
nhng li ích t Xã hi Thông tin và Kinh t Tri thc". Trong phn cui ca
k hoch này đã kêu gi s hp tác quc t và khu vc trong nhng lnh vc
có tim nng, đc bit nhn mnh vào vic to tp mt s lng ln các

chuyên gia ICT.

 h tr tt cho li kêu gi t K hoch hành đng ca WSIS, APCICT đã
xây dng chng trình ging dy đy đ v ICT – B giáo trình Nhng kin
thc c bn v Công ngh thông tin và Truyn thông cho lãnh đo trong c
quan nhà nc. Chng trình này bao gm 8 phn có liên kt cht ch vi
nhau, vi mc tiêu truyn đt nhng kin thc và kinh nghim cn thit giúp
các nhà lp pháp xây dng và thi hành sáng kin ICT hiu qu hn.

APCICT là mt trong 5 hc vin ca y ban Kinh t Xã hi Liên hp quc
Châu Á Thái Bình Dng. APCICT xúc tin chng trình phát trin kinh t
xã hi phù hp và toàn din  Châu Á Thái Bình Dng thông qua vic phân
tích, chun hóa, khai thác tim nng, hp tác khu vc và chia s kin thc.
Trong quá trình hp tác vi các c quan Liên hp quc khác, các t chc
quc t, các quc gia và nhng t chc liên quan, ESCAP, đi din là
APCICT, đc giao nhim v h tr vic s dng, ci tin và dch thut các
bài ging cho các quc gia khác nhau, phù hp vi các trình đ trung và cao
cp ca các nhân viên trong c quan nhà nc, vi mc đích đa k nng và
kin thc thu thp đc làm gia tng nhng li ích t ICT và thit lp nhng
hành đng c th đ đt đc mc tiêu phát trin.





Noeleen Heyzer
TL. Tng Th ký Liên hp quc
và Giám đc điu hành ca ESCAP







Hc phn 6 An toàn, an ninh thông tin và mng li 5


LI TA

Chng đng phát trin ca B giáo trình Nhng kin thc c bn v Công
ngh thông tin và Truyn thông (CNTT&TT) cho lãnh đo trong c quan nhà
nc thc s là mt kinh nghim mang tính trí tu cao. B giáo trình không
ch phc v cho vic xây dng các k nng CNTT&TT, mà còn m đng
cho mt phng thc mi v xây dng chng trình ging dy - thông qua s
hp tác ca các thành viên và t ch v quy trình.

B giáo trình là mt chng trình mang tính chin lc ca APCICT, phát
trin trên c s kt qu kho sát đánh giá nhu cu mt cách toàn din đc
tin hành trên 20 nc trong khu vc và s tham kho ý kin ca các nhân
viên thuc c quan nhà nc, thành viên các c quan phát trin quc t, các
vin hàn lâm và c s giáo dc; nhng nghiên cu và phân tích k lng v
đim mnh và đim yu ca giáo trình đào to; thông tin phn hi t nhng
ngi tham gia xây dng chui bài ging ca APCICT – t chc các bui hi
tho khu vc và quc gia liên quan đn ni dung bài ging và các phng
pháp đào to khoa hc; và s trao đi góp ý thng thn ca các chuyên gia
hàng đu trong các lnh vc ICT phc v phát trin. Các hi tho v giáo trình
din ra  các khu vc thu đc nhng li ích vô giá t các hot đng trao đi
kinh nghim và kin thc gia nhng ngi tham d đn t các quc gia khác
nhau. ó là mt quy trình đ các tác gi xây dng ni dung.


Vic xây dng 8 hc phn trong b giáo trình đánh du mt s khi đu quan
trng trong vic nâng cao s hp tác  hin ti và xây dng các mi liên h
mi nhm phát trin các k nng thit lp chính sách phát trin CNTT&TT
khp khu vc. APCICT cam kt cung cp s h tr k thut trong vic gii
thiu b giáo trình quc gia nh mt mc tiêu chính hng ti vic đm bo
rng b giáo trình s đc ph bin ti tt c nhng nhà lp pháp. APCICT
cng đang xúc tin mt cách cht ch vi mt s vin đào to trong khu vc
và quc t, nhng t chc có mi quan h mt thit vi c quan nhà nc cp
trung ng và đa phng đ ci tin, dch thut và truyn đt các ni dung
ca Giáo trình ti nhng quc gia có nhu cu. APCICT đang tip tc m rng
hn na v đi tng tham gia nghiên cu giáo trình hin ti và k hoch phát
trin mt giáo trình mi.




6

Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho Lãnh đo trong c quan Nhà nc


Hn na, APCICT đang xúc tin nhiu kênh đ đm bo rng ni dung B
giáo trình đn đc nhiu ngi hc nht trong khu vc. Ngoài phng thc
hc trc tip thông qua các t chc lp hc  các khu vc và quc gia,
APCICT cng t chc các lp hc o (AVA), phòng hc trc tuyn cho phép
nhng hc viên tham gia bài ging ngay ti ch làm vic ca h. AVA đm
bo rng tt c các phn bài ging và tài liu đi kèm cng nh bn trình chiu
và bài tp tình hung d dàng đc truy nhp trc tuyn và ti xung, s dng
li, ci tin và bn đa hóa, và nó bao gm nhiu tính nng khác nhau nh bài
ging o, công c qun lý hc tp, công c phát trin ni dung và chng ch.


Vic xut bn và gii thiu 8 hc phn ca b giáo trình thông qua các bui
hi tho khu vc, tiu khu vc, quc gia có s tn tâm cng hin, tham gia
tích cc ca nhiu cá nhân và t chc. Tôi mun nhân c hi này đ bày t
lòng cm n nhng n lc và kt qu đt đc ca nhóm cng tác và các đi
tác t các B, ngành, hc vin, và các t chc khu vc và quc gia đã tham
gia hi tho v b giáo trình. H không ch cng cung cp nhng thông tin
đu vào có giá tr, phc v ni dung ca bài ging, mà quan trng hn, h đã
tr thành nhng ngi ng h vic truyn đt b giáo trình trên đt nc
mình, to ra kt qu là nhng tha thun chính thc gia APCICT và mt s
vin đi tác ca các quc gia và trong khu vc đ ci tin và phát hành bài
ging giáo trình chính thc cho đt nc h.

Tôi cng mun gi li cm n đc bit cho nhng n lc cng hin ca nhiu
cá nhân ni bt, nhng ngi đã to nên thành qu cho bài ging này. H là
Shahid Akhtar C Vn D án Giáo trình; Patricia Arinto, Biên tp; Christine,
Qun lý xut bn; toàn b tác gi b giáo trình; và nhng nhóm APCICT.

Chúng tôi hy vng rng b giáo trình s giúp các quc gia thu hp đc
nhng hn ch ca ngun nhân lc CNTT&TT, xóa b nhng rào cn nhn
thc v CNTT&TT, và xúc tin ng dng CNTT&TT trong vic thúc đy
phát trin kinh t xã hi và đt đc mc tiêu phát trin thiên nhiên k.




Hyeun-Suk Rhee
Giám đc
UN-APCICT




Hc phn 6 An toàn, an ninh thông tin và mng li 7


V CHUI HC PHN

Trong k nguyên thông tin ngày nay, vic truy cp thông tin mt cách d dàng
đang làm thay đi cách chúng ta sng, làm vic và gii trí. Nn kinh t s -
còn đc gi là kinh t tri thc, kinh t mng hay kinh t mi, đc mô t
nh mt s chuyn tip t sn xut hàng hóa sang to lp ý tng. Công ngh
thông tin và truyn thông đang đóng mt vai trò quan trng và toàn din trên
mi mt ca kinh t xã hi.

Nh mt kt qu, chính ph trên khp th gii đang quan tâm nhiu hn ti
CNTT&TT trong s phát trin quc gia. i vi các nc, phát trin
CNTT&TT không ch phát trin v công nghip CNTT&TT là mt lnh vc
ca nn kinh t mà còn bao gm c vic ng dng CNTT&TT trong hot
đng kinh t, xã hi và chính tr.

Tuy nhiên, gia nhng khó khn mà chính ph các nc phi đi mt trong
vic thi hành các chính sách CNTT&TT, nhng nhà lp pháp thng không
nm rõ v mt công ngh đang s dng cho s phát trin quc gia. Cho đn
khi không th điu chnh đc nhng điu h không hiu, nhiu nhà lp pháp
né tránh to lp các chính sách v CNTT&TT. Nhng ch quan tâm ti công
ngh mà không to lp các chính sách thì cng là mt sai lm vì nhng nhà
công ngh thng ít có kin thc v thi hành nhng công ngh h đang phát
trin hoc s dng.

B giáo trình Nhng kin thc c bn v Công ngh thông tin và Truyn

thông cho lãnh đo trong c quan nhà nc do Trung tâm ào to Phát trin
Công ngh thông tin và Truyn thông Liên hp quc và Châu Á Thái Bình
Dng (UN-APCICT) xây dng nhm phc v cho:

1. Các nhà hoch đnh chính sách v CNTT&TT c  mc đ quc gia và đa
phng;

2. Quan chc chính ph chu trách nhim v phát trin và thi hành các ng
dng ca CNTT&TT;

3. Nhng nhà qun lý trong lnh vc công đang tìm kim chc danh qun lý
d án v CNTT&TT.


8

Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho Lãnh đo trong c quan Nhà nc


B giáo trình hng đn nhng vn đ liên quan ti CNTT&TT phc v phát
trin trên c khía cnh chính sách và công ngh. Mc đích ct yu ca giáo
trình CNTT&TT không tp trung vào k thut mà truyn đt s hiu bit v
nhng điu công ngh s có kh nng hoc đang hng ti, tác đng ti nh
th nào trong vic hoch đnh chính sách. Các ch đ trong bài ging đc
thit k da trên phân tích nhu cu và kho sát nhng chng trình đào to
trên khp th gii.

Hc phn đc cu to theo cách mà ngi hc có th t hc mt cách đc
lp hoc bài ging cho mt khóa hc. Hc phn va mang tính cht riêng l
nhng cng liên kt vi nhng ch đ và tình hung tho lun trong phn

khác ca chui. Mc tiêu là to đc s thng nht  tt c các phn.

Mi phn bt đu vi vic trình bày mt ch đ và kt qu mà ngi đc s
thu đc. Ni dung các phn đc chia thành các mc bao gm bài tp và
tình hung đ giúp hiu sâu hn nhng ni dung chính. Bài tp có th đc
thc hin bi tng cá nhân hoc mt nhóm hc viên. Biu đ và bng biu
đc cung cp đ minh ha nhng ni dung ca bui tho lun. Tài liu tham
kho đc lit kê đ cho ngi đc có th t tìm hiu sâu hn v bài ging.

Vic s dng CNTT&TT phc v phát trin rt đa dng, trong mt vài tình
hung hoc thí d  bài ging có th xut hin nhng mâu thun. ây là điu
đáng tic. ó cng là s kích thích và thách thc ca quá trình rèn luyn mi
và cng là trin vng khi tt c các nc bt đu khai thác tim nng ca
CNTT&TT nh công c phát trin.

H tr chui hc phn còn có mt phng thc hc trc tuyn – Hc vin
o APCICT (AVA – – vi phòng hc o
s chiu bn trình bày ca ngi dy di dng video và Power Point ca
hc phn.

Ngoài ra, APCICT đã phát trin mt kênh cho phát trin CNTT&TT (e-Co
Hub – mt đa ch trc tuyn dành cho
nhng hc viên phát trin CNTT&TT và nhng nhà lp pháp nâng cao kinh
nghim hc tp. E-Co Hub cho phép truy cp nhng kin thc v các ch đ
khác nhau ca phát trin CNTT&TT và cung cp mt giao din chia s kin
thc và kinh nghim, và hp tác trong vic nâng cao CNTT&TT phc v
phát trin.




Hc phn 6 An toàn, an ninh thông tin và mng li 9


HC PHN 6

Trong thi đi thông tin, tin tc là mt tài sn đc bo v và nhng nhà
hoch đnh chính sách cn nm đc bo mt thông tin là gì và làm th nào đ
chng li các xâm phm và r r thông tin. Phn này gii thiu tng quan v
nhu cu bo mt thông tin, xu hng và các vn đ bo mt thông tin, cng
nh quá trình xây dng chin lc bo mt thông tin.



Mc tiêu ca hc phn

Hc phn này nhm mc tiêu:

1. Làm sáng t khái nim an toàn, an ninh thông tin và các khái nim liên
quan;

2. Mô t nhng thách thc đi vi bo mt thông tin và làm th nào đ có th
xác đnh chúng ;

3. Tho lun v nhu cu thit lp và thc hin chính sách an ninh thông tin,
cng nh s thay đi phát trin ca chính sách an ninh thông tin;

4. Gii thiu tng quan v các tiêu chun bo đm an toàn, an ninh thông tin
đc s dng  mt s quc gia cng nh các t chc an ninh thông tin
quc t.




Kt qu thu đc

Sau khi hoàn thành hc phn này, hc gi có th:

1. nh ngha an toàn, an ninh thông tin và các khái nim liên quan;

2. Nhn đnh nhng thách thc đi vi an ninh thông tin;

3. ánh giá chính sách an ninh thông tin hin có theo các tiêu chun quc t
v bo đm an toàn, an ninh thông tin;

4. Xây dng hoc đa ra các khuyn ngh v chính sách an ninh thông tin
thích hp.

10

Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho Lãnh đo trong c quan Nhà nc


MC LC



Li gii thiu ………………………………………………………
… ….
Li ta ……………………………………………………………………

V chui hc phn ……………………………………………………….


Hc phn 6 ………………………………………………………………

3

5

7

9

Mc tiêu ca hc phn

Kt qu thu đc

Danh mc các hình

Danh mc bng ………………………………………………………
.
Danh mc các t vit tt ……………………………………………

9

9

11

12

11


1. Nhu cu v an ninh thông tin ………………………………………. 15

1.1 Các khái nim c bn trong An ninh thông tin

1.2 Các tiêu chun cho hot đng An ninh thông tin ……….………
……
15

21

2. Các đnh hng và xu hng An ninh thông tin ………………… 25

2.1 Các kiu tn công An ninh thông tin ……
.
2.2 Xu hng ca các mi him ha an ninh thông tin ………….…

2.3 Ci thin an ninh, bo mt ……………………………………………
….
25

30

36

3. Các hot đng An ninh thông tin …………….…………………… 43

3.1 Các hot đng An ninh thông tin quc gia
.
3.2 Các hot đng An ninh thông tin quc t ……………….…


43

58

4. Phng pháp An ninh thông tin …………….……………………. 68

4.1 Phng pháp An ninh thông tin ….……………

4.2 Mt s ví d v phng pháp An ninh thông tin ……………

68

78

5. Bo v bí mt riêng t ………… …………….……………………. 85

5.1 Khái nim bí mt riêng t …………………

5.2 Các xu hng ca chính sách bí mt riêng t ……………………
.
5.3 ánh giá tác đng bí mt riêng t ( Privacy Impact Assessment – PIA)
. .
85

86

96

6. S thành lp và hot đng ca CSIRT .…………….……………………


101

6.1 S phát trin và vn hành mt CSIRT …

6.2 Các c quan CSIRT quc t ……………………………………

6.3 Các c quan CSIRT quc gia ……………………………………

101

119

121




Hc phn 6 An toàn, an ninh thông tin và mng li 11


7. Vòng đi ca chính sách An ninh thông tin .…….………………….…

125

7.1 Thu thp thông tin và phân tích k h …

7.2 Xây dng chính sách An ninh thông tin ………………………

7.3 Thc hin/ thc thi chinh sách ……………………………………


7.4 Xem xét li và đánh giá chinh sách An ninh thông tin………………….

126

129

142

148

Ph lc ……………………………………… …….…………………
……
149

Tài liu đc thêm …

Các lu ý đi vi ging viên ………………………

V KISA ……………………………………

149

151

153





Danh mc các hình

Hình 1.
Hình 2.
Hình 3.
Hình 4.
Hình 5.
Hình 6.
Hình 7.
Hình 8.

Hình 9.
Hình 10.
Hình 11.
Hình 12.
Hình 13.
Hình 14.
Hình 15.
Hình 16.
Hình 17.
Hình 18.
Hình 19.
Hình 20.
Hình 21.
Hình 22.
Hình 23.


4R trong An ninh thông tin


M
i tng quan gia ri ro và tài sn thông tin
Các phng pháp qu
n lý ri ro
Hi
n trng th rác
Mô hình phòng th
 theo chiu sâu DID
Hành đ
ng mang tính dài hn ca ENISA
Dòng tiêu chu
n ISO/IEC 27001
Mô hình quy trình Plan
-Do-Check-Act đc áp dng cho các quy trình
ISMS

CAP và CCP

Quy trình ho
ch đnh an ninh đu vào/ đu ra
Quy trình ch
ng nhn BS7799
Ch
ng nhn ISMS  Nht Bn
Ch
ng nhn ISMS ca KISA
Mô hì
nh nhóm an ninh
Mô hình CSIRT phân tán n
i b

Mô hình CSIRT t
p trung ni b
Mô hình CSIRT k
t hp
Mô hình CSIRT
điu phi
Vòng
đi ca chính sách An ninh thông tin
Ví d
 v cu trúc h thng và mng li
Hình m
u ca t chc An ninh thông tin quc gia
K
huôn kh An ninh thông tin
Các l
nh vc công tác trong vic thc thi chính sách An ninh thông tin

18

19

20

33

38

50

66



69

78

79

80

81

82

103

104

105

106

107

126

128

131


135

142










12

Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho Lãnh đo trong c quan Nhà nc


Danh mc các bng

Bng 1.
Bng 2.
Bng 3.
Bng 4.

Bng 5.
Bng 6.
Bng 7.
Bng 8.
Bng 9.

Bng 10.

Bng 11.

Bng 12.

Bng 13.

Bng 14.

Bng 15.

Bng 16.

Bng 17.

Bng 18.

Bng 19.


Bng 20.

Bng 21.

Bng 22.


S so sánh thông tin vi các tài sn hu hình
Các tiêu chun liên quan và phm vi ca an ninh thông tin

Thng kê t ti phm mng nm 2007
Các vai trò và k hoch ca mi loi da trên Chin l
c quc gia th nht
v An ninh thông tin
Các tiêu chun so sánh trong ISO/IEC27001
S lng c quan chng nhn theo quc gia
Thành phn kt cu ca lp trong SFR
Thành phn kt cu ca lp trong SACs
Chng nhn ISMS ca mt s quc gia khác
Quy trình PIA
Các ví d v PIA
Các dch v CSIRT
Danh sách các c quan CSIRT quc gia
Các b lut liên quan đn an ninh thông tin ca Nht Bn
Các b lut liên quan đn an ninh thông tin ca EU
Các b lut liên quan đn an ninh thông tin ca M
Ngân sách b
o v thông tin ca Nht và M
Ví d v cng tác trong vic phát trin chính sách an ninh thông tin
Ví d v hp tác trong vic qun lý và bo v c s h tng thông tin,
truyn thông
Ví d v hp tác trong vic đi phó s c an ninh thông tin
Ví d v hp tác trong vic ngn nga s c và vi phm đn an ninh thông
tin Ví d v hp tác trong bo v bí mt riêng t

16

21

35



56

69

71

74

75

83

97

98

116

122

138

139

140

140


143


144

144

145

146
























Hc phn 6 An toàn, an ninh thông tin và mng li 13


Danh mc t vit tt

APCERT

APCICT


APEC

BPM

BSI

BSI

CAP

CC

CCP

CCRA

CECC


CERT

CERT/CC

CIIP

CISA

CISO

CISSP

CM

CSEA

CSIRT

DID

DNS

DoS

ECPA

EGC

ENISA


ERM

ESCAP

ESM

EU

FEMA

FIRST

FISMA

FOI

GCA

HTTP

ICT

ICTD

IDS

IGF

IM


IPS

ISACA

ISMS

ISO/IEC


ISP

ISP/NSP

IT

ITU

ITU-D

ITU-R

ITU-T

KISA

MIC


Asia-Pacific Computer Emergency Response Team

Asian and Pacific Training Centre for Information and Communication
Technology for Development
Asia-Pacific Economic Cooperation
Baseline Protection Manual
British Standards Institution
Bundesamt fr Sicherheit in der Informationstechnik, Germany
Certificate Authorizing Participant
Common Criteria
Certificate Consuming Participant
Common Criteria Recognition Arrangement
Council of Europe Convention on Cybercrime
Computer Emergency Response Team
Computer Emergency Response Team Coordination Center
Critical Information Infrastructure Protection
Certified Information Systems Auditor
Chief Information Security Officer
Certified Information Systems Security Professional
Configuration Management
Cyber Security Enhancement Act
Computer Security Incident Response Team
Defense-In-Depth
Domain Name Server
Denial-of-Service
Electronic Communications Privacy Act
European Government Computer Emergency Response Team
European Network and Information Security Agency
Enterprise Risk Management
Economic and Social Commission for Asia and the Pacific
Enterprise Security Management
European Union

Federal Emergency Management Agency
Forum of Incident Response and Security Teams
Federal Information Security Management Act
Freedom of Information
Global Cybersecurity Agenda
Hypertext Transfer Protocol
Information and Communication Technology
Information and Communication Technology for Development
Intrusion Detection System
Internet Governance Forum
Instant-Messaging
Intrusion Prevention System
Information Systems Audit and Control Association
Information Security Management System
International Organization for Standardization and International
Electrotechnical Commission
Internet Service Provider
Internet and Network Service Provider
Information Technology
International Telecommunication Union
International Telecommunication Union Development Sector
International Telecommunication Union Radiocommunication Sector
International Telecommunication Union Standardization Sector
Korea Information Security Agency
Ministry of Information and Communication, Republic of Korea


14

Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho Lãnh đo trong c quan Nhà nc



NIS

NISC
NIST
OECD
OMB
OTP
PC
PP
PSG
RFID

SAC
SFR
SME
ST
TEL
TOE
TSF
UK
UN
US
USA
WPISP
WSIS

Network and Information Security


National Information Security Center, Japan
National Institute of Standards and Technology, USA
Organisation for Economic Co-operation and Development
Office of Management and Budget, USA
One-Time Passwords
Personal Computer
Protection Profile
Permanent Stakeholders Group
Radio Frequency Identification
Security Assurance Component
Security Functional Requirement
Small and Medium Enterprise
Security Target
Telecommunication and Information Working Group
Target of Evaluation
TOE Security Functions
United Kingdom
United Nations
United States
United States of America
Working Party on information Security and Privacy
World Summit
on the Information Society



























Hc phn 6 An toàn, an ninh thông tin và mng li 15


1. NHU CU V AN NINH THÔNG TIN


Phn này nhm mc đích:
• Gii thích khái nim thông tin và an ninh thông tin;
• Mô t nhng tiêu chun đc áp dng cho các hot đng an ninh thông tin.

Cuc sng con ngi ngày nay ph thuc nhiu vào công ngh thông tin và

truyn thông (ICT). iu này khin cho các cá nhân, t chc và các quc gia
d b tn công qua các h thng thông tin, nh các hình thc hacking (thâm
nhp trái phép), cyberterrorism (khng b mng), cybercrime (ti phm
mng) cng nh các hình thc tng t. Mt s cá nhân và t chc đc
trang b đ có th đi phó vi các cuc tn công nh vy. Chính ph có vai trò
quan trng trong công tác đm bo an ninh thông tin thông qua vic m rng
c s h tng thông tin – truyn thông và thit lp các h thng bo v chng
li nhng nguy c đi vi an ninh thông tin.

1.1 Các khái nim c bn trong An ninh thông tin

"Thông tin" là gì?

Thông thng, thông tin đc đnh ngha là kt qu ca hot đng trí óc; đó
là sn phm vô hình, đc truyn ti qua các phng tin truyn thông. Trong
lnh vc ICT, thông tin là kt qu ca quá trình x lý, thao tác và t chc d
liu, có th đn gin nh vic thu thp s liu thc t.

Trong phm vi ca An ninh thông tin, thông tin đc đnh ngha nh mt “tài
sn”, có giá tr do đó nên đc bo v. Hc phn này s s dng đnh ngha
v thông tin và an ninh thông tin theo tiêu chun ISO/IEC 27001.

Ngày nay, giá tr ca thông tin phn ánh s chuyn đi t mt xã hi nông
nghip sang xã hi công nghip và cui cùng là xã hi hng thông tin
(information-oriented society). Trong xã hi nông nghip, đt đai là tài sn
quan trng nht và quc gia nào có sn lng lng thc nhiu nht s chim
đc li th cnh tranh. Trong xã hi công nghip, vi sc mnh t bn, nh
có đc các ngun d tr du m là nhân t ch cht ca kh nng cnh
tranh. Trong xã hi hng thông tin và tri thc, thông tin là tài sn quan trng
nht và nng lc thu thp, phân tích và s dng thông tin là li th cnh tranh

cho bt k quc gia nào.

16

Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho Lãnh đo trong c quan Nhà nc


Vi vin cnh chuyn đi t giá tr tài sn hu hình sang giá tr tài sn thông
tin, có mt s đng thun cao đó là thông tin cn đc bo v. Bn thân thông
tin có giá tr cao hn phng tin lu tr chúng. Bng 1 s đi chiu thông tin
vi các tài sn hu hình.


Bng 1. S so sánh thông tin vi các tài sn hu hình

c đim Tài sn thông tin Tài sn hu hình
Hình thái – S duy
trì
Không có hình dng vt lý và
có th linh hot
Có hình dng vt lý
Giá tr - Tính bin đi

Có giá tr cao hn khi đc x
lý và phi hp
Tng giá tr là s tng hp các
giá tr thành phn
S chia s
Không gii hn vic tái sn
xut các tài sn thông tin và

mi ngi có th chia s giá tr

Vic tái sn xut là không th;
khi tái sn xut, giá tr ca tài
sn s b gim đi
Phng tin truyn
thông – Tính ph
thuc
Cn đc phát tán thông qua
các phng tin truyn thông
Có th phân phát mt cách
đc lp (nh hình thái vt lý
ca tài sn)


Nh chúng ta thy  bng 1, tài sn thông tin v c bn khác vi tài sn hu
hình. Chính vì vy, thông tin có th b tn công bi nhng loi hình ri ro
khác.

Các mi him ha đi vi tài sn thông tin

Khi giá tr ca tài sn thông tin nâng lên, nhu cu kim soát cng nh truy
nhp thông tin gia con ngi vi nhau gia tng. Các nhóm hình thành và s
dng thông tin vi nhiu mc tiêu khác nhau, và mt s c gng đ giành
đc thông tin bng bt k cách thc nào. Nó bao gm thâm nhp trái phép
(hacking), đánh cp (piracy) và phá hy các h thng thông tin thông qua
virus máy tính và các hình thc khác. Nhng him ha đi kèm vi quá trình
tin hc hóa đc tho lun trong phn 2 ca hc phn này.

Mt trái ca môi trng hng thông tin bao gm các vn đ sau:


Gia tng nhng hành vi ng x trái vi quy tc ny sinh t tình trng
nc danh – ICT có th đc s dng đ duy trì tình trng nc danh, to điu
kin d dàng cho các cá nhân dàn xp nhng hành vi phm ti và ng x trái
quy tc, bao gm c vic chim dng thông tin mt cách bt hp pháp.

Hc phn 6 An toàn, an ninh thông tin và mng li 17


Xung đt quyn kim soát và s hu thông tin – S phc tp v quyn kim
soát và s hu thông tin ngày mt tng lên cùng vi vic m rng quá trình tin
hc hóa. Ví d nh khi chính ph n lc xây dng mt c s d liu ngi dân
di mô hình chính ph đin t, mt s b phn có phàn nàn v kh nng xâm
phm bí mt đi t t vic phi bày các thông tin cá nhân cho ngi khác.

Khong cách thông tin và mc đ giàu có gia các tng lp, quc gia –
Kích thc ca vt cha đng tài sn thông tin có th biu th s giàu có trong
xã hi hng thông tin/tri thc. Các quc gia phát trin có kh nng sn xut
ra thông tin và kim li t vic bán thông tin nh các sn phm hàng hóa.
Ngc li, các nc nghèo thông tin, có nhu cu đu t ln ch có th truy
cp thông tin.

Tình trng phi bày thông tin tng lên bt ngun t các h thng mng
tiên tin – Xã hi hng thông tin/tri thc là mt xã hi mng li. C th
gii đc kt ni nh mt h thng mng duy nht, điu này có ngha là s
yu kém ca mt phn nào đó trong mng li s tác đng xu đn các phn
còn li.

An ninh thông tin là gì?


áp li nhng c gng giành ly thông tin mt cách bt hp pháp, con ngi
đang n lc đ ngn chn ti phm liên quan đn thông tin hoc gim thiu
thit hi do ti phm gây ra. iu này đc gi là an ninh thông tin.
Din đt mt cách đn gin, an ninh thông tin là vic nhn bit giá tr ca
thông tin và bo v nó.

4R trong an ninh thông tin

B 4R trong an ninh thông tin đó là Right Information (thông tin đúng), Right
People (con ngi đúng), Right Time (thi gian đúng) và Right Form (đnh
dng đúng). Kim soát toàn b 4R này là cách thc tt nht đ kim soát và
duy trì giá tr ca thông tin.








18

Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho Lãnh đo trong c quan Nhà nc


Hình 1. 4Rs trong An ninh thông tin


















“Right Information” th hin s đúng đn và tính cht đy đ ca thông tin,
đm bo tính toàn vn ca thông tin.

“Right People” có ngha là thông tin ch sn sàng đi vi nhng ngi đc
cp quyn, đm bo tính bí mt ca thông tin.

“Right Time” th hin kh nng có th truy cp và tính kh dng ca thông tin
theo yêu cu ca thc th có thm quyn. iu này đm bo tính sn sàng ca
thông tin.

“Right Form” th hin vic cung cp thông tin theo mt đnh dng chun.
 bo đm an ninh thông tin, mô hình 4R phi đc áp dng mt cách đúng
đn. iu này có ngha là tính bí mt, tính toàn vn và tính sn sàng cn đc
giám sát trong quá trình qun lý thông tin.

An ninh thông tin cng yêu cu s am hiu rõ ràng v giá tr ca tài sn thông
tin, cng nh kh nng b xâm phm và nhng mi đe da tng ng. Vn đ

này đc bit đn nh công tác qun lý ri ro. Hình 2 th hin s tng quan
gia tài sn thông tin và ri ro.




Duy trì s đúng đn v
à tính
đy đ ca thông tin
Ch
 sn s
àng đ
i vi
nhng ai đc cp quyn

Cung c
p thông tin theo
mt đnh dng chun
Truy c
p v
à s
 dng theo
nhu cu
Giá tr

thông
tin

Hc phn 6 An toàn, an ninh thông tin và mng li 19



Hình 2. Mi tng quan gia ri ro và tài sn thông tin



















Ri ro đc xác đnh thông qua giá tr tài sn, các mi đe da và kh nng b
xâm phm. Công thc nh sau:

Ri ro =
(Giá tr tài sn, Các mi đe da, Kh nng b xâm phm)

Ri ro t l thun vi giá tr tài sn, các mi đe da và kh nng b xâm phm.
Do đó, ri ro có th b tng lên hay gim đi thông qua vic thay đi quy mô
giá tr tài sn, các mi đe da và kh nng b xâm phm. iu này có th thc

hin thông qua công tác qun lý ri ro.

Các phng pháp qun lý ri ro bao gm:

Thu hp ri ro (gim nh ri ro) – Phng pháp này đc thc hin khi kh
nng xy ra ca các mi đe da/kh nng b xâm hi cao nhng tác đng ca
chúng thp. Nó đòi hi s am hiu các mi đe da và kh nng b xâm phm
là gì, thay đi hay gim thiu chúng, và vic trin khai mt bin pháp đi phó.
Tuy vy, vic thu hp ri ro không làm gim giá tr ca ri ro ti mc ‘0’.


Ri ro

Mi đe da

Qun lý

Kh nng
b tn công

Yêu cu
an ninh

Giá tr tài sn

Tài sn
B
o v
chng li





Tng lên

Tng lên

Tng lên

Gi
m đi

Khai thác

Khai thác


òi h
i

a ra b
i


20

Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho Lãnh đo trong c quan Nhà nc


1 4

2 3
Thp
Cao
Cao
Tác đng
Kh nng
ca các mi
đe da/Kh
nng b xâm
phm
1 4
2 3
Thp
Cao
Cao
Tác đng
Kh nng
ca các mi
đe da/Kh
nng b xâm
phm
Chp nhn ri ro – Phng pháp này đc thc hin khi kh nng xy ra
ca các mi đe da/kh nng b xâm hi thp và nh hng ca chúng có v
thp hoc có th chp nhn đc.

Di chuyn ri ro – Nu ri ro  mc quá cao hoc t chc không có kh nng
chun b các gii pháp kim soát cn thit thì ri ro có th đc di chuyn ra
bên ngoài t chc. Mt ví d đó là áp dng mt chính sách bo him.

Tránh xa ri ro – Nu các mi đe doa và kh nng b xâm phm có kh nng

cao xy ra và tác đng ca chúng cng  mc rt cao thì phng pháp tt nht
là tránh xa ri ro, ví d nh bng cách thuê ngoài đi ng cng nh trang thit
b x lý d liu.

Hình 3 là mt biu đ minh ha cho bn phng pháp qun lý ri ro. Trong
hình này, góc phân t s ‘1’ là Thu hp ri ro, góc phn t s ‘2’ là Chp
nhn ri ro, góc phn t s ‘3’ là Di chuyn ri ro, và góc phn t s ‘4’ là
Tránh xa ri ro.

Hình 3. Các phng pháp qun lý ri ro














Nhân t chính trong vic xem xét la chn phng pháp qun lý ri ro thích
hp đó là mi quan h chi phi – hiu qu. Công tác phân tích chi phí – hiu
qu nên đc tin hành trc khi thit lp các phng án thu hp ri ro, chp
nhn ri ro, di chuyn ri ro hay tránh xa ri ro.




Hc phn 6 An toàn, an ninh thông tin và mng li 21


1.2 Các tiêu chun cho hot đng an ninh thông tin


Các hot đng an ninh thông tin không th thc hin mt cách hiu qu mà
thiu mt k hoch vt cht và k thut cng nh qun tr mt cách đng b.

Nhiu t chc có nhng tiêu chun khuyn ngh cho các hot đng an ninh
thông tin. Tiêu biu là các yêu cu an ninh thông tin ca y ban K thut
chung (ISO/IEC) gia T chc Tiêu chun hóa Quc t (International
Organization for Standardization - ISO) và Hi đng K thut đin Quc t
(International Electrotechnical Commission - IEC); các tiêu chun đánh giá
CISA (Certified Information Systems Auditor) và CISSP (Certified
Information Systems Security Professional) ca Hip hi iu hành và Kim
toán h thng thông tin ISACA (Information Systems Audit and Control
Association). Các tiêu chun này khuyn ngh cho các hot đng an ninh
thông tin đng nht, nh xây dng mt chính sách an ninh thông tin, xây
dng và điu hành mt t chc an ninh thông tin, qun lý ngun nhân lc,
qun lý an ninh các yu t vt cht, qun lý an ninh các yu t k thut, qun
lý hot đng kinh doanh liên tc và kim toán h thng.

Bng 2 lit kê các tiêu chun liên quan ti lnh vc an ninh thông tin.


Bng 2. Các tiêu chun liên quan và phm vi ca An ninh thông tin

Phm vi an

ninh thông tin
ISO/IEC 27001 CISA CISSP
Qun tr

điu hành
• Chính sách
an ninh
• Qun tr IT • Thc tin qun lý an
ninh
• Mô hình và kin trúc
an ninh
• T chc v an
ninh thông tin
• Qun tr IT
• Qun lý tài sn • Bo v tài sn
thông tin
• Thc tin qun lý an
ninh
• An ninh ngun
nhân lc

• Qun lý các tình
hung bt ng liên
quan ti an ninh
thông tin
• Khôi phc các
thm ha và tính
liên tc ca công
vic kinh doanh
• Lp k hoch khôi

phc thm ha và lp
k hoch duy trì tính
liên tc ca công vic
kinh doanh

22

Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho Lãnh đo trong c quan Nhà nc


• Qun lý tính liên
tc trong công vic
kinh doanh
• Khôi phc các
thm ha và tính
liên tc ca công
vic kinh doanh
• Lp k hoch khôi
phc thm ha và lp
k hoch duy trì tính
liên tc ca công vic
kinh doanh
• S tuân th • Quá trình kim
toán h thng
thông tin
• Lut l, công tác điu
tra và các ni quy
Các yu t

vt cht

• An ninh môi
trng và các yu
t vt cht
• An ninh các yu t
vt cht
Các yu t

k thut
• Qun lý điu hành
và truyn thông
• Qun lý vòng đi
c s h tng và
các h thng
• Công ngh mã hóa
• An ninh mng li và
truyn thông
• An ninh điu hành
• Qun tr truy
nhp

• Bo trì và phát
trin, thu nhn các
h thng thông tin
• H tr và giao
phát dch v IT


Tiêu chun ISO/IEC27001
1
tp trung vào an ninh qun tr. C th, nó nhn

mnh công tác kim toán hot đng và tài liu nh hành vi qun tr và vic
giám sát các quy tc cng nh chính sách/đnh hng. Tip đó, vic xác nhn
và các bin pháp đi phó đc yêu cu đa ra bi nhà qun tr. Do vy,
ISO/IEC27001 c gng xác đnh nhng đim yu trong trang thit b, các h
thng an ninh và nhng yu t tng t trong mt đng li qun tr.

Ngc li, không có đ cp nào v an ninh các yu t vt cht và ngun nhân
lc trong CISA
2
. CISA tp trung vào các hot đng kim toán và qun tr h
thng thông tin. Theo đó, vai trò ca kim toán viên và hiu qu ca quá trình
kim toán đc xem là rt quan trng.

CISSP
3
thì ch yu tp trung vào an ninh các yu t k thut. Nó nhn mnh
công tác sp xp và điu hành trang thit b nh các h thng máy tính và
máy ch.



1
ISO, “ISO/IEC27001:2005,”
csnumber =42103.
2
Xem ISACA, “Standards for Information Systems Auditing,”

CISA_Certification&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=16&ContentID=19566.
3
Xem (ISC)², “CISSP® - Certified Information Systems Security Professional,”


Hc phn 6 An toàn, an ninh thông tin và mng li 23



Mt vài điu cn làm

1. ánh giá mc đ nhn thc v an ninh thông tin ca các thành viên
trong đn v bn.

2. Các bin pháp an ninh thông tin đc thc hin trong đn v ca bn
là gì? Phân loi các bin pháp này theo nhng tiêu chí ca 4 phng
pháp an ninh thông tin.

3. Cho ví d v các bin pháp an ninh thông tin theo các lnh vc qun
tr điu hành, các yu t vt cht và k thut trong t chc ca bn
hoc ti các t chc khác trong vùng hay quc gia bn sng.

Các thành viên tham d khóa hc có th làm bài tp theo nhóm. Nu các
thành viên đn t nhiu quc gia khác nhau, vic phân nhóm có th tin
hành theo mi quc gia.



T kim tra

1. Thông tin khác vi các tài sn khác nh th nào?

2. Ti sao an ninh thông tin liên quan ti mt chính sách?


3. Các cách thc đm bo an ninh thông tin là gi? Phân bit các phng
pháp tin hành an ninh thông tin.

4. Phân bit s khác nhau gia ba phm vi an ninh thông tin (qun tr
điu hành, các yu t vt cht, các yu t k thut).









24

Nhng kin thc c bn v Công ngh thông tin và Truyn thông cho Lãnh đo trong c quan Nhà nc




























Hc phn 6 An toàn, an ninh thông tin và mng li 25


2. CÁC NH HNG VÀ XU HNG AN
NINH THÔNG TIN


Phn này nhm mc đích:
• Gii thiu các mi đe da đi vi an ninh thông tin;
• Miêu t các bin pháp đi phó chng li các mi đe da này.

2.1 Các kiu tn công An ninh thông tin

Thâm nhp trái phép (Hacking)

Hacking là mt hành đng truy cp ti mt máy tính hoc mng máy tính

nhm giành đc hay chnh sa thông tin mà không có s cho phép hp pháp.

Hacking có th đc phân loi thành hình thc thâm nhp mang tính tiêu
khin, ti phm hay mang tính chính tr, tùy thuc vào mc đích ca cuc tn
công. Hacking mang tính tiêu khin là vic thay đi trái phép các chng
trình hay d liu mt cách đn gin nhm tha mãn s tò mò ca tin tc
(hacker). Hacking mang tính cht ti phm đc s dng trong hot đng
gian ln và gián đip. Hacking mang tính chính tr là hình thc can thip vào
các website đ qung bá nhng thông đip chính tr không đc phép.
4


Gn đây, hacking ngày càng gn lin vi khng b mng và chin tranh
mng, to ra mt mi đe da ln đi vi an ninh quc gia.













4
Suresh Ramasubramanian, Salman Ansari and Fuatai Purcell, “Governing Internet Use: Spam,
Cybercrime and e-Commerce,” in Danny Butt (ed.), Internet Governance: Asia-Pacific Perspectives

(Bangkok: UNDP-APDIP, 2005), 95,

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×