Tải bản đầy đủ (.pdf) (144 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Thạc sĩ - Cao học

Phân tích tác động của chính sách KH&CN đối với sự phát triển các sản phẩm an toàn và bảo mật cho hệ thống thông tin điện tử từ trong tiến trình hội nhập quốc tế

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.7 MB, 144 trang )


ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN



NGUYỄN KIM ANH


PHÂN TÍCH TÁC ĐỘNG CỦA CHÍNH SÁCH KH&CN ĐỐI
VỚI SỰ PHÁT TRIỂN CÁC SẢN PHẨM AN TOÀN
VÀ BẢO MẬT CHO HỆ THỐNG THÔNG TIN ĐIỆN TỬ
TRONG TIẾN TRÌNH HỘI NHẬP QUỐC TẾ





LUẬN VĂN THẠC SĨ KHOA HỌC QUẢN LÝ









Hà Nội, năm 2009



ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN



NGUYỄN KIM ANH


PHÂN TÍCH TÁC ĐỘNG CỦA CHÍNH SÁCH KH&CN ĐỐI
VỚI SỰ PHÁT TRIỂN CÁC SẢN PHẨM AN TOÀN
VÀ BẢO MẬT CHO HỆ THỐNG THÔNG TIN ĐIỆN TỬ
TRONG TIẾN TRÌNH HỘI NHẬP QUỐC TẾ

Chuyên ngành: Quản lý Khoa học và Công nghệ
Mã số: 60.34.72


LUẬN VĂN THẠC SĨ KHOA HỌC QUẢN LÝ


Ề Người hướng dẫn khoa học: TS. Nguyễn Nam Hải






Hà Nội - 2009



1
MỤC LỤC

MỤC LỤC 1
LỜI CÁM ƠN ERROR! BOOKMARK NOT DEFINED.
DANH MỤC CÁC TỪ VIẾT TẮT 4
PHẦN MỞ ĐẦU 5
1. Lý do nghiên cứu 5
2. Tổng quan tình hình nghiên cứu 6
3. Mục tiêu nghiên cứu 8
4. Phạm vi nghiên cứu 8
5. Mẫu khảo sát 9
6. Vấn đề nghiên cứu 9
7. Giả thuyết nghiên cứu 9
8. Phương pháp chứng minh luận điểm 10
9. Kết cấu của Luận văn 11
PHẦN NỘI DUNG 13
CHƢƠNG 1. NHỮNG VẤN ĐỀ LÝ LUẬN 13
1.1. Hệ thống khái niệm có liên quan 13
1.1.1Một số khái niệm cơ bản về an toàn và bảo mật cho Hệ thống thông tin điện tử 13
1.1.2 Chính sách KH&CN 21
1.1.3 Phân tích chính sách 23
1.2 Một số điểm đặc trưng của các sản phẩm AT&BM 23
1.2.1 Sản phẩm được bán với giá rất cao 24
1.2.2Chi phí cho nội dung mang tính chất nghiệp vụ của các sản phẩm rất tốn kém 25
1.2.3 Sản phẩm đa dạng về chủng loại 26
1.2.4 Độ an toàn của các thiết bị nhập khẩu không cao 26
1.3 Chính sách KH&CN với việc phát triển sản phẩm AT&BM 27
1.4 Kết luận Chương 1 28
CHƢƠNG 2.VẤN ĐỀ AT&BM VÀ CÁC TIÊU CHÍ ĐÁNH GIÁ SẢN PHẨM

AT&BM 29

2
2.1. Vấn đề AT&BM hiện nay 29
2.1.1 Ngoài nước 30
2.1.2 Trong nước 32
2.2 Hiện trạng các sản phẩm AT&BM 39
2.3 Nhu cầu phát triển và các tiêu chí đánh giá sản phẩm AT&BM 42
2.3.1 Những lợi ích thu được khi áp dụng sản phẩm AT&BM tin cậy vào HTTT trong
nền kinh tế hội nhập ngày một sâu rộng 42
2.3.2 Tìm hiểu thực tế việc triển khai AT&BM tại một số cơ quan và doanh nghiệp
trong năm vừa qua 43
2.3.2.1 Đối tượng khảo sát 43
2.3.2.2 Nội dung và phương pháp 44
2.3.2.3 Kết quả thu nhận 45
2.3.2.4 Đánh giá kết quả 45
2.3.3 Các tiêu chí đánh giá sản phẩm AT&BM trên thế giới 46
2.3.4 Tiêu chí chung về AT&BM 48
2.3.5 Hoạt động thừa nhận lẫn nhau về Tiêu chí chung - Tổ chức thừa nhận lẫn nhau
về Tiêu chí chung 51
2.4 Kết luận Chương 2 52
CHƢƠNG 3. TÁC ĐỘNG CỦA CHÍNH SÁCH KH&CN ĐỐI VỚI SỰ PHÁT TRIỂN
SẢN PHẨM AT&BM CHO HTTT TRONG TIẾN TRÌNH HỘI NHẬP QUỐC TÊ 54
3.1 Chính sách KH&CN liên quan tới lĩnh vực AT&BM trong thời gian qua 54
3.1.1 Luật Giao dịch điện tử số 51/2005/QH11 ngày 29/11/2005 55
3.1.2 Luật Công nghệ Thông tin 56
3.1.3 Nghị định số 64/2007/NĐ-CP 56
3.1.4 Nghị định số 90/2008/NĐ-CP 57
3.1.5 Các Nghị định số: 27/2007/NĐ-CP 57
3.1.6 Quyết định số 138/2007/QĐ-TTg 58

3.1.7 Nghị định số 26/2007/NĐ-CP 59
3.1.8 Nghị định số 73/2007/NĐ-CP 59
3.1.9 Các Quyết định số 19/2008/QĐ-BTTTT và 20/2008/QĐ-BTTTT 60
3.1.10 Luật Tiêu chuẩn và Quy chuẩn kỹ thuật 60
3.2 Tác động của chính sách KH&CN đối với sự phát triển sản phẩm AT&BM 62

3
3.2.1 Chính sách KH&CN làm thay đổi nhận thức về vấn đề AT&BM 62
3.2.2 Chính sách KH&CN thúc đẩy ứng dụng các sản phẩm AT&BM 67
3.2.3 Chính sách KH&CN thúc đẩy nghiên cứu, sản xuất các sản phẩm AT&BM . 78
3.2.4 Chính sách KH&CN có tác động đến quá trình phân phối các sản phẩm
AT&BM 84
3.3 Xu hướng phát triển của những lĩnh vực áp dụng các sản phẩm AT&BM 86
3.4 Đề xuất các nhóm chính sách KH&CN để phát triển các sản phẩm AT&BM đến
năm 2020 89
3.4.1 Ban hành các quy định bắt buộc về AT&BM trong các tổ chức, đặc biệt là các
cơ quan Chính phủ 89
3.4.2 Công nhận, tuân theo chuẩn CC và chuẩn bị gia nhập CCRA 90
3.4.3 Xây dựng hệ thống đầy đủ các tiêu chuẩn quốc gia và các quy chuẩn kỹ thuật về
AT&BM 92
3.4.4 Xây dựng hệ thống Hạ tầng cơ sở khóa công khai quốc gia 93
3.4.5 Một số chính sách khác: 94
3.4.5.1 Nâng cao nhận thức về AT&BM cho nhiều đối tượng khác nhau 94
3.4.5.2 Nâng cao chất lượng đào tạo về lĩnh vực AT&BM 94
3.4.5.3 Nâng cao hiệu quả phòng thí nghiệm trọng điểm an toàn thông tin 95
3.4.5.4 Chuyển giao công nghệ để có thể nhanh chóng chủ động sản xuất được một
số loại sản phẩm AT&BM quan trọng trong thời gian ngắn 95
3.5 Kết luận Chương 3 96
KẾT LUẬN 98
KHUYẾN NGHỊ 99

DANH MỤC TÀI LIỆU THAM KHẢO 100
PHẦN PHỤ LỤC 101
Phụ lục 1:BẢNG HỎI KHẢO SÁT TÌNH HÌNH AT&BM 101
Phụ lục 2: Kết quả Điều tra 108
Phụ lục 3: Một số văn bản Quy phạm pháp luật có liên quan 112

4
DANH MỤC CÁC TỪ VIẾT TẮT


1.
AT&BM
An toàn và Bảo mật thông tin
2.
CA
Certification Authority
Tổ chức cung cấp dịch vụ chứng thực chữ ký số
3.
CPĐT
Chính phủ điện tử
4.
CC
Common Criteria
Tiêu chí chung về An toàn và Bảo mật thông tin
5.
CAP
Certificate Authorizing Participants
Quốc gia cấp chứng nhận
6.
CCP

Certificate Consuming Participants
Quốc gia chấp thuận chứng nhận
7.
CCRA
Common Criteria Recognition Arrangement
Tổ chức thừa nhận lẫn nhau về Tiêu chí chung
8.
CNTT
Công nghệ thông tin
9.
CNTT-TT
Công nghệ thông tin và Truyền thông
10.
HTTT
Hệ thống thông tin điện tử
11.
KH&CN
Khoa học và Công nghệ
12.
PKI
Public Key Infrastructure
Hạ tầng Khoá công khai
13.
TMĐT
Thương mại điện tử

5
PHẦN MỞ ĐẦU

1. Lý do nghiên cứu

Ngày 15/6/1982 đã xảy ra vụ nổ kinh hoàng đường ống dẫn khí đốt
xuyên Siberia tại Liên Xô. Đây là một công trình kinh tế lớn và quan trọng
của Liên Xô được xây dựng từ 1980 nhằm khai thác, vận chuyển khí đốt tại
mỏ Urengoy cung cấp cho nhiều nước cộng hòa thuộc Liên Xô, các quốc gia
XHCN Đông Âu và bán cho các quốc gia Tây Âu. Nguyên nhân chính của vụ
nổ này là vấn đề an toàn, bảo mật của Hệ thống thông tin điện tử.
Năm 2003 trong cuốn sách có tựa đề “At the Abyss: An Insider’s
History of the Cold War”, tác giả Thomas Reed, nguyên sĩ quan tình báo cao
cấp từng làm việc dưới thời Tổng thống Ronald Reagan cho biết chính Tổng
thống Reagan đã ra lệnh cho CIA tổ chức phá hoại đường ống dẫn khí đốt
xuyên Siberia của Liên Xô vào 1982. Đích thân giám đốc CIA chỉ huy vụ phá
hoại này. Đầu năm 1982, tình báo Pháp đã cung cấp cho CIA một thông tin có
liên quan đến Công ty điện tử Unbeknownst của Canada - Công ty ký được
Hợp đồng lắp đặt toàn bộ Hệ thống máy tính điều hành hoạt động của đường
ống dẫn khí đốt với tập đoàn Gazprom của Liên Xô. CIA đã cho dùng tiền
mua chuộc một chuyên viên máy tính của Công ty này đánh cắp bản sao bộ
mã khóa của Hệ thống máy tính này.
Sau khi có được bản sao mã khóa, các chuyên viên máy tính của CIA
đã tìm cách thâm nhập vào mạng máy tính điều hành hoạt động của đường
ống dẫn khí đốt xuyên Siberia và thả vào đó một quả bom lôgíc, là một virus
máy tính cực mạnh thâm nhập vào phần mềm của Hệ thống máy tính. Đến
chiều ngày 15/6/1982, CIA đã cho kích hoạt quả bom lôgíc làm cho hoạt động
của Hệ thống máy tính bị tê liệt khiến khí đốt bị nén với khối lượng lớn trong
đường ống dẫn ngang qua khu vực Tobolks và phát nổ dữ dội. Sức nổ của vụ

6
nổ mạnh tương đương 3.000 tấn thuốc nổ TNT…
Ngày nay các Hệ thống thông tin điện tử ngày càng đóng vai trò quan
trọng trong đời sống kinh tế, chính trị của mỗi quốc gia, các hệ thống này
luôn là đối tượng phá hoại của nhiều loại tội phạm trên phạm vi toàn cầu. Các

cuộc tấn công vào các HTTT có thể để lại hậu quả không khác gì một cuộc
chiến tranh thông thường mà thậm chí còn trầm trọng hơn. Tất cả các hoạt
động từ an ninh, quốc phòng đến các hoạt động trọng yếu của Quốc gia đều
gắn chặt với các HTTT. Ví dụ trên chỉ là một trong số vô vàn các cuộc tấn
công để lại hậu quả nghiêm trọng trong thời gian vừa qua. Làm thế nào để có
thể phòng chống có hiệu quả các loại phá hoại nhằm vào HTTT nói chung và
các HTTT thiết yếu của quốc gia nói riêng trở nên một nhiệm vụ cấp bách của
mọi quốc gia. Đây là một vấn đề đặt ra cho mỗi quốc gia nói chung và với
Việt nam trong thời kỳ công nghiệp hóa, hiện đại hoá nói riêng. Gắn liền với
việc giải quyết vấn đề này chính là vấn đề nghiên cứu phát triển, sản xuất và
ứng dụng các sản phẩm AT&BM.
Để phục vụ mục tiêu này, các chính sách KH&CN để phát triển các sản
phẩm AT&BM, nhất là trong giai đoạn hội nhập quốc tế hiện nay đóng một
vai trò rất quan trọng.
Việc nghiên cứu tác động của chính sách KH&CN tới sự phát triển của
lĩnh vực AT&BM nước ta và đề xuất chính sách liên quan đến lĩnh vực này sẽ
giúp cho các nhà lãnh đạo, quản lý KH&CN nhanh chóng có được các quyết
định chính xác, kịp thời để thúc đẩy phát triển lĩnh vực AT&BM ở nước ta
hội nhập quốc tế.


2. Tổng quan tình hình nghiên cứu
2.1 Ngoài nước:
Các HTTT hiện đại đã nhanh chóng thay thế các thế hệ cũ, lạc hậu và

7
trở thành huyết mạch của mỗi quốc gia. Ý thức được tầm quan trọng của việc
bảo đảm AT&BM cho các HTTT, các nước đều rất chú trọng đến việc nghiên
cứu đề ra các chính sách để phát triển, ban hành hệ thống tiêu chuẩn cho các
sản phẩm AT&BM, đặc biệt là tại các nước phát triển. Các chính sách về tiêu

chuẩn AT&BM đã trở thành thước đo độ an toàn cho các sản phẩm này.
Mỹ có nhiều cơ quan, tổ chức liên quan đến việc nghiên cứu và ban
hành các chính sách về AT&BM như Ủy ban về các hệ thống an ninh quốc
gia (Committee on National Security Systems - CNSS), Hàn quốc có Bộ
thông tin, truyền thông (MIC), Cục tình báo quốc gia, Các nước phương tây
và Nga là những nước đi đầu trong những nghiên cứu này và đã ban hành
nhiều chính sách áp dụng vào thực tiễn.
Nền tảng pháp lý, KH&CN của mỗi quốc gia một khác. Do đó, mỗi
quốc gia đều đã đầu tư nghiên cứu để đưa ra các chính sách cho phù hợp với
đặc thù của nước mình.

2.2 Trong nước:
Đảng và Nhà nước ta rất coi trọng và quan tâm đến công tác đảm bảo
AT&BM. Vấn đề AT&BM đã được thể hiện trong hàng loạt các văn bản quy
phạm pháp luật như:
- Luật Giao dịch điện tử số 51/2005/QH11 ngày 29/11/2005
- Luật Công nghệ thông tin số 67/2006/QH11 ngày 29/06/2006
- Luật Tiêu chuẩn và quy chuẩn kỹ thuật số 68/2006/QH11 ngày 29/06/2006
- Nghị định số 26/2007/NĐ-CP ngày 15/02/2007 của Chính phủ quy định
chi tiết thi hành Luật Giao dịch điện tử về Chữ ký số và dịch vụ chứng
thực Chữ ký số
- Nghị định số 27/2007/NĐ-CP ngày 23/02/2007 về giao dịch điện tử trong
hoạt động tài chính

8
- Nghị định số 35/2007/NĐ-CP ngày 08/03/2007 về giao dịch điện tử trong
hoạt động ngân hàng
- Nghị định số 64/2007/NĐ-CP ngày 10/04/2007 về ứng dụng công nghệ
thông tin trong hoạt động của cơ quan nhà nước
- Nghị định số 73/2007/NĐ-CP ngày 07/05/2007 về hoạt động nghiên cứu,

sản xuất, kinh doanh, sử dụng mật mã bảo vệ thông tin trong lĩnh vực
không thuộc phạm vi bí mật nhà nước.
- Các Quyết định số 19/2008/QĐ-BTTTT và 20/2008/QĐ-BTTTT ngày
09/04/2008 của Bộ Thông tin và Truyền thông ban hành Danh mục Tiêu
chuẩn và áp dụng tiêu chuẩn về ứng dụng CNTT trong cơ quan nhà nước.
- …
Những chính sách này có thể nói là đặt nền móng cơ sở pháp lý ban
đầu cho các hoạt động AT&BM ở Việt Nam.

3. Mục tiêu nghiên cứu
- Phân tích tác động của chính sách KH&CN đối với việc phát triển các
sản phẩm AT&BM trong tiến trình hội nhập quốc tế
- Đề xuất xây dựng và hoàn thiện chính sách KH&CN đến năm 2020 để
thúc đẩy phát triển ngành công nghiệp AT&BM hội nhập quốc tế

4. Phạm vi nghiên cứu
Phạm vi nội dung:
Tác động của Chính sách KH&CN đối với sự phát triển các sản phẩm
AT&BM ở các khía cạnh: nhận thức về vấn đề AT&BM, ứng dụng, nghiên
cứu, sản xuất và phân phối sản phẩm AT&BM.
Phạm vi không gian:
Sản phẩm AT&BM cho khu vực không thuộc phạm vi bí mật nhà nước

9
Phạm vi thời gian:
- Nghiên cứu các chính sách có đến thời điểm hiện nay
- Đề xuất Chính sách KH&CN trong lĩnh vực AT&BM đến năm 2020

5. Mẫu khảo sát
- Một số Trung tâm Tin học/Trung tâm CNTT) các Bộ, ngành

- Các cơ quan, đơn vị tham gia thương mại điện tử: các doanh nghiệp
- Các nhà sản xuất, phân phối các sản phẩm AT&BM

6. Vấn đề nghiên cứu
- Chính sách KH&CN có tác động thế nào đến phát triển ngành
AT&BM?
- Các chính sách đã được ban hành ở Việt nam:
+ Đã đáp ứng được thực tế đòi hỏi như thế nào?
+ Có những điểm nào chưa phù hợp hoặc còn thiếu?
- Đề xuất chính sách KH&CN đến 2020 để thúc đẩy phát triển ngành
công nghiệp AT&BM hội nhập quốc tế?

7. Giả thuyết nghiên cứu
- Trong quá trình hội nhập, chính sách KH&CN có tác động đến nhiều
lĩnh vực khác nhau để phát triển các sản phẩm AT&BM:
+ đối với vấn đề nhận thức về AT&BM của các tổ chức
+ đối với việc thúc đẩy nghiên cứu, sản xuất sản phẩm
+ đối với quá trình phân phối sản phẩm
+ đối với việc ứng dụng các sản phẩm
- Các chính sách này ở Việt nam đã được đầu tư xây dựng và ban hành:
Nhà nước đã bước đầu xây dựng được nền móng cơ sở luật pháp cho
hoạt động AT&BM (liệt kê ở 2.2), song nhìn chung, hệ thống cơ sở pháp lý

10
vẫn còn thiếu, nhất là các hướng dẫn và các quy định cụ thể cho nhiều lĩnh
vực khác nhau, đặc biệt còn thiếu hệ thống các tiêu chuẩn và quy chuẩn kỹ
thuật dẫn đến khó khăn cho việc quản lý chất lượng sản phẩm, định hướng
cho các nhà cung cấp sản phẩm cũng như các hoạt động xuất nhập khẩu.
- Đề xuất chính sách KH&CN đến 2020 để thúc đẩy phát triển ngành
công nghiệp AT&BM hội nhập quốc tế:

+ Ban hành các quy định bắt buộc về AT&BM trong các tổ chức
+ Xây dựng hệ thống các Tiêu chuẩn quốc gia và các Quy chuẩn kỹ
thuật cụ thể trong lĩnh vực AT&BM, trong đó sử dụng và tham
chiếu CC của quốc tế nhằm hỗ trợ cho nghiên cứu, sản xuất, phân
phối và ứng dụng các sản phẩm AT&BM
+ Tiến tới gia nhập Tổ chức các nước công nhận lẫn nhau về CC
(CCRA), trong đó, xây dựng Hệ thống kiểm định/đánh giá và cấp
chứng nhận sự phù hợp cho các sản phẩm AT&BM là nội dung
quan trọng.

8. Phƣơng pháp chứng minh luận điểm
8.1 Chứng minh bằng lý thuyết:
- Phân tích những tác động của chính sách KH&CN đến sự phát triển của
ngành AT&BM
- Dự báo chính sách KH&CN đến 2020
8.2 Chứng minh bằng thực tiễn: Thu thập, phân tích, và xử lý thông tin
thông qua các phương pháp sau:
- Nghiên cứu tài liệu:
+ Nghiên cứu các văn bản quy phạm pháp luật Nhà nước đã ban hành
liên quan đến lĩnh vực AT&BM trong những năm qua

11
+ Nghiên cứu, tìm hiểu các văn bản pháp luật của nước ngoài, đặc
biệt của các nước phát triển đối với lĩnh vực này
+ So sánh tình hình trong nước và quốc tế.
- Quan sát, lấy số liệu từ thực tế: qua Bộ câu hỏi thăm dò, phỏng vấn,
khảo sát hiện trường và bằng một số kỹ thuật chuyên ngành.

9. Kết cấu của Luận văn
PHẦN I: PHẦN MỞ ĐẦU

Trình bày tổng quan về tình hình nghiên cứu, bao gồm: Tên đề tài, lý
do chọn đề tài, tổng quan tình hình nghiên cứu, mục tiêu nghiên cứu, phạm vi
nghiên cứu, mẫu khảo sát, câu hỏi nghiên cứu, giả thuyết nghiên cứu, phương
pháp nghiên cứu.
PHẦN II: PHẦN NỘI DUNG
Chƣơng 1. Cơ sở lý luận, gồm:
- Hệ thống các khái niệm có liên quan
- Một số điểm đặc trưng đối với sản phẩm AT&BM
- Chính sách KH&CN với việc phát triển sản phẩm AT&BM
- Kết luận Chương 1

Chƣơng 2. Vấn đề AT&BM và các tiêu chí đánh giá sản phẩm AT&BM,
gồm:
- Vấn đề AT&BM hiện nay
- Hiện trạng các sản phẩm AT&BM
- Nhu cầu phát triển và các tiêu chí đánh giá sản phẩm AT&BM
- Kết luận Chương 2


12
Chƣơng 3: Phân tích tác động của chính sách KH&CN đối với việc phát
triển các sản phẩm AT&BM cho các HTTT trong tiến trình hội nhập
quốc tế, gồm:
- Chính sách KH&CN có liên quan tới lĩnh vực AT&BM trong thời gian
qua
- Tác động của chính sách KH&CN đối với sự phát triển sản phẩm
AT&BM
- Xu hướng phát triển của các lĩnh vực áp dụng sản phẩm AT&BM
- Đề xuất Chính sách KH&CN đối với sự phát triển các sản phẩm
AT&MB đến năm 2020 để hội nhập quốc tế

- Kết luận Chương 3

Kết luận
Khuyến nghị
Danh mục tài liệu tham khảo
Phần Phụ lục


13
PHẦN NỘI DUNG
CHƯƠNG 1. NHỮNG VẤN ĐỀ LÝ LUẬN

1.1. Hệ thống khái niệm có liên quan

1.1.1 Một số khái niệm cơ bản về an toàn và bảo mật cho Hệ thống thông
tin điện tử
Trong lĩnh vực bảo vệ hệ thống thông tin điện tử, người ta thường nhắc
tới các thuật ngữ: an ninh thông tin, an toàn thông tin và bảo mật thông tin.
An ninh thông tin (Information security): là hoạt động đảm bảo cho
người sử dụng thông tin được quyền truy cập đến chỉ những thông tin mà
mình được quyền sử dụng [4, tr.8].
An toàn thông tin (Information safety): là hoạt động bảo đảm cho việc
sử dụng thông tin được thông suốt, không bị ngừng trệ, không có sự cố,
không bị mất mát [4, tr.8].
Bảo mật thông tin (Information Confidentiality): là hoạt động bảo
đảm cho thông tin không bị lộ ra ngoài [4, tr.10].
Ba thuật ngữ trên có thể được sử dụng không tách rời nhau mà bao
trùm lên nhau, nhiều khi một thuật ngữ hay hai thuật ngữ kết hợp với nhau
được dùng bao hàm cả ba nội dung trên. Trong Luận văn này, khái niệm An
toàn và bảo mật thông tin (AT&BM) được dùng với nghĩa cả ba nội dung.


Các khái niệm sẽ trình bày sau đây do Tiến sĩ khoa học Ghegzda D.P
Ivasko tổng hợp trong cuốn sách "Các cơ sở an toàn cho HTTT" [6].

Các thuộc tính cơ bản của thông tin
- Tính tin cậy (Confidentiality): đảm bảo rằng chỉ những người được phép mới
có thể truy nhập vào HTTT.

14
- Tính toàn vẹn (Intergrity): bảo vệ tính chính xác và đầy đủ của thông tin và
các phương pháp xử lý thông tin.
- Tính sẵn sàng (Availability): đảm bảo rằng những người sử dụng được phép
có thể truy nhập vào HTTT khi cần.

AT&BM cho HTTT
Gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với HTTT để
bảo vệ, khôi phục các hệ thống và nội dung thông tin trước các hiểm hoạ do tự
nhiên hoặc con người gây ra, nhằm bảo đảm cho các HTTT thực hiện đúng
chức năng, phục vụ đúng đối tượng một cách sẵn sàng, toàn vẹn và tin cậy.

Các hiểm hoạ AT&BM đối với HTTT
Hiểm hoạ AT&BM được hiểu là các tác động (chủ ý hay ngẫu nhiên)
lên HTTT, trực tiếp hay gián tiếp gây nên tổn thất cho hệ thống.
Hiểm hoạ ngẫu nhiên là các hiểm hoạ thông thường độc lập với các
điều khiển gây phá hỏng tài sản của HTTT, thường liên quan đến các thảm
hoạ thiên nhiên, các lỗi phần cứng hay phần mềm có thể dẫn đến các hoạt
động không chính xác của HTTT hay sử dụng các ứng dụng không đúng.
Hiểm hoạ có chủ ý được xác định khi đối phương (người/nhóm người,
thường được gọi là hacker hay tội phạm mạng) sử dụng các kỹ thuật đặc biệt
tiếp cận để làm lộ thông tin, nhằm khám phá, sửa đổi trái phép thông tin do

Hệ thống quản lý.
Các dạng hiểm hoạ bao gồm: hiểm hoạ phá hoại tính tin cậy của thông
tin, hiểm hoạ phá hoại tính toàn vẹn của thông tin và các hiểm hoạ phá hoại
khả năng sẵn sàng của hệ thống:
- Hiểm hoạ lên tính tin cậy được hiểu như khái niệm “truy nhập trái
phép” để làm lộ thông tin. Chống lại các hiểm hoạ này được quan tâm nhiều

15
nhất bởi vì nó trực tiếp liên quan đến nhiệm vụ bảo vệ các bí mật quân sự và
nhà nước.
- Hiểm hoạ lên tính toàn vẹn xảy ra khi những người không có thẩm
quyền tác động lên thông tin được lưu giữ trong Hệ thống hay lên đường
truyền làm sai lệch/thay đổi nội dung thông tin. Tính toàn vẹn thông tin có thể
bị phá hoại bởi kẻ tội phạm hay là kết quả tác động khách quan từ phía môi
trường vận hành. Hiểm hoạ này đang là vấn đề thời sự nóng hổi nhất.
- Hiểm hoạ đe doạ tính sẵn sàng của HTTT phá hoại khả năng làm việc
(từ chối dịch vụ) hướng tới việc tạo tình trạng mà khi đó tài nguyên của
HTTT trở nên không thể truy nhập được hay giảm khả năng làm việc của nó.

Các dạng vi phạm AT&BM
Một số dạng vi phạm điển hình (thường được coi là các gian lận trong
HTTT) có thể liệt kê như sau:
- Truy nhập thông tin bất hợp pháp: Người dùng A gửi qua mạng cho người
dùng B một file có chứa thông tin quan trọng được bảo vệ. Người dùng C
không có quyền đọc file này nhưng lại có thể theo dõi quá trình truyền dữ
liệu và sao chép file trong khi truyền.
- Mạo danh để tạo thông tin giả, thay đổi thông tin, gian lận trong các giao
dịch: Người dùng D gửi thông báo cho người dùng E, một người dùng F
chặn bắt thông báo, thay đổi nội dung thông báo, sau đó mới chuyển tiếp cho
người dùng E với tư cách D. Người dùng E đón nhận thông báo đó như một

thông báo hợp pháp. Một trường hợp nữa là thông báo có thể bị chặn bắt
hoặc làm trễ nhằm mục đích lấy cắp các thông tin quan trọng.
- Ngăn chặn truyền tin giữa các người dùng: là hành động ngăn chặn không
cho thông tin được gửi tới đích cần nhận.

16
- Từ chối trách nhiệm đối với thông tin mà người gian lận đã tạo ra, chối bỏ
gửi tin, chối bỏ nhận tin
Những trường hợp trên chưa phải là tất cả những vi phạm AT&BM mà
chỉ minh hoạ một số dạng vi phạm. Nhiệm vụ của AT&BM là làm sao ngăn
chặn, phát hiện và loại bỏ được các gian lận trong các HTTT.
AT&BM trong một HTTT thường đồng nghĩa với vấn đề an toàn về mặt
vật lý (đối với tài sản, bao gồm: thông tin, máy tính và mạng…) và phương
thức quản lý (quy trình vận hành, tổ chức quản lý và nhân lực) trong Hệ thống
đó.

Các vấn đề liên quan tới AT&BM cho HTTT
Thông thường khi xem xét vấn đề AT&BM của một HTTT, ta thường
xem xét 03 vấn đề sau: tấn công, các kỹ thuật đảm bảo AT&BM và các dịch
vụ AT&BM.
- Tấn công (hay còn gọi là thâm nhập trái phép): là một hành động dẫn
đến lộ thông tin của một HTTT và thường ở các dạng sau:
+ Chặn bắt thông tin: Loại tấn công này thực hiện truy nhập bất hợp pháp
tới thông tin. Đây là loại tấn công vào tính tin cậy. Đối tượng truy nhập
bất hợp pháp có thể là người, chương trình hoặc một máy tính.
+ Làm gián đoạn hoặc ngắt dòng thông tin: Loại tấn công này làm cho
thông tin của hệ thống bị phá huỷ hoặc trở nên không sẵn sàng phục vụ
hoặc không sử dụng được. Đây là loại tấn công vào tính sẵn sàng.
+ Thay đổi nội dung thông tin: Loại tấn công này thực hiện thay đổi bất
hợp pháp nội dung thông tin tức là tấn công vào tính toàn vẹn.

+ Giả mạo: Loại tấn công này nhằm đưa những thông tin giả mạo vào hệ
thống. Tấn công này liên quan đến các vấn đề xác thực thông tin.


17
- Dịch vụ AT&BM: là các dịch vụ nâng cao tính AT&BM cho các
HTTT nhằm chống lại các tấn công của tin tặc. Các dịch vụ AT&BM gồm:
+ Bảo mật: Đảm bảo thông tin trong Hệ thống chỉ được truy nhập bởi
những người có thẩm quyền. Dạng truy nhập bao gồm: in, hiển thị và
các dạng khám phá thông tin.
+ Xác thực (Chứng thực): Đảm bảo nguồn gốc và tính đúng đắn của đối
tượng cần xác thực. Để xác thực thì thường sử dụng chữ ký số.
+ Đảm bảo tính toàn vẹn: Đảm bảo rằng chỉ những đối tượng có thẩm
quyền mới có thể thay đổi các tài nguyên của HTTH. Việc thay đổi bao
gồm: ghi, thay đổi trạng thái, xóa, tạo, làm trễ hoặc gửi lại các thông tin
đã được truyền.
+ Chống chối bỏ: nhằm ngăn chặn người gửi hoặc người nhận chối bỏ
việc đã gửi thông báo và đã nhận thông báo. Như vậy, khi thông báo đã
được gửi, người nhận có thể chứng minh được ai là người đã gửi thông
báo. Tương tự, khi thông báo đã được nhận, người gửi có thể chứng
minh ai là người đã nhận thông báo.
+ Kiểm soát truy nhập: Đảm bảo việc truy nhập thông tin được kiểm soát
bởi hệ thống.
+ Sẵn sàng: Đảm bảo sự sẵn sàng phục vụ của các tài nguyên mạng đối
với người sử dụng hợp pháp.

- Kỹ thuật đảm bảo AT&BM: Các kỹ thuật được thiết kế để phát hiện,
ngăn ngừa hoặc loại bỏ tấn công. Một số kỹ thuật cơ bản ta thường gặp trong
các HTTT được thể hiện dưới dạng sau:
+ Tường lửa (Firewall): là sản phẩm sử dụng để kiểm soát luồng thông

tin giữa mạng Intranet và mạng Internet, ngăn chặn việc truy nhập trái
phép từ bên ngoài vào mạng nhằm bảo vệ các nguồn thông tin nội bộ.

18
+ Sản phẩm phát hiện các truy nhập mạng trái phép (IDS): là sản phẩm
nhằm phát hiện các dấu hiệu tấn công hệ thống và thực hiện cảnh báo
cho người quản trị hay hệ thống biết về nguy cơ xảy ra tấn công trước
khi nó xảy ra.
+ Sản phẩm ngăn chặn truy nhập trái phép (IPS): là sản phẩm kết hợp
giữa IDS và tường lửa, là một hệ thống chủ động, có khả năng phát
hiện và ngăn ngừa các truy nhập trái phép, ngăn chặn các cuộc tấn
công… từ đó, đưa ra những phản ứng tích cực bảo vệ hệ thống.
+ Sản phẩm diệt Virus và các phần mềm độc hại (spyware, malware): là
phần mềm dùng rà soát toàn bộ Hệ thống để phát hiện và loại bỏ các
chương trình độc hại cũng như virus trong các mạng máy tính, đồng
thời khôi phục và sửa chữa những phần đã bị phá huỷ. Virus và các
phần mềm độc hại là một trong những đối tượng nguy hiểm nhất trong
các HTTT hiện nay.
+ Sản phẩm chống thư rác: là sản phẩm nhằm ngăn chặn việc phát tán
các thư rác trong các hệ thống thư tín điện tử.
+ Hệ thống lọc lưu lượng: lọc bỏ virus, spam, spyware hay các trang web
có nội dung xấu để bảo vệ người dùng trong mạng
+ Cập nhật bản vá lỗ hổng: nhiều phần mềm ứng dụng, phần mềm hệ
thống khi đưa vào vận hành mới phát hiện ra những điểm yếu (lỗ hổng)
mà những điểm mà kẻ tấn công mạng có thể lợi dụng để tấn công. Khi
đó các nhà sản xuất phần mềm phải thiết kế những đoạn chương trình
bổ sung để khắc phục những điểm yếu đó. Những đoạn chương trình
này được gọi là những miếng vá. Người dùng phải thường xuyên cập
nhật những miếng vá này của nhà sản xuất phát hành để khắc phục
những điểm yếu của phần mềm mà mình đang sử dụng.

+ …

19
Sản phẩm AT&BM là sản phẩm CNTT (bao gồm cả phần cứng và
phần mềm) sử dụng các kỹ thuật và dịch vụ AT&BM (chẳng hạn Firewall,
IDS, IPS, chứng chỉ số, PKI…) để đảm bảo an toàn và bảo mật cho Hệ thống
thông tin điện tử.

HTTT đƣợc bảo vệ
Mục đích bảo vệ HTTT hay bảo đảm AT&BM cho HTTT là chống lại
được các hiểm hoạ AT&BM.
Vì vậy, HTTT được bảo vệ là Hệ thống có các phương tiện bảo vệ phù
hợp với các chuẩn AT&BM, chống trả thành công, có hiệu quả đối với các
hiểm hoạ AT&BM, duy trì được khả năng làm việc của HTTT. Các phương
tiện bảo vệ này chính là các sản phẩm AT&BM.

Chữ ký số (Digital signature)
Chữ ký số là một giải pháp công nghệ đảm bảo tính duy nhất cho một
người khi giao dịch thông tin trên mạng, đảm bảo các thông tin cung cấp là
của người đó. Chữ ký số được dùng để đánh dấu hoặc ký lên một tài liệu điện
tử theo một quá trình tương tự như chữ ký trên giấy, nhưng được thực hiện
bằng công nghệ mật mã. Nói cách khác, nó là một “dấu vân tay„ có thể gắn
kèm lên các thông báo điện tử, nhận dạng duy nhất người gửi, bảo đảm tài
liệu này không bị thay đổi theo bất kỳ cách gì từ khi được người gửi “ký lên„
và có thể được xác minh khi cần.
Chứng chỉ số (Digital Certificate)
Chứng chỉ số là một tài liệu do Tổ chức cung cấp dịch vụ chứng thực
chữ ký số (CA) cấp, bao gồm khoá công khai (Public key) của người dùng và
các thông tin cần thiết về người dùng. Tài liệu này được ký bởi CA nhằm
tránh những thay đổi bất hợp pháp nội dung của chứng chỉ. Chứng chỉ được


20
công bố công khai trên mạng để cộng đồng người dùng dễ dàng có được khoá
công khai của người mà mình muốn có.

Hạ tầng cơ sở khóa công khai (Public Key Infrastructure - PKI)
PKI là tập hợp các giải pháp về công nghệ, các văn bản về pháp lý phục
vụ cho việc phân phối và quản lý chứng chỉ số.

ISO 17799
AT&BM là một nội dung không thể thiếu được và rất quan trọng khi
triển khai các HTTT. Khi nói đến AT&BM cho HTTT cần phải đề cập một
cách tổng thể từ các kỹ thuật AT&BM đến các quy định về quản lý chứ không
thể đề cập một cách phiến diện.
ISO 17799 là tiêu chuẩn quốc tế về Hệ thống quản lý AT&BM, dùng
để đánh giá mức độ AT&BM cho Hệ thống CNTT. ISO 17799 ra đời vào năm
2000. Phiên bản hiện tại phát hành vào năm 2005 gọi là ISO/IEC 17799:2005,
sau đó vào năm 2007, được đổi thành ISO/IEC 27001:2005 (thường gọi là
ISO 27001) và 27002:2005 (thường gọi là ISO 27002), trong đó:
- ISO 27001 cung cấp mô hình chuẩn để thiết lập, triển khai, vận hành,
theo dõi, đánh giá, duy trì cải tiến hệ thống quản lý AT&BM;
- ISO 27002 là một hệ thống các biện pháp, các khuyến cáo để ISO 27001
tham chiếu đến.
Kể từ khi ban hành đến nay, việc áp dụng Hệ thống quản lý AT&BM
phù hợp ISO 17799 đã được triển khai rộng rãi ở hầu hết các quốc gia trên thế
giới. Hiểu và vận dụng đúng đắn ISO 17799 vào thực tiễn ứng dụng sẽ nâng
cao độ AT&BM cho HTTT của mỗi tổ chức. Tuy nhiên, việc vận dụng và vận
dụng như thế nào các chuẩn này phụ thuộc vào từng điều kiện cụ thể của mỗi
quốc gia, mỗi doanh nghiệp và mỗi tổ chức.


21
1.1.2 Chính sách KH&CN
Trước khi đi vào tìm hiểu Chính sách KH&CN chúng ta sẽ tìm hiểu
trước khái niệm về Chính sách.
Thuật ngữ “Chính sách” (Policy) thường được sử dụng rộng rãi trên
sách báo, trên các phương tiện thông tin đại chúng và cả trong đời sống xã
hội. Chính sách là một thiết chế rất phức tạp và quan trọng của quản lý.
Có nhiều cách tiếp cận để xem xét khái niệm về chính sách: tiếp cận
chính trị học, tiếp cận xã hội học, tiếp cận tâm lý học, tiếp cận kinh tế học…
Tổng hợp từ tất cả các cách tiếp cận trên, Vũ Cao Đàm đã đưa ra định nghĩa
như sau: "Chính sách là một tập hợp biện pháp được thể chế hoá, mà một chủ
thể quyền lực, hoặc chủ thể quản lý đưa ra, trong đó tạo sự ưu đãi một nhóm
xã hội, kích thích vào động cơ hoạt động của nhóm này, định hướng hoạt
động của họ nhằm thực hiện một mục tiêu ưu tiên nào đó trong chiến lược
phát triển của một hệ thống xã hội" [1, tr. 26].
Khi nói đến chính sách, có thể hiểu đó là một tập hợp biện pháp được
thể chế hoá (dưới dạng các đạo luật, pháp lệnh, sắc lệnh; các văn bản dưới
luật như nghị định, thông tư, chỉ thị của Chính phủ; hoặc các văn bản quy
định nội bộ của các tổ chức) và phải tác động vào động cơ hoạt động của các
cá nhân và nhóm xã hội, đồng thời phải hướng động cơ các cá nhân và các
nhóm xã hội đó vào một mục tiêu nào đó của hệ thống xã hội.
Mọi chính sách đều có 2 nội dung: Mục tiêu của chính sách và phương
tiện để đạt mục tiêu.
Chính sách KH&CN là một loại hình chính sách được phân loại theo
mục tiêu tác động của chính sách. Khái niệm về chính sách KH&CN được
nhiều nhà nghiên cứu, hoạch định chính sách và các nhà quản lý đưa ra theo
nhiều quan điểm khác nhau

22
UNESCO đưa ra khái niệm: “Chính sách KH&CN là tập hợp các biện

pháp lập pháp và hành pháp được thực thi nhằm nâng cao, tổ chức và sử dụng
tiềm lực KH&CN quốc gia với mục tiêu đạt phát triển quốc gia và nâng cao vị
thế quốc gia trên thế giới”.
Theo Đặng Duy Thịnh: “Chính sách KH&CN là những phương châm,
điều lệ, quy định. Đó là những nguyên tắc và quy tắc do một nhà nước, một
ngành, một sơ sở (viện, trường, doanh nghiệp) trong một thời kỳ nhất định và
với một mục tiêu chiến lược nhất định đặt ra nhằm phát triển KH&CN”.
Nói cách khác chính sách KH&CN là tập hợp các văn bản quy phạm
pháp luật nhằm định hướng thúc đẩy sự phát triển KH&CN và làm cơ sở cho
công tác quản lý KH&CN của một quốc gia, một vùng lãnh thổ.
Chính sách KH&CN có thể phân theo các hình thái:
- Chính sách mang tính chất của một chiến lược, một đường lối, chủ
trương chung (các Văn kiện của Đảng và Nhà nước về KH&CN)
- Chính sách vừa mang tính chỉ đạo tầm vĩ mô, vừa cụ thể hóa các vấn
đề phát triển KH&CN trong cả nước (chính sách KH&CN của Nhà nước)
- Chính sách phát triển KH&CN của từng vùng, từng lĩnh vực, từng vấn
đề cụ thể.

Chính sách KH&CN có thể phân theo thời gian:
- Chính sách KH&CN mang tính chiến lược dài hạn, thường có hiệu
lực từ 10 đến 20 năm hoặc lâu hơn.
- Chính sách KH&CN trung hạn, thường có hiệu lực thực hiện trong
khoảng 5 đến 10 năm.
- Chính sách KH&CN ngắn hạn, thường có hiệu lực giải quyết một số
vấn đề mang tính cấp bách, cụ thể trong một thời gian nhất định, thường có
hiệu lực dưới 5 năm, có khi chỉ một đến vài năm.

23
1.1.3 Phân tích chính sách
Phân tích chính sách là công việc thường xuyên của nhà quản lý. Đó là

việc xem xét chính sách từ nhiều giác độ khác nhau, để phát hiện điểm mạnh,
điểm yếu của chính sách để nhằm vào các mục đích sử dụng khác nhau [1, tr.
194].
Tuy nhiên, hiện nay nhu cầu phân tích chính sách không chỉ là của nhà
quản lý, mà còn là nhu cầu của các tổ chức kinh doanh, nhu cầu của dân chúng
và bất cứ ai quan tâm đến chính sách. Với những người là đối tượng tác động
của chính sách, thì việc phân tích sẽ giúp tìm được chỗ có lợi nhất cho công
việc, tránh những vùng cấm của chính sách có thể gây phương hại cho công
việc của đơn vị mình hoặc cá nhân mình. Với các cơ quan hoạch định chính
sách, việc phân tích chính sách sẽ giúp phát hiện những chỗ bất cập của chính
sách, có thể gây phương hại đến lợi ích của cộng đồng hoặc việc thực hiện
mục tiêu toàn xã hội để tìm biện pháp điều chỉnh.
Phân tích chính sách bao gồm nhiều nội dung: phân tích các chính sách
hiện hành (phân tích tác nhân dẫn đến chính sách, triết lý của chính sách;
phương tiện thực hiện chính sách; tác động của chính sách; các ảnh hưởng
của chính sách; phân hoá xã hội do chính sách; các xung đột xã hội do chính
sách; các phản ứng xã hội do chính sách…) và phân tích một chính sách trước
khi quyết định.


1.2 Một số điểm đặc trƣng của các sản phẩm AT&BM
Cùng với sự phát triển mạnh mẽ của CNTT&TT là sự phát triển âm
thầm nhưng mãnh liệt, đầy sức cạnh tranh của nền công nghệ chế tạo các sản
phẩm AT&BM. Mỗi một phương tiện hoặc thiết bị truyền thông, thiết bị xử lý
thông tin mới ra đời là ngay lập tức xuất hiện nhu cầu AT&BM trên các thiết
bị đó. Tuy nhiên, khác với các ngành sản xuất các sản phẩm khác, lĩnh vực

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×