Tải bản đầy đủ (.doc) (63 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Công nghệ thông tin

LUẬT và CHÍNH SÁCH AN TOÀN thông tin

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (543.32 KB, 63 trang )

Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

I.

May 4, 2009

AN TOÀN THÔNG TIN LÀ GÌ?
An toàn thông tin là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và
yếu tố con người.
1. Yếu tố công nghệ: bao gồm những sản phẩm như Firewall, phần mềm
phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và
những ứng dụng như: trình duyệt Internet và phần mềm nhận Email từ
máy trạm.
2. Yếu tố con người: Là những người sử dụng máy tính, những người làm
việc với thông tin và sử dụng máy tính trong công việc của mình.
Hai yếu tố trên được liên kết lại thông qua các chính sách về An toàn thông
tin.

Theo ISO 17799, An Toàn Thông Tin là khả năng bảo vệ đối với môi
trường thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng và
phát triển vì lợi ích của mọi công dân, mọi tổ chức và của quốc gia. Thông

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

qua các chính sách về ATTT, lãnh đạo thể hiện ý chí và năng lực của mình
trong việc quản lý hệ thống thông tin. ATTT được xây dựng trên nền tảng


một hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật
nhằm mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu
cũng như các tài nguyên thông tin của các đối tác, các khách hàng trong
một môi trường thông tin toàn cầu. Như vậy, với vị trí quan trọng của mình,
có thể khẳng định vấn đề ATTT phải bắt đầu từ các chính sách trong đó con
người là mắt xích quan trọng nhất.
An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có
khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các
thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất. Hệ thống có một
trong các đặc điểm sau là không an toàn: Các thông tin dữ liệu trong hệ
thống bị người không được quyền truy nhập tìm cách lấy và sử dụng (thông
tin bị rò rỉ). Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai
lệch nội dung (thông tin bị xáo trộn)...
Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống
chỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

thống đảm bảo hoạt động đúng đắn. Mục tiêu của an toàn bảo mật trong
công nghệ thông tin là đưa ra một số tiêu chuẩn an toàn. Ứng dụng các tiêu
chuẩn an toàn này vào đâu để loại trừ hoặc giảm bớt các nguy hiểm. Do kỹ
thuật truyền nhận và xử lý thông tin ngày càng phát triển đáp ứng cácyêu
cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào đó. Quản
lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng. Khi đánh giá
độ an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn

bằng cách giảm tối thiểu rủi ro. Các đánh giá cần hài hoà với đặc tính, cấu
trúc hệ thống và quá trình kiểm tra chất lượng.

Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an
toàn thông tin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đưa ra
các chính sách và phương pháp đề phòng cần thiết. Mục đích cuối cùng của
an toàn bảo mật là bảo vệ các thông tin và tài nguyên theo các yêu cầu sau:
• Tính tin cậy(Confidentiality): Thông tin không thể bị truy nhập trái phép
bởi những người không có thẩm quyền.
• Tính nguyên vẹn(Integrity): Thông tin không thể bị sửa đổi, bị làm giả bởi

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

những người không có thẩm quyền.
• Tính sẵn sàng(Availability): Thông tin luôn sẵn sàng để đáp ứng sử
dụng cho người có thẩm quyền.
• Tính không thể từ chối (Non-repudiation): Thông tin được cam kết về mặt
pháp luật của người cung cấp.
Viện tiêu chuẩn của Anh đã công bố một danh sách gồm 10 điều kiện cần để kiểm tra
việc triển khai các biện pháp an ninh cơ bản của một hệ thống như sau:
1. Tài liệu về chính sách an ninh thông tin.
2. Việc phân bổ các trách nhiệm về an ninh hệ thống.
3. Các chương trình giáo dục và huấn luyện về sự an ninh thông tin.
4. Các báo cáo về các biến cố liên quan đến an ninh thông tin.
5. Các biện pháp kiểm soát Virus.

6. Tiến trình liên tục lập kế hoạch về kinh doanh.
7. Các hình thức kiểm soát việc sao chép các thông tin thuộc sở hữu của tổ
chức.

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

8. Việc bảo vệ các hồ sơ về tổ chức.
9. Việc tuân thủ pháp luật về bảo vệ dữ liệu.
10. Việc tuân thủ chính sách về an ninh hệ thống của tổ chức.

II.

THỰC TRẠNG VẤN ĐỀ AN TOÀN THÔNG TIN HIỆN NAY
Theo đánh giá của thiếu tướng Nguyễn Viết Thế, Cục trưởng Cục Tin học
Nghiệp vụ Tổng cục Kỹ thuật Bộ Công an, tình hình an ninh mạng năm 2008
này vẫn đang trên đà bất ổn và tiếp tục coi là năm “báo động đỏ” của an
ninh mạng Việt Nam và thế giới. Nhiều lỗ hổng an ninh nghiêm trọng đã được
phát hiện, hình thức tấn công cũng đã thay đổi và có rất nhiều cuộc tấn công
thành công trong thời gian gần đây.
Tính tới thời điểm này, đã có nhiều lỗ hổng an ninh đã được phát hiện như lỗ
hổng DNS bị coi là siêu nguy hiểm, cho phép hacker kiểm soát lưu lượng dữ
liệu qua lại trên toàn mạng World Wire Web, lỗ hổng trình duyệt web Google
Chrome… Hình thức tấn công cũng đã có sự thay đổi. Hacker đã thay đổi từ

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí



Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

hình thức tấn công hệ thống thông qua dịch vụ thư điện tử sang tấn công hệ
thống dựa vào dịch vụ web. Hacker đã mở một chiến dịch “tổng tấn công”
nhằm vào mạng Internet với số lượng hơn 1 triệu website. Trong đó có các
website nổi tiếng thế giới như USA Today.com, Walman.com… Số lượng và
tầm quan trọng của các website bị tấn công đang tăng lên từng ngày.
Virus và phần mềm độc hại tiếp tục tăng trưởng. Theo thống kê của hãng
Symantec, tổng số virus, sâu, trojan máy tính lan truyền trên Internet cho tới
thời điểm này đã đạt ngưỡng 1 triệu. Trong 6 tháng đầu năm 2008, hãng
Symantec đã phát hiện được 499.811 mã độc nguy hiểm, tăng 136% so với 6
tháng đầu năm ngoái, đưa tổng số mẫu virus có trong sản phẩm của hãng này
lên tới 1.122.311 mẫu. Giới tin tặc đang có xu hướng dùng trojan như là “chìa
khoá” để truy cập máy tính người dùng, sau đó download và tải rất nhiều
chương trình độc hại.
Theo thống kê của APACS, chỉ trong 6 tháng đầu năm 2008, trên toàn thế giới
đã có tới 20.000 vụ lừa đảo trực tuyến xảy ra gây thiệt hại tới 37 triệu USD,
trong khi đó năm 2007 chỉ có khoảng 7.000 vụ. Hacker đã tấn công hàng ngàn
trang web game online, không “tha” cả website bán vé Euro 2008, 18 máy chủ

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009


của ngân hàng thế giới WorldBank đã bị tấn công. Đặc biệt, rất nhiều dữ liệu
của cá nhân đã bị tấn công, đánh cắp. Theo thống kê của Trung tâm tài nguyên
và mất cắp danh tính ITRC, tính từ đầu năm tới nay, chỉ riêng tại Mỹ đã có tới
512 vụ trộm cắp danh tính làm ảnh hưởng tới khoảng 30 triệu người dùng.
Và Việt Nam cũng là một quốc gia không tránh khỏi những hệ luỵ này. Chỉ
trong năm 2008, đã có 52 website của Việt Nam bị các hacker trong nước tấn
công và có tới 109 website Việt bị các hacker nước ngoài “dòm” tới. Trung
tâm an ninh mạng BKIS đã từng cảnh báo 30 website Việt có lỗ hổng nghiêm
trọng. 27.046.000 lượt máy tính Việt bị nhiễm bởi 6269 loại virus khác nhau
trong đó có 8 virus có “xuất xứ” Việt Nam.
Nhiều website Việt bị tấn công trong đó có cả những website có uy tín. Ngày
25/7/2008, website của ngân hàng Techcombank bị hacker xâm nhập và để lại lời cảnh
báo về lỗi bảo mật. Ngày 27/7/2008, một số tên miền quan trọng của PAVietnam, một
trong những nhà cung cấp dịch vụ hosting lớn của Việt Nam đã bị hacker chiếm quyền
điều khiển khiến khoảng 8.000 website mà khách hàng đang sử dụng máy chủ tên miền
của PAVietnam bị tê liệt. Thậm chí gần đây, ngày 5/10/2008, ngay cả website của
Trung tâm an ninh mạng BKIS

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

cũng đã bị tấn công từ chối dịch vụ.
Năm 2008, các hình thức lừa đảo trực tuyến phổ biến trên thế giới đều đã xuất
hiện ở Việt Nam như lừa đảo qua diễn đàn trên mạng, lừa đảo qua email mà
phổ biến nhất là lừa đảo trúng xổ số, lừa đảo qua các tin nhắn trên mạng di

động từ những tổng đài tự động, ăn cắp và làm giả thẻ tín dụng…
Ngay cả tình trạng phát tán blog đen, video clip xấu trên mạng vẫn còn xảy ra
tràn lan. Mặc dù không có nhiều vụ việc giật gân nhưng trên một số blog của
cá nhân vẫn tồn tại nhiều bài viết, video clip có nội dung không lành mạnh.
Đã có tình trạng diễn ra “chợ tình” trên mạng Internet, một kiểu tiếp thị mại
dâm mới…

Thiếu tướng Nguyễn Viết Thế cho rằng, nguyên nhân của sự bất ổn và báo
động đỏ năm 2008 của Việt Nam là do các cơ quan, doanh nghiệp, tổ chức và
ngay cả những cá nhân chưa thực sự quan tâm đến vấn đề an ninh mạng. Các
cơ quan, doanh nghiệp, tổ chức vẫn còn chủ quan nên chưa có sự quan tâm,
đầu tư kinh phí đúng mức cho vấn đề này.
Các điểm yếu an ninh trên các website của Việt Nam chưa được cập nhật

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

thường xuyên, chưa kiểm soát được các lỗi lập trình. Ngoài ra, chính sách,
văn bản của Việt Nam về tội phạm mạng còn rất yếu và thiếu. Chưa có được
bộ tiêu chuẩn về chính sách an ninh mạng, an toàn thông tin để đưa ra được
những giải pháp tổng thể bảo đảm an ninh, an toàn thông tin.
Trong khi đó, năm 2009 lại được các chuyên gia an ninh mạng dự báo sẽ tiếp
tục là năm xuất hiện nhiều biến thể virus mới, tội phạm mạng sẽ chuyên
nghiệp hơn, tinh vi hơn, mạng xã hội trở thành đích ngắm của hacker, các vụ
việc đánh cắp thông tin dữ liệu về người dùng sẽ phức tạp hơn…
Con người – khâu yếu nhất trong toàn bộ quá trình đảm bảo an toàn thông tin . Hầu như

phần lớn các phương thức tấn công được hacker sử dụng là khai thác các điểm yếu của
hệ thống thông tin và đa phần các điểm yếu đó rất tiếc lại do con người tạo ra. Việc
nhận thức kém và không tuân thủ các chính sách về ATTT là nguyên nhân chính gây ra
tình trạng trên. Đơn cử là vấn đề sử dụng mật khẩu đã được quy định rất rõ trong các
chính sách về ATTT song việc tuân thủ các quy định lại không được thực hiện chặt
chẽ. Việc đặt một mật khẩu kém chất lượng, không thay đổi mật khẩu định kỳ, quản lý
mật khẩu lỏng lẻo là những khâu yếu nhất mà hacker có thể lợi dụng để xâm nhập và
tấn công.

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

Ra mắt Hiệp hội An toàn thông tin VN phía Nam
Hiệp hội An toàn thông tin Việt Nam (VNISA) vừa được thành lập và tổ chức
lễ ra mắt chi hội an toàn thông tin phía Nam. Sự kiện này đánh dấu bước phát
triển mới trong lĩnh vực an toàn thông tin, nhất là tại TP.HCM nơi mà lĩnh
vực công nghệ thông tin phát triển năng động nhất. Ông Võ Đỗ Thắng, ủy
viên ban điều hành chi hội, cho biết: “Chi hội an toàn thông tin phía Nam ra
đời nhằm tạo điều kiện giúp các hội viên, các tổ chức, doanh nghiệp phía nam
nâng cao kiến thức trong lĩnh vực an toàn thông tin. Đồng thời đây là nơi
chia sẻ kinh nghiệm các thành tựu khoa học cũng như hướng dẫn việc ứng
dụng và phát triển kỹ thuật, công nghệ an toàn thông tin”.

III.

CÁC DẠNG TỘI PHẠM, HÀNH VI XÂM PHẠM AN TOÀN THÔNG

TIN HIỆN NAY
Những thủ đoạn phạm tội công nghệ cao có thể liệt kê như: lừa đảo trên
mạng, trộm cắp địa chỉ thư điện tử, thông tin thẻ tín dụng và thông tin cá

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

nhân; đưa thông tin thẻ tín dụng đã ăn cắp được lên mạng để mua bán, trao
đổi, cho tặng; thực hiện rửa tiền bằng cách chuyển tiền từ tài khoản trộm cắp
được sang tài khoản tiền ảo như e-gold, e-passport…; lừa đảo trong hoạt
động thương mại điện tử, trong quảng cáo, bán hàng trực tuyến qua mạng,
mua bán ngoại tệ, mua bán cổ phiếu qua mạng; đánh bạc, cá độ bóng đá qua
mạng; sử dụng máy tính để thực hiện hành vi trốn thuế, tham ô; buôn bán
ma tuý qua mạng; tổ chức hoạt động mại dâm qua mạng; truyền bá văn hoá
phẩm đồi truỵ qua mạng; thực hiện các hoạt động khủng bố, gây rối qua
mạng; xâm phạm an toàn của hệ thống hạ tầng an ninh quốc gia; lập trạm thu
phát tín hiệu trái phép, sử dụng mạng Internet để chuyển cuộc gọi quốc tế
thành cuộc gọi nội hạt…

Đặc điểm nổi bật của loại tội phạm công nghệ cao là tính quốc tế. Từ phương
thức, thủ đoạn, phạm vi gây án, đối tượng bị xâm hại tới mục tiêu gây án hầu
như về cơ bản đều giống nhau trên toàn thế giới. Thủ phạm gây án có thể ngồi
một chỗ tấn công vào bất kỳ nơi nào trên thế giới mà không cần xuất đầu lộ
diện, chỉ để lại rất ít dấu vết là những dấu vết điện tử và thời gian gây án

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí



Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

thường rất ngắn khiến cơ quan điều tra khó phát hiện, thu thập nhưng lại dễ
dàng tiêu huỷ. Tội phạm công nghệ cao được chia làm hai nhóm: nhóm tội
phạm với mục tiêu tấn công là các loại thiết bị kỹ thuật số, mạng máy tính và
nhóm thứ hai là tội phạm sử dụng máy tính làm công cụ phạm tội.

1. Lừa đảo mạng ATM
“ Một khi bọn tội phạm lấy được dữ liệu trên các dải từ tính cùng với số PIN,
chúng hoàn toàn có thể tạo ra các thẻ giả , và chính những thẻ này sẽ là được
dùng để rút tiền”. Vấn đề khác đối với các tổ chức là khả năng thực hiện quản
lý rủi ro của họ ít hơn nhiều so với các giao dịch trực tuyến trên ATM. “ Đó là
vì máy ATM cung ứng hàng hóa cho khách hàng của mình ngay lập tức, chính
xác như ý muốn của bọn lừa đảo – đó là tiền mặt chứ không phải là một loại
vé, giấy có giá mà sau đó phải cất trữ hoặc bán lại

2. Tiếp tục các tấn công dạng Phishing
Năm 2008, ngành dịch vụ tài chính quan sát thấy có sự tăng trưởng vể số

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009


lượng các cuộc tấn công phishing và được trông chờ tiếp tục vào năm 2009,
gồm có spear phishing phức tạp và các tấn công Rock Phish. Nhóm công tác
chống phishing (Anti-Phishing Working Group) báo cáo rằng lĩnh vực dịch vụ
tài chính là lĩnh vực chịu nhiều tấn công phishing nhất, Với khoảng hơn 90%
các cuộc tấn công nhắm trực tiếp các dịch vụ tài chính.
Theo Terry Gudaitis, PhD, giám đốc Cyber Interligence , một công ty tình báo
an ninh mạng chuyên dịch vụ phát hiện và kiểm soát phishing thì một trong
những lĩnh vực mà bà và những người khác thấy là sự gia tăng mối hiểm họa
tấn công phishing là “Smishing” hay là SMS phishing. “Phishers (kẻ tấn công
phishing) nay gửi các thông điệp phishing tới các máy điện thoại di động
thông qua SMS. Điều này làm bối rối những người sử dụng online banking,
đặc biệt là những người sử dụng dịch vụ mobile banking,” bà nói. “Khách
hàng banking thông thường sẽ nghĩ, „Ngân hàng không gửi email cho tôi, mà
lại gửi thông điệp bằng văn bản yêu cầu mình nhấn vào đường link này hay
gọi số này để kiểm tra,”‟ Trong khi phương thức tấn công khác biệt, thì đối
tượng của phisher vẫn là một. Loại tấn công này sẽ đặt ra những vấn đề về độ
tin cậy và sẽ ảnh hưởng tới các dịch vụ mobile banking, đặc biệt khi ngày

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

càng nhiều khách hàng tin cậy trở nên tin tưởng điện thoại di động của mình.
3. Tấn công từ chối SQL
Nghiên cứu của Sophos cho hay, số lượng các cuộc tấn công SQL vào các
trang web “vô tội” trong năm qua tăng lên rõ rệt, và năm tới, xu hướng này sẽ
vẫn tiếp diễn. Độ bảo mật kém của các trang web, đặc biệt là không có khả

năng phòng chống các cuộc tấn công tự động từ xa như tấn công từ chối SQL,
sẽ tiếp tục trở thành nơi đầu tiên để phát tán mã độc.
Báo cáo mới đây của Trung tâm thu nhận tố cáo tội phạm internet cũng chỉ ra
số lượng các cuộc tấn công SQL trong năm qua tăng lên đáng kể, đặc biệt là
liên quan đến các dịch vụ tài chính và ngành công nghiệp bán lẻ trực tuyến.
4. Drive-By Attacks Deliver
Các tổ chức cần phải hướng dẫn và cảnh báo khách hàng và nhân viên khi
online phải cẩn trọng với những trang Web giả mạo (look-alikes) và bị nhiễm
độc, Tom Wills, Javelin Strategy Research's Senior Analyst for Security &
Fraud nói. “Các tấn công Drive-by lén lút phân phối Trojans trộm bàn phím
(keylogger) vào các máy tính của khách hàng và trở thành vũ khí trộm danh
tính tự nguyện.” Các máy sẽ bị nhiễm khi người dùng viếng các trang web giả

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

mạo do bị chuyển tới thông qua phishing emails hoặc như xu hướng đang gia
tăng hiện nay là thông qua các trang web hợp lệ nhưng đã bị hack, ông nhận
xét.
Javelin's Wills cũng tiên đoán sẽ có sự gia tăng về số lượng các hackers và tội
phạm “nghiệp dư" (amateur), tìm cách ăn trộm tiền hay thông tin cá nhân
khách hàng của các tổ chức, chủ yếu do kinh tế suy thoái. “ Các tổ chức cần
nhận thấy có sự tăng cường lừa đảo không chyên. Những „tội phạm có cơ hội‟
sẽ xuất hiện giữa các khách hàng và nhân viên do ngày càng nhiều người bị
tress về tài chính bởi hậu quả kinh tế suy thoái.” Will nhận xét.
5. Mạng xã hội không còn là mục tiêu mới

Với sự phát triển mạnh của mạng xã hội, theo Sophos, đây sẽ trở thành mục
tiêu mới của tin tặc. Báo cáo của hãng nghiên cứu này cho thấy, vào tháng 8
vừa rồi ước tính có tới 1800 tài khoản Facebook đã bị thay đổi thông tin cá
nhân do tin tặc cài Trojan vào trong hình động để tấn công người dùng.
Trojan Koobface tấn công MySpace và cả Facebook rồi biến máy tính nạn
nhân thành mạng botnet cũng là sự kiện an ninh đáng lưu ý trong năm qua, và
có thể sẽ còn tái diễn trong 2009.

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

Twitter đã trở thành công cụ dành cho tin tặc giúp phát tán phần mềm hiểm
độc và đưa tin quảng cáo. Nhiều lần, chúng đánh cắp thông tin tài khoản và
mật khẩu của người dùng để “đánh bom” bạn bè của nạn nhân với những
thông tin quảng cáo hoặc dẫn dụ tới các trang web thứ ba. Khi kết hợp với các
dịch vụ rút ngắn địa chỉ URL, sẽ rất khó để phát hiện ra thông tin liên kết do
thông điệp hạn chế số lượng kí tự (Twitter chỉ cho phép đăng tin có số kí tự
tối đa là 140).
6. Smartphones: trò chơi mới của tin tặc
Trong khi đa số phần mềm hiểm độc và thư rác được phát tán nhằm mục đích
kiếm tiền thì theo phân tích của Sophos, với smartphone, tin tặc chủ yếu viết
phần mềm hiểm độc với mục đích nổi danh.
Apple iPhone theo Sohpos, có 3 lí do khiến người dùng iPhone dễ bị tấn
công phishing hơn so với những ai sử dụng máy tính.



Người dùng iPhone thường muốn nhấp vào địa chỉ được giới thiệu vì việc
nhập URL trên màn hình cảm ứng thường khó khăn hơn.

● Phiên bản Safari trên iPhone không hiển thị địa chỉ URLs nhúng trong emails
trước khi chúng được nhấp vào, khiến người dùng khó nhận diện được liệu

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

chúng có dẫn tới các trang lừa đảo hay không.


Trình duyệt trên iPhone không hiển thị đầy đủ địa chỉ URL giúp kẻ xấu có thể
lợi dụng để lừa đảo người.
Google Android mặc dù Android trên Google G1 mới ra mắt gần đây và hiện
chưa mắc phải những cuộc tấn công từ tin tặc, nhưng sau chỉ một ngày G1
được bán ra thị trường, giới an ninh đã phát hiện ra một lỗ hổng nghiêm
trọng.
Theo dự đoán của Sophos, càng có nhiều người sở hữu smartphone thì dòng
thiết bị này sẽ trở nên hấp dẫn hơn với tin tặc.

Đối phó thế nào đây?
Hiện thế giới coi Việt Nam như một thị trường an toàn, có tiềm năng về thương
mại điện tử và đầu tư. Điều này phụ thuộc rất nhiều vào bức tranh an ninh mạng
Việt Nam. Nếu vấn đề an ninh mạng không được giải quyết kịp thời, hợp lý, lĩnh
vực thương mại điện tử vốn đã non trẻ của Việt Nam có thể sẽ rơi vào tình trạng

trì trệ, trở thành “một rào cản đối với Việt Nam hậu WTO”.

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

Việc đảm bảo an ninh trật tự trong “thế giới ảo” hiện là một trọng trách nặng nề
của lực lượng công an nói chung và cảnh sát phòng chống tội phạm công nghệ
cao nói riêng trong tình hình mới. Với kinh nghiệm điều tra, lần theo dấu vết, đã
“điểm mặt, chỉ tên” được nhiều vụ án cụ thể, theo Tiễn sĩ Trần Văn Hoà, việc
phát hiện kịp thời, truy tìm dấu vết đối tượng của những vụ án công nghệ cao
thường đòi hỏi phải có sự phối hợp đồng bộ giữa các cơ quan điều tra trong và
ngoài nước tránh bị ngắt quãng, mất dấu vết. Nhìn về xu hướng bảo mật, Việt
Nam đã từng có thời điểm được xếp vào danh sách 1 trong 10 quốc gia có lượng
spam email lớn nhất thế giới. Song, trong số các spam mail được gửi đi từ Việt
Nam lại có rất ít các email nội dung tiếng Việt. Điều này chứng tỏ spam email
chủ yếu do các đối tượng, hacker nước ngoài gửi về Việt Nam.

Tuy nhiên, trong khi hệ thống pháp luật của Việt Nam còn thiếu và nhiều kẽ hở,
hình thức quảng cáo bằng spam email hay tin nhắn spam vẫn đang là một giải
pháp tiết kiệm chi phí được nhiều doanh nghiệp sử dụng. Đây lại rất có thể là cơ
hội để các hacker nội kiếm tiền bằng cách gửi spam email thuê với quy mô lớn.
Nếu điều này xảy ra sẽ gây vô vàn thách thức cho các cơ quan chức năng, các

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí



Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

doanh nghiệp cung cấp dịch vụ Internet của Việt Nam và bản thân người dùng
Internet trong nước.

Vì vậy, việc cần làm đầu tiên vẫn là tăng cường các biện pháp quản lý của nhà
nước và công tác phòng chống tội phạm công nghệ cao. Xây dựng, hoàn thiện và
triển khai có hiệu quả hệ thống văn bản pháp luật đồng bộ có liên quan tới lĩnh
vực CNTT như Luật Hình sự, Bộ Luật tốt tụng hình sự, Luật CNTT, Luật giao
dịch điện tử…
Bản thân các doanh nghiệp, tổ chức cá nhân cũng phải có ý thức nâng cao cảnh
giác, tăng cường sử dụng các công cụ kỹ thuật để ngăn chặn, phòng ngừa bảo vệ
các server, website, cơ sở dữ liệu như các thiết bị phần cứng, các phần mềm
chống virus, spyware, spam… Đặc biệt là phải tăng cường công tác điều tra, truy
tố, xét xử các vụ phạm tội công nghệ cao để có thể răn đe, phòng ngừa - Tiến sĩ
Hoà nói.
Xây dựng hệ thống bảo đảm an toàn thông tin như thế nào?
Việc xây dựng một hệ thống bảo đảm an toàn thông tin không chỉ đơn giản gói

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

gọn vào trách nhiệm của bộ phận CNTT, hệ thống mạng với một số giải pháp
thuần túy kỹ thuật. Một hệ thống thông tin an toàn đúng nghĩa phải gắn kết và

tích hợp chặt chẽ với hoạt động của toàn tổ chức trong đó con người đóng vai trò
quan trọng.
Có nhiều cách thức và quan điểm để thiết lập một hệ thống an toàn thông tin. Tuy
nhiên, thông thường người ta dựa vào các tiêu chuẩn, trong số đó hai tiêu chuẩn
ISO 27001 và ISO/IEC 17799 thường được nhắc đến nhiều nhất, bởi tính hệ
thống, tính thông dụng và tính quốc tế của chúng.
Khi xây dựng một hệ thống an toàn thông tin, người ta thường tham khảo cả hai
như là một cặp không thể tách rời. Khi áp dụng, tiêu chuẩn ISO 27001 mang tính
bắt buộc, quy định các yêu cầu của một hệ thống an toàn thông tin, trong khi
chuẩn ISO/IEC 17799 cung cấp các kinh nghiệm để có thể thiết kế một hệ thống
cụ thể, mang tính tham khảo và không bắt buộc.

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

Về cơ bản, một hệ thống an toàn thông tin phải được xây dựng tích hợp chặt chẽ
vào hệ thống vận hành của một tổ chức, có cấu trúc chặt chẽ, gồm nhiều tác vụ
liên thông và hỗ trợ lẫn nhau. Một hệ thống theo chuẩn ISO/IEC 17799 nhất thiết
phải bao gồm các nhóm yêu cầu và tác vụ được trình bày ở sơ đồ 1

Để phát huy hiệu quả tốt, theo kinh nghiệm, việc xây dựng hệ thống an toàn
thông tin nên căn cứ vào nhu cầu và đặc điểm của từng tổ chức. Một hệ thống
an toàn có hiệu quả ở tổ chức này, hoàn toàn không chắc là phù hợp với tổ chức
khác, thậm chí có hoạt động cùng lĩnh vực.

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí



Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

Việc áp dụng chuẩn và sử dụng chuyên gia tư vấn cũng chỉ nhằm xây dựng
các phương pháp bảo đảm an toàn thông tin mang tính hệ thống, tránh thiếu sót,
thừa hưởng các kinh nghiệm đã đúc kết, chúng không thể thay thế cho vai trò
quyết định của bản thân doanh nghiệp.
Thông thường, quá trình thiết lập, vận hành và chứng nhận hệ thống an toàn
thông tin theo tiêu chuẩn ISO 27001 bao gồm các bước cơ bản được trình bày ở
bảng 2, trong đó chi tiết các bước sẽ rất khác nhau, tùy theo từng tổ chức.
Sơ đồ 2 minh họa các bước chính cùng khung thời gian, ràng buộc về thời gian
giữa các bước trong toàn bộ kế hoạch xây dựng, áp dụng và đánh giá hệ thống
an toàn thông tin. Các bước và khung thời gian chỉ có tính minh họa, thực tế
chúng khác biệt và phụ thuộc vào mục tiêu, cách thức và kế hoạch của từng tổ
chức.

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

Nhóm tác vụ
Chính sách

May 4, 2009

Mô tả và ý nghĩa

Các chính sách ở các cấp độ khác nhau (công ty, phòng,
ban) về an toàn thông, các quy trình, quy định, hướng dẫn
thực hiện, báo cáo, xử lý sự cố, kỷ luật…

Tổ chức và thực

Quy định trách nhiệm của các bộ phận và cách thức thực

hiện

hiện các công việc về an toàn thông tin của tổ chức.

Kiểm soát tài sản

Phân loại tài sản và rủi ro có thể xảy ra để định nghĩa các
yêu cầu về an toàn thông tin một cách phù hợp.

Kiểm soát việc truy Kiểm soát việc truy xuất hoặc truy cập đến các tài sản
cập

hoặc đối tượng chứa thông tin, hoặc có khả năng gây rỏ rỉ
thông tin.

An toàn về con

Chú trọng bảo đảm an toàn thông tin về mặt con người,

người

huấn luyện và quy định vai trò, nghĩa vụ của từng người

trong tổ chức về an toàn thông tin.

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

An toàn về vật chất Các khía cạnh an toàn thông tin liên quan đến môi trường
và môi trường

vật chất, chẳng hạn chống cháy nổ, khu vực cách ly
người lạ, chống nghe lén…

Phát triển và bảo trì An toàn thông tin được tích hợp vào toàn bộ các quá trình
hệ thống

phát triển, nâng cấp, sửa chữa, bảo trì toàn bộ các thành
phần của hệ thống.

Quản lý các hoạt

Tích hợp các mức bảo đảm an toàn thông tin vào các quy

động và truyền

trình nghiệp vụ. Quy định rõ trách nhiệm trong toàn bộ

thông


các hoạt động hằng ngày, trao đổi thông tin giữa nội bộ
và giữa nội bộ với bên ngoài.

Kiểm soát sự cố

Bao gồm các phương án bảo đảm các quá trình hoạt động
và kinh doanh của tổ chức được tiếp diễn bình thường khi

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN

May 4, 2009

có tình huống (xấu) khẩn cấp xảy ra.
Tuân thủ quy định

Bảo đảm cho hệ thống an toàn thông tin và các quy định

của pháp luật

của tổ chức phù hợp với luật pháp, không mâu thuẫn với
các tiêu chuẩn khác trong tổ chức.

Bảng 1
Các bước chính

Mô tả


1. Phân tích hiện

Phân tích hoạt động của tổ chức so với các yêu cầu của

trạng

tiêu chuẩn, chỉ định các rủi ro và các biện pháp để khắc
phục hoặc hạn chế rủi ro.

2. Huấn luyện

Huấn luyện về nhận thức và kỹ thuật, bảo đảm cho nhân
viên các cấp có đủ kiến thức và kỹ năng để thiết lập và vận
hành toàn hệ thống.

VnDoc - Tải tài liệu, văn bản pháp luật, biểu mẫu miễn phí


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×