1

Về quy hoạch An toàn
thông tin quốc gia
ñến 2020
Ban soạn thảo


Nội dung


3

I. Tổng quan


ðịnh nghĩa an toàn thông tin
Phân bi t:
1. Vấn ñề nội dung thông tin và an ninh quốc gia (các vấn ñề
phá hoại, tuyên truyền kích ñộng, ñạo ñức).

2. Vấn ñề ñiều tra, xử lý tội phạm liên quan ñến CNTT.
3. Vấn ñề an toàn thông tin (an toàn bảo mật thông tin và hệ thống
thông tin; an ninh mạng; …; thuộc l ĩnh vực kỹ thuật, công nghệ).
Hiểu theo Nghị ñịnh 64/2007/Nð-CP: An toàn thông tin: bao g m các ho t
ñ ng qu n lý, nghi p v và k thu t ñ i v i h th ng thông tin nh m b o
v , khôi ph c các h th ng, các d ch v và n i dung thông tin ñ i v i
nguy cơ t nhiên ho c do con ngư i gây ra. Vi c b o v thông tin, tài s n
và con ngư i trong h th ng thông tin nh m b o ñ m cho các h th ng
th c hi n ñúng ch c năng, ph c v ñúng ñ i tư ng m t cách s n sàng,
chính xác và tin c y. An toàn thông tin bao hàm các n i dung b o v và

b o m t thông tin, an toàn d li u, an toàn máy tính và an toàn m ng.


5

Sự cần thiết của quy hoạch ATTT
1. Từ góc ñộ quản lý nhà nước


6

Sự cần thiết của quy hoạch ATTT
2. Từ góc ñộ khách quan, tác ñộng của môi trường bên
ngoài


7

Vai trò của quy hoạch ATTT


8

Phạm vi của quy hoạch ATTT


9

Các căn cứ xây dựng quy hoạch



10

Phương pháp xây dựng quy hoạch

ðánh giá hiện trạng

Phân tích các xu
thế phát triển

Hiện trạng về an
toàn thông tin
Việt Nam

Kế hoạch phát triển
CNTT&TT Việt Nam
2015-2020

Hiện trạng về
ứng dụng CNTT
tại Việt Nam

Các bài học, kinh
nghiệm quốc tế

Quy hoạch ATTT
quốc gia

Kế hoạch phát
triển ATTT VN

2015-2020


11

II. Phân tích hiện trạng


12

ðánh giá tình hình ñảm bảo ATTT
• Nhận thức của mọi tầng lớp về ñảm bảo an toàn, an
ninh thông tin ngày càng ñược nâng cao tuy nhiên còn
chưa cao
• Các hệ thống thông tin phần lớn chỉ mới ñươc ñầu tư
các giải pháp về công nghệ ñể ñảm bảo an toàn, an
ninh thông tin. Nhưng các giải pháp công nghệ cũng
không ñồng bộ và không ñầy ñủ
• Các chính sách, quy trình ñảm bảo an toàn, an ninh
thông tin còn hết sức hạn chế
• Nguồn nhân lực trong lĩnh vực ñảm bảo an toàn, an
ninh thông tin thiếu cả về số lượng và chất lượng
• Hành lang pháp lý bước ñầu ñược xây dựng nhưng
chưa ñầy ñủ


13

ðánh giá tình hình ATTT


• Các vụ việc mất an toàn, an ninh thông tin
vẫn gia tăng với các hình thức tấn công ngày
càng tinh vi hơn, tổn thất thoát ngày càng
nghiêm trọng.
• Các tổ chức ñảm bảo an toàn, an ninh thông
tin tại Việt Nam còn yếu và chưa có cơ chế
phối hợp hiệu quả


Từ kết quả ñiều tra 2008
của VNCERT và VNISA
khảo sát các CQNN và
doanh nghiệp


Về quản lý ATTT (2008)
T L ð
N V CÓ NHÂN VIÊN CHUYÊN
TRÁCH - BÁN CHUYÊN TRÁCH V ATTT

Cả nước

56.0%

T L ð
N V CÓ BAN HÀNH
QUY CH V ATTT

100%

44.0%


80%
Doanh nghiệp
miền Nam

61.6%

Doanh nghiệp
miền Bắc

38.4%

51.5%

60%
40%

48.5%

20%

Cơ quan nhà
nước

49.2%

50.8%

0%
0%


20%

Có NV (bán) chuyên trách

40%

60%

80%

Không có NV về ATTT

100%

CQNN
ðã có

Doanh nghiệp
Sắp xây dựng

Chung
Chưa có


Về quy trình xử lý sự cố ATTT
TỶ LỆ ðƠN VỊ CÓ QUY TRÌNH
X LÝ S C VỀ ATTT

DỰ KiẾN XÂY DỰNG QUY TRÌNH
X LÝ S C VỀ ATTT


100%

100%
90%
80%
70%
60%
50%
40%
30%
20%
10%
0%

80%
60%
40%
20%
0%
CQNN
Có
2020-1111-2008

Doanh
nghiệp
Không rõ

3
6

12 Không Không
tháng tháng tháng rõ

Chung

Tỷ lệ trong CQNN

Không có
VNCERT - MIC

16


Báo cáo về sự cố ATTT
Cho ai?

Khi nào?

Nội bộ phòng /
trung tâm tin
học

57.10%
71.60%

60.0%
CQNN

51.30%
61.40%


Lãnh ñạo cấp
cao của tổ chức
Các tổ chức hỗ
trợ xử lý sự cố
mất ATTT

D.Nghiệp

50.0%
40.0%

17.10%
54.30%

30.0%
31.60%
29.90%

Cơ quan cấp
trên của tổ chức

20.70%
26%

Cơ quan pháp
luật

20.0%
10.0%


Doanh nghiệp
CQNN

0.0%
Ngay lập tức

8%
0.80%

Không thông
báo

0%
2020-1111-2008

20%

40%

60%

Ngay trong Trong vòng 1
ngày
tuần

80%

VNCERT - MIC


17


Áp dụng công nghệ ATTT
Phần mềm chống virus(Anti-Virus)
Bộ lọc chống thư rác (Anti-Spam)

34%

Kiểm soát tiếp cận (Access Control)

33%

Hệ thống phát hiện xâm nhập mạng (IDS)

17%

Mật khẩu có thể sử dụng lại (Reusable password)

16%

Lọc nội dung web

15%

Hệ thống phát hiện xâm nhập (IDS) cho máy chủ

69%
35%
51%


47%

9%

Sinh trắc học (Biometrics, ví dụ kiểm tra dấu vân tay….)

6%

ðặt mật khẩu cho tài liệu

6%

Chứng chỉ số, chữ ký số (Digital Certificate, Digital Signature)

18%

Tường lửa (Firewall)

2%

Mã hóa (Encrytion)

2%

Mạng riêng ảo VPN

1%
4%
9%


Việt Nam 2008

Mỹ 2007

47%
32%

4%

0%

2020-1111-2008

56%

21%

Thẻ thông minh, mật khẩu dùng 1 lần (One-time-password)

Khác

98%

58%

97%
66%
84%


20%

VNCERT - MIC

40%

60%

80%

100%

120%

18


Nhận biết về sự cố ATTT (2008)
CQNN có kh năng ghi nh n
các cu c th t n công?

Bi t b t n công (ít nh t 1 l n)?

Không rõ,
8%

Không, 69%

50%


46%

47%

Có, 23%

45%
40%

40%

35%
31%

30%

Bi t ñư c ngu n g c các v t n công?
25%

22%

Nước ngoài
24%

20%

Trong
nước
10%


Không rõ
66%

9%

10%

Bi t ñư c t n th t tài chính khi b t n công?

0%
Có
CQNN

2020-1111-2008

Không
D. nghiệp

Không rõ

Không
87%

Có
13%

Mỹ (2000)

VNCERT - MIC


19


Chi tiêu cho ATTT
D ki n t l ñ u tư cho ATTT
trong ngân sách CNTT

Chi tiêu cho ATTT năm 2007 tăng hay
gi m? Trong năm t i nên tăng hay gi m?

70%

65%

70%

Năm 2007 Năm tới

60%

60%

50%

50%

40%
30%

22%


20%

30%

23%
18% 18%

20%

0%

21%
9%

10%

3% 3%

Mỹ

13%

10%

10%

CQNN Việt Nam

38%


40%

34%

32%

31%

60%

0%

Tăng

2020-1111-2008

Giảm

Giữ nguyên Không biết

Không biết

VNCERT - MIC

0% - 5%

5% - 9%

10% - 15%


20


Vấn ñề khó khăn nhất trong ñảm bảo ATTT
Việc nâng cao nhận thức cho người sử dụng về
bảo mật máy tính

52%
57%

Sự thiếu hiểu biết về an toàn thông tin trong tổ
chức

48%
56%

Việc cập nhật những cách thức tấn công hay
những ñiểm yếu mới xuất hiện

12%
39%

Việc xác ñịnh mức ñộ ưu tiên của ATTT trong
tương quan chung

18%
31%

Việc phản ứng nhanh và chính xác khi xảy ra

những vụ tấn công máy tính

24%
23%

Lãnh ñạo chưa hỗ trợ ñúng mức cần thiết cho
ATTT

23%

Những hệ thống máy tính không ñược quản lý tốt

23%
20%

28%

Việc quản lý chặt chẽ cấu hình hệ thống mạng
(Configuration Management)

19%
20%

Việc cần thiết áp dụng nguyên tắc quản lý rủi ro
(Risk Management)

17%
17%
11%


Các vấn ñề khác với các vấn ñề nêu trên
0%
2020-1111-2008

CQNN

2%

VNCERT - MIC

10%

20%

30%

D. nghiệp
40%

50%

60%
21


Một số cảnh báo
- Trên

50% quản lý lỏng lẻo, thiếu trách nhiệm, thiếu quan tâm
- Phần lớn chưa có quy trình ứng phó với sự cố, một nửa có

dự kiến xây dựng quy trình ñó trong 3 tháng (?)
- Báo cáo về sự cố chưa ñầy ñủ, chưa sử dụng ñược nhiều
sự hỗ trợ của lực lượng chuyên nghiệp. Một phần lớn báo
cáo không kịp thời.
- Công nghệ yếu (thiếu, lạc hậu, không cập nhật).
- Trình ñộ hiểu biết, khả năng ñánh giá nguy cơ thấp.
- Chi tiêu có xu hướng tăng, nhưng tỷ lệ không biết ñịnh
hướng vẫn còn rất cao.
- Khó khăn nhất là khâu nhận thức, kiến thức.


23

Bối cảnh phát triển CNTT&TT
• Xu thế phát triển của các dịch vụ dựa trên nền tảng
của Internet
• Sự phát triển của mô hình ñiện toán ñám mây dựa
trên nền tảng của các công nghệ ảo hóa
• Sự phát triển của công nghệ di ñộng
• Các yêu cầu bảo vệ môi trường dẫn tới sự hình thành
của các môi trường tính toán xanh
• Xu thế hội tụ các dịch vụ viễn thông – CNTT – ñã
phương tiện cùng với sự phát triển của mạng Internet
• xu hướng hội tụ công nghệ và xu hướng mọi lúc, nọi
nơi, mọi phương tiện, mọi ñối tượng sẽ là hai xu thế
chính và tất yếu trong xu thế phát triển CNTT thế giới


Nguy cơ


24

2020-1111-2008

VNCERT - MIC


25

Dự báo nhu cầu ñảm bảo ATTT tại Việt Nam