Upload
yelena
View
116
Download
1
Embed Size (px)
DESCRIPTION
AN TOÀN THÔNG TIN. “ Việc liên lạc là một việc quan trọng bậc nhất trong công tác cách mệnh, vì chính nó quyết định sự thống nhất chỉ huy, sự phân phối lực lượng và do đó đảm bảo thắng lợi” Hồ Chí Minh. AN TOÀN THÔNG TIN. Nội dung: Khái niệm Tầm quan trọng Nguy cơ - PowerPoint PPT Presentation
Citation preview
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 11
AN TOÀN THÔNG TINAN TOÀN THÔNG TIN“ “ Việc liên lạc là một việc quan Việc liên lạc là một việc quan
trọng bậc nhất trong công tác trọng bậc nhất trong công tác cách mệnh, vì chính nó quyết cách mệnh, vì chính nó quyết định sự thống nhất chỉ huy, sự định sự thống nhất chỉ huy, sự phân phối lực lượng và do đó phân phối lực lượng và do đó đảm bảo thắng lợi”đảm bảo thắng lợi” Hồ Chí MinhHồ Chí Minh
AN TOÀN THÔNG TINAN TOÀN THÔNG TINNội dung: Nội dung: 1.1.Khái niệmKhái niệm2.2.Tầm quan trọngTầm quan trọng3.3.Nguy cơNguy cơ4.4.Chính sách an toàn thông tinChính sách an toàn thông tin5.5.Kết luậnKết luận
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 22
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 33
I. Khái niệmI. Khái niệm
An toàn thông tinAn toàn thông tin
Khả dụng
Ngu
yên
vẹn
Bảo
mật
An toàn thông tin
I. Khái niệm I. Khái niệm
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 44
Lớp ứng dụng
Mức quản lý
Mức kiểm soát
Mức người sử dụng
Lớp dịch vụ
Lớp hạ tầng
Lớp ứng dụngKiểm soát truy nhập
Chứng thực
Chống chối bỏ
Bảo mật số liệu
An toàn luồng tin
Nguyên vẹn số liệu
Khả dụng
Riêng tư
Nguy cơ
Tấn công
Phá hủy
Cắt bỏ
Bóc, tiết lộ
Gián đoạn
Sửa đổi
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 55
II. Tầm quan trọngII. Tầm quan trọng
• Để cụ thể hoá vấn đề an toàn thông tin Để cụ thể hoá vấn đề an toàn thông tin mạng, nhiều nước đã hình thành thuật ngữ mạng, nhiều nước đã hình thành thuật ngữ “hạ tầng cơ sở trọng yếu”. “hạ tầng cơ sở trọng yếu”.
• Khái niệm cơ sở hạ tầng trọng yếu rất quan Khái niệm cơ sở hạ tầng trọng yếu rất quan trọng vì những lý do sau:trọng vì những lý do sau:
- Thứ nhất, nó có thể giúp làm rõ tại sao an - Thứ nhất, nó có thể giúp làm rõ tại sao an toàn thông tin mạng lại quan trọng.toàn thông tin mạng lại quan trọng.
- Thứ hai, danh sách hạ tầng cơ sở trọng yếu Thứ hai, danh sách hạ tầng cơ sở trọng yếu rất quan trọng vì như vậy sẽ giúp cho các rất quan trọng vì như vậy sẽ giúp cho các cơ quan nhà nước xác định được trách cơ quan nhà nước xác định được trách nhiệm để cải thiện an toàn thông tin mạng.nhiệm để cải thiện an toàn thông tin mạng.
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 66
II. Tầm quan trọngII. Tầm quan trọng
• Hoạt động của các hạ tầng cơ sở trọng yếu lại dựa vào Hoạt động của các hạ tầng cơ sở trọng yếu lại dựa vào mạng hạ tầng công nghệ thông tin mà người ta thường mạng hạ tầng công nghệ thông tin mà người ta thường gọi là không gian mạng (Cyberspace).gọi là không gian mạng (Cyberspace).
• Đó chính là hệ thống thần kinh - hệ thống điều khiển bao Đó chính là hệ thống thần kinh - hệ thống điều khiển bao gồm hàng trăm ngàn máy tính, máy chủ, chuyển mạch, gồm hàng trăm ngàn máy tính, máy chủ, chuyển mạch, định tuyến, cáp quang được kết nối với nhau, nó cho định tuyến, cáp quang được kết nối với nhau, nó cho phép các hạ tầng cơ sở trọng yếu này hoạt động. An phép các hạ tầng cơ sở trọng yếu này hoạt động. An toàn cho hệ thống thần kinh này gồm cả hai phần: phần toàn cho hệ thống thần kinh này gồm cả hai phần: phần hữu hình gồm các máy tính, máy chủ, định tuyến,…cáp hữu hình gồm các máy tính, máy chủ, định tuyến,…cáp truyền dẫn và phần vô hình sẽ là các phần mềm và các truyền dẫn và phần vô hình sẽ là các phần mềm và các gói tin được lưu giữ, truyền đi trong hệ thống thần kinh gói tin được lưu giữ, truyền đi trong hệ thống thần kinh này mà chúng ta gọi là an toàn thông tin mạng. này mà chúng ta gọi là an toàn thông tin mạng.
II. Tầm quan trọngII. Tầm quan trọng
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 77
An toàn thông tin quốc gia
n
iISNIS1
Trong đó i = 1, 2, 3,…, n hạ tầng cơ sở trọng yếu
l
k
m
j NSSSI11
n
1iPCSS
n
iSNS1
An ninh quốc gia
S: an ninh các lĩnh vựci = 1, 2, 3,…, n
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 88
II. Tầm quan trọngII. Tầm quan trọng
Chính phủ
Quố
c ph
òng
Doa
nh n
ghiệ
p
Nhà nước
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 99
III. Nguy cơIII. Nguy cơ1. Những nguy cơ hiện hữu1. Những nguy cơ hiện hữu
TênTên NămNăm Thiệt hạiThiệt hại
Sâu Morris Sâu Morris 1988 1988 Làm tê liệt 10% máy tính trên mạng InternetLàm tê liệt 10% máy tính trên mạng Internet
Vi rút Melisa Vi rút Melisa 5/1999 5/1999 100.000 máy tính bị ảnh hưởng/1 tuần Thiệt hại 1,5 tỷ 100.000 máy tính bị ảnh hưởng/1 tuần Thiệt hại 1,5 tỷ USDUSD
Vi rút ExplorerVi rút Explorer 6/1999 6/1999 Thiệt hại 1,1 tỷ USDThiệt hại 1,1 tỷ USD
Vi rút Love BugVi rút Love Bug 5/2000 5/2000 Thiệt hại 8,75 tỷ USDThiệt hại 8,75 tỷ USD
Vi rút SircamVi rút Sircam 7/2001 7/2001 2,3 triệu máy tính bị nhiễm, thiệt hại 1,25 tỷ USD2,3 triệu máy tính bị nhiễm, thiệt hại 1,25 tỷ USD
Sâu Code RedSâu Code Red 7/20017/2001 359.000 máy tính bị nhiễm/14 giờ, Thiệt hại 2,75 tỷ USD359.000 máy tính bị nhiễm/14 giờ, Thiệt hại 2,75 tỷ USD
Sâu NimdaSâu Nimda 9/20019/2001 160.000 máy tính bị nhiễm, Thiệt hại 1,5 tỷ USD160.000 máy tính bị nhiễm, Thiệt hại 1,5 tỷ USD
KlezKlez 20022002 Thiệt hại 175 triệu USDThiệt hại 175 triệu USD
BugBearBugBear 20022002 Thiệt hại 500 triệu USDThiệt hại 500 triệu USD
BadtransBadtrans 20022002 90% máy tính bị nhiễm/10 phútThiệt hại 1,5 tỷ USD90% máy tính bị nhiễm/10 phútThiệt hại 1,5 tỷ USD
BlasterBlaster 20032003 Thiệt hại 700 triệu USDThiệt hại 700 triệu USD
NachiNachi 20032003 Thiệt hại 500 triệu USDThiệt hại 500 triệu USD
SoBig.FSoBig.F 20032003 Thiệt hại 2,5 tỷ USDThiệt hại 2,5 tỷ USD
Sâu MyDoomSâu MyDoom 1/20041/2004 100.000 máy tính bị nhiễm/1 giờ, Thiệt hại hơn 4 tỷ USD100.000 máy tính bị nhiễm/1 giờ, Thiệt hại hơn 4 tỷ USD
III. Nguy cơIII. Nguy cơ
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1010
Virus máy tính năm 2007 (tại Việt ) Số lượng
Số lượt máy tính bị nhiễm virus 33.646.000 lượt máy tính
Số virus mới xuất hiện trong năm 6.752 virus mới
Số virus xuất hiện trung bình trong 1 ngày 18,49 virus mới / ngày
Virus lây lan nhiều nhất trong năm: W32.Winib.Worm
Lây nhiễm 511.000 máy tính
Năm Số virus mới xuất hiện Tỷ lệ máy tính bị nhiễm virus (%)
2005 232 94%2006 880 93%2007 6.752 96%
III. Nguy cơIII. Nguy cơ
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1111
III. Nguy cơIII. Nguy cơ
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1212
III. Nguy cơIII. Nguy cơ
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1313
- nguy cơ tia chớp
- DDOS
- Tấn công hạ tầng trọng yếu
- Nguy cơ rộng
- Nguy cơ Warhol
- Tấn công tín dụng quốc gia
- Tấn công hạ tầng
- Vi rút
- Sâu
- DOS
- Tấn công tín dụng
Máy tính riêng lẻ
Tổ chức riêng lẻ
Khu vực
Lĩnh vực
Toàn cầu
1990s 2000 2002 2004 Thời gian
2. Nguy cơ tương lai
III. Nguy cơIII. Nguy cơ
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1414
Nguy cơ tia chớp
Nguy cơ Warhol
Sâu E-mail
Vi rút MacroVi rút File
Loại IIĐối phó nhân công: khó/bất khả thiTự động đối phó: có thể Nguy cơ
diện rông
Loại IIIĐối phó nhân công: bất khả thiTự động đối phó: hy vọngKhóa tiên tiến: có thể
Loại IĐối phó nhân công: có thể
Đầu 1990s Giữa 1990s Cuối 1990s 2000 2003 Thời gian
Giây
Phút
Giờ
Ngày
Tuần, tháng
III. Nguy cơIII. Nguy cơ
1. Hạ tầng viễn thông:1. Hạ tầng viễn thông: Như chúng ta đã biết ngày nay trên thế giới Như chúng ta đã biết ngày nay trên thế giới cũng như Việt Nam tất cả các hệ thống viễn thông đều dựa trên các cũng như Việt Nam tất cả các hệ thống viễn thông đều dựa trên các hệ thống máy tính và ngày càng lệ thuộc vào máy tính nên có thể hệ thống máy tính và ngày càng lệ thuộc vào máy tính nên có thể dễ dàng bị tấn công và làm cho gián đoạn hoặc đình trệ. Hạ tầng dễ dàng bị tấn công và làm cho gián đoạn hoặc đình trệ. Hạ tầng viễn thông được chia thành một số loại mạng như sau:viễn thông được chia thành một số loại mạng như sau:
• Hệ thống viễn thông cố định: hệ thống viễn thông cố định cung cấp Hệ thống viễn thông cố định: hệ thống viễn thông cố định cung cấp một hạ tầng mạng cho mạng điện thoại cố định, truyền số liệu và là một hạ tầng mạng cho mạng điện thoại cố định, truyền số liệu và là phương tiện chủ yếu của thương mại điện tử và Chính phủ điện tử. phương tiện chủ yếu của thương mại điện tử và Chính phủ điện tử. Đồng thời các phương tiện truyền thông như Internet đều dựa trên Đồng thời các phương tiện truyền thông như Internet đều dựa trên cơ sở mạng này. cơ sở mạng này.
• Hệ thống thông tin di động: đối với các nhà cung cấp dịch vụ điện Hệ thống thông tin di động: đối với các nhà cung cấp dịch vụ điện thoại di động, do trong môi trường hoàn toàn máy tính hóa, nên họ thoại di động, do trong môi trường hoàn toàn máy tính hóa, nên họ cũng dễ dàng trở thành nạn nhân của bọn tội phạm mạng.cũng dễ dàng trở thành nạn nhân của bọn tội phạm mạng.
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1515
III. Nguy cơIII. Nguy cơ
• Dịch vụ truyền số liệu: hiện tại mạng truyền số liệu còn ký sinh Dịch vụ truyền số liệu: hiện tại mạng truyền số liệu còn ký sinh trên mạng điện thoại, nhưng trong tương lai gần, phần lớn mạng trên mạng điện thoại, nhưng trong tương lai gần, phần lớn mạng viễn thông được dùng để trao đổi số liệu như tất cả các mạng diện viễn thông được dùng để trao đổi số liệu như tất cả các mạng diện rộng của các tổ chức ngân hàng, hàng không, các hệ thống khảo rộng của các tổ chức ngân hàng, hàng không, các hệ thống khảo sát thăm dò.....sát thăm dò.....
• Mạng Internet: đây là môi trường lý tưởng để cho các loại tội phạm Mạng Internet: đây là môi trường lý tưởng để cho các loại tội phạm mạng thâm nhập các hệ thống, các phương tiện thiết bị viễn mạng thâm nhập các hệ thống, các phương tiện thiết bị viễn thông, công nghệ thông tin, các cơ quan tổ chức để đạt được các thông, công nghệ thông tin, các cơ quan tổ chức để đạt được các lợi ích của chúng.lợi ích của chúng.
• Hệ thống thông tin của quân đội: Mặc dù phần lớn hệ thống thông Hệ thống thông tin của quân đội: Mặc dù phần lớn hệ thống thông tin này tách biệt với các hệ thống thông tin khác, nhưng nó dựa tin này tách biệt với các hệ thống thông tin khác, nhưng nó dựa trên mạng viễn thông cơ sở và hệ thống máy tính nên nó cũng trở trên mạng viễn thông cơ sở và hệ thống máy tính nên nó cũng trở thành mục tiêu của tội phạm mạng.thành mục tiêu của tội phạm mạng.
• Hệ thống điều hành và kiểm soát của các cơ quan Chính phủ.Hệ thống điều hành và kiểm soát của các cơ quan Chính phủ.
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1616
III. Nguy cơIII. Nguy cơ2. Hạ tầng cơ sở kinh tế:2. Hạ tầng cơ sở kinh tế:• Các tổ chức tài chính: tất cả các ngân hàng, các trung tâm giao dịch Các tổ chức tài chính: tất cả các ngân hàng, các trung tâm giao dịch
chứng khoán... đều sử dụng máy tính để duy trì các tài khoản và các giao chứng khoán... đều sử dụng máy tính để duy trì các tài khoản và các giao dịch tài chính.dịch tài chính.
• Các nhà máy công nghiệp của Nhà nước và tư nhân sử dụng máy tính để Các nhà máy công nghiệp của Nhà nước và tư nhân sử dụng máy tính để hiển thị và điều khiển các vật tư thiết bị mà con người không thể tiếp cận hiển thị và điều khiển các vật tư thiết bị mà con người không thể tiếp cận vì lý do bảo vệ sức khỏe.vì lý do bảo vệ sức khỏe.
• Thị trường mua bán công khai và không công khai.Thị trường mua bán công khai và không công khai.• Các doanh nghiệp tư nhân.Các doanh nghiệp tư nhân.• Các trung tâm kinh doanh lớn.Các trung tâm kinh doanh lớn.3. Tâm lý xã hội:3. Tâm lý xã hội:• Các phương tiện truyền thông như TV, Radio.Các phương tiện truyền thông như TV, Radio.• Các bệnh viện.Các bệnh viện.• Hệ thống luật, kiểm soát dân sự.Hệ thống luật, kiểm soát dân sự.
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1717
IV. Chính sách an toàn IV. Chính sách an toàn thông tinthông tin
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1818
Người sử dụng
Doanh nghiệp
Toàn cầu
Hạ tầng cơ sở
Thương khẩu QG5 vấn đề
IV. Chính sách an toàn IV. Chính sách an toàn thông tinthông tin7 Giải pháp7 Giải pháp- Con ngườiCon người- Hành lang pháp lýHành lang pháp lý- Tổ chứcTổ chức- Quy trìnhQuy trình- Công nghệCông nghệ- Hợp tácHợp tác- Thưởng phạtThưởng phạt
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 1919
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
1.1.Chiến lượcChiến lược• Năng lực an toàn thông tin là vấn đề Năng lực an toàn thông tin là vấn đề
cốt lõi cần xây dựng đơn vị.cốt lõi cần xây dựng đơn vị.• Dựa vào bên thứ 3 cho tất cả hoặc Dựa vào bên thứ 3 cho tất cả hoặc
phần nào đó.phần nào đó.• Cần một thời gian ngắn để bên thứ 3 Cần một thời gian ngắn để bên thứ 3
giúp cải thiện chương trình sau đó giúp cải thiện chương trình sau đó chuyển giao công nghệ cho cán bộ.chuyển giao công nghệ cho cán bộ.
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2020
1. Chiến lược2. Hợp phần3. Quản lý
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
• Có cần lãnh đạo có năng lực cho đơn vị.Có cần lãnh đạo có năng lực cho đơn vị.• Có đào tạo đầy đủ cho cán bộ và họ có Có đào tạo đầy đủ cho cán bộ và họ có
đạt được chứng nhận của ngành.đạt được chứng nhận của ngành.• Có tiếp tục chương trình đào tạo để Có tiếp tục chương trình đào tạo để
đảm bảo cán bộ có được chứng nhận đảm bảo cán bộ có được chứng nhận của ngành.của ngành.
• Đơn vị theo mô hình tập trung hay phân Đơn vị theo mô hình tập trung hay phân tán.tán.
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2121
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
• Bạn có muốn cách ly trách nhiệm Bạn có muốn cách ly trách nhiệm trong đơn vị như thế nào.trong đơn vị như thế nào.
• Vai trò và trách nhiệm của cán bộ an Vai trò và trách nhiệm của cán bộ an toàn thông tin.toàn thông tin.
• Phối hợp tối ưu nhất cán bộ trong Phối hợp tối ưu nhất cán bộ trong đơn vị an toàn thông tin.đơn vị an toàn thông tin.
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2222
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
2. Hợp phần2. Hợp phần• Quản lý an toànQuản lý an toàn• Cán bộ kỹ thuậtCán bộ kỹ thuật• Kiểm soátKiểm soát
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2323
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
• Quản lý an toànQuản lý an toàn- Lãnh đạo an toàn thông tin hiểu biết rộng:Lãnh đạo an toàn thông tin hiểu biết rộng:
+ An toàn thông tin+ An toàn thông tin+ Hoạt động của đơn vị+ Hoạt động của đơn vị
- Nhà quản lý an toàn thông tin cần:Nhà quản lý an toàn thông tin cần:+ Chứng chỉ kỹ năng attt (CISSP)+ Chứng chỉ kỹ năng attt (CISSP)+ Chứng chỉ quản lý attt (CISM)+ Chứng chỉ quản lý attt (CISM)
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2424
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
• Cán bộ kỹ thuậtCán bộ kỹ thuậtCần có:Cần có: + Kỹ năng thích hợp theo + Kỹ năng thích hợp theo
lĩnh vựclĩnh vực+ SysAdmin+ SysAdmin+ Audit+ Audit+ Network Security+ Network Security
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2525
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
• Kiểm soátKiểm soátĐảm bảo cho chương trình hoạt động phù Đảm bảo cho chương trình hoạt động phù
hợp với chính sách đã đề ra:hợp với chính sách đã đề ra:+ Có vai trò rất quan trọng+ Có vai trò rất quan trọng+ Phải hiểu về chương trình attt+ Phải hiểu về chương trình attt+ Có kinh nghiệm+ Có kinh nghiệm+ Có chứng chỉ kiểm soát hệ thống + Có chứng chỉ kiểm soát hệ thống thông tin (CISA)thông tin (CISA)
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2626
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
3. Quản lý3. Quản lý
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2727
Vai trò trong chương trình atttCEO - Thiết lập trương trình attt chung
- Kiểm soát quá trình chung Lãnh đạo attt Duy trì cấu trúc và chiến lược atttGiám đốc thông tin (CIO)
Thuê và quản lý nhóm attt
Giám đốc an toàn (CSO)
Xây dựng lộ trình attt và báo cáo quy trình theo mục tiêu chung
Giám đốc attt (CISO) Chiến lược hóa và thực hiện thành công nguồn lực ngoài
Director of Information Security
Đảm bảo nhận thức chung về attt trong đơn vị
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2828
Vị trí của attt trong đơn vị IT
CIO
Dịch vụ & hỗ trợ khách hàng
Ứng dụng kinh doanh
Vận hành ATTT
IV. Chính sách an toàn thông tin –Con IV. Chính sách an toàn thông tin –Con ngườingười
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 2929
Tổ chức ATTT theo chức năng
ATTT
AT mạng AT Host AT ứng dụngNhận thức
về AT
IV. Chính sách an toàn thông tin – IV. Chính sách an toàn thông tin – Hành lang pháp lýHành lang pháp lý
Cần xây dựng các văn bản QPPL:Cần xây dựng các văn bản QPPL:
1.1.Các văn bản có tính quy định về Các văn bản có tính quy định về ATTTATTT
2.2.Các văn bản mang tính chế tàiCác văn bản mang tính chế tài3.3.Các loại văn bản khácCác loại văn bản khác
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3030
IV. Chính sách an toàn thông tin – IV. Chính sách an toàn thông tin – Hành lang pháp lýHành lang pháp lý
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3131
Mức quản lý
Kiểm soát truy nhập
Chứng thực
Chống chối bỏ
Bảo mật số liệu
An toàn luồng tin
Nguyên vẹn số liệu
Khả dụng
Riêng tư
Nguy cơ
Tấn công
Phá hủy
Cắt bỏ
Bóc, tiết lộ
Gián đoạn
Sửa đổi
Mức kiểm soát
Mức người sử dụng
Lớp dịch vụ
Lớp hạ tầng
Lớp ứng dụng
1. Các văn bản về ATTT
IV. Chính sách an toàn thông tin – IV. Chính sách an toàn thông tin – Hành lang pháp lýHành lang pháp lý
• Các văn bản QPPLCác văn bản QPPL1.1.Luật Công nghệ thông tin. Luật Công nghệ thông tin. 2.2.Pháp lệnh Bưu chính, Viễn thông.Pháp lệnh Bưu chính, Viễn thông.3.3.Nghị định 55/2001/NĐ-CP.Nghị định 55/2001/NĐ-CP.4.4.Nghị định 160/2004/NĐ-CP.Nghị định 160/2004/NĐ-CP.5.5.Nghị định số 64/2007/NĐ-CPNghị định số 64/2007/NĐ-CP..
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3232
IV. Chính sách an toàn thông tin – IV. Chính sách an toàn thông tin – Hành lang pháp lýHành lang pháp lý
2. Chế tài2. Chế tài- Luật hình sự- Luật hình sự- Luật tội phạm mạng- Luật tội phạm mạng
3. Văn bản khác3. Văn bản khác- Luật tố tụng hình sự- Luật tố tụng hình sự
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3333
IV. Chính sách an toàn thông tin – Tổ IV. Chính sách an toàn thông tin – Tổ chứcchức
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3434
Kinh nghiệm quốc tế
IV. Chính sách an toàn thông tin – Tổ IV. Chính sách an toàn thông tin – Tổ chứcchức
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3535
Uỷ Ban bảo vệ cơ sở hạ tầng thông tin (CPII)Thủ tướng làm chủ tịch Uỷ ban
Bộ Tài chính & Kinh tế Bộ Tư pháp Bộ Quốc phòng
Bộ Thông tin
Bảo vệ hạ tầng viễn thông
KISA (Cục An toàn thông tin Hàn quốc – 1996)
KrCERT/CCCIP (Communication Infrastructure Protection)
Uỷ Ban bảo vệ cơ sở hạ tầng thông tin (CPII)Thủ tướng làm chủ tịch Uỷ ban
Bộ Tài chính & Kinh tế Bộ Tư pháp Bộ Quốc phòng
Bộ Thông tin
Bảo vệ hạ tầng viễn thông
IV. Chính sách an toàn thông tin – Tổ IV. Chính sách an toàn thông tin – Tổ chứcchức
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3636
Cơ quan tình báo quốc gia Hàn Quốc NIS
Tổng cục An toàn mạng quốc gia NCSC
Bộ Quốc phòng Hàn Quốc
Cục An toàn mạng quân sự
Bộ Thông tin Hàn Quốc
Cục An toàn thông tin
Các cơ quan của Chính phủTr
ực
tiếp
xử lý
Chỉ đạoChỉ đạo
IV. Chính sách an toàn thông tin – Tổ IV. Chính sách an toàn thông tin – Tổ chứcchức
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3737
IV. Chính sách an toàn thông tin – Tổ IV. Chính sách an toàn thông tin – Tổ chứcchức
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3838
IV. Chính sách an toàn thông tin – Tổ IV. Chính sách an toàn thông tin – Tổ chứcchức
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 3939
Bộ Quốc phòng Bộ thông tin và Truyền thông
An toàn, an ninh thông tin quốc gia
Bộ Công an
Cơ quan an toàn thông tin
Trung tâm VNCERT
Tổng cục An ninh
Tổng cục Cảnh sát
Bộ Nội vụ
Ban Cơ yếu
Tổ chức an toàn, an ninh thông tin mạng Việt Nam
IV. Chính sách an toàn thông tin – Quy IV. Chính sách an toàn thông tin – Quy trìnhtrình
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4040
1. Lên kế hoạch2. Hợp phần3. Quản trị
1. Lên kế hoạch
Chính sách
Tiêu chuẩn
Biện pháp
Hướng dẫn chung phản ánh triết lý của đơn vị về attt
Tài liệu chi tiết để đơn vị dùng quản lý chương trình attt
Các bước chi tiết để đơn vị thực hiện để đạt mục tiêu cao hơn
IV. Chính sách an toàn thông tin – Quy IV. Chính sách an toàn thông tin – Quy trìnhtrình
2. Hợp phần2. Hợp phần- Quản trị tài khoảnQuản trị tài khoản
+ Hệ thống quản lý thông tin nguồn nhân + Hệ thống quản lý thông tin nguồn nhân lực (HRIS).lực (HRIS).+ Cán bộ trong biên chế, ngoài biên chế+ Cán bộ trong biên chế, ngoài biên chế+ Độ dài từ khóa tối thiểu 8 ký tự+ Độ dài từ khóa tối thiểu 8 ký tự+ 90 ngày lại thay đổi từ khóa+ 90 ngày lại thay đổi từ khóa+ Nhận thức về attt+ Nhận thức về attt
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4141
IV. Chính sách an toàn thông tin – Quy IV. Chính sách an toàn thông tin – Quy trìnhtrình
- Phản ứng khẩn cấpPhản ứng khẩn cấp+ Lập kế hoạch+ Lập kế hoạch+ Dễ hiểu, đơn giản (thao tác trong trường hợp + Dễ hiểu, đơn giản (thao tác trong trường hợp khẩn cấp)khẩn cấp)+ Khớp nối, phối hợp+ Khớp nối, phối hợp+ Bộ phận chịu trách nhiệm (không nêu tên cá + Bộ phận chịu trách nhiệm (không nêu tên cá nhân)nhân)+ Liên lạc+ Liên lạc+ Ủy quyền+ Ủy quyền
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4242
IV. Chính sách an toàn thông tin – Quy IV. Chính sách an toàn thông tin – Quy trìnhtrình
- Quản lý thương khẩuQuản lý thương khẩu+ Tần suất quét: 1 lần/1 quý+ Tần suất quét: 1 lần/1 quý+ Thời gian quét: theo quy định+ Thời gian quét: theo quy định+ Báo cáo kết quả+ Báo cáo kết quả+ Xúc tiến hàn khẩu+ Xúc tiến hàn khẩu
- Truy nhập từ xaTruy nhập từ xa+ Ủy quyền: ai được truy nhập+ Ủy quyền: ai được truy nhập
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4343
IV. Chính sách an toàn thông tin – Quy IV. Chính sách an toàn thông tin – Quy trìnhtrình
+ Tin tức: loại tin được phép+ Tin tức: loại tin được phép+ Phương pháp truy nhập: + Phương pháp truy nhập: + Máy tính tại gia đình+ Máy tính tại gia đình
3. Quản trị3. Quản trị+ Đánh giá sự tuân thủ+ Đánh giá sự tuân thủ+ Lập một nhóm mẫu+ Lập một nhóm mẫu+ Lập ban ATTT+ Lập ban ATTT+ Phù hợp thông lệ quốc tế+ Phù hợp thông lệ quốc tế
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4444
IV. Chính sách an toàn thông tin – Công IV. Chính sách an toàn thông tin – Công nghệnghệ
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4545
InternetExtranet-Limited Access-Public & Partner
Intranet-Broad Employee Access- File & Print sharing
Mission- Critical Zone-Mission Critical Applications- Limited Employee Access
Customer/Partner access via SSL
Remote employee access via VPN + 2nd factor of authentication
1. Chiến lược2. Hợp phần3. Quản lý
Cấu trúc tổng quát chương trình ATTT
1. Chiến lược
IV. Chính sách an toàn thông tin – Công IV. Chính sách an toàn thông tin – Công nghệnghệ
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4646
An toàn Gateway-AAA-Firewall/VPN-Anti-Virus Protection-Intrusion Detection-Content Filtering
An toàn Server-AAA-Firewall/VPN-Anti-Virus Protection-Vulnerability Management-Intrusion Detection
An toàn Client-AAA-Firewall/VPN-Anti-Virus Protection-Intrusion Detection
Phòng vệ sâu
IV. Chính sách an toàn thông tin – Công IV. Chính sách an toàn thông tin – Công nghệnghệ
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4747
AAA
Firewall & VPN
Anti-Virus
Vulnerability Management
Intrusion Detection
Content Filtering
Management & Reporting
2. Hợp phần
Cấu trúc công nghệ
IV. Chính sách an toàn thông tin – Công IV. Chính sách an toàn thông tin – Công nghệnghệ
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4848
3. Quản lý-Quét và điều trị-Rà soát độc lập chương trình ATTT-Cập nhật chương trình chống vi rút-Chương trình kiểm soát: kiểm soát được sự cố/tháng
IV. Chính sách an toàn thông tin – Hợp IV. Chính sách an toàn thông tin – Hợp táctác
• Cải thiện năng lực tìm và phòng ngừa tấn Cải thiện năng lực tìm và phòng ngừa tấn công: các cơ quan tình báo, quốc phòng công: các cơ quan tình báo, quốc phòng và hành pháp phải cải thiện khả năng tìm và hành pháp phải cải thiện khả năng tìm ra nhanh nguồn tấn công hoặc các hoạt ra nhanh nguồn tấn công hoặc các hoạt động có nguy cơ để cho phép đối phó kịp động có nguy cơ để cho phép đối phó kịp thời và hiệu quả.thời và hiệu quả.
• Cải tiến việc phối hợp giữa các cơ quan Cải tiến việc phối hợp giữa các cơ quan trong một quốc gia để đối phó với các trong một quốc gia để đối phó với các cuộc tấn công mạngcuộc tấn công mạng
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 4949
IV. Chính sách an toàn thông tin – Hợp IV. Chính sách an toàn thông tin – Hợp táctác
• Giành quyền đối phó thích hợp: khi Giành quyền đối phó thích hợp: khi một quốc gia, nhóm khủng hay một quốc gia, nhóm khủng hay những ý đồ khác tấn công vào một những ý đồ khác tấn công vào một quốc gia nào đó qua mạng, thì quốc quốc gia nào đó qua mạng, thì quốc gia bị tấn công không thể bị giới hạn gia bị tấn công không thể bị giới hạn trong thủ thục tố tụng, mà có thể trong thủ thục tố tụng, mà có thể giành quyền đối phó trước kịp thời và giành quyền đối phó trước kịp thời và thích hợp.thích hợp.
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5050
IV. Chính sách an toàn thông tin – Hợp IV. Chính sách an toàn thông tin – Hợp táctác
• Hợp tác với các tổ chức quốc tế và với Hợp tác với các tổ chức quốc tế và với tổ chức thuộc chuyên môn để tạo tổ chức thuộc chuyên môn để tạo thuận lợi và thúc đẩy “văn hóa an toàn thuận lợi và thúc đẩy “văn hóa an toàn mạng” toàn cầu: mỗi một quốc gia cần mạng” toàn cầu: mỗi một quốc gia cần phải quan tâm tới an toàn mạng ngoài phải quan tâm tới an toàn mạng ngoài phạm vi biên giới của mìnhphạm vi biên giới của mình
• Tăng cường nỗ lực công tác phản tình Tăng cường nỗ lực công tác phản tình báobáo
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5151
IV. Chính sách an toàn thông tin – Hợp IV. Chính sách an toàn thông tin – Hợp táctác
• Mối nước cần nỗ lực phối hợp giải quyết Mối nước cần nỗ lực phối hợp giải quyết các vấn đề về kỹ thuật, khoa học và các các vấn đề về kỹ thuật, khoa học và các chính sách liên quan đảm bảo sự hoàn chính sách liên quan đảm bảo sự hoàn chỉnh của các mạng thông tinchỉnh của các mạng thông tin
• Mỗi một nước nên thiết lập hệ thống Mỗi một nước nên thiết lập hệ thống cảnh báo quốc gia và quốc tế để phát cảnh báo quốc gia và quốc tế để phát hiện và ngăn chặn các cuộc tấn công hiện và ngăn chặn các cuộc tấn công mạngmạng
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5252
IV. Chính sách an toàn thông tin – Thưởng IV. Chính sách an toàn thông tin – Thưởng phạtphạt
• Thực hiện công tác thanh tra, kiểm Thực hiện công tác thanh tra, kiểm tratra
• Tuyên dương, khen thưởngTuyên dương, khen thưởng• Xử phạtXử phạt
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5353
V. KẾT LUẬNV. KẾT LUẬN• 10 Điểm cần quan tâm10 Điểm cần quan tâm1.1.CEO lãnh đạo chương trình ATTTCEO lãnh đạo chương trình ATTT
+ Xây dựng chiến lược+ Xây dựng chiến lược+ Đảm bảo thực hiện phù hợp + Đảm bảo thực hiện phù hợp
mục tiêumục tiêu+ Xây dựng mô hình quản lý+ Xây dựng mô hình quản lý
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5454
V. KẾT LUẬNV. KẾT LUẬN2. Xây dựng mức trách nhiệm2. Xây dựng mức trách nhiệm
+ Phân cấp quản lý+ Phân cấp quản lý+ Lựa chọn cán bộ có kinh nghiệm+ Lựa chọn cán bộ có kinh nghiệm+ Không bố trí cán bộ làm bán thời + Không bố trí cán bộ làm bán thời giangian+ Xây dựng cơ chế báo cáo trực tiếp+ Xây dựng cơ chế báo cáo trực tiếp
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5555
V. KẾT LUẬNV. KẾT LUẬN3. Lập bộ phận quản trị ATTT liên chức 3. Lập bộ phận quản trị ATTT liên chức
năngnăng+ Đảm bảo kết hợp chặt chẽ với + Đảm bảo kết hợp chặt chẽ với
các bộ phận kháccác bộ phận khác+ Đảm bảo phù hợp với quy định + Đảm bảo phù hợp với quy định
và luậtvà luật+ Xây dựng chính sách ATTT+ Xây dựng chính sách ATTT
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5656
V. KẾT LUẬNV. KẾT LUẬN4. Xây dựng ma trận quản lý chương trình4. Xây dựng ma trận quản lý chương trình
+ Để đảm bảo không khác nhau+ Để đảm bảo không khác nhau+ Đánh giá được hiệu quả của chương + Đánh giá được hiệu quả của chương trìnhtrình+ Giúp cải tiến quy trình+ Giúp cải tiến quy trình
5. Thực hiện chế độ thường xuyên cải 5. Thực hiện chế độ thường xuyên cải tiến chương trình ATTTtiến chương trình ATTT
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5757
V. KẾT LUẬNV. KẾT LUẬN6. Thực hiện rà soát độc lập chương trình 6. Thực hiện rà soát độc lập chương trình
ATTTATTT7. Triển khai các mức an toàn tại Gateway, 7. Triển khai các mức an toàn tại Gateway,
Server và ClientServer và Client8. Phân chia thành các vùng ATTT8. Phân chia thành các vùng ATTT9. Bắt đầu với chương trình cơ bản sau đó 9. Bắt đầu với chương trình cơ bản sau đó
cải tiến dầncải tiến dần10. Xem ATTT là khoản đầu tư thiết yếu10. Xem ATTT là khoản đầu tư thiết yếu
04/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5858
XIN CHÂN TRỌNG CẢM ƠNXIN CHÂN TRỌNG CẢM ƠN
Nguyễn Thanh HảiNguyễn Thanh HảiPhó giám đốc Trung tâm VNCERTPhó giám đốc Trung tâm VNCERTTel: 04 6404421Tel: 04 6404421Mobile: 0912289689Mobile: 0912289689Email: [email protected]: [email protected]/24/2304/24/23 Bộ Thông tin và Truyền thông - VNCERTBộ Thông tin và Truyền thông - VNCERT 5959