CIO Quảng Ninh: QUẢN LÝ VÀ BẢO MẬT THÔNG TIN DOANH NGHIỆP

  • 606 views
Uploaded on

Chương trình nâng cao năng lực lãnh đạo thông tin (CIO) trong doanh nghiệp do Phòng Thương mại và Công nghiệp Việt Nam, Bộ Thông tin Truyền thông và Ngân hàng Thế giới tổ chức tại TP. Hạ Long, Quảng …

Chương trình nâng cao năng lực lãnh đạo thông tin (CIO) trong doanh nghiệp do Phòng Thương mại và Công nghiệp Việt Nam, Bộ Thông tin Truyền thông và Ngân hàng Thế giới tổ chức tại TP. Hạ Long, Quảng Ninh từ 18-21/06/2013

Người trình bày: Lê Trung Nghĩa
Văn phòng Phối hợp Phát triển Môi trường Khoa học Công nghệ,
Bộ Khoa học & Công nghệ

More in: Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
606
On Slideshare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
61
Comments
0
Likes
1

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Quản lý và bảo mật thông tin doanh nghiệp 11/2012QUẢN LÝ VÀ BẢO MẬT THÔNG TIN DOANH NGHIỆPChương trình nâng cao năng lực lãnh đạo thông tin (CIO) trong doanh nghiệpdo Phòng Thương mại và Công nghiệp Việt Nam, Bộ Thông tin Truyền thông vàNgân hàng Thế giới tổ chức tại TP. Hạ Long, Quảng Ninh từ 18-21/06/2013Người trình bày: Lê Trung NghĩaVăn phòng Phối hợp Phát triển Môi trường Khoa học Công nghệ,Bộ Khoa học & Công nghệEmail: letrungnghia.foss@gmail.comBlogs: http://vnfoss.blogspot.com/http://letrungnghia.mangvn.org/blogs/Trang web CLB PMTDNM Việt Nam: http://vfossa.vn/vi/HanoiLUG wiki: http://wiki.hanoilug.org/Đăng ký tham gia HanoiLUG:http://lists.hanoilug.org/mailman/listinfo/hanoilug/Mục lụcA. Tổng quan tình hình an toàn an ninh thông tin.....................................................................................21. Một số trích dẫn quan trọng đáng lưu ý............................................................................................22. Lý do và mục đích tấn công..............................................................................................................43. Công cụ được sử dụng để tấn công.................................................................................................104. Tần suất và phạm vi tấn công..........................................................................................................115. Đối phó của các quốc gia................................................................................................................126. Bài học cho Việt Nam......................................................................................................................13B. Đặc thù hệ thống thông tin của các doanh nghiệp ..............................................................................171. Đặc thù hệ thống thông tin của các doanh nghiệp...........................................................................172. Kiến trúc hệ thống thông tin truyền thông (CNTT – TT)................................................................183. An ninh hạ tầng hệ thống CNTT-TT...............................................................................................184. An ninh ứng dụng............................................................................................................................225. An ninh điện toán đám mây (ĐTĐM).............................................................................................226. An ninh thông tin dữ liệu.................................................................................................................26C. Một số biện pháp quản lý bảo mật thông tin doanh nghiệp.................................................................271. Chuẩn hóa như một biện pháp tăng cường an ninh thông tin dữ liệu.............................................272. Sử dụng chuẩn mở là một biện pháp đảm bảo an ninh thông tin dữ liệu........................................283. Hiểu về mô hình độ chín an ninh không gian mạng........................................................................364. Hiểu về nguồn của các mối đe dọa và các lỗ hổng an ninh thường gặp..........................................385. Chuyển đổi sang PMTDNM là biện pháp để đảm bản an ninh ......................................................426. Tìm hiểu để sử dụng các công cụ an ninh.......................................................................................507. Tuân thủ mô hình phát triển cộng đồng của phần mềm nguồn mở.................................................64Các tài liệu tham khảo..............................................................................................................................66Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 1/67
  • 2. Quản lý và bảo mật thông tin doanh nghiệp 11/2012A. Tổng quan tình hình an toàn an ninh thông tin1. Một số trích dẫn quan trọng đáng lưu ý1. Barack Obama, ngày 29/05/2009: “Sự thịnh vượng về kinh tế của nước Mỹ trong thế kỷ 21 sẽphụ thuộc vào an ninh có hiệu quả của không gian mạng, việc đảm bảo an ninh cho không gianmạng là xương sống mà nó làm nền vững chắc cho một nền kinh tế thịnh vượng, một quân độivà một chính phủ mở, mạnh và hiệu quả”. “Trong thế giới ngày nay, các hành động khủng bố cóthể tới không chỉ từ một ít những kẻ cực đoan đánh bom tự sát, mà còn từ một vài cái gõ bànphím trên máy tính – một vũ khí huỷ diệt hàng loạt”. Văn bản gốc tiếng Anh. Video.2. Trích từ tài liệu “ An ninh không gian mạng (ANKGM): Câu hỏi gây tranh cãi đối với các quiđịnh toàn cầu”, Chương trình Nghị sự về An ninh và Phòng thủ (SDA), xuất bản tháng 02/2012:• Isaac Ben-Israel, cố vấn ANKGM cho Thủ tướng Benjamin Netanyahu, Israel: “Nếu bạnmuốn đánh một quốc gia một cách khốc liệt thì bạn hãy đánh vào cung cấp điện và nướccủa nó. Công nghệ KGM có thể làm điều này mà không cần phải bắn một viên đạn nào”.• Phyllis Schneck, Giám đốc công nghệ cho Khu vực Công tại McAfee: “Công nghệ mớibây giờ được tập trung bên dưới các hệ điều hành. Nó giao tiếp trực tiếp với phần cứngmáy tính và các con chip để nhận biết được hành vi độc hại và sẽ đủ thông minh đểkhông cho phép hành vi độc hại đó... Đây là lớp mới nhất và sâu nhất và, cùng vớinhiều tri thức hơn trong các lớp khác, là một phần chủ chốt của tương lai ANKGM.Giao tiếp với phần cứng là hoàng hậu của bàn cờ - nó có thể dừng kẻ địch hầu nhưngay lập tức hoặc kiểm soát cuộc chơi dài hơn. Cách nào thì chúng ta cũng sẽ thắng”.3. Tài liệu: Chiếm lĩnh nền cao thông tin - Khả năng của Trung Quốc về tác chiến mạng máy tínhvà gián điệp không gian mạng, tập đoàn Northrop Grumman xuất bản ngày 07/03/2012:a) Bản chất tự nhiên phân tán về địa lý của sản xuất IC có nghĩa là một con chip duy nhất cóthể kết hợp các mạch được thiết kế ở nhiều địa điểm trên khắp thế giới. Mô hình này làmgiảm chi phí phát triển các sản phẩm mới nhưng cũng tạo ra các rủi ro bổ sung về an ninh vàtính toàn vẹn. Không có sự kiểm soát khắt khe đối với kênh dòng trên phức tạp này, thì mộtnhà sản xuất các bộ định tuyến (router), các bộ chuyển mạch (switch), hoặc các phần cứngviễn thông cơ bản khác bị phơi lộ ra vô số các điểm có khả năng giả mạo và phải dựa vàoviệc kiểm thử nghiêm ngặt và thường đắt giá để đảm bảo rằng các bán dẫn đang được phânphối là đáng tin cậy và sẽ thực hiện chỉ những gì được chỉ định, không có những khả năngbổ sung thêm không được quyền, ẩn dấu không nhìn thấy được.b) Một kẻ địch với khả năng giành được sự truy cập vụng trộm và giám sát được các hệ thốngnhạy cảm có thể vô hiệu hóa tính hiệu quả trong nhiệm vụ của một hệ thống, chèn vào thôngtin hoặc chỉ lệnh sai để gây ra hỏng hóc sớm hoặc thực hiện kiểm soát từ xa hoặc phá hủyhệ thống được ngắm đích.c) Bằng việc cung cấp phần cứng hàng giả có chứa rồi sự truy cập được Trojan hóa (đưa sẵnphần mềm độc hại trojan vào trong phần cứng), được xây dựng sẵn trong phần dẻoVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 2/67
  • 3. Quản lý và bảo mật thông tin doanh nghiệp 11/2012(firmware) hoặc phần mềm, một cơ quan dịch vụ tình báo nước ngoài hoặc tương tự một kẻtấn công tinh vi có được một cơ hội lớn hơn trong việc thâm nhập thành công các chuỗicung ứng dòng dưới đó.Thông điệp: ANKGM có quan hệ mật thiết với an ninh và sự sống còn của một quốc gia, và nóphụ thuộc vào phần mềm, phần dẻo và phần cứng tạo nên hệ thống thông tin được sử dụngtrong các hạ tầng sống còn của một quốc gia. Nói một cách khác, an ninh của hệ thống thông tinphụ thuộc trước hết vào kiến trúc của hệ thống thông tin.4. Trend Macro: Nền công nghiệp chống virus đã lừa dối người sử dụng 20 năm nay. Khả năngchống virus hầu như là không thể với số lượng khổng lồ các virus hiện nay; Năm 2010, cứ mỗigiây có 2 phần mềm độc hại mới được sinh ra, trong khi thời gian nhanh nhất để có được mộtbản vá lỗi là 3 giờ đồng hồ.5. McAfee: số lượng các cuộc tấn công bằng phần mềm độc hại để thâm nhập hoặc gây hại chomột hệ thống máy tính tăng 500% trong năm 2008 – tương đương với tổng cộng của 5 nămtrước đó cộng lại. Trong đó 80% tất cả các cuộc tấn công bằng phần mềm độc hại có động lực làtài chính, với những kẻ tấn công cố ăn cắp thông tin dữ liệu cá nhân vì lợi nhuận; 20% các cuộctấn công còn lại có các mục đích liên quan tới tôn giáo, gián điệp, khủng bố hoặc chính trị.6. Tài liệu: Báo cáo thường niên cho quốc hội - Các diễn biến quân sự và an ninh có liên quan tớiCộng hòa Nhân dân Trung Hoa 2013, Văn phòng Bộ trưởng Quốc phòng Mỹ, 06/05/2013.a) Trung Quốc: Hai ghi chép tài liệu học thuyết quân sự, Khoa học và Chiến lược, và Khoahọc Chiến dịch xác định chiến tranh thông tin – IW (Information Warfare) như là không thểthiếu để đạt được sự áp đảo về thông tin và một biện pháp có hiệu quả cho việc phản côngkẻ địch mạnh.b) Trung Quốc: tài liệu Khoa học và Chiến lược giải thích, “Trong chiến tranh thông tin, hệthống chỉ huy và kiểm soát là trái tim của sự thu thập, kiểm soát và ứng dụng thông tin ởchiến địa. Nó cũng là trung tâm thần kinh của toàn bộ chiến địa”.c) Quân đội Trung Quốc: Các khả năng không gian mạng (KGM) có thể phục vụ các tác chiếnquân sự của Trung Quốc trong 3 lĩnh vực chính. Đầu tiên và trước nhất, chúng cho phép thuthập các dữ liệu cho các mục đích tấn công mạng và tình báo. Thứ 2, chúng có thể được sửdụng để thúc ép các hành động của một kẻ địch hoặc làm chậm lại thời gian đáp trả bằngviệc ngắm đích các hoạt động hậu cần, truyền thông và thương mại dựa vào mạng. Thứ 3,chúng có thể phục vụ như một bộ khuếch đại sức mạnh khi đi với các cuộc tấn công độnglực học trong thời gian của xung đột hoặc khủng hoảng.Một vài tư liệu video:1. Về vụ mạng GhostNet: Video của Symantec; Cyberspies China GhostNet Exposed III; GlobalComputer Espionage Network Uncovered; China Cyberspy GhostNet targets governments;2. Tấn công lưới điện Mỹ - China & Russia Infiltrate US Power Grid-Cyber Spies Hack The Grid;3. Tấn công mạng của Lầu 5 góc - Chinese Military Hacks Pentagons computer system; Chinesehackers: No site is safe;Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 3/67
  • 4. Quản lý và bảo mật thông tin doanh nghiệp 11/20124. Tấn công các mạng truyền thông, ngân hàng, điện... của Mỹ - China Cyber Attack on America;5. Kịch bản sử dụng bộ công cụ để tạo các Zeus botnet phục vụ cho việc ăn cắp tiền trong các tàikhoản ngân hàng của các doanh nghiệp.6. Kịch bản tấn công của Stuxnet.2. Lý do và mục đích tấn công1. Về chính trị: không chỉ gián điệp thu thập thông tin, mà còn phá hoại cơ sở hạ tầng.a) Xung đột giữa các quốc gia: Israel – Syria, Israel – Palestine, Nga – Estonia, Nga – Georgia(trở thành tiêu chuẩn), Mỹ cùng liên quân – Iraq, Mỹ cùng Hàn Quốc - Bắc Triều Tiên,tranh chấp dầu khí ở Venezuela năm 2002, Mỹ-Israel với Iran.b) TQ và các quốc gia khác - 09/10/2009: hàng chục vụ, ở nhiều quốc gia, tần suất gia tăng.Vụ mạng gián điệp thông tin lớn nhất thế giới từ trước tới nay GhostNet: 103 quốc gia,1295 máy tính bị lây nhiễm, kéo dài từ 05/2007 đến 03/2009.c) Tấn công vào hầu như tất cả các hệ thống mạng của các lực lượng vũ trang, như mạng dànhriêng cho 2 cuộc chiến tranh mà Mỹ hiện đang tham chiến, CIA, MI6, NATO, Hải quân ẤnĐộ; Cảnh sát Anh,d) Các tổ chức được cho là mức độ an ninh an toàn hệ thống cao nhất bị tấn công như Thượngviện Mỹ, Thủ tướng Úc, cơ quan chứng thực Israel, Quỹ tiền tệ Quốc tế IMF, Chính phủCanada, Ủy ban Thương mại Liên bang Mỹ FTC, Bộ Tư pháp Mỹ, Cơ quan Vũ trụ NhậtBản, Phòng Thương mại Mỹ, Liên hiệp quốc, các vệ tinh quan sát của Mỹ,e) Năm 2009 có dự đoán thời gian để chuyển từ gián điệp thông tin sang phá hoại: từ 3-8 năm,trên thực tế đã diễn ra nhanh hơn thế. Ngày 13/07/2010, sâu Windows Stuxnet đã được pháthiện, dựa vào 4 lỗi ngày số 0 trong Windows và các lỗi trong hệ thống kiểm soát giám sát vàthu thập dữ liệu SCADA của Siemens, đã làm hỏng hàng ngàn máy li tâm uranium trong cáccơ sở hạt nhân của Iran, làm chậm chương trình hạt nhân của nước này tới 2 năm.f) Cảnh báo có việc phá hoại hạ tầng cơ sở:• Các hệ thống mạng tại Mỹ: lưới điện ([1], [2]), giao thông, ngân hàng, phát thanh truyềnhình, đường sắt, cấp thoát nước tại Illinois và Texas, cung cấp dầu khí, công nghiệp hóachất. Thâm nhập các thiết bị kiểm soát công nghiệp tại Mỹ tăng đột ngột, từ 9 vụ năm2009 lên 198 vụ năm 2011 với 17 vụ nghiêm trọng;• Các nước khác: lưới điện ở Úc, lưới điện Brazil, y tế ở Anh• Sau 2 năm kể từ khi phát hiện ra Stuxnet, những chỗ bị tổn thương trong các phần mềmSCADA, PLC chưa được sửa được tìm thấy gấp 11 lần (98) thời kỳ trước 2010 (9).g) Stuxnet – Duqu – Flame – Gauss: Vũ khí không thể kiểm soát, các phần mềm diệt virus bấtlực không dò tìm ra được chúng;h) WikiLeaks. Vụ nổi tiếng vì đã đưa ra hàng loạt các tài liệu mật của Bộ Quốc phòng và BộNgoại giao Mỹ liên quan tới hàng loạt các quốc gia trên thế giới.i) Chính phủ Mỹ đã và đang công khai quy kết cho Chính phủ và Quân đội Trung Quốc đứngđằng sau các cuộc tấn công vào các mạng máy tính của các cơ quan chính phủ và các doanhnghiệp Mỹ:• Ngày 06/03/2013, Văn phòng Bộ trưởng Quốc phòng Mỹ xuất bản Báo cáo thường niêncho quốc hội - Các diễn biến quân sự và an ninh có liên quan tới Cộng hòa Nhân dânTrung Hoa 2013.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 4/67
  • 5. Quản lý và bảo mật thông tin doanh nghiệp 11/2012• Bài phát biểu của bộ trưởng Quốc phòng Mỹ Check Hagel tại Diễn đàn Shangri-La,Singapore ngày 01/06/2013.2. Về kinh tế: Gián điệp thu thập thông tin, ăn cắp thông tin sở hữu trí tuệ, ăn cắp tiền.a) Các tập đoàn lớn: Sony, Honda, các công ty dầu khí, Lockheed Martin, Citibank, nhà mạngSK Communications - Hàn Quốc, Mitsubishi Heavy Industries - nhà thầu của Bộ Quốcphòng Nhật Bản, vụ Aurora cuối năm 2009 tấn công vào Google và hàng chục hãng lớnkhác của Mỹ, các hãng dầu khí lớn như Aramoco, Chevron...b) Tháng 08/2012, Kaspersky Lab đã phát hiện một virus mới do nhà nước bảo trợ, Gauss, cóliên quan tới Stuxnet-Duqu-Flame, chuyên để theo dõi các giao dịch, dò tìm và ăn cắp cácủy quyền đăng nhập và thông tin - dữ liệu ngân hàng trực tuyến, xuất hiện trong hàng loạtcác ngân hàng tại Li băng, Israel và các vùng lãnh thổ của Palestine.c) Khu vực ngân hàng - thẻ tín dụng: Global Payments với 1.5 triệu thẻ, ăn cắp tiền từ các tàikhoản ngân hàng của các doanh nghiệp vừa và nhỏ 40 triệu USD đến tháng 9/2009, 100triệu USD đến tháng 10/2009, vụ Citibank hàng chục triệu USD, thị trường chứng khoánNASDAQ, ăn cắp tiền thông qua các trò chơi trực tuyến ở Trung Quốc.d) Các cơ quan chứng thực số CA: Codomo, Diginotar, GlobalSign, StartSSL, làm Diginotarphá sản,e) Các công ty an ninh và tư vấn an ninh: Stratfor, Symantec...f) Lừa đảo để bán phần mềm an ninh giả mạo hay tấn công bằng tình dục để tống tiền...3. Các vụ liên quan tới Việt Nam:a) Hầu hết các hệ thống thông tin ở Việt Nam đều dựa vào hệ điều hành Windows, trong khi:trong 6 tháng đầu năm 2012 thì có tới 99.8% các mã độc được tạo ra trên toàn thế giới làdành cho Windows;Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 5/67
  • 6. Quản lý và bảo mật thông tin doanh nghiệp 11/2012b) Mối nguy hiểm lớn đối với các hệ thống thông tin của Việt Nam khi Microsoft Windows XPSP3 và Microsoft Office 2003 sẽ hết hỗ trợ toàn cầu vào ngày 08/04/2014 sắp tới, đồngnghĩa với tất cả các bản cập nhật kỹ thuật, tất cả các bản vá an ninh cho hệ điều hànhWindows XP SP3 sẽ hoàn toàn chấm dứt trên phạm vi toàn cầu. Điều này đồng nghĩa rằng,nếu như những người sử dụng Windows XP SP3 sau ngày đó (ở Việt Nam có lẽ còn nhiềuvô số không thể kể xiết, kể cả trong các cơ quan nhà nước lẫn sử dụng ở hộ cá nhân ở nhà)mà không có những dịch vụ hỗ trợ đặc biệt nào, thì máy tính họ sử dụng sẽ MẶC ĐỊNH trởthành các ổ lây nhiễm của các phần mềm độc hại cho tất cả các hệ thống máy tính mà chúngcó kết nối mạng và/hoặc có liên quan tới.c) Ngày 26/03/2013, tại Hội thảo - Triển lãm Quốc gia An ninh bảo mật (Security World) 2013vừa diễn ra tại Hà Nội, đã có thông tin:• Tin tặc lấy đi nhiều dữ liệu quan trọng của cơ quan nhà nước;• Các mã độc dạng các mối đe dọa thường trực cao cấp - APT (Advanced PersistentThreat), các loại mã độc mà 80 - 90% phần mềm diệt virus hiện nay không thể phát hiệnra và được thiết kế riêng cho từng đối tượng cụ thể đã và đang len lỏi vào máy tính củatừng cá nhân mà chúng muốn nhắm tới, kể cả máy tính của Phó Cục trưởng, Cục Cảnhsát phòng chống tội phạm sử dụng công nghệ cao, Bộ Công an...Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 6/67
  • 7. Quản lý và bảo mật thông tin doanh nghiệp 11/2012d) Vụ GhoshNet, xảy ra từ tháng 05/2007 cho tới tháng 03/2009, Việt Nam từng đứng thứ2/103 quốc gia bị tấn công, với 130/1295 tổng số máy tính bị lây nhiễm trên toàn cầu và khilây nhiễm thì tin tặc đã kiểm soát hoàn toàn các máy tính đó;e) Vụ trojan Enfan, xảy ra vào cuối năm 2011, Việt Nam từng đứng số 1/33 quốc gia bị tấncông, với 394/874 hệ thống (chiếm 45%), mỗi hệ thống có khả năng có hơn 1 máy chủ bịVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 7/67
  • 8. Quản lý và bảo mật thông tin doanh nghiệp 11/2012lây nhiễm, và tin tặc cũng làm chủ hoàn toàn các hệ thống đó;f) Tháng 02/2012, BKAV bị tấn công, nhiều dữ liệu bị lấy cắp. Trong khoảng từ tháng 11/2010đến tháng 11/2011, Vietnamnet bị tấn công liên tục, lấy và xóa đi nhiều dữ liệu, không tìmra thủ phạm.g) Cuộc chiến giữa các tin tặc Việt Nam - Trung Quốc lần thứ nhất, 02-07/06/2011, hàng trăm(hàng ngàn) các website của cả 2 bên đã bị bôi xấu, đánh sập, trong đó có các website củachính phủ.Chừng nào còn xung đột Biển Đông, chừng đó còn chiến tranh không gian mạng ở Việt Nam!h) Việt Nam phải hết sức cảnh giác với chiến tranh không gian mạng, đặc biệt đối với các cuộctấn công vào các cơ sở hạ tầng công nghiệp sống còn kiểu Stuxnet, có thể từ Trung Quốc.i) Conficker (Việt Nam đứng số 1 thế giới với 13% số máy bị lây nhiễm theo OpenDNS);Botnet Windows nhiễm Conficker (cả A+B lẫn C) của các ISP Việt Nam cỡ lớn nhất thế giớivới hơn 5% không gian địa chỉ IP bị lây nhiễm và vẫn đang tự lây nhiễm. Trong Top500 thếgiới: VNN(2), Viettel(18), FPT(20), CMCTI (244), ETC(279), SCTV(302), SPT(398),VNPT(407) theo số liệu tháng 04/2012.j) Vụ Tháng mười Đỏ (Red October), được cho là vụ gián điệp thông tin mạng cũng vào loạilớn nhất thế giới, xảy ra từ tháng 05/2007 cho tới thời điểm tháng 01/2013 vẫn còn hoạtđộng, trong đó Việt Nam có 6 hệ thống bị lây nhiễm, xếp thứ 10 cùng với Ukraine và Mỹtrong tổng số 43 nước bị tấn công.Người sử dụng Việt Nam đứng thứ 5 trên thế giới về nhậnVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 8/67
  • 9. Quản lý và bảo mật thông tin doanh nghiệp 11/2012các thư rác, theo báo cáo của Kaspersky Labs vào tháng 09/2012.k) Việt Nam có tên ở 5 trong số 10 botnet lớn nhất thế giới vào năm 2009. Việt Nam xếp ở vịtrí số 1 ở 4 trong 5 botnet đó (theo một báo cáo vào tháng 06/2010).l) Tại Việt Nam đã có bộ công tụ Zeus để tạo ra các botnet độc hại.m)Nháy chuột giả mạo - số 1 thế giới;n) Mua bán các máy tính bị lây nhiễm trong các botnet trên thị trường tội phạm mạng thế giới,Việt Nam có giá mua vào 5 USD/1000 máy và giá bán ra 25 USD/1000 máy.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 9/67
  • 10. Quản lý và bảo mật thông tin doanh nghiệp 11/2012o) Màn hình đen (Tại Mỹ, WGA [Windows Genuine Advantage] bị đưa ra tòa vì bị coi nhưmột phần mềm gián điệp); Nay WGA có đổi tên là WAT (Windows Activation Technology).3. Công cụ được sử dụng để tấn công1. Phần cứng và thiết bị:a) Chip máy tính, cấy phần mềm độc hại hoặc phần mềm gián điệp vào Bios máy tính (StonedBoot - tất cả các phiên bản Windows từ XP tới 7, Microsoft làm việc với các OEM để đưaACPI [Advanced Configuration and Power Interface] vào các máy tính - có thể bị lợi dụngđể cấy Trojan vào ngay cả khi đĩa cứng hoàn toàn được mã hóa - bootkit sẽ khởi động trướcvà tự nó ẩn mình - chiếm quyền kiểm soát toàn bộ máy tính - phải có truy cập vật lý tới máytính), lấy dữ liệu khóa an ninh từ DRAM (Cold Boot). Sử dụng các phần mềm độc hại đểnạo vét RAM, nghe bàn phím, lây nhiễm virus cho các USB để lấy thông tin.b) Thiết bị viễn thông: vụ thầu thiết bị viễn thông ở Anh, mối quan ngại của Mỹ, Anh, Ấn Độđối với các thiết bị viễn thông từ công ty Hoa Vĩ (Huwei) hay ZTE của Trung Quốc.c) Các hệ thống nhúng: các máy photocopy đa chức năng của Canon, Ricoh, Xerox, các thiếtbị của CISCO, các máy in của HP (“Bom máy in” làm cho in hết giấy, thâm nhập mạng quamáy in)d) Các thiết bị di động: phần mềm độc hại đang gia tăng nhanh.e) Thẻ và đầu đọc thẻ thông minh: Bộ Quốc phòng Mỹ.2. Phần mềmLớp ứng dụng Lượng người sử dụng vàđộ trưởng thànhXác suất lỗia) Xác xuất lỗi được tính theo: (1) Hệ điều hành, (2) Phần mềm trung gian (Middleware), (3)Giải pháp; (4) Phần mềm ứng dụng. Ví dụ, trong phần mềm nguồn mở thì lỗi ở hệ điều hànhlà ít nhất và tăng dần theo các con số ở trên (với RHEL4.0 và 5.0 thì lỗi mang tính sống cònlà bằng 0), còn lượng người sử dụng ở hệ điều hành là lớn nhất rồi giảm dần theo các con sốở trên. (Xem bài “Hỗ trợ nguồn mở” trên tạp chí Tin học và Đời sống, số tháng 11/2009).Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 10/67
  • 11. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Nhân của hệ điều hành nguồn mở GNU/Linux được cải tiến, sáng tạo liên tục với tốc độkhông thể tưởng tượng được cũng là một điểm rất quan trọng.b) Cửa hậu được gài trong Windows và một số hệ điều hành thương mại khác và/hoặc trongphần mềm thư điện tử Lotus Notes.c) Tin tặc tận dụng khiếm khuyết của các phần mềm của Microsoft để tấn công các hệ thốngmạng trên khắp thế giới – Windows, Exchange Server, Office, Wordpad, Internet Explorer...Các phần mềm khác cũng bị lợi dụng để tấn công, phổ biến là của Adobe Acrobat Reader,Adobe Flash, Quicktime, Firefox, AutoCAD, các chương trình SCADA và ICS trênWindows, chương trình cập nhật Windows, ...., các mạng xã hội như Facebook, Twitter...d) Tạo ra các botnet với các kích cỡ từ nhỏ tới khổng lồ, từ hàng trăm cho tới hàng chục triệumáy tính bị lây nhiễm để chuẩn bị cho các cuộc tấn công qui mô lớn sau này.e) Các công cụ mã hóa, các chứng thực số, các phần mềm diệt virus bị mở mã nguồn.f) Từ năm 2010 cho tới nửa đầu năm 2012, số lượng các phần mềm độc hại liên tục gia tănghơn 1 triệu loại mới sau mỗi 6 tháng, trong đó 99,4% - 99,8% là cho nền tảng Windows.3. Thị trường mua bán công cụ tạo mã độc, botneta) Mua bán các trung tâm dữ liệu, mua bán các bộ các công cụ tạo mã độc hại, mã nguồn, đểxây dựng các botnet, phần mềm an ninh giả mạo; phần mềm dọa nạt (phishing) đưa ngườisử dụng vào bẫy để mua phần mềm chống virus giả mạo;b) Mua bán máy tính bị lây nhiễm trong các botnet theo vùng địa lý với các thông tin bị ăn cắpđi kèm, giá mua vào từ 5-100 USD/1000 máy bị lây nhiễm cùng dữ liệu bị ăn cắp, giá bánra từ 25-100 USD.4. Sử dụng không đúng cách dẫn tới mất an ninh, mất dữ liệu: vụ Sidekick.5. Pháp nhân tiến hành tấn công: đủ loại, mức cao nhất là nhiều quốc gia tham gia vào chiến tranhKGM như Mỹ, Israel, Trung Quốc, Nga, Anh, ... làm bật dậy cuộc chạy đua vũ trang các vũ khíKGM trên toàn cầu, có khả năng biến KGM thành vùng chiến sự nóng bỏng.4. Tần suất và phạm vi tấn công1. Tần suất lớn khổng lồa) Mạng quân đội Mỹ bị quét hàng ngàn lần mỗi ngày.b) Tháng 03/2009, có 128 "hành động thâm nhập không gian mạng" trong 1 phút vào các hệthống mạng của nước Mỹ.c) Năm 2010 mỗi giây có 2 phần mềm độc hại mới được sinh ra, trong khi nhanh nhất phải cầntới 3 giờ đồng hồ để có được một bản vá.2. Phạm vi rộng khắpa) Vụ GhostNet tấn công vào 103 quốc gia, 1295 máy tính bị lây nhiễm. Tài liệu 53 trang,video mô tả lại cuộc tấn công.b) Các quốc gia mạnh về CNTT cũng bị tấn công: Mỹ, Anh, Pháp, Đức, Hàn Quốc...c) Khắp các lĩnh vực như vũ trụ, hàng không, quân sự, tài chính, ngoại giao, ...3. Nhiều loại sâu, bọ, virus, phần mềm độc hại tham gia các botnet. Có loại chuyên ăn cắp tiền(Zeus, Clampi), có loại tinh vi phức tạp (Conficker), có loại đã tồn tại từ nhiều năm trước nayhoạt động trở lại dù có hàng chục bản vá lỗi của Windows (MyDoom).4. Các cuộc tấn công không gian mạng có khả năng nhằm vào các cơ sở hạ tầng sống còn - từ chỉVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 11/67
  • 12. Quản lý và bảo mật thông tin doanh nghiệp 11/20129 vụ trong năm 2009 lên 198 vụ trong năm 2011 như được nêu ở trên.5. Thiệt hại lớna) Stuxnet đẩy lùi chương trình hạt nhân của Iran 2 năm mà không tốn viên đạn nào.b) Mỹ bị tin tặc lấy đi hàng terabyte dữ liệu từ hệ thống mạng của các Bộ Quốc phòng, Ngoạigiao, Thương mại, Năng lượng và Cơ quan Hàng không Vũ trụ NASA.c) Obama: Riêng Mỹ, trong 2008-2009 thiệt hại do tội phạm không gian mạng là 8 tỷ USD.d) Conficker - ước tính 9.1 tỷ USD chỉ trong nửa năm (tới tháng 6/2009).5. Đối phó của các quốc gia1. Về đường lối chính sách:a) Học thuyết chiến tranh thông tin, cả phòng thủ lẫn tấn công, bất kỳ vũ khí gì, kể cả hạtnhân; Chiến lược về ANKGM (Mỹ, Anh và nhiều nước khác); Kế hoạch phản ứng (Mỹ).Diễn tập về ANKGM. Hiệp ước cấm phổ biến vũ khí không gian mạng?b) Tự chủ về công nghệ lõi. Dự án sản xuất Chip (Trung Quốc, Ấn Độ), chạy đua các dự ánOS tăng cường an ninh như Mỹ (cho Android, Linux, Ethos), Trung Quốc, châu Âu, Úc,hoặc xây dựng mới OS an ninh cho quốc gia mình (Ấn Độ, Nga, Brazil, Venezuela, Cuba…). Tất cả các OS đều dựa trên GNU/Linux/Unix.c) “Nguồn mở an ninh hơn nguồn đóng” về cả lý thuyết lẫn thực tế do mã nguồn cứng cáp hơnvà có được sự rà soát liên tục của cộng đồng các lập trình viên toàn thế giới. Linus Torvalds:“Nói thì ít giá trị, hãy chỉ cho tôi mã nguồn”. Hàng loạt chính phủ các quốc gia đã có nhữngchính sách sử dụng công nghệ mở như Mỹ (Chính phủ Mở), Canada, Anh, Hà Lan, ĐanMạch, New Zealand, Malaysia, Ý, Nga, Trung Quốc, Brazil, Ấn Độ, Indonesia, Thailand,Philippine... Trên thế giới, các quốc gia mạnh nhất về ứng dụng và phát triển PMTDNM làMỹ, Đức, Pháp, Tây Ban Nha và Úc. Năm 2011: Thủ tướng Nga Putin ra lệnh cho các cơquan chính phủ Nga chuyển hết sang PMTDNM vào quý III/2014; Chính phủ Anh đưa raChiến lược công nghệ thông tin và truyền thông của Chính phủ, bắt buộc sử dụng các tiêuchuẩn mở từ 01/11/2012, tăng cường sử dụng PMTDNM ở bất kỳ nơi nào có thể; Bộ Quốcphòng Mỹ đưa ra tài liệu “Phát triển công nghệ mở. Những bài học học được”, trong đónhấn mạnh các phần mềm/hệ thống trong quân đội và chính phủ sẽ không tồn tại phần mềmsở hữu độc quyền chỉ phụ thuộc vào một nhà cung cấp, chỉ có 2 loại là PMTDNM vàPMNM chính phủ. Chính sách của Chính phủ Ý, từ 12/08/2012, tất cả các phần mềm trongChính phủ dựa vào phần mềm nguồn mở. Thủ tướng Canada nói Chính phủ Canada sẽchuyển hết sang sử dụng GNU/Linux vì lý do an ninh.d) Đầu tư lớn vào các nghiên cứu về an ninh KGM. Sản xuất các vũ khí mới cho chiến tranhkhông gian mạng: “bom logic”, các thiết bị sóng cực ngắn để đốt các máy tính trong mạngtừ xa; tạo các “botnet”...2. Về tổ chức: Bổ nhiệm lãnh đạo ANKGM (Mỹ), củng cố và xây dựng lực lượng chuyên môn(Mỹ, Anh, Hàn Quốc, Singapore), các đơn vị ứng cứu khẩn cấp (CERT) quốc gia, hợp tác cácCERT và tham gia diễn tập giữa các quốc gia, tăng cường nhân lực và đầu tư cho các cơ quanchuyên trách (Bộ An ninh Quốc nội - DHS, Cục Tình báo Trung ương - CIA, ...).3. Về nhân lực: Huy động thanh niên, học sinh, sinh viên. Mỹ tổ chức thi để lấy 10,000 nhân tài,Anh cũng bước theo, Bộ An ninh Quốc nội Mỹ tuyển 1,000 nhân viên làm về an ninh khôngVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 12/67
  • 13. Quản lý và bảo mật thông tin doanh nghiệp 11/2012gian mạng. Trung Quốc có "Quân đội xanh", phong trào thanh niên Nga... Bọn khủng bố cũngtuyển người cho chiến trang không gian mạng.4. Về thực tiễn triển khai khu vực dân sự để đảm bảo an ninh caoa) Chuyển sang sử dụng các hệ thống dựa trên GNU/Linux (Thị trường chứng khoán ở NewYork, Tokyo, Luân Đôn, …)b) Không sử dụng Windows khi thực hiện các giao dịch ngân hàng trực tuyến (khuyến cáo củaViện Công nghệ SAN, chính quyền New South Wale – Úc, chuyên gia an ninh mạng của tờThe Washington Post).v.v.c) Hàng chục công cụ an ninh từ các phần mềm tự do nguồn mở ([01], [02]).d) Khuyến cáo sử dụng PMTDNM, nhưng nếu buộc phải sử dụng Windows, thì hãy tuân thủ10 lời khuyên về an ninh.6. Bài học cho Việt Nam1. Các cơ quan, doanh nghiệp đối mặt với các mối đe dọa an ninh không gian mạng (KGM) vớicác đặc tính chưa từng có trước đây:a) Không cần có tiếp xúc vật lý tới các mục tiêu tấn công khi tấn công trên KGM.b) Công nghệ cho phép các hoạt động diễn ra dễ dàng xuyên biên giới nhiều nước.c) Có thể tấn công một cách tự động, tốc độ cao, số lượng lớn các nạn nhân cùng một lúc.d) Những kẻ tấn công dễ dàng dấu mặt.2. Nguy cơ phụ thuộc, mất kiểm soát hoàn toàn: Việt Nam hiện đang bị phụ thuộc hoàn toàn vàophần cứng, hệ điều hành, phần mềm ứng dụng, có thể sẽ phụ thuộc nốt cả dữ liệu. Hiện vẫn còncơ hội, dù rất nhỏ, để thoát???a) Trước mắt: Chuẩn mở và hệ điều hành nguồn mở (Viettel, Google) là mục tiêu số 1?. Cáchchống virus tốt nhất là sử dụng hệ điều hành GNU/Linux. Hiện tại các doanh nghiệp ViệtNam đứng thứ 75/75 về các hoạt động liên quan tới nguồn mở theo nghiên cứu củaRedHat-Georgia tháng 04/2009.b) Tương lai: Hệ điều hành, chip, các thiết bị viễn thông... Cần làm chủ được CNTT.3. Các lĩnh vực an ninh KGM cần tập trung quan tâma) Đẩy mạnh phân tích KGM và các khả năng cảnh báo.b) Cải thiện an ninh KGM mạng các hệ thống kiểm soát hạ tầng.c) Tăng cường khả năng của các cơ quan chuyên trách để giúp phục hồi từ phá hoại Internet.d) Giảm thiểu sự không hiệu quả về tổ chức.e) Xác định đầy đủ các hành động qua thực tiễn về an ninh KGM.f) Phát triển các kế hoạch đặc thù cho từng khu vực với các tiêu chí về an ninh KGM.g) Đảm bảo an ninh các hệ thống thông tin nội bộ.• Tuân thủ kiến trúc phân vùng mạng, tuân thủ kiểm soát truy cập các vùng mạng, tuânthủ các yêu cầu cơ bản đảm bảo an ninh mạng.• Tuân thủ chuẩn an ninh mạng, ứng dụng, như bộ các chuẩn ISO/IEC 27K, trong đó cóISO/IEC 27032: Các chỉ dẫn cho an ninh không gian mạng.• Nhanh chóng áp dụng công nghệ mở.4. Về chính sách, chiến lược:a) Rà soát lại chính sách về các chuẩn sử dụng trong các HTTT nhà nước, kiên quyết sử dụngVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 13/67
  • 14. Quản lý và bảo mật thông tin doanh nghiệp 11/2012các chuẩn mở; hướng tới hệ điều hành nguồn mở cộng đồng.• Quy hoạch an toàn và an ninh số quốc gia Quyết định số 63/2010/QĐ-TTg• Chỉ thị 897/CT-TTg ngày 10/06/2011 của Thủ tướng chính phủ về tăng cường triển khaicác hoạt động đảm bảo an toàn thông tin số.• Dự kiến: Luật an toàn thông tin số.• Đã, đang và sẽ ban hành các tiêu chuẩn về an toàn an ninh thông tin (ATTT) như:• TCVN ISO/IEC 27001:2009 về quản lý ATTT;• TCVN ISO/IEC 27002:2011 về các biện pháp quản lý ATTT;• TCVN 87091:2011 về quản lý rủi ro: mô hình tổng quát đánh giá ATTT• TCVN 87092:2011 về quản lý rủi ro: các thành phần chức năng của ATTT• TCVN ISO/IEC 27003; TCVN ISO/IEC 27004; TCVN ISO/IEC 27005; TCVNISO/IEC 27010; TCVN ISO/IEC 27033.b) Rà soát lại chính sách mua sắm của chính phủ, tiếp tục triển khai chính sách về ứng dụngphần mềm tự do nguồn mở, đưa ra chính sách riêng cho an ninh KGM.5. Về tổ chức và xây dựng lực lượng:a) Xây dựng và củng cố bộ máy phù hợp để đối phó với an ninh KGM.b) Học tập các kinh nghiệm về an ninh KGM để vận dụng trong thực tế của Việt Nam.c) Đầu tư mạnh mẽ cho giáo dục để chuẩn bị nhân lực cho tương lai từ học sinh - sinh viên,với các kỹ năng mới dựa trên công nghệ mở, phần mềm tự do nguồn mở, các sáng kiến biếncác trò chơi điện tử thành các bài học về an ninh.d) Đẩy mạnh nghiên cứu về chiến tranh thông tin, chiến tranh không gian mạng, tác chiếnkhông gian mạng cả ở các khía cạnh tấn công - phòng thủ - khai thác mạng.6. Phòng chống mã độc. Xem bài trình bày của VNCERT ngày 23/11/20127. Phòng ngừa cho bản thân, đặc biệt với các máy tính xách tay, kể cả khi mã hóa cả ổ cứng.8. Nâng cao nhận thức cho toàn xã hội, cuộc chiến của toàn dân, các CIO phải đi đầu làm gương.9. Ví dụ về nghiên cứu chiến tranh thông tin, chiến tranh không gian mạng và tác chiến khônggian mạng của 50 trường đại học của Trung Quốc, cùng một lúc với 5 chương trình quốc gia tàitrợ cho các chương trình nghiên cứu đó. Xem tài liệu đã được dịch sang tiếng Việt: Chiếm lĩnhnền cao thông tin - Khả năng của Trung Quốc về tác chiến mạng máy tính và gián điệp khônggian mạng, tập đoàn Northrop Grumman đã xuất bản, ngày 07/03/2012.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 14/67
  • 15. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 15/67
  • 16. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 16/67
  • 17. Quản lý và bảo mật thông tin doanh nghiệp 11/2012B. Đặc thù hệ thống thông tin của các doanh nghiệp1. Đặc thù hệ thống thông tin của các doanh nghiệpCó thể dễ nhận thấy hầu hết các doanh nghiệp có những điểm chung sau đây khi sử dụng các công cụcông nghệ thông tin (CNTT) trong hoạt động kinh doanh của mình:1. Sử dụng bất kỳ công cụ gì giúp hỗ trợ cho việc kinh doanh.2. Sự dụng phần mềm bất hợp pháp lan tràn một cách vô thức.3. Thiếu thông tin về an ninh hệ thống; Nếu có biết thì cũng không có khả năng để đối phó.4. Hệ thống CNTT không có kiến trúc.5. Không quan tâm tiêu chuẩn trong hệ thống CNTT.6. Thiếu nguồn lực, cả nhân lực và vật lực, cho CNTT.Trong khi đó, về mặt lý thuyết, ngoài những lý do khác như con người và các vấn đề liên quan tới quảnlý và điều hành, thì về mặt kỹ thuật công nghệ, an ninh thông tin phụ thuộc trước hết vào kiến trúc củahệ thống thông tin. Chính vì vậy, để có thể có được đường hướng đúng trong việc quản lý bảo mậtthông tin của mình, từng doanh nghiệp cần nắm được tối thiểu những kiến thức liên quan tới kiến trúctổng thể của một hệ thống thông tin, được trình bày ở bên dưới của phần này.Một khía cạnh đầy rủi ro khác trong thực tế mà hầu hết các doanh nghiệp phải đối mặt, đặc biệt là cácdoanh nghiệp đã hoặc sẽ xuất khẩu hàng hóa, dịch vụ của mình ra nước ngoài, đặc biệt là thị trườngMỹ, là vấn đề tuân thủ bản quyền phần mềm máy tính, dù sản phẩm - dịch vụ của doanh nghiệp làm rakhông liên quan gì tới phần mềm máy tính.Theo Luật cạnh tranh không lành mạnh của Mỹ, có hiệu lực từ ngày 22/07/2011, các doanh nghiệp sửdụng các phần mềm bất hợp pháp sẽ bị cấm xuất khẩu sản phẩm - dịch vụ sang Mỹ và có khả năng bịkiện ra các tòa án của Mỹ. Ngày 07/02/2012, Cục Bản quyền tác giả thuộc Bộ Văn hóa, Thể thao và Dulịch đã có công văn số 15/BQTG-QTG, khuyến cáo về việc sử dụng chương trình máy tính tại cácdoanh nghiệp Việt Nam xuất khẩu sản phẩm sang Hoa Kỳ về việc này.Một thông tin khác có khả năng có ảnh hưởng tới các doanh nghiệp, là việc hệ điều hành MicrosoftWindows XP SP3 và bộ phần mềm văn phòng Microsoft Office 2003 sẽ hết hạn bảo hành, bảo trì trêntoàn thế giới vào ngày 08/04/2014. Nếu sau ngày đó mà các doanh nghiệp không có bất kỳ hành độngnào, thì các phần mềm nêu trên sẽ không còn có bất kỳ sự cập nhật, nâng cấp nào, kể cả các bản vá vềan ninh cho chúng trên phạm vi toàn cầu. Điều này sẽ buộc các doanh nghiệp phải chuyển đổi, hoặctheo cách chuyển đổi liên tục lên các sản phẩm tương tự các phiên bản sau của Microsoft, hoặc theocách chuyển đổi thay thế sang phần mềm tự do nguồn mở tương ứng, như những gì đã được khuyếncáo trong thông tư số 41/2009/TT-BTTTT ngày 30/12/2009 của Bộ Thông tin và Truyền thông, nhưviệc chuyển đổi sang sử dụng hệ điều hành phần mềm tự do nguồn mở GNU/Linux Ubuntu để thay thếcho hệ điều hành Windows và sử dụng bộ phần mềm văn phòng OpenOffice và/hoặc LibreOffice đểthay thế cho Microsoft Office.Một số kinh nghiệm chuyển đổi, có thể tham khảo bài: “Chuyển đổi các ứng dụng từ đóng sang mở”.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 17/67
  • 18. Quản lý và bảo mật thông tin doanh nghiệp 11/20122. Kiến trúc hệ thống thông tin truyền thông (CNTT – TT)Kiến trúc một hệ thống công nghệ thông tin và truyền thông (CNTT-TT), dựa vào nó mà một hệ thốngCNTT-TT được xây dựng thường bao gồm những lớp cơ bản là: lớp nghiệp vụ, lớp thông tin, lớp hạtầng, lớp ứng dụng và lớp công nghệ.Các biện pháp để đảm bảo an ninh hệ thống và thông tin, dữ liệu được tiến hành thực hiện xuyên suốttất cả các lớp. Tương tự, việc chuẩn hóa dữ liệu cũng được tiến hành thực hiện theo tất cả các lớp.3. An ninh hạ tầng hệ thống CNTT-TT1. An ninh hệ thống và thông tin, dữ liệu có quan hệ chặt chẽ với việc chuẩn hóa, chọn các bộchuẩn và ngược lại.2. Hạ tầng công nghệ thông tin và truyền thông an ninh và ổn định là điều kiện cơ bản tiên quyếtcho việc vận hành một cách tin cậy các ứng dụng của một hệ thống thông tin.3. Bên cạnh việc phải đảm bảo hạ tầng vật lý của hệ thống mạng thì nguyên lý xây dựng hạ tầngCNTT-TT an ninh và ổn định nằm ở việc phân vùng chức năng và đảm bảo an ninh cho việctruy cập các vùng chức năng đó.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 18/67
  • 19. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Hạ tầng vật lý của hệ thống CNTT-TTHạ tầng vật lý của hệ thống CNTT-TT cần được đảm bảo:1. Thiết lập các hệ thống CNTT trong các phòng phù hợp2. Kiểm soát truy cập tới các phòng này3. Các hệ thống bảo vệ phòng và chữa cháy phù hợp4. Các hệ thống cung cấp điện phù hợp5. Các hệ thống điều hoà không khí phù hợp6. Sao lưu dữ liệu theo khái niệm sao lưu dữ liệu liên quanKiến trúc hạ tầng và việc đảm bảo an ninh truy cập các vùngVùng và các mối giao tiếpCác hệ thống bên trong trung tâm máy tính được đặt trong các vùng khác nhau được xác định trên cơsở các yêu cầu về an ninh phù hợp cho các dịch vụ và dữ liệu của các vùng tương ứng đó. Ít nhất nhữngvùng được mô tả dưới đây phải được triển khai trong hạ tầng của một trung tâm máy tính. Có thể đòihỏi các vùng bổ sung khi cần. Các vùng này phải được tách biệt hoàn toàn với nhau về vật lý. Điều nàycó thể có nghĩa là:• Mọi thành phần mạng (bộ định tuyến router, bộ chuyển mạch switch, bộ chia hub, ...) chỉ có thểđược sử dụng như là giao diện giữa vùng này với vùng khác, sao cho mọi thành phần mạng chỉtruyền dữ liệu liên quan hoặc dữ liệu gốc qua 2 vùng kết nối trực tiếp với nó. Điều này tránhVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 19/67
  • 20. Quản lý và bảo mật thông tin doanh nghiệp 11/2012được mọi sự trộn lẫn các luồng dữ liệu trong trường hợp có lỗi hoặc bị tấn công có chủ tâm.• Một hệ thống máy chủ có thể chứa các hệ thống của chỉ một vùng duy nhất. Điều này có nghĩalà các ứng dụng phân tán phải chạy trên các hệ thống máy chủ trong các vùng khác nhau.• Một hệ thống máy chủ với các ứng dụng đòi hỏi các kết nối giao tiếp tới một vài vùng phải baogồm một số lượng tương ứng các kết nối mạng được tách biệt nhau cả về mặt logic lẫn về mặtvật lý (ví dụ, nhiều card mạng). Hệ thống này sẽ loại trừ được sự truyền từ một vùng này sangmột vùng khác.1. Vùng thông tin và dịch vụa) Vùng thông tin và các dịch vụ bao trùm một phần mạng nằm giữa vùng Internet và các vùngkhác của mạng. Vùng này chứa các máy chủ có thể truy cập được bởi các mạng bên ngoài hoặcsử dụng các dịch vụ của các mạng bên ngoài. Các vùng thông tin tiếp sau phải được thiết lậpnếu các hệ thống với các mức an ninh khác nhau được vận hành.b) Việc giao tiếp giữa các hệ thống của vùng thông tin và dịch vụ cũng như các hệ thống của vùngxử lý và logic phải được bảo vệ bằng các kênh giao tiếp có mã hoá.2. Vùng xử lý và logic: Các hệ thống của vùng này xử lý dữ liệu từ vùng dữ liệu và làm cho các dữliệu như vậy sẵn sàng phục vụ người sử dụng thông qua các hệ thống của vùng thông tin và cácdịch vụ. Giao tiếp trực tiếp giữa các mạng bên ngoài – như Internet chẳng hạn – và vùng xử lý vàlogic là không được phép.3. Vùng dữ liệu: Vùng dữ liệu là nơi mà các dữ liệu đuợc lưu trữ và sẵn sàng trong một khoảng thờigian dài. Việc truy cập tới vùng này chỉ được cho phép từ vùng xử lý và vùng quản trị. Việc truycập từ các mạng bên ngoài là không được phép trong mọi tình huống. Hơn nữa, chỉ có vùng quảntrị mới có thể truy cập một cách tích cực được tới vùng này.4. Vùng quản trịa) Vùng quản trị có tất cả các hệ thống cần thiết cho các mục đích quản trị hoặc các hệ thống giámsát trong các vùng khác. Hơn nữa, vùng này cũng có thể chứa các dịch vụ đăng nhập hoặc quảntrị người sử dụng một cách tập trung. Truy cập từ vùng quản trị tới các vùng khác và ngược lạivì thế là được phép.b) Truy cập từ các mạng bên ngoài tới vùng quản trị không được phép dưới mọi hình thức.5. Vùng sao lưu dữ liệu: Mọi vùng phải chứa các thành phần sao lưu dữ liệu của chính vùng đó. Dữliệu của các vùng thông tin phải được sao lưu thông qua các kênh giao tiếp được bảo vệ.Chuẩn cho sự tuân thủ an ninh mạng: ISO/IEC 27033: An ninh mạng (dự thảo).Truy cập mạng và kiểm soát truy cập1. Các hệ thống kiểm soát truy cập sẽ kiểm soát sự tách biệt của các vùng riêng rẽ bên trong trung tâmmáy tính cũng như việc truy cập từ và/hoặc tới các mạng bên ngoài. Các công nghệ khác nhau cóthể được sử dụng cho các mục đích này.2. Giao diện giữa vùng thông tin và các dịch vụ và các mạng bên ngoài là điểm an ninh sống còn nhấtvà vì thế được bảo vệ bởi một tổ hợp đa cơ chế an ninh (multiple securrity mechnism). Các phânđoạn mạng và các vùng địa chỉ khác nhau được tách biệt nhau ở đây trên mức giao thức mạng. Cácđịa chỉ mạng bên trong được đánh mặt nạ (mask) theo các mạng dựa trên giao thức TCP/IP trên cơsở giao thức dịch địa chỉ mạng NAT (Network Address Translation), và vì thế không được xuất bảntrong các mạng bên ngoài.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 20/67
  • 21. Quản lý và bảo mật thông tin doanh nghiệp 11/20123. Hơn nữa, các cơ chế lọc sẵn có được đưa vào để đảm bảo là việc truy cập từ các mạng bên ngoài bịhạn chế đối với các dịch vụ xác định trong vùng thông tin và các dịch vụ. Các qui định lọc thườngđược triển khai trên các tường lửa hoặc các bộ định tuyến của tường lửa mà chúng kiểm tra thôngtin trong các đầu đề (header) của các gói dữ liệu đến trên cơ sở các bộ lọc gói và từ chối các cuộctấn công truy cập không được xác thực cho phép.4. Hơn nữa, các cổng (gateway) vào các ứng dụng có thể được sử dụng để cách ly hoàn toàn các giaotiếp, kiểm tra tính đúng đắn của các dòng dữ liệu ở mức ứng dụng và khi cần thiết sẽ triển khai việctái sinh lại một cách phù hợp với giao thức của các yêu cầu.5. Quan hệ giao tiếp giữa các vùng bên trong cũng phải tuân theo các hệ thống kiểm soát truy cập. Đểkiểm soát một cách thích đáng việc truy cập tới các vùng nhạy cảm của vùng xử lý và logic cũngnhư vùng dữ liệu, các tường lửa phải được sử dụng vì chúng có những lựa chọn lọc hỗn hợp. Cáctường lửa này làm việc trên cơ sở các bộ lọc gói động (kiểm soát theo trạng thái) và có khả nănggiám sát không chỉ các gói đơn lẻ, mà còn cả các dòng giao tiếp liên quan tới nhiều gói. Các bộ lọcgói động cho phép kiểm tra tính hợp lệ của các kết nối mạng không chỉ trên cơ sở các qui tắc khôngthay đổi mà còn cả trên cơ sở các quan hệ giao tiếp có tính lịch sử.6. Nhờ việc quản trị đơn giản và mềm dẻo, công nghệ VLAN là hệ thống được chọn cho việc kiểmsoát truy cập tới các hệ thống trong vùng quản trị. Vì mục đích này, tất cả các hệ thống đòi hỏi truycập tới một dịch vụ trong vùng quản trị được tổng hợp để tạo ra một phân mạng ảo (VLAN). Đểtránh giao tiếp không mong muốn giữa các vùng riêng biệt thông qua các VLAN của vùng quản trị,tất cả các hệ thống được lắp đặt một giao diện mạng thứ hai mà giao diện này có thể không được sửdụng cho bất kỳ mục đích nào khác ngoài mục đích quản trị và nó được lắp với một bộ lọc gói.7. Việc sử dụng công nghệ VLAN cho việc kết nối mọi vùng ngoại trừ quản trị không được khuyếncáo vì các lý do an ninh.Mạng, người sử dụng và các dịch vụ bên ngoài1. Mức mạng là kết nối giữa các hệ thống của hạ tầng trung tâm máy tính và các dịch vụ bên ngoàicũng như những người sử dụng các ứng dụng CPĐT. Mức này bao gồm cả Internet, mạng diện rộngchính phủ (CPNET) và các mạng extranet khác. Các mạng intranet nội bộ cũng tạo nên một phầncủa mức mạng. Hiện nay có thể tồn tại nhiều công nghệ khác nhau đang được sử dụng. Về lâu dài,nên lựa chọn các giao thức có khả năng làm cho hệ thống có tính tương hợp.2. Tuy nhiên, từ quan điểm hạ tầng đối với một ứng dụng CPĐT, giao tiếp an toàn và thực thi vớiInternet, thì CPNET hoặc extranet đóng một vai trò quan trọng để đảm bảo việc truy cập tin cậy đốivới người sử dụng và các dịch vụ bên ngoài. Khi thiết kế các ứng dụng CPĐT, độ rộng băng thôngcần thiết để có thể vận hành và truy cập dễ dàng được các ứng dụng, dịch vụ cần được lưu tâm tới.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 21/67
  • 22. Quản lý và bảo mật thông tin doanh nghiệp 11/20124. An ninh ứng dụngKiến trúc ứng dụng theo mô hình đa tầngCác ứng dụng cần được xây dựng theo kiến trúc phân tầng sao cho có sự tách biệt nhau giữa các tầngnền tảng/phụ trợ (hệ điều hành, hệ quản trị cơ sở dữ liệu, ...), tầng trung gian (qui trình nghiệp vụ vàcác thành phần tích hợp), tầng trình diễn (trình bày thông tin, dữ liệu), tầng máy trạm (các công cụ củamáy trạm giúp cho việc truy cập/hiển thị/xử lý thông tin, dữ liệu của ứng dụng). Bằng cách này, việcđảm bảo an ninh cũng được thực hiện theo các tầng tương ứng.Chuẩn về an ninh ứng dụng ISO/IEC 27034: An ninh ứng dụng (dự thảo).5. An ninh điện toán đám mây (ĐTĐM)An ninh ĐTĐM (an ninh đám mây) là một lĩnh vực tiến hóa của an ninhmáy tính, an ninh mạng và, ở mức độ rộng lớn hơn, an ninh thông tin.Nó tham chiếu tới một tập hợp lớn các chính sách, các công nghệ, vànhững kiểm soát được triển khai để bảo vệ các dự liệu, các ứng dụng vàhạ tầng có liên quan tới ĐTĐM. Phạm vi ảnh hưởng của an ninh ĐTĐMlà trong vài lĩnh vực chung như: (1) An ninh và Tính riêng tư; (2) Sựtuân thủ; (3) Pháp lý hoặc Hợp đồng.Kiến trúc của ĐTĐM gồm 3 lớp: Hạ tầng (IaaS) - Nền tảng (PaaS) -Phần mềm (SaaS) - như một dịch vụ:• IaaS chứa toàn bộ các tài nguyên hạ tầng trang thiết bị và phầncứng, các tài nguyên ảo hóa (nếu có), phân phối các kết nối vật lývà logic cho các tài nguyên này, cung cấp một tập hợp các APIscho phép quản lý và tạo nên sự tương tác với hạ tầng của ngườisử dụng. Nó là nền tảng của tất cả các dịch vụ ĐM, PaaS và SaaSđược xây lần lượt trên nó, thừa hưởng mọi rủi ro an ninh của nó.• PaaS, so với IaaS, bổ sung thêm lớp tích hợp để xây dựng cácứng dụng trên nền tảng có sẵn: PM trung gian, ngôn ngữ & côngcụ lập trình.• SaaS đưa ra môi trường điều hành để phân phối cho người sửdụng nội dung, cách trình bày, các ứng dụng và khả năng quản lý.Ngoài vấn đề về kiến trúc ra, một loạt các lĩnh vực khác mà các bên tham gia phải quan tâm như:• 5 lĩnh vực về quản lý và những chỉ dẫn thực hiện: (1) Quản lý rủi ro của doanh nghiệp và chínhVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 22/67
  • 23. Quản lý và bảo mật thông tin doanh nghiệp 11/2012phủ; (2) Quản lý liên quan tới việc để lộ về điện tử và pháp lý; (3) Quản lý sự tuân thủ và kiểmtoán; (4) Quản lý vòng đời thông tin, dữ liệu từ khi tạo cho tới khi xóa; (5) Tính khả chuyển vàtính tương hợp mà chỉ có thể giải quyết được bằng các chuẩn mở;• 7 lĩnh vực hoạt động và những chỉ dẫn thực hiện: (1) An ninh truyền thống, tính liên tục, phụchồi thảm họa; (2) Vận hành trung tâm dữ liệu; (3) Phản ứng, thông báo, xử lý tình huống; (4)An ninh ứng dụng; (5) Mã hóa và quản lý khóa; (6) Nhận dạng và quản lý truy cập; (7) Ảo hóa.Người sử dụng phải luôn đánh giá các rủi ro có thể khi đưa dữ liệu, ứng dụng - chức năng - qui trình rabên ngoài và đặt ra các câu hỏi dạng như: Nếu có sự cố mất hoặc lộ thông tin - dữ liệu thì ai chịu tráchnhiệm bồi thường và như thế nào? hoặc Nếu kết thúc hợp đồng thì việc chuyển các dữ liệu hoặc ứngdụng trở về với người sử dụng hoặc chuyển sang nhà cung cấp đám mây khác như thế nào?Hiểu khái quát về kiến trúc, cùng với 12 lĩnh vực trọng tâm sống còn, sẽ cung cấp một nền tảng vữngchắc cho việc đánh giá, vận hành, quản lý và chế ngự an ninh trong các môi trường ĐTĐM.Áp dụng chuẩn ISO/IEC 27036. Các chỉ dẫn về an ninh thuê ngoài làm (dự thảo).An toàn an ninh trong ĐTĐM có sự phân chia trách nhiệm giữa người sử dụng và nhà cung cấp dịchvụ. Với SaaS thì nhà cung cấp kiểm soát hầu như mọi thứ, trong khi với IaaS thì trách nhiệm lớn vềkiểm soát an toàn an ninh thuộc về người sử dụng.Phạm vi kiểm soát được phân chia giữa nhà cung cấp và người sử dụngVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 23/67
  • 24. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Mô hình tham chiếu khái niệm kết hợp: sơ đồ tích hợp của các thành phần hệ thống, tổ chức và quitrình trong ĐTĐMNhiều tác nhân tham gia trong ĐTĐM. Vì vậy rất cần xem xét tới mối quan hệ của người sử dụng vớicác bên liên quan.Tác nhân Định nghĩaNgười sử dụngđám mâyMột người hoặc tổ chức duy trì một mối quan hệ nghiệp vụ với, và sử dụng dịch vụtừ, các nhà cung cấp đám mây.Nhà cung cấpđám mâyMột người, tổ chức hoặc thực thể có trách nhiệm làm cho một dịch vụ sẵn sàng chocác bên có quan tâm.Nhà kiểm toánđám mâyMột bên có thể tiến hành đánh giá độc lập về các dịch vụ đám mây, các hoạt độnghệ thống thông tin, hiệu năng và an ninh của triển khai đám mây.Nhà môi giớiđám mâyMột thực thể quản lý sử dụng, hiệu năng và phân phối các dịch vụ đám mây, vàthương thảo các mối quan hệ giữa các nhà cung cấp đám mây và những người sửdụng đám mây.Nhà vận chuyểnđám mâyMột người trung gian cung cấp kết nối và giao thông của các dịch vụ đám mây từcác nhà cung cấp đám mây cho những người sử dụng đám mây.Các tương tác của người sử dụng với các tác nhân khác trong ĐTĐM tạo ra các kịch bản tương táckhác nhau, có ảnh hưởng tới an toàn an ninh các dịch vụ ĐTĐM.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 24/67
  • 25. Quản lý và bảo mật thông tin doanh nghiệp 11/2012An ninh chuỗi cung ứng - thuê ngoài khi có nhiều bên tham gia. Người sử dụng phải luôn đánh giá rủiro đối với các dữ liệu của mình khi đặt lên đám mây. Người sử dụng luôn phải đặt câu hỏi: Liệu có rútđược các dữ liệu của mình ra khỏi đám mây này để chuyển sang đám mây khác được không, cho dùcác đám mây khác nhau của các nhà cung cấp khác nhau với các công nghệ được sử dụng khác nhau.SLA: Thỏa thuận mức dịch vụ (Service Level Agreement).Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 25/67
  • 26. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Để có thêm thông tin về trách nhiệm của từng tác nhân khi tham gia vào ĐTĐM, xem “Kiến trúc thamchiếu Điện toán Đám mây của NIST. Những khuyến cáo của Viện Tiêu chuẩn và Công nghệ Quốc gia.Viện Tiêu chuẩn và Công nghệ Quốc gia, Mỹ - NIST”. Tháng 09/2011. 35 trang. Các tác giả: Fang Liu,Jin Tong, Jian Mao, Robert Bohn, John Messina, Lee Badger và Dawn Leaf.URL: http://ubuntuone.com/0rqn2j5SyfKVKF6ZuEwYHC6. An ninh thông tin dữ liệuĐảm bảo an ninh cho hạ tầng hệ thống, cho các ứng dụng... không ngoài mục tiêu cuối cùng là để đảmbảo an ninh cho thông tin dữ liệu (TTDL) và dòng luân chuyển, lưu trữ của chúng.Một ví dụ về thành phần cơ bản an ninh dữ liệu DSC (Data Security Component) bao gồm nhiệm vụđảm bảo an ninh cho:1. Các giao tiếp truyền thông dựatrên web (máy trạm/máy chủ)2. Các giao tiếp bằng thư điện tử.3. Các chức năng về an ninh cho hệthống phụ trợ (backend).4. DSC đảm bảo các mục tiêu về anninh sau đây:5. Tính bí mật của TTDL, cả đượctruyền và được lưu trữ.6. Tính toàn vẹn của TTDL, cả đượctruyền và được lưu trữ.7. Ràng buộc tính xác thực và có thểchứng minh được.8. Xác thực - hỗ trợ các ứng dụngdựa trên web và khác với cácphương pháp xác thực khác nhau.Trên thực tế, tùy vào mục đích bảo vệ,mức độ bảo vệ và nhiều yếu tố khác, mộtmô hình cho các chuẩn an ninh được thiếtlập. Dựa vào mô hình này để tiến hànhcác cách thức bảo vệ an ninh phù hợp.Mô hình cho các chuẩn an ninh thông tin dữ liệuVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 26/67
  • 27. Quản lý và bảo mật thông tin doanh nghiệp 11/2012C. Một số biện pháp quản lý bảo mật thông tin doanh nghiệpĐể đảm bảo an ninh thông tin, bên cạnh việc phải có được hệ thống thông tin tuân thủ kiến trúc dạngnhư được trình bày ở trên, thì một số biện pháp kỹ thuật công nghệ khác cũng giúp để thông tin và hệthống thông tin có được an ninh tốt hơn, được trình bày trong phần này.1. Chuẩn hóa như một biện pháp tăng cường an ninh thông tin dữ liệuViệc chuẩn hóa được tiến hành theo tất cả các lớp kiến trúc của hệ thống thông tin.1. Lớp nghiệp vụ: Chuẩn hóa qui trình nghiệp vụ, chuẩn hóa các thủ tục hành chính thông qua việcmô hình hóa chúng bằng các công cụ tiêu chuẩn UML (Unified Modeling Language).2. Lớp thông tin: Mô hình hóa dữ liệu và chuẩn hóa dữ liệu.a) Có 2 mô hình dữ liệu: mô hình dữ liệu chung (được sử dụng lại trong nhiều lĩnh vực ứngdụng khác nhau) và mô hình dữ liệu đặc thù (thường được sử dụng chỉ trong một lĩnh vực),sử dụng UML để mô hình hóa dữ liệu.b) Tính tương hợp bao gồm tính tương hợp về tổ chức, về kỹ thuật và về ngữ nghĩa. Chuẩn hóadữ liệu để đạt được tính tương hợp. Sử dụng ngôn ngữ đánh dấu siêu văn bản mở rộng XML(Extensible Markup Language) để chuẩn hóa việc trao đổi và sử dụng các dữ liệu trao đổiđó. Chuẩn hóa các mô hình dữ liệu đặc thù phải là ưu tiên trong chính phủ điện tử (CPĐT).Tuy vậy, việc sử dụng XML để làm chuẩn cho việc trao đổi dữ liệu là không đủ để đảm bảocho tính tương hợp, nhất là tính tương hợp về tổ chức. Tính tương hợp về tổ chức trước tiênxác định khi nào và vì sao các dữ liệu nào đó được trao đổi. Trong tính tương hợp về tổchức, các qui trình là kết quả của việc trao đổi các dữ liệu được phối hợp cùng với khungpháp lý tham chiếu (như việc xây dựng luật và các qui định).3. Lớp hạ tầng: Đảm bảo cho dòng thông tin chuyển động trong hệ thống được an toàn và thôngsuốt. Hạ tầng mạng máy tính được thiết kế theo các vùng và việc quản lý an ninh truy cập giữacác vùng được đặt lên hàng đầu. Nhiều phần chuẩn hóa về an ninh được thực hiện cho lớp này.4. Lớp ứng dụng: Các module thành phần, các ứng dụng - dịch vụ dùng chung, kiến trúc phầnmềm tham chiếu như các mô hình kiến trúc thành phần, SOA, SaaS, “điện toán đám mây”...4Ứng với mỗi mô hình kiến trúc, sẽ có những khác biệt nhất định đặc trưng cho kiến trúc đó.a) Việc chuẩn hóa ở đây có thể liên quan tới hầu hết các lĩnh vực được thể hiện trong một GIF(Government Interoperability Framework), thường được chia thành các lĩnh vực như: (1)kết nối nội bộ, (2) tích hợp dữ liệu, (3) truy cập dữ liệu và trình diễn, (4) an ninh, (5) cácdịch vụ web, (6) siêu dữ liệu, có thể có thêm (7) khu vực các nghiệp vụ...b) Việc chuẩn hóa cũng có thể được thực hiện thông qua việc kết hợp với kiến trúc tổng thểthường thấy trong các NEA (National Enterprise Architecture). Theo cách này thì các chuẩnđược phân loại theo các kiến trúc phân tầng.5. Lớp công nghệ: Chuẩn cho các loại công nghệ - mô hình kiến trúc phần mềm tham chiếu đượclựa chọn (thành phần, SOA, SaaS, “đám mây”...) nhằm đảm bảo cho tính tương hợp, tính sửdụng lại được, tính mở, an ninh, mở rộng theo phạm vi, tính riêng tư, hỗ trợ thị trường... Đưa rabộ chuẩn lựa chọn theo vòng đời của chuẩn cho:a) Kiến trúc ứng dụng, dịch vụ có và không có phần mềm trung gianb) Phần mềm máy trạm - truy cập thông tin dựa trên web/máy tính/điện thoại di động/PDA/từcác hệ thống bên ngoàiVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 27/67
  • 28. Quản lý và bảo mật thông tin doanh nghiệp 11/2012c) Việc trình diễn, xử lý thông tin đối với các loại thiết bị nêu trên.d) Giao tiếp: chọn các giao thức cho phần mềm trung gian, mạng, ứng dụng, dịch vụ thư mục,dịch vụ địa lý.e) Kết nối tới backend.f) Các chuẩn về an ninh dữ liệu - mô hình cho các chuẩn an ninh thông tin dữ liệu.Vòng đời của các chuẩn thường được sử dụng để các chuẩn được liên tục cập nhật theo sự tiến hóa củacông nghệ và hiện trạng nền CNTT-TT của nơi áp dụng. Vì vậy các chuẩn thường được phân loại theocác tình trạng dạng như: “bắt buộc sử dụng”, “khuyến cáo sử dụng” và “đang được theo dõi”.2. Sử dụng chuẩn mở là một biện pháp đảm bảo an ninh thông tin dữ liệu2.1. Giới thiệu về chuẩn mở1. Định nghĩa chuẩn mở: Có nhiều định nghĩa khác nhau về chuẩn mở. Tuy nhiên có một số điểmchung như sau:a) Tiêu chuẩn được áp dụng và được một tổ chức phi lợi nhuận duy trì, và sự phát triển hiệnhành của nó diễn ra trên cơ sở của một thủ tục ra quyết định mở, sẵn sàng cho tất cả các bêncó quan tâm (quyết định đồng thuận hoặc theo số đông...).b) Tiêu chuẩn đã được xuất bản và tài liệu đặc tả của chuẩn là sẵn sàng hoặc một cách tự dohoặc với một phí tượng trưng. Tất cả mọi người phải được phép sao chép, phân phối và sửdụng nó mà không mất phí hoặc với một phí tượng trưng.c) Sở hữu trí tuệ - nghĩa là, các bằng sáng chế có thể là có - đối với (các phần) tiêu chuẩn vàđược làm cho sẵn sàng không thể hủy bỏ được trên cơ sở không có phí bản quyền.d) Không có bất kỳ ràng buộc nào trong việc sử dụng lại tiêu chuẩn đó.2. Vì sao an ninh được đảm bảo tốt hơn khi sử dụng các chuẩn mở?a) Không bị khóa trói vào nhà cung cấp đặc biệt nàob) Bảo toàn TTDL cho lâu dàic) Đảm bảo tính tương hợp liên thông của TTDL trong các hệ thốngd) Dễ dàng chuyển TTDL từ hệ thống này sang hệ thống kháce) Khuyến khích đổi mới sáng tạo, tăng sức cạnh tranh, làm hạ giá thành sản phẩm...Tính tương hợp thực sự – InteroperabilityChúng ta nên theo - sân chơi cho mọi ngườiTính tương hợp cục bộ – IntraoperabilityChúng ta nên tránh - Khóa trói vào nhà cung cấpVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 28/67
  • 29. Quản lý và bảo mật thông tin doanh nghiệp 11/20121. Tính tương hợp (tính tương thích liên thông) là yếu tố sống còn cho CPĐTa) Định nghĩa: Tính tương hợp, ở nghĩa rộng, là khả năng các bên tham gia làm việc được vớinhau. Về khía cạnh kỹ thuật, đây là khả năng của 2 hoặc nhiều hệ thống hoặc thành phầnCNTT-TT trao đổi thông tin và sử dụng các thông tin được trao đổi đó nhằm mục đích cảithiện việc điều hành và quản lý của chính phủ. Vì đặc điểm về tổ chức của một chính phủluôn được tạo nên từ nhiều bộ, ngành, tỉnh mà tại mỗi nơi này đều có những hệ thống thôngtin của mình nên tính tương hợp là một trong những yếu tố quan trọng mang tính sống còntrong việc xây dựng CPĐT.b) Tồn tại tính tương hợp về tổ chức, công nghệ và ngữ nghĩa.c) Trong thực tế, tồn tại 2 khái niệm: tính tương hợp cục bộ và tính tương hợp thực sự.d) Chuẩn mở là yếu tố quan trọng trong bất kỳ khung tương hợp GIF nào. Chuẩn mở là xươngsống của một tiếp cận dựa trên dịch vụ cho tính tương hợp CPĐT.3. Ví dụ nổi bật về chuẩn mở chính là giao thức TCP/IP của Internet, có xuất xứ tử mạngARPANET của Bộ quốc phòng Mỹ.2.2. Một số tiêu chuẩn về hệ thống quản lý an ninh thông tin ISMSHiện tại, trên thế giới hiện đang tồn tại một họ các tiêu chuẩn 27K của Cơ quan tiêu chuẩn hóaquốc tế ISO, gồm khoảng 30 tiêu chuẩn, trong số đó cóCác tiêu chuẩn đã được ban hành1. ISO/IEC 27000:2009. Các ISMS (Information Security Management System) - Cácnguyên lý cơ bản và thuật ngữ.2. ISO/IEC 27001:2005. Đặc tả về ISMS. Đã có TCVN ISO/IEC 27001:2009.3. ISO/IEC 27002:2005. Mã thực hành đối với Quản lý An ninh Thông tin. Đã có tiêuchuẩn TCVN ISO/IEC 27002:2011.4. ISO/IEC 27003:2010. Chỉ dẫn triển khai ISMS.5. ISO/IEC 27004:2009. Quản lý an ninh thông tin - Đo lường.6. ISO/IEC 27005:2008. Quản lý rủi ro an ninh thông tin.7. ISO/IEC 27006:2007. Các yêu cầu đối với các cơ quan cung cấp kiểm toán và chứng chỉcác ISMS.8. ISO 27799:2008. Công nghệ thông tin trong y tế - Quản lý an ninh thông tin trong y tếbằng việc sử dụng ISO/IEC 27002.9. ISO/IEC 27007:2011. Các chỉ dẫn về việc kiểm toán ISMS.10.ISO/IEC TR 27008:2011. Chỉ dẫn cho các nhà kiểm toán về kiểm soát ISMS.11. ISO/IEC 27010:2012. Quản lý an ninh thông tin đối với truyền thông liên lĩnh vực, liêntổ chức.Các tiêu chuẩn sẽ được ban hành trong thời gian tới12.ISO/IEC 27013. Chỉ dẫn về triển khai tích hợp các ISO/IEC 20000-1 và ISO/IEC 27001(dự thảo).13.ISO/IEC 27014. Khung công việc chế ngự an ninh thông tin (dự thảo).14.ISO/IEC 27015. Các chỉ dẫn của các ISMS cho khu vực tài chính và bảo hiểm (dự thảo).Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 29/67
  • 30. Quản lý và bảo mật thông tin doanh nghiệp 11/201215.ISO/IEC 27017. An ninh trong điện toán đám mây (dự thảo).16.ISO/IEC 27018. Quy phạm cho các kiểm soát bảo vệ dữ liệu đối với các dịch vụ điệntoán đám mây công cộng (dự thảo).17.ISO/IEC 27031. Các chỉ dẫn về tính sẵn sàng về ICT cho tính liên tục của công việc(bản thảo cuối).18.ISO/IEC 27032. Các chỉ dẫn cho an ninh không gian mạng (CD).19.ISO/IEC 27033. An ninh mạng (dự thảo).20.ISO/IEC 27034. An ninh các ứng dụng (dự thảo).21.ISO/IEC 27035. Quản lý sự cố an ninh (dự thảo).22.ISO/IEC 27036. Các chỉ dẫn về an ninh thuê ngoài làm (dự thảo).23.ISO/IEC 27037. Các chỉ dẫn về nhận diện, thu thập và/hoặc thu được và gìn giữ bằngchứng số (dự thảo).24.ISO/IEC 27039. Lựa chọn, triển khai và vận hành các hệ thống dò tìm thâm nhập tráiphép - IDPS (Intrusion Detection [and Prevention] System) (dự thảo).25.ISO/IEC 27040. An ninh lưu giữ (dự thảo).26.ISO/IEC 27041. Chỉ dẫn cho việc đảm bảo tính bền vững và đầy đủ của các phươngpháp điều tra (dự thảo).27.ISO/IEC 27042. Chỉ dẫn cho việc phân tích và giải nghĩa bằng chứng số (dự thảo).28.ISO/IEC 27043. Các nguyên tắc và qui trình điều tra bằng chứng số (dự thảo).Chưa có nhiều doanh nghiệp trên thế giới có chứng chỉ tuân thủ các chuẩn ISO/IEC 27K về ISMS vàrất tốn kém để có thể đạt được chúng (có thể lên tới hàng trăm ngàn USD).Xem http://www.iso27001security.com/html/iso27000.html để biết chi tiết hơn về họ các tiêu chuẩnISO/IEC 27K.2.3. Một số tiêu chuẩn cho điện toán đám mâyVì ĐTĐM là mới, nên còn thiếu nhiều tiêu chuẩn, kể cả về an ninh, tính tương hợp, tính khả chuyển vàtính riêng tư.2.3.1. Tiêu chuẩn về an ninhBảng dưới đây ánh xạ các tiêu chuẩn cho các chủng loại an ninh trong Nguyên tắc phân loại ĐTĐMcủa NIST và đưa ra tình trạng về độ chín của tiêu chuẩn. Một số trong số các tiêu chuẩn được liệt kê ápdụng cho hơn một chủng loại và vì thế được liệt kê hơn một lần.Chủng loại Các tiêu chuẩn và SDO sẵn sàng Tình trạngXác thực& ỦyquyềnRFC 5246: Secure Sockets Layer (SSL)/ Transport LayerSecurity (TLS); IETFTiêu chuẩn được phê chuẩnChấp nhận của thị trườngRFC 3820: X.509 Public Key Infrastructure (PKI) Proxy Tiêu chuẩn được phê chuẩnVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 30/67
  • 31. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Chủng loại Các tiêu chuẩn và SDO sẵn sàng Tình trạngCertificate Profile; IETF Chấp nhận của thị trườngRFC5280:Internet X.509 Public Key InfrastructureCertificate and Certificate Revocation List (CRL)Profile; IETFTiêu chuẩn được phê chuẩnChấp nhận của thị trườngX.509 | ISO/IEC 9594-8: Information technology – Opensystems interconnection – The Directory: Public-key andattribute certificate frameworks, ITU-TTiêu chuẩn được phê chuẩnChấp nhận của thị trườngRFC 5849: Oauth (Open Authorization Protocol); IETF Tiêu chuẩn được phê chuẩnChấp nhận của thị trườngOpenID Authentication; OpenID Tiêu chuẩn được phê chuẩnChấp nhận của thị trườngeXtensible Access Control Markup Language (XACML);OASISTiêu chuẩn được phê chuẩnChấp nhận của thị trườngSecurity Assertion Markup Language (SAML); OASIS Tiêu chuẩn được phê chuẩnChấp nhận của thị trườngFIPS 181: Automated Password Generator; NIST Tiêu chuẩn được phê chuẩnChấp nhận của thị trườngFIPS 190: Guideline for the Use of AdvancedAuthentication Technology Alternatives; NISTTiêu chuẩn được phê chuẩnChấp nhận của thị trườngFIPS 196: Entity Authentication Using Public KeyCryptography; NISTTiêu chuẩn được phê chuẩnChấp nhận của thị trườngTính bímậtRFC 5246: Secure Sockets Layer (SSL)/ Transport LayerSecurity (TLS); IETFTiêu chuẩn được phê chuẩnChấp nhận của thị trườngKey Management Interoperability Protocol (KMIP);OASISTiêu chuẩn được phê chuẩnChấp nhận của thị trườngXML Encryption Syntax and Processing; W3C Tiêu chuẩn được phê chuẩnVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 31/67
  • 32. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Chủng loại Các tiêu chuẩn và SDO sẵn sàng Tình trạngChấp nhận của thị trườngFIPS 140-2: Security Requirements for CryptographicModules; NISTTiêu chuẩn được phê chuẩnChấp nhận của thị trườngFIPS 185: Escrowed Encryption Standard (EES); NIST Tiêu chuẩn được phê chuẩnChấp nhận của thị trườngFIPS 197: Advanced Encryption Standard (AES); NIST Tiêu chuẩn được phê chuẩnChấp nhận của thị trườngFIPS 188: Standard Security Label for InformationTransfer; NISTTiêu chuẩn được phê chuẩnChấp nhận của thị trườngTính toànvẹnXML signature (XMLDSig); W3C Tiêu chuẩn được phê chuẩnChấp nhận của thị trườngFIPS 180-3: Secure Hash Standard (SHS); NIST Tiêu chuẩn được phê chuẩnChấp nhận của thị trườngFIPS 186-3: Digital Signature Standard (DSS); NIST Tiêu chuẩn được phê chuẩnChấp nhận của thị trườngFIPS 198-1: The Keyed-Hash Message AuthenticationCode (HMAC); NISTTiêu chuẩn được phê chuẩnChấp nhận của thị trườngQuản lýnhận diệnService Provisioning Markup Language (SPML);WSFederation and WS-TrustTiêu chuẩn được phê chuẩnX.idmcc – Requirement of IdM in Cloud Computing,ITU-TĐang phát triểnSecurity Assertion Markup Language (SAML); OASIS Tiêu chuẩn được phê chuẩnChấp nhận của thị trườngOpenID Authentication, OpenID Foundation Tiêu chuẩn được phê chuẩnChấp nhận của thị trườngFIPS 201-1: Personal Identity Verification (PIV) of Tiêu chuẩn được phê chuẩnVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 32/67
  • 33. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Chủng loại Các tiêu chuẩn và SDO sẵn sàng Tình trạngFederal Employees and Contractors, NIST Chấp nhận của thị trườngAn ninh NIST SP 800-126: Security Content AutomationProtocol (SCAP), NISTTiêu chuẩn được phê chuẩnChấp nhận của thị trườngNIST SP 800-61 Computer Security Incident HandlingGuide, NISTTiêu chuẩn được phê chuẩnX.1500 Cybersecurity information exchange techniques,ITU-TTiêu chuẩn được phê chuẩnChấp nhận của thị trườngX.1520: Common vulnerabilities and exposures; ITU-T Tiêu chuẩn được phê chuẩnX.1521; Common Vulnerability Scoring System; ITU-T Tiêu chuẩn được phê chuẩnPCI Data Security Standard; PCI Tiêu chuẩn được phê chuẩnChấp nhận của thị trườngFIPS 191: Guideline for the Analysis of Local AreaNetwork Security; NISTTiêu chuẩn được phê chuẩnChấp nhận của thị trườngQuản lýchínhsách anninheXtensible Access Control Markup Language(XACML); OASISTiêu chuẩn được phê chuẩnChấp nhận của thị trườngFIPS 199: Standards for Security Categorization ofFederal Information and Information Systems; NISTTiêu chuẩn được phê chuẩnChấp nhận của thị trườngFIPS 200: Minimum Security Requirements for FederalInformation and Information Systems; NISTTiêu chuẩn được phê chuẩnChấp nhận của thị trườngTính sẵnsàngAvailability ISO/PAS 22399:2007 Guidelines for incidentpreparedness and operational continuity management,ISOChấp nhận của thị trườngBảng 1 - An ninh: Phân loại2.3.2. Tiêu chuẩn về tính tương hợpTính tương hợp của các dịch vụ đám mây có thể được phân loại theo các giao diện quản lý và chứcnăng của các dịch vụ đám mây. Nhiều tiêu chuẩn CNTT đang tồn tại đóng góp cho tính tương hợp giữaVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 33/67
  • 34. Quản lý và bảo mật thông tin doanh nghiệp 11/2012các ứng dụng đám mây của người sử dụng và dịch vụ đám mây, và giữa bản thân các dịch vụ đám mây.Có những nỗ lực tiêu chuẩn hóa đặc biệt được khởi xướng để giải quyết những vấn đề về tính tươnghợp trong đám mây. Những tiêu chuẩn đám mây đặc biệt này được liệt kê trong Bảng sau.Chủng loại Các tiêu chuẩn và SDO sẵn sàng Tình trạngTínhtươnghợp dịchvụOpen Cloud Computing Interface (OCCI); Open GridForumTiêu chuẩn được phê chuẩnCloud Data Management Interface (CDMI); StorageNetworking Industry Association, SNIATiêu chuẩn được phê chuẩnIEEE P2301, Draft Guide for Cloud Portability andInteroperability Profiles (CPIP), IEEEĐang phát triểnIEEE P2302, Draft Standard for IntercloudInteroperability and Federation (SIIF), IEEEĐang phát triểnBảng 2 - Tính tương hợp: Phân loại2.3.3. Tiêu chuẩn về tính khả chuyểnCác vấn đề về tính khả chuyển trong đám mây bao gồm tính khả chuyển về tải công việc và các dữliệu. Trong khi một số vấn đề về tính khả chuyển của tải công việc đám mây là mới, thì nhiều tiêuchuẩn cho dữ liệu và siêu dữ liệu hiện đang tồn tại đã được phát triển trước kỷ nguyên đám mây. Bảngsau đây tập trung vào các tiêu chuẩn về tính khả chuyển đặc thù của đám mây.Chủng loại Các tiêu chuẩn và SDO sẵn sàng Tình trạngTính khảchuyển vềdữ liệuCloud Data Management Interface (CDMI); SNIA Tiêu chuẩn được phêchuẩnTính khảchuyển vềhệ thốngOpen Virtualization Format (OVF); DMTF Tiêu chuẩn được phêchuẩnChấp nhận của thị trườngIEEE P2301, Draft Guide for Cloud Portability andInteroperability Profiles (CPIP), IEEEĐang phát triểnBảng 3 - Tính khả chuyển: Phân loạiChi tiết hơn về các tiêu chuẩn trong ĐTĐM, xem: “Lộ trình tiêu chuẩn Điện toán Đám mây của NISTv1.0”, Viện Tiêu chuẩn và Công nghệ Quốc gia, Mỹ - NIST. Tháng 07/2011. 76 trang. Các tác giả:Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 34/67
  • 35. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Michael Hogan, Fang Liu, Annie Sokol, Jin Tong.URL: http://ubuntuone.com/3n18xI3STBrnAZ3VnjrCrp2.4. Một số tiêu chuẩn theo mô hình kiến trúc an ninh dữ liệuCần có một số qui định chính thức của Chính phủ về hệ thống quản lý an ninh thông tin của riêngmình, có thể dựa vào tiêu chuẩn ISO/IEC 27001 đã được chuyển sang TCVN để làm cơ sở cho các vấnđề và khái niệm có liên quan và được các bên tham gia liên tục đóng góp ý kiến phản hồi trong quátrình triển khai thực tế.Dưới đây là một vài tiêu chuẩn theo kiến trúc về mô hình cho các chuẩn an ninh dữ liệu có tính gợi ý:1. Triển khai khái niệm an ninh: Đặc tả Tính tương hợp Chữ ký Công nghiệp - MailTrusT (ISIS-MTT) v1.1. Tài liệu gốc của đặc tả ISIS-MTT cấu tạo từ 8 phần với các nội dung sau:• Việc thiết lập các chứng thực khóa công khai, các chứng thực thuộc tính và các danhsách thu hồi chứng thực• Thiết lập và gửi các yêu cầu cho cơ quan chứng thực (PKCS#10) và những trả lời từ cơquan chứng thực (PKCS#7)• Thiết lập các thông điệp được mã hóa và được ký• Các yêu cầu cho các chứng thực khóa công khai, các chứng thực thuộc tính và các danhsách thu hồi chứng thực có sử dụng LDAP, OCSP1, FTP hoặc HTTP; thiết lập các câuhỏi và đáp và từ các đơn vị đóng dấu thời gian.• Kiểm tra tính hợp lệ cho các chứng thực khóa công khai và các chứng thực thuộc tính• Các thuật toán được phê chuẩn cho các hàm băm, các chữ ký, mã hóa, xác thực cácthông điệp tới và từ cơ quan chứng thực; các thuật toán được phê chuẩn cho Chữ kýXML và Mã hóa XML.• Mô tả “Giao diện thẻ Token Mật mã” (PKCS#11) với các dạng và chức năng của dữ liệu• Lập hồ sơ và mở rộng các chữ ký XML và mã hóa XML2. Phương pháp mã hóa không đối xứng: RSA3. Phương pháp mã hóa đối xứng: Tiêu chuẩn mã hóa tiên tiến AES (Advanced EncryptionStandard).4. Dữ liệu băm: Thuật toán băm an ninh: (SHA) - 256 (Secure Hash Algorithm).5. Quản lý khóa: Đặc tả Quản lý Khóa XML (XKMS) v2 (XML Key Management Specification)6. Thẻ thông minh tiếp xúc: Các thẻ nhận diện - Các thẻ mạch tích hợp (Identification Cards -Integrated circuit cards).7. Thẻ thông minh không tiếp xúc: Các thẻ Nhận diện - Các thẻ mạch tích hợp không tiếp xúc1 OCSP = Giao thức Tình trạng Chứng thực Trực tuyến (Online Certificate Status Protocol)Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 35/67
  • 36. Quản lý và bảo mật thông tin doanh nghiệp 11/2012(Identification Cards - Contactless Integrated Circuit Cards).Chi tiết hơn, xem: Chuẩn và kiến trúc cho các ứng dụng CPĐT, phiên bản 4.0, Bộ Nội vụ Cộng hòaLiên bang Đức phối hợp với Viện Fraunhofer về phần mềm và kỹ thuật hệ thống (ISST) xuất bản,tháng 03/2008.3. Hiểu về mô hình độ chín an ninh không gian mạngMột trong những mô hình được sử dụng phổ biến hiện nay để đánh giá tiềm lực tấn công và phòng thủvề an ninh không gian mạng (ANKGM) và chiến tranh không gian mạng (CTKGM) của các quốc giatrên thế giới là mô hình độ chín ANKGM.3.1. Đặc điểm của các phần mềm độc hại cao cấp ngày nayNgày nay, bức tranh của các mối đe dọa ANKGM đã khác so với trước kia, đã có một dòng mới cáccuộc TCKGM là cao cấp, có đích ngắm và dựa vào các lỗi ngày số 0của các phần mềm. Có thể mô tả đặc điểm của các phần mềm độc hạingày nay so với trước kia như sau:Về mức độ giấu giếm: Từ các phần mềm độc hại được biết một cáchcông khai tiến tới các phần mềm độc hại được giấu giếm cao độ vàthường được che giấu ngụy trang khéo léo.Về mức độ nhận biết: Từ các phần mềm độc hại nhằm vào những chỗbị tổn thương có thể nhận biết được mà chưa được vá tiến tới cácphần mềm độc hại nhằm vào những chỗ bị tổn thương chưa từngđược biết, những lỗi ngày số 0, những lỗi phần mềm chưa từng đượcvá trước đó.Về mức độ rộng rãi: Từ các phần mềm độc hại có mục đích chungmột cách rộng rãi với các nạn nhân là những người vô tình bị rơi vàobẫy tiến tới các phần mềm độc hại có đích ngắm cụ thể, vào một phầnmềm cụ thể, thậm chí của một hãng sản xuất cụ thể với “những nạnnhân cần quan tâm đặc biệt”.Về mức độ thường trực: Từ các phần mềm độc hại được tạo ra để gâytác hại một lần tiến tới các phần mềm độc hại tác động thường trực liên tục với mã nguồn của phầnmềm độc hại được cập nhật và duy trì liên tục để gây ra sự dừng hoạt động dài hạn của cả hệ thống.3.2. Mô hình độ chín ANKGMMô hình độ chín ANKGM với 5 giai đoạnhướng tới sự đàn hồi chống lại các cuộcTCKGM trải từ các mối đe dọa thôngthường tới mối đe dọa thường trực caocấp, trải từ việc hành động đối phó bằngtay trước các cuộc TCKGM cho tới việcđảm bảo độ đàn hồi của toàn bộ hệ thống.Giải nghĩa các mức độ đối phó với cáccuộc TCKGMVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 36/67
  • 37. Quản lý và bảo mật thông tin doanh nghiệp 11/2012E. Mọi người dựa vào việc tuân theo học thuyết và làm cách tốt nhất họ có thể để “dập tắt lửa”.D. Áp dụng từng phần các công cụ và công nghệ để hỗ trợ mọi người đối phó được nhanh hơn với cáccuộc TCKGM.C. Hệ thống được tích hợp với trọng tâm hướng vào tính tương hợp và các tiêu chuẩn trao đổi dữ liệuvề nhận thức tình huống bảo an thông tin.B. Lanh lẹ và dự đoán trước được các tình huống liên quan tới ANKGM và các cuộc TCKGM, đưa rachính sách nhanh chóng và chuyên nghiệp, làm sáng tỏ các sự kiện và giúp những người vận hành tìm,sửa và nhằm vào việc đối phó lại.A. Dự đoán trước được các tình huống và tập trung vào nhiệm vụ, cô lập được và chịu đựng được thiệthại nếu có, đảm bảo an ninh cho các chuỗi cung ứng và bảo vệ các hạ tầng sống còn chủ chốt để vậnhành qua được các cuộc TCKGM.Xếp hạng theo mô hình độ chín ANKGM của 23 quốc gia được khảo sát tháng 02/2012Điểmtối đa là5Quốc gia Học thuyết/Chiến lượcANKGMCó CERT*quốc giaTham giacộng độngCERT*Chỉ huyANKGMquốc giaDiễn tậpANKGM4.5/5Phần Lan Có Có CóIsrael Có Có Có CóThụy Điển Có Có Có Có4.0/5Đan Mạch Có CóEstonia Có - 2008 Có Có CóPháp Có - 2011 Có Có CóĐức Có - 2011 Có Có CóHà Lan Có - 2011 Có Có CóTây Ban Nha Có Có CóAnh Có - 2011 Có Có Có CóMỹ Có - 2011 Có Có Có Có3.5/5Úc Có - 2009 CóÁo Có CóCanada Có Có CóNhật Có Có Có Có3.0/5Trung Quốc Có Có CóÝ Có CóBalan Có Có CóNga Có Có Có CóVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 37/67
  • 38. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Điểmtối đa là5Quốc gia Học thuyết/Chiến lượcANKGMCó CERT*quốc giaTham giacộng độngCERT*Chỉ huyANKGMquốc giaDiễn tậpANKGM2.5/5 Brazil Có Có Có CóẤn Độ CóRumani Có Có Có2.0/5 Mexico* CERT: Đội ứng cứu khẩn cấp sự cố máy tính.3.3. Lưu ý quan trọng từ mô hình độ chín ANKGMTrong mức C của mô hình độ chín ANKGM nhấn mạnh tới tính tương hợp của hệ thống thông tin vàcác tiêu chuẩn trao đổi dữ liệu về nhận thức tình huống bảo an thông tin. Điều này gợi ý rằng:1. Để có được những thông tin kịp thời, chính xác nhằm đối phó với sự việc mất an ninh theo mộtcách thống nhất giữa tất cả các bên tham gia trong việc đảm bảo an toàn an ninh các hệ thốngthông tin, thì tính tương hợp và các tiêu chuẩn dựa vào sự trao đổi dữ liệu về nhận thức tìnhhuống bảo an thông tin là một yếu tố sống còn.2. Việc không đạt được tính tương hợp dựa vào các tiêu chuẩn trao đổi dữ liệu về nhận thức tìnhhuống bảo an thông tin ở mức C thì sẽ không thể tiến tới các mức cao hơn B và A trong mô hìnhđộ chín ANKGM được. Nói cách khác, nếu không đạt được tính tương hợp thì hệ thống thôngtin không bao giờ đạt được mức C trong mô hình độ chín ANKGM được.3. Khi xây dựng các hệ thống thông tin hướng tới chính phủ điện tử (CPĐT), nên kết hợp với môhình độ chín ANKGM, đặc biệt đối với các bên có trách nhiệm tham gia trong việc đảm bảo antoàn an ninh các hệ thống thông tin, để vừa đạt được các mục tiêu về giải quyết các vấn đềnghiệp vụ cũng như các mục tiêu về an ninh của toàn bộ hệ thống thông qua việc đảm bảo tínhtương hợp cho các thông tin - dữ liệu dựa vào các tiêu chuẩn mở.4. Nếu chỉ đạt tới mức C trong mô hình này, mà không với tới được các mức B và A, có nghĩa làhệ thống chỉ có khả năng chế ngự được những mối đe dọa thông thường, mà không có khả năngchế ngự được các mối đe dọa thường trực cao cấp và các mối đe dọa từ các nhà nước quốc gia.Xem thêm: Giới thiệu sơ lược mô hình độ chín an ninh không gian mạng để có chi tiết hơn về mô hìnhđộ chín ANKGM4. Hiểu về nguồn của các mối đe dọa và các lỗ hổng an ninh thường gặpCác nguồn của các mối đe dọa an ninh không gian mạng và các dạng khai thác có liên quan tới an ninhkhông gian mạng thường gặp hiện nay.Các dạng khác nhau của những mối đe dọa từ nhiều nguồn có thể ảnh hưởng bất lợi cho:• Các máy tính, phần mềm, mạng,• Các hoạt động của một cơ quan, một nền công nghiệp, hoặc bản thân Internet.Các mối đe dọa không gian mạng có thể là vô tình hoặc cố ý.• Các mối đe dọa do vô tình có thể gây ra bằng việc nâng cấp phần mềm hoặc duy trì các thủ tụcVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 38/67
  • 39. Quản lý và bảo mật thông tin doanh nghiệp 11/2012mà chúng gây ngắt quãng một cách vô tình cho các hệ thống.• Các mối đe dọa cố ý gồm cả các cuộc tấn công có chủ đích và không có chủ đích. Các cuộc tấncông có thể tới từ một loạt các nguồn, bao gồm các nhóm tội phạm, các tin tặc, và các tênkhủng bố...4.1. Tác nhân của các mối đe dọa về an ninh không gian mạngMối đe dọa Mô tảNhững ngườivận hành cácbotnetNhững người vận hành các botnet sử dụng một mạng – botnet của các máy tính bị tổnthương, bị kiểm soát từ xa để phân phối các cuộc tấn công theo kế hoạch bằngphishing, spam, và phần mềm độc hại. Các dịch vụ của các mạng này đôi khi được làmsẵn trên các thị trường ngầm (như, việc mua sắm một cuộc tấn công từ chối dịch vụhoặc các máy chủ để sắp đặt các cuộc tấn công bằng spam hoặc phishing).Các nhóm tộiphạmCác nhóm tội phạm tìm các hệ thống để tấn công và lấy tiền. Đặc biệt, các nhóm tộiphạm có tổ chức sử dụng spam, phishing, và phần mềm gián điệp/phần mềm độc hạiđể phạm tội ăn trộm nhận dạng và giả mạo trực tuyến. Bọn gián điệp của các tổ chứcquốc tế và các tổ chức tội phạm có tổ chức cũng đặt ra mối đe dọa cho quốc gia thôngqua khả năng của chúng tiến hành gián điệp công nghiệp và phạm tội ăn trộm ở phạmvi lớn và thuê hoặc phát triển các tài năng tin tặc.Các tin tặc Các tin tặc đột nhập vào các mạng với mục đích như làm rung động thách thức, khoekhoang các quyền trong cộng đồng tin tặc, trả thù, lén săn đuổi những người khác, lấytiền và những lý do khác. Trong khi để giành được sự truy cập không được phép từngđòi hỏi một số lượng khá các kỹ năng hoặc tri thức về máy tính, thì các tin tặc bây giờtải các script và các giao thức tấn công về từ Internet và tung chúng ra chống lại cácsite nạn nhân. Vì thế, khi các công cụ tấn công đã trở nên tinh vi phức tạp hơn, thìchúng cũng trở nên dễ dàng sử dụng hơn. Theo Cục Tình báo Trung ương Mỹ – CIA,đa số lớn các tin tặc không có được sự tinh thông cần thiết để đe dọa các mục tiêu khókhăn như các mạng sống còn của quốc gia. Tuy nhiên, số lượng các tin tặc trên thế giớiđặt ra một mối đe dọa khá cao đối với một sự đổ vỡ ngắn hạn và bị cách ly gây ra tổnthất nghiêm trọng.Người bêntrongNgười bên trong tổ chức bất mãn là một nguồn cơ bản của tội phạm máy tính. Nhữngngười bên trong có thể không cần nhiều hiểu biết về những thâm nhập trái phép củamáy tính vì hiểu biết của họ về một hệ thống đích thường cho phép họ giành được sựtruy cập không giới hạn để gây thiệt hại cho hệ thống hoặc ăn cắp các dữ liệu hệthống. Mối đe dọa của người bên trong cũng bao gồm các nhà thầu được tổ chức thuê,cũng như các nhân viên mà ngẫu nhiên đưa phần mềm độc hại vào trong hệ thống.Các quốc gia Các quốc gia sử dụng các công cụ không gian mạng như một phần của các hoạt độngthu thập và gián điệp thông tin và/hoặc phá hoại của họ. Một số quốc gia đang làmviệc tích cực để phát triển học thuyết, các chương trình và các khả năng của chiếntranh thông tin. Những khả năng như vậy cho phép một thực thể đơn nhất có được tácđộng đáng kể và nghiêm túc bằng việc phá hoại các hạ tầng cung ứng, truyền thông vàVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 39/67
  • 40. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Mối đe dọa Mô tảkinh tế mà chúng hỗ trợ cho sức mạnh quân sự – những tác động mà có thể ảnh hưởngcho những cuộc sống hàng ngày của các công dân trên khắp đất nước. Các sâu đặc biệtnguy hiểm do nhà nước tài trợ như Stuxnet, Duqu, Flame... không chỉ có chức nănggián điệp thông tin, mà còn phá hoại các cơ sở hạ tầng sống còn của một quốc gia.Những ngườiđánh phishingCác cá nhân, hoặc các nhóm nhỏ, thực hiện các kế hoạch phishing với mong muốn ăncắp các nhận dạng hoặc thông tin để lấy tiền. Những người đánh phishing cũng có thểsử dụng spam và các phần mềm gián điệp/phần mềm độc hại để hoàn thành các mụctiêu của họ.Những ngườiđánh spamCác cá nhân hoặc các tổ chức phân phối thư điện tử không theo yêu cầu với nhữngthông tin ẩn hoặc sai để bán các sản phẩm, tiến hành các kế hoạch phishing, phân phốicác phần mềm gián điệp/phần mềm độc hại, hoặc tấn công các tổ chức (như, tấn côngtừ chối dịch vụ).Các tác giảcủa phầnmềm giánđiệp/phầnmềm độc hạiCác cá nhân hoặc tổ chức với dự định độc hại triển khai các cuộc tấn công chống lạinhững người sử dụng bằng việc sản xuất và phân phối các phần mềm gián điệp vàphần mềm độc hại. Một số virus và sâu máy tính có tính phá hoại đã làm hỏng các tệpvà các ổ đĩa cứng, bao gồm cả Melissa Macro Virus, sâu Explore.Zip, CIH(Chernobyl) Virus, Nimda, Code Red, Slammer, và Blaster...Những kẻkhủng bốNhững kẻ khủng bố tìm để phá hủy, vô hiệu hóa, hoặc khai thác các hạ tầng sống cònđể đe dọa an ninh quốc gia, gây ra những thiệt hại hàng loạt, làm yếu đi nền kinh tế, vàgây thiệt hại về đạo đức và sự tin cậy vào nhà nước. Những kẻ khủng bố có thể sửdụng các kế hoạch phishing hoặc phần mềm gián điệp/phần mềm độc hại để làm tiềnhoặc thu thập những thông tin nhạy cảm.Các nguồn: Các phân tích của Văn phòng Kiểm toán Liên bang Mỹ (GAO) trên các dữ liệu từ Giámđốc Tình báo Quốc gia, Bộ Tư pháp, Văn phòng Điều tra Liên bang Mỹ FBI, Cơ quan Tình báo Trungương Mỹ CIA, và Trung tâm Điều phối CERT của Viện Kỹ thuật Phần mềm.Các dạng khác nhau về các mối đe dọa không gian mạng có thể sử dụng một loạt các khai thác khônggian mạng có khả năng ảnh hưởng bất lợi cho các máy tính, phần mềm, mạng, các hoạt động của cơquan, của nền công nghiệp, hoặc của bản thân Internet (xem Bảng bên dưới). Các nhóm hoặc các cánhân có thể triển khai một cách có chủ ý những khai thác không gian mạng nhằm vào một tài sảnkhông gian mạng cụ thể nào đó hoặc tấn công thông qua Internet có sử dụng virus, sâu, hoặc phần mềmđộc hại mà không có mục tiêu cụ thể nào.4.2. Một số dạng khai thác lỗ hổng an ninh không gian mạng thường gặpDạng khaithácMô tảTừ chốidịch vụMột phương pháp tấn công từ một nguồn đơn nhất mà từ chối sự truy cập hệ thống đốivới những người sử dụng hợp pháp bằng việc gây tràn ngập máy tính đích với các thôngVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 40/67
  • 41. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Dạng khaithácMô tảđiệp và cản trở giao thông hợp pháp. Nó có thể ngăn cản một hệ thống để nó không cókhả năng trao đổi các dữ liệu với các hệ thống khác hoặc sử dụng Internet.Từ chốidịch vụphân tánMột biến thể của tấn công từ chối dịch vụ có sử dụng một cuộc tấn công được phối hợptừ một hệ thống các máy tính phân tán hơn là từ một nguồn đơn nhất. Nó thường sử dụngcác sâu để lan truyền ra nhiều máy tính để các máy tính này sau đó tấn công mục tiêu.Công cụkhai thácCác công cụ có sẵn một cách công khai và tinh vi phức tạp mà những kẻ thâm nhập tráiphép với các mức độ về kỹ năng khác nhau có thể sử dụng để xác định những chỗ bị tổnthương và thâm nhập vào các hệ thống mục tiêu.Bom Logic Một dạng phá hoại trong đó một lập trình viên chèn mã và mã này làm cho chương trìnhthực thi một hành động phá hoại khi một số sự kiện kích hoạt xảy ra, như việc kết thúcviệc làm của lập trình viên.Phishing Việc tạo và sử dụng các thư điện tử và các website – được thiết kế để trông giống nhưcác doanh nghiệp, các cơ quan tài chính và các cơ quan chính phủ hợp pháp nổi tiếng –để lừa dối những người sử dụng Internet phơi các dữ liệu cá nhân của họ ra, như cácthông tin và các mật khẩu tài khoản tài chính và ngân hàng. Những kẻ đánh phishing sauđó sử dụng các thông tin này cho những mục đích tội phạm, như ăn trộm và lừa gạt.Kẻ hít gói(Sniffer)Đồng nghĩa với kẻ hít các gói. Một chương trình chặn các dữ liệu được định tuyến vàkiểm tra từng gói để tìm các thông tin đặc biệt, như các mật khẩu được truyền ở dạng cácvăn bản rõ ràng.NgựaTrojanMột chương trình máy tính giấu mã độc hại. Một ngựa Trojan thường ngụy trang nhưmột chương trình hữu dụng mà người sử dụng có thể mong muốn để chạy.Virus Một chương trình lây nhiễm cho các tệp máy tính, thường là các chương trình có thểchạy được, bằng việc chèn một bản sao của chính nó vào tệp đó. Các bản sao thườngchạy được khi tệp bị lây nhiễm được tải vào bộ nhớ, cho phép virus lây nhiễm các tệpkhác. Không giống như một sâu máy tính, một virus đòi hỏi sự liên quan của con người(thường không có chủ tâm) để nhân giống.Vishing Phương pháp của phishing dựa trên công nghệ của giao thức tiếng nói qua Internet(VoIP) và phần mềm của trung tâm gọi nguồn mở mà đã làm cho nó thành không đắt giácho những kẻ mưu đồ bất lương để thiết lập các trung tâm gọi điện thoại và bọn tội phạmgửi đi các thông điệp thư điện tử và văn bản tới các nạn nhân tiềm năng, nói đã có mộtvấn đề về an ninh, và họ cần gọi cho ngân hàng của họ để kích hoạt lại một thẻ tín dụnghoặc thẻ nợ, hoặc gửi các thông điệp văn bản tới các máy tính cầm tay, ra lệnh cho nhữngnạn nhân tiềm năng để liên hệ với các ngân hàng trực tuyến giả mạo để thay mới lại cáctài khoản của họ.Lái chiếntranh (Wardriving)Phương pháp thâm nhập vào các mạng máy tính không dây bằng việc sử dụng một máytính xách tay, ăng ten, và bộ adapter của mạng không dây liên quan tới việc tuần tra cácvị trí để giành được sự thâm nhập trái phép.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 41/67
  • 42. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Dạng khaithácMô tảSâu(Worm)Một chương trình máy tính độc lập mà nó tái sinh bằng việc tự sao chép nó từ hệ thốngnày sang hệ thống khác qua mạng. Không giống như những virus máy tính, các sâukhông đòi hỏi sự liên quan của con người để nhân giống.Khai thácngày số 0(Zero-day)Mối đe dọa không gian mạng tận dụng một chỗ bị tổn thương về an ninh trong cùng ngàymà chỗ bị tổn thương đó được biết đối với công chúng nói chung và đối với nó thì cònchưa có bản sửa lỗi nào có sẵn.Các nguồn: Các phân tích dữ liệu của Văn phòng Kiểm toán Liên bang Mỹ (GAO) và từ các báo cáocủa giới công nghiệp.4.3. Những vấn đề liên quan khác tới an ninh• Mối đe dọa về an ninh xuất phát từ chuỗi cung ứng sản phẩm - giải pháp, cả phần cứng, phầnmềm và các thiết bị viễn thông - những thành phần không thể thiếu của hệ thống thông tin cũngđang nổi lên như một chủ đề nóng hiện nay tại một số quốc gia trên thế giới.• Luật Yêu nước của Mỹ: Luật Yêu nước của Mỹ yêu cầu một công ty Mỹ (hoặc các chinhánh của nó) phải truyền tay gần như tất cả các dữ liệu công ty có về người sử dụng theo yêucầu của các cơ quan an ninh Mỹ như FBI, mà không cần lệnh của tòa án.5. Chuyển đổi sang PMTDNM là biện pháp để đảm bản an ninhNhư ở phần trên đã nêu, hầu hết chính phủ các nước chuyển sang sử dụng PMTDNM đều có lýdo từ vấn đề an ninh, trong số những lý do khác, đặc biệt kể từ sau khi phát hiện ra sâu Stuxnetvào giữa năm 2010, sâu được cho là do Mỹ và Israel cộng tác phát triển, được cho là nhằm vàoviệc phá hủy chương trình hạt nhân đầy tham vọng của Iran. Việc phát hiện ra sâu Stuxnet mởra một kỷ nguyên mới về an ninh. Nếu như trước khi có Stuxnet, phần mềm máy tính chỉ cókhả năng gây hại cao nhất là gián điệp thông tin, thì sau khi có Stuxnet, phần mềm máy tính cókhả năng phá hủy các hạ tầng công nghiệp sống còn của một quốc gia như điện/nước/hạtnhân/giao thông/tài chính và các hạ tầng công nghiệp khác.Dưới đây liệt kê một số nội dung có liên quan tới việc chuyển đổi sang PMTDNM, xuất phát từbài học thực tế của việc chuyển đổi của một doanh nghiệp nhỏ, có thể sẽ là phù hợp tốt choviệc chuyển đổi của các doanh nghiệp khác sang sử dụng PMTDNM.5.1. Vì sao phải chuyển đổi? Nhu cầu & Mục tiêuViệc chuyển đổi các ứng dụng từ đóng sang mở hiện đang diễn ra ở khắp nơi trên thế giới, cả trong khuvực các cơ quan chính phủ cũng như trong các doanh nghiệp.Việc chuyển đổi các ứng dụng từ đóng sang mở, một khi được thực hiện đúng cách, có thể đem lạinhiều lợi ích cho các doanh nghiệp, cả các doanh nghiệp lớn cũng như các doanh nghiệp vừa và nhỏ ởVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 42/67
  • 43. Quản lý và bảo mật thông tin doanh nghiệp 11/2012những khía cạnh sau:1. Doanh nghiệp sẽ tiết kiệm được chi phí mua sắm, duy trì, nâng cấp, cập nhật phần mềm.2. Đảm bảo được năng suất lao động.3. Đảm bảo sử dụng lại được các dữ liệu đã có.4. Đảm bảo cho việc trao đổi dữ liệu cả bên trong cũng như bên ngoài các hệ thống thông tin củadoanh nghiệp.5. Tôn trọng các luật về quyền sở hữu trí tuệ, nhất là đối với các phần mềm. Vì thế xây dựng đượchình ảnh tốt cho chính doanh nghiệp, không bị đe dọa cấm xuất khẩu hoặc bị kiện ra tòa ánnước ngoài, như theo Luật cạnh tranh không lành mạnh của Mỹ.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 43/67
  • 44. Quản lý và bảo mật thông tin doanh nghiệp 11/20126. Đảm bảo được an ninh dữ liệu, thông tin của doanh nghiệp được lâu dài.7. Không bị khóa trói vào các nhà độc quyền về phần mềm.Một ví dụ nổi bật nhất từ năm 2010 cho tới nay về chuyển đổi các môi trường làm việc, các ứng dụngphần mềm từ đóng sang mở tại Việt Nam là của Viettel, mà kinh nghiệm của nó được trình bày tronghội thảo “Phần mềm nguồn mở trong các cơ quan nhà nước” do Bộ Thông tin và truyền thông tổ chứcngày 15/06/2012, có thể tải về theo địa chỉ: http://ubuntuone.com/6fF9E4ifnlcRL5Yklz6k25.Nhiều người có nhận thức sai rằng PMTDNM là kém chất lượng và không an ninh. Điều này là hoàntoàn sai. Ví dụ để chứng minh cho điều này là ngay cả Microsoft bây giờ cũng đóng góp cho nhânLinux và sử dụng PMTDNM, ví dụ như, Git cho các lập trình viên chuyên nghiệp của hãng.5.2. Chuyển đổi như thế nào? - Các giải phápViệc chuyển đổi có thể được thực hiện từ cả 2 phía, phía các máy tính trạm của người sử dụng và phíacác máy tính chủ, nơi mà các công việc chủ yếu có liên quan chỉ tới những người chuyên nghiệp vềcông nghệ thông tin và truyền thông (CNTT-TT), chứ không phải là những người sử dụng thôngthường như ở phía các máy tính trạm.5.2.1. Chuyển đổi trên các máy trạmKinh nghiệm trên thế giới cũng như tại Việt Nam đã chỉ ra rằng, việc chuyển đổi trên các máy tính trạmđược thực hiện bằng 2 bước: chuyển đổi một phần và chuyển đổi toàn phần.1. Chuyển đổi một phần là việc chuyển đổi một số các ứng dụng chủ yếu, từ đóng sang mở, trongVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 44/67
  • 45. Quản lý và bảo mật thông tin doanh nghiệp 11/2012công việc hàng ngày của người sử dụng thông thường, trong khi vẫn giữ nguyên môi trường hệđiều hành là không đổi, mà cụ thể ở đây là hệ điều hành Windows các phiên bản khác nhau.Đây là một bước chuyển đổi cần thiết, giúp người sử dụng thông thường làm quen trước vớinhững ứng dụng chuyển đổi một khi sau này tiến hành bước chuyển đổi hoàn toàn từ đóng sangmở. Điều may mắn là hầu như tất cả các ứng dụng mở mà một người sử dụng thông thường làmviệc hàng ngày đều có khả năng chạy được trong môi trường hệ điều hành Windows các phiênbản khác nhau. Kinh nghiệm thực thế cho thấy, trong bước chuyển đổi một phần này, các ứngdụng sau đây sẽ được ưu tiên chuyển đổi trước (Trong các cơ quan nhà nước cũng đã có Chỉ thịsố 07/2008/CT-BTTTT ngày 30/12/2008 của Bộ Thông tin và Truyền thông về “Đẩy mạnh sửdụng phần mềm mã nguồn mở trong hoạt động của cơ quan, tổ chức nhà nước” cũng khuyếncáo chuyển đổi theo cách này):a) Từ bộ phần mềm văn phòng MS Office sang LibreOffice hoặc OpenOffice.org.b) Từ trình duyệt web MS Internet Explorer (IE) sang Mozilla Firefox. Còn có thể có một sốlựa chọn khác như sang Chrome của Google hoặc Opera.c) Từ MS Outlook sang Mozilla Thunderbird.2. Chuyển đổi toàn phần: là việc chuyển đổi không chỉ các ứng dụng nêu trên, mà là sự chuyển đổitoàn bộ môi trường hệ điều hành từ Windows sang một hệ điều hành mở, ví dụ như GNU/LinuxUbuntu (như được khuyến cáo trong các cơ quan nhà nước theo Thông tư số 41/2009/TT-BTTTT ngày 30/12/2009 của Bộ Thông tin và Truyền thông Ban hành Danh mục các sản phẩmphần mềm mã nguồn mở đáp ứng được yêu cầu sử dụng trong các cơ quan, tổ chức nhà nước,trong đó có cả hệ điều hành cho máy trạm là GNU/Linux Ubuntu). Việc tiến hành chuyển đổitoàn phần sẽ đặt ra vấn đề chuyển đổi cả các ứng dụng nghiệp vụ sang để chạy được trong môitrường mới. Một khó khăn tại Việt Nam là do vấn đề về lịch sử và thói quen để lại, không nhiềuứng dụng nghiệp vụ hiện nay của các đơn vị có khả năng chạy được trong các hệ điều hành mở.Có một số lưu ý sau đây:a) Môi trường hệ điều hành nguồn mở GNU/Linux có hầu như tất cả các ứng dụng thôngthường chạy được trong Windows.b) Môi trường thực tế trong tổ chức, doanh nghiệp vẫn còn là một môi trường hỗn hợp giữađóng và mở, giữa Windows và GNU/Linux với các ứng dụng, kể cả các ứng dụng nghiệpvụ, chạy trong chúng.5.2.2. Chuyển đổi trên các máy chủCác hệ điều hành, các máy chủ phần mềm trên các máy tính chủ thường là điểm mạnh của các giảipháp mở, nơi mà các công việc chỉ liên quan tới những người chuyên nghiệp về CNTT-TT. Tuy nhiên,vì lý do lịch sử, tại Việt Nam, hầu hết các hệ điều hành, các phần mềm máy chủ ở phía các máy chủcũng là những phần mềm đóng. Việc chuyển đổi từ đóng sang mở ở phía các máy chủ được phân theomột số loại hình dịch vụ và các máy chủ phần mềm, như:1. Các dịch vụ chia sẻ tệp và máy in2. Các dịch vụ hệ thống như dịch vụ thư mục LDAP, dịch vụ tên miền DNS, dịch vụ phân phối địaVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 45/67
  • 46. Quản lý và bảo mật thông tin doanh nghiệp 11/2012chỉ IP động DHCP, dịch vụ truy cập từ xa RAS, dịch vụ Web, dịch vụ truyền tệp FTP và cácdịch vụ hệ thống khác.3. Máy chủ thư điện tử và các dịch vụ truyền thông4. Máy chủ cơ sở dữ liệu, nơi chứa các dữ liệu của các ứng dụng nghiệp vụ của đơn vị.5. Máy chủ an ninh an toàn như các tường lửa, ủy quyền (Proxy), chống virus, chống spam, chốngtruy cập trái phép …Đối với các đơn vị mà hầu như toàn bộ các máy chủ phần mềm và các dịch vụ đều là nguồn đóng, thìmôi trường thực tế cũng vẫn còn là một môi trường hỗn hợp giữa đóng và mở, giữa Windows vàGNU/Linux. Cần có thời gian để chuyển đổi.5.3. Chuyển đổi cái gì?Khi tiến hành việc chuyển đổi, có thể ứng với mỗi một phần mềm đóng, ta sẽ có một vài phần mềm mởtương ứng. Tuy nhiên, bài viết này chủ yếu sẽ đưa ra chỉ một lựa chọn, những lựa chọn khác các đơn vịcó thể tìm hiểu sau này. Một trong những mẹo để có thể có được những bảng chỉ dẫn các phần mềmchuyển đổi, là trên các trình duyệt web, hãy gõ vào cụm từ “Linux equivalent” để nhờ các máy tìmkiếm tìm ra các phần mềm mở tương đương với các phần mềm đóng.1. Chuyển đổi trên các máy trạm. Một số phần mềm đã và đang được Việt hóa hoàn toàn.a) Phần mềm văn phòng: MS Office → LibreOffice hoặc OpenOffice.orgb) Trình duyệt web: IE → Firefox hoặc Chromec) Phần mềm thư điện tử máy trạm: Outlook → Thunderbirdd) Hệ điều hành máy trạm: Windows → Ubuntu, Fedora, Asianux…e) Bộ gõ tiếng Việt: Vietkey, Unikey → xUnikey, xvnkb, Scim, Scim-Unikey …f) Từ điển → stardictg) Phần mềm xử lý ảnh: Photoshop → GIMP, Coreldraw → Inkscapeh) Phần mềm đọc các tệp PDF: Acrobat Reader → Acroreadi) Các phần mềm thông điệp tức thì (Chat): Yahoo, Google Talk, Skype, …j) Xem phim, nghe nhạc: Mplayer, VLC, MoviePlayerk) Phần mềm trợ giúp thiết kế bằng máy tính: CAD → ZwCAD, Qcad, BRL-CAD, FreeCAD,…2. Chuyển đổi trên các máy chủ. Khác với việc chuyển đổi trên các máy trạm có thể tiến hành theokiểu chuyển đổi từng phần mềm một, từ phần mềm này sang phần mềm kia; trong khi đối vớicác máy chủ thì việc chuyển đổi thường được tiến hành theo các giải pháp, ví dụ như chuyểnviệc chuyển đổi một hệ thống thư điện tử sẽ liên quan tới một loạt các sản phẩm phần mềm máychủ khác.a) Hệ điều hành: Windows → RedHat, CentOS, Ubuntu, Debian, …Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 46/67
  • 47. Quản lý và bảo mật thông tin doanh nghiệp 11/2012b) Dịch vụ chia sẻ máy chủ tệp và máy in: Samba, CUPS, OpenLDAPc) Các dịch vụ hệ thống: dịch vụ thư mục OpenLDAP, dịch vụ tên miền Bind, dịch vụ ủyquyền Squid, dịch vụ truy cập từ xa có an ninh OpenSSH, dịch vụ web Apache, máy chủdịch vụ Tomcat, JBoss, …d) Máy chủ thư điện tử: Exchange Server → Sendmail, Postfix, Zimbra (giải pháp thư điện tửmà máy chủ thư hoàn toàn có khả năng là Postfix)…e) Máy chủ hệ quản trị cơ sở dữ liệu: MS SQL Server → MySQL, PostgreSQL...f) Cổng, CMS & Website: Liferay, Alfresco, Drupal, Joomla...g) Máy chủ an ninh an toàn: tường lửa IPtable, Shorewall, …;h) Chống truy cập trái phép: Snort,...i) Chống virus - spam: ClamAV, SpamAssasin, …j) ...5.4. Các công việc tiến hành khi chuyển đổiĐể việc chuyển đổi được thành công, cần thiết phải lên kế hoạch cho các công việc cần thực hiện choviệc chuyển đổi. Thông thường, về mặt kỹ thuật, các công việc như vậy bao gồm:1. Khảo sát hiện trạng:a) Phần cứng, các thiết bị ngoại vi - các trình điều khiểnb) Các kết nối mạng LAN, WAN, Internet, Extranetc) Phần mềm văn phòng có sử dụng các macro hay không?d) Phần mềm nghiệp vụ có việc xuất dữ liệu sang Excel hay không?e) Phần mềm kế toán của ai viết, công ty nào?f) Có sử dụng các phần mềm CAD hay đặc biệt nào không?2. Chuẩn bị cho chuyển đổia) Các ổ lưu trữ cho việc sao lưu các dữ liệub) Sao lưu các dữ liệu: các tệp văn phòng, thư điện tử, dữ liệu từ các phần mềm nghiệp vụ,trong Favorites của trình duyệt web …3. Tiến hành chuyển đổi: cài đặt các phần mềm mới từ các đĩa CD/DVD, USB, Internet, LAN, …;Tốt nhất là tiến hành cài đặt các phần mềm chuyển đổi trên một máy mà không phải lo giữ lạicác phần mềm được chuyển đổi và các dữ liệu tương ứng của nó (sau khi các dữ liệu này đãđược sao lưu ở bước trước rồi).4. Thiết lập cấu hình sau chuyển đổi cho các phần mềm ứng dụng, hệ điều hành, …5. Thiết lập kết nối mạng LAN, WAN, Internet, ExtranetVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 47/67
  • 48. Quản lý và bảo mật thông tin doanh nghiệp 11/20126. Thiết lập kết nối tới các thiết bị ngoại vi: CD/DVD, USB, máy in, máy quét, máy photocopy,máy ảnh, máy quay...7. Phục hồi các dữ liệu: văn phòng, nghiệp vụ, khác...8. Chuyển đổi các dữ liệu: văn phòng, nghiệp vụ, khác... sang cho phù hợp với những định dạngmới của các phần mềm chuyển đổi.9. Tiến hành đào tạo, huấn luyện: tại chỗ, trên mạng cho việc chuyển đổi và làm quen với cácphần mềm chuyển đổi.10. Tổ chức tiến hành việc bảo hành, nâng cấp, hỗ trợ các dịch vụ kỹ thuật11.Đánh giá, rút kinh nghiệm, mở rộng chuyển đổi5.5. Những khó khăn thường gặp và cách khắc phụcCó thể nảy sinh một số khó khăn khi chuyển đổi và đôi khi những khó khăn đó lại không nằm ở phầnkỹ thuật, cụ thể như sau:1. Quyết tâm và sự tham gia trực tiếp của lãnh đạo cao nhất đơn vị trong việc chuyển đổi.2. Tham vọng chuyển đổi lớn và nhanh ngay một lúc.3. Một số khác biệt trong thói quen sử dụng đối với những phần mềm ứng dụng mới, dẫn tới có sựchống đối của một bộ phận người sử dụng.4. Nếu có các macro trong MS Office được sử dụng trước đó, thì phải viết lại chúng để có thểchạy được trong môi trường mới của OpenOffice.org.5. Nếu có việc xuất dữ liệu sang Excel trước khi chuyển đổi, thì phải viết lại phần xuất dữ liệu đósang ứng dụng mới như là Cal của OpenOffice.org.6. Nếu có một số phần mềm (ví dụ như phần mềm kế toán doanh nghiệp hay các phần mềmnghiệp vụ khác) trước khi chuyển đổi chỉ có khả năng chạy được trên Windows, thì cần đề nghịnhà sản xuất các phần mềm đó chuyển chúng (viết lại) để có khả năng chạy được trênGNU/Linux. Có một số cách để thực hiện việc này như sau:a) Sử dụng các phần mềm mô phỏng như Wine, Mono để tạo ra các môi trường tương tự nhưkhi chúng được chạy trên Windows, nhưng thực tế lại chạy trên nền GNU/Linux.b) Viết lại các phần mềm theo công nghệ Web để giải phóng các máy trạm, vì công nghệ Webcho phép ở phía máy trạm chỉ cần có trình duyệt web, còn tất cả những thứ khác đều đượctriển khai trên các máy chủ. Khi các máy trạm được giải phóng thì dễ dàng để chuyển đổisang môi trường mở của GNU/Linux.c) Sử dụng các máy ảo, cài Windows trong một máy ảo mà máy ảo đó chạy trên GNU/Linux.Các ứng dụng chỉ chạy được trên Windows khi này sẽ chạy trong máy ảo. Trường hợp nàyvẫn cần phải có Windows.d) Trong trường hợp những phương án ở trên không thể triển khai được thì phải tính tới việcgiữ lại một số máy Windows mà không thể chuyển đổi được. Trong trường hợp này, toàn bộVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 48/67
  • 49. Quản lý và bảo mật thông tin doanh nghiệp 11/2012hệ thống trên thực tế sẽ tạo thành một môi trường hỗn hợp cả đóng lẫn mở, cà Winkdowslẫn GNU/Linux. Tuy nhiên, về lâu dài nên tính tới việc chuyển đổi hoàn toàn sang môitrường mở.7. Sử dụng hạ tầng khóa công khai (PKI) và chữ ký điện tử. Yêu cầu nhà cung cấp dịch vụ phải cógiải pháp chạy được trong môi trường PMTDNM, cả ở phía máy chủ lẫn phía máy trạm như:a) Chạy được trên hệ điều hành GNU/Linux như Ubuntu, Fedora, …;b) Chạy được với các trình duyệt web nguồn mở như Firefox, Chrome...;c) Chạy được với bộ phần mềm văn phòng PMTDNM LibreOffice và hoặc OpenOffice.org.d) Chạy được với các hệ quản trị cơ sở dữ liệu như MySQL, PostgreSQLe) Chạy được với các máy chủ thư điện tử như Send Mail, Postfix, ...5.6. Tìm kiếm sự trợ giúp trong và sau chuyển đổiViệc hỗ trợ trong và sau chuyển đổi là sống còn đối với đối với toàn bộ quá trình chuyển đổi từ đóngsang mở. Trong điều kiện cụ thể hiện nay, các nguồn lực có thể hỗ trợ chính trong và sau chuyển đổi là:1. Từ nguồn lực của chính các doanh nghiệp chuyển đổi, cụ thể là đội ngũ các nhân viên chuyênngành CNTT-TT nếu doanh nghiệp có một đội ngũ như vậy.2. Từ cộng đồng. Đây là cách thông dụng nhất và cũng là đặc trưng nhất đối với các phần mềmmở cộng đồng. Tại Việt Nam, hiện có các cộng đồng mở như Câu lạc bộ Phần mềm Tự doNguồn Mở Việt Nam (VFOSSA), HanoiLUG, SaigonLUG, HueLUG.... Hoàn toàn có thể cóđược sự trợ giúp của các cộng đồng mở thế giới thông qua các nhóm thảo luận, các diễn đàn,các website, wiki,... của các cộng đồng đó. Tuy nhiên trong trường hợp này cần thiết phải cókhả năng giao tiếp bằng tiếng Anh. Thường thì bất kỳ câu hỏi nào có liên quan tới một ứngdụng phần mềm mở cũng sẽ được trả lời một cách nhanh chóng trong các cộng đồng này.3. Từ các công ty chuyên về PMTDNM thông qua các hợp đồng dịch vụ: tư vấn, cài đặt, cập nhật,nâng cấp, đào tạo - huấn luyện, tùy biến - xây dựng các module bổ sung, tích hợp hệ thống vàtích hợp ứng dụng.4. Để có những thông tin cơ bản về phần mềm tự do nguồn mở, có thể xem và tải về tài liệu “Giớithiệu Phần mềm Tự do”, được nêu trong phần “Các tài liệu tham khảo” ở cuối của tài liệu này.5. Để giúp có khái niệm chuyển đổi hệ thống thế nào cho đúng, có thể xem tài liệu “Kinh nghiệmchuyển đổi của Chính phủ Đức sang phần mềm nguồn mở. Hướng dẫn chuyển đổi các thànhphần phần mềm cơ bản trên các máy tính chủ và các máy tính trạm, phiên bản 1.0”, tháng07/2003 của Bộ Nội vụ Cộng hòa Liên bang Đức xuất bản. Được dịch sang tiếng Việt xong vàotháng 10/2004. Có thể tải về tài liệu trong phần “Các tài liệu tham khảo” ở cuối của tài liệu này.6. Để giúp học và quản trị các hệ thống dựa vào hệ điều hành phần mềm tự do nguồn mởGNU/Linux, có thể xem và tải về 2 tài liệu đào tạo của Viện Hàn lâm Công nghệ Mở, được liệtkê trong phần “Các tài liệu tham khảo” ở cuối của tài liệu này, gồm:a) GNU/Linux cơ bản, Joaquín López Sánchez-Montañés, Sofia Belles Ramos, Roger BaigVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 49/67
  • 50. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Viñas, Francesc Aulí Llinàs và những người điều phối: Jordi Serra i Ruiz, David MegíasJiménez và Jordi Mas; Viện Hàn lâm Công nghệ Mở - FTA, 2008; 232 trang.b) Quản trị cao cấp GNU/Linux, Remo Suppi Boldrito và người điều phối Josep Jorba Esteve;Viện Hàn lâm Công nghệ Mở - FTA, 2009; 471 trang.6. Tìm hiểu để sử dụng các công cụ an ninhCó vô số các công cụ an ninh là các phần mềm tự do nguồn mở. Phần này liệt kê một số trong số đó.6.1. Danh sách 75 sự thay thế của nguồn mở cho các phần mềm an ninhCác ứng dụng nguồn mở có khả năng thay thế các ứng dụng nguồn đóng cho việc chống virus, chốngspam, làm tường lửa, mã hóa và các vấn đề khác có liên quan tới an ninh các hệ thống thông tin.Loại Tên phần mềm Thay thế cho Mô tảChốngphầnmềmđộc hạiClamAV VirusScanEnterprise forLinuxĐược biết như là “tiêu chuẩn de facto cho việc quét cổngthư điện tử”, ClamAV là một trong những ứng dụng anninh nguồn mở phổ biến nhất có sẵn sàng. Sản phẩmnguồn mở cốt lõi đó từng được đóng gói vào trong nhiềusản phẩm khác, bao gồm cả Immunet, một phiên bản dựavào đám mây cho các máy tính cá nhân Windows. Lưu ýrằng phiên bản tiêu chuẩn của ClamAV đưa ra việc quéttheo yêu cầu chỉ và không quét hệ thống của bạn hoặc nộidung tới theo thời gin thực.Hệ điều hành: Linux, nhưng phần giao diện mặt tiền(front-end) và các phiên bản bổ sung là sẵn sàng cho cáchệ điều hành khác.ClamTk VirusScanEnterprise forLinuxMột trong nhiều giao diện mặt tiền cho ClamAV, ClamTkđưa ra một giao diện đồ họa dễ sử dụng. Nó từng thắng vàigiải thưởng và là sẵn sàng trong nhiều ngôn ngữ.Hệ điều hành: Linux.ClamWin FreeAntivirusKasperskyAnti-Virus,McAfeeAntiVirusPlus, NortonAnti-VirusHơn 600.000 người sử dụng Windows chạy phần mềmchống virus này trên các máy của họ. Nó đưa ra một trìnhcài đặt dễ dàng, và nó tích hợp với Windows Explorer vàOutlook. Như bạn có thể đoán từ cái tên, nó cũng dựa vàoClamAV.Hệ điều hành: Windows.Sao lưu Amanda SimpanaBackup andRecovery ,NetVault, HPĐây là website công bố rằng Amanda là “phần mềm saolưu và phục hồi nguồn mở phổ biến nhất trên thế giới”. Nócó thể sao lưu nhiều hệ thống kết nối mạng tới một đầubăng từ hoặc hệ thống lưu trữ dựa vào đĩa duy nhất, và nóVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 50/67
  • 51. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Loại Tên phần mềm Thay thế cho Mô tảStorageWorksEBSrất dễ đàng để thiết lập. Nó có phiên bản tự do cho cộngđồng, một phiên bản chuyên nghiệp phải trả tiền hoặc sựgá lắp phải trả tiền.Hệ điều hành: Windows, Linux, OS X.Areca Backup NovaBackup Nếu bạn chỉ cần sao lưu một hệ thống duy nhất, thì Arecađưa ra một giao diện dễ dàng sử dụng mà cần bằng đượctính đơn giản với tính mềm dẻo. Các tính năng đáng giábao gồm nén, mã hóa AES128 và AES256, các bộ lọc vàhỗ trợ cho các sao lưu từng tý một, khác nhau, delta vàđầy đủ.Hệ điều hành: Windows, Linux.Bacula SimpanaBackup andRecovery ,NetVault, HPStorageWorksEBSGiải pháp sao lưu mạng phổ biến này từng được thiết kếcho những người sử dụng chuyên nghiệp. Những ngườicần sự hỗ trợ và các dịch vụ thương mại có thể có nóthông qua các hệ thống Bacula.Hệ điều hành: Windows, Linux, OS X.Clonezilla Norton Ghost Công cụ nhái và tạo ảnh đĩa này có trong 2 phát hànhriêng rẽ. Clonezilla Live làm sao lưu và phục hồi cho mộthệ thống duy nhất. Clonezilla SE cho phép những ngườiquản trị hệ thống nhái hoặc đưa ra nhiều ảnh đĩa cho 40 hệthống hoặc nhiều hơn cùng một lúc.Hệ điều hành: Windows, Linux, OS X.FOG Norton Ghost Công cụ nhái khác, FOG khuyến khích sử dụng dễ dàng,quản trị tập trung, các khả năng mạnh và khả năng mởrộng phạm vi mà có thể hỗ trợ các mạng với 2 – 2000 máy.Bổ sung thêm cho việc làm ảnh đĩa, nó cũng đưa ra việcquét virus, kiểm thử bộ nhớ, quét sạch đĩa, kiểm tra đĩa, vàcác tính năng phục hồi tệp.Hệ điều hành: Windows, Linux.Partimage Norton Ghost,NovaBackup,McAfeeOnlineBackup,Carbonite.comĐược tải về hơn 750.000 lần, Redo được cho là “giải phápphục hồi thảm họa hoàn chỉnh nhất, dễ dàng nhất và cósẵn”. Nó chạy từ mọt Live CD, nên không cần cài đặt. Nórất nhanh và dễ sử dụng, thậm chí nếu bạn xóa toàn bộ ổđĩa của bạn, thì nó vẫn có thể đưa bạn trở ngược lại vàchạy chỉ trong 10 phút.Hệ điều hành: Linux.TrìnhduyệtChromium MicrosoftInternetPhiên bản nguồn mở của trình duyệt Google Chrome thúcđẩy một số tính năng an ninh được xây dựng sẵn, giốngVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 51/67
  • 52. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Loại Tên phần mềm Thay thế cho Mô tảExplorer như tự động cập nhật, hộp cát – sandboxing, duyệt an toàn- SafeBrowsing, việc khóa các trình cài cắm đã lỗi thời vànhiều tính năng khác. Đội Chromium bao gồm các chuyêngia an ninh nổi tiếng, và họ đáp ứng được những thôngbáo về khả năng bị tổn thương rất nhanh - đôi khi đưa racác bản vá trong 24 giờ.Hệ điều hành: Windows, Linux, OS X.Firefox MicrosoftInternetExplorerĐược Quỹ Mozilla phát triển, Firefox cũng nói đưa ra mộtkinh nghiệm duyệt an ninh hơn. Các tính năng an ninh baogồm ID website ngay lập tức, việc duyệt riêng tư, các khảnăng không theo dõi, chống virus và chống phishing, tựđộng cập nhật và nhiều hơn thế.Hệ điều hành: Windows, Linux, OS X.Tor Browser MicrosoftInternetExplorerTrình duyệt Tor nhằm để giữ cho bạn an toàn và nặc danhtrong khi duyệt trên Internet. Nó truyền các giao tiếpxuyên qua nhiều lớp để ngăn chặn những người ngoài(giống như các thực thể chính phủ) khỏi việc gián điệp lênbạn hoặc theo dõi các hoạt động của bạn.Hệ điều hành: Windows, Linux, OS X.Cáctrình bổsung củatrìnhduyệtWeb of Trust(WOT)McAfeeSiteAdvisorPlusTheo máy đếm trên trang chủ của nó, WOT từng được tảivề hơn 68 triệu lần. Nó hiển thị một “đèn giao thông”xanh, vàng hoặc đỏ cho các website để cho bạn biết liệusite đó có một uy tín đáng tin cậy hay không. Nó làm việcvới tất cả các trình duyệt chính, bao gồm Firefox, IE,Chrome, Safari và Opera.Hệ điều hành: Windows, Linux, OS X.PasswordMaker KasperskyPasswordManager,RoboformĐừng giữ sử dụng cùng mật khẩu liên tục và liên tục!PasswordMaker tạo mật khẩu duy nhất cho từng dịch vụbạn sử dụng. Tất cả điều bạn phải nhớ là một mật khẩuchủ và trình bổ sung này làm phần còn lại cho bạn.Hệ điều hành: Windows, Linux, OS X.Xóa dữliệuBleachBit Easy SystemCleanerBleachBit kết hợp nhiều chức năng an ninh và tính riêngtư vào một tiện ích duy nhất. Nó làm sạch “đồ tạp nhạp –junk” như các tệp tạm thời và cookies, và nó bảo vệ tínhriêng tư của bạn bằng việc xóa lịch sử của bạn và xóa cáctệp lưu ký. Nó cũng bao gồm một tệp “cắt vụn” để giúpbạn loại trừ hoàn toàn tất cả dấu vết của các tệp khôngmong muốn.Hệ điều hành: Windows, Linux.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 52/67
  • 53. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Loại Tên phần mềm Thay thế cho Mô tảEraser BCWipeEnterpriseGiống như các công cụ “cắt vụn” dữ liệu khác, Eraser loạibỏ hoàn toàn tất cả các dấu vết của một tệp khỏi ổ của bạnbằng việc ghi đè nó vài lần với các dữ liệu ngẫu nhiên.Website Eraser gợi ý bạn có lẽ thích sử dụng nó để chắcchắn không ai có thể phục hồi lại được “mật khẩu, thôngtin cá nhân, các tài liệu mật từ công việc, các bản ghi tàichính, [hoặc] các vần thờ tự viết” của bạn.Hệ điều hành: Windows.Wipe BCWipeEnterpriseNếu bạn là trên Linux, thì bạn sẽ không có khả năng sửdụng Eraser, nhưng bạn sẽ có khả năng chạy Wipe, mà đưara nhiều chức năng y hệt. Site này cũng đưa ra ít chi tiết kỹthuật hơn về cách đảm bảo an ninh cho các công việc xóa.Hệ điều hành: Linux.Dariks Bootand NukeKill Disk,BCWipe TotalWipeOutNếu bạn cần xóa toàn bộ đĩa, DBAN làm công việc này.Nó là một công cụ tuyệt với để sử dụng nếu bạn có kếhoạch tài trợ hoặc bố trí một hệ điều hành cũ và khôngmuốn mọi người có khả năng truy cập các bản ghi của bạntừ ổ đĩa cứng.Hệ điều hành: Không phụ thuộc hệ điều hành.Chốngmất dữliệuOpenDLP RSA DataLossPreventionSuite,CheckPointDLP SoftwareBlade,SymantecData LossPreventionProductFamilyGiải pháp DLP được quản lý tập trung này có thể quéthàng ngàn máy Windows hoặc Unix một lần để phát hiệnbất kỳ dữ liệu nhạy cảm nào còn lại. Nó sau đó trả về cáckết quả một cách an ninh tới giao diện Web dễ sử dụngcho người sử dụng (GUI), sao cho các công chức tuân thủvà nhân sự về an ninh có thể xác định được các dạngthông tin nào có thể trú ngụ trong các hệ thống của họ.Hệ điều hành: Windows.MyDLP RSA DataLossPreventionSuite,CheckPointDLP SoftwareBlade,SymantecData LossLà một giải pháp DLP khỏe mạnh hơn, MyDLP thực sự cóthể ngăn cản được dữ liệu nhạy cảm khỏi việc để lại trongcác máy của bạn cũng như việc nhận diện ra vị trí của nó.Bổ sung thêm cho phát hành cộng đồng tự do, nó cũng cósẵn sàng trong một phiên bản chuyên nghiệp phải trả tiềnđi với sự hỗ trợ.Hệ điều hành: Windows, Linux, VMware.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 53/67
  • 54. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Loại Tên phần mềm Thay thế cho Mô tảPreventionProductFamilyAn ninhthư điệntử / lọcScrollout F1 BarracudaSpam andVirusFirewall,SpamHero,Abaca EmailProtectionGatewayĐặc biệt phổ biến, Scrollout F1 kết hợp cả các khả năngchống spam, chống virus và bảo vệ chống mất dữ liệutrong một giải pháp an ninh cổng tự do. Nó làm việc vớitất cả các máy chủ thử, bao gồm cả Microsoft Exchange,Lotus Domino, Postfix, Exim, Qmail và các máy chủ thưkhác.Hệ điều hành: Windows, Linux.ASSP BarracudaSpam andVirusFirewall,SpamHero,Abaca EmailProtectionGatewayBộ lọc ủy quyền chống spam này nói “Khi nói về việc tiêudiệt SPAM thì không gì là sát thủ như ASSP!”. Các tínhnăng chính bao gồm thiết lập dễ dàng dựa vào trình duyệt,hỗ trợ cho hầu hết các máy chủ SMTP, tự động liệt kê chomọi người mọi thứ của bạn như thư điện tử, kiểm tra hợplệ sớm người gửi, lọc virus (dựa vào ClamAV).Hệ điều hành: Không phụ thuộc vào hệ điều hành.MailScanner BarracudaSpam andVirusFirewall,SpamHero,Abaca EmailProtectionGatewayTrình khóa spam này nói nó từng được tải về hơn 1.4 triệulần (gần 30.000 lần mỗi tháng) và hiện được sử dụng tạihơn 225 quốc gia. Nó bao gồm cả các khả năng chốngvirus và chống spam, và nó được đưa vào trong nhiều pháttán Linux.Hệ điều hành: Không phụ thuộc vào hệ điều hành.SpamAssassin BarracudaSpam andVirusFirewall,SpamHero,Abaca EmailProtectionGatewayMột dự án của Apache, nó tự nói là “bộ lọc spam nguồnmở mạnh số 1” đã nhận được nhiều giải thưởng. Nó ứngdụng nhiều kiểm thử mạng và địa phương khác nhau đểnhận diện các chữ ký spam, và nó dễ dàng để bổ sungthêm các qui tắc nếu bạn chọn.Hệ điều hành: ban đầu là Linux và OS X, dù các phiên bảnWindows cũng sẵn có.SpamBayes BarracudaSpam andVirusFirewall,SpamHero,Bộ lọc spam này sử dụng các thuật toán và hành vi trướcđó của bạn để xác định khả năng các thông điệp là spamhoặc “gây hại”, sau đó lọc chúng trong các thư mục phùhợp. Nó đi với nhiều phiên bản, bao gồm một trình càicắm cho Outlook.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 54/67
  • 55. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Loại Tên phần mềm Thay thế cho Mô tảAbaca EmailProtectionGatewayHệ điều hành: Không phụ thuộc hệ điều hành.P3Scan VirusScanEnterprise forLinuxBộ lọc ủy quyền trong suốt này quét thư điện tử và các tệpgắn kèm để nhận diện spam, virus, sâu, Trojan và các mãđộc khác. Bạn có thể sử dụng nó một mình hoặc cùng vớicác ứng dụng chống phần mềm độc hại hoặc chống spamkhác.Hệ điều hành: Linux.Mã hóa AxCrypt SymantecEncryption,Folder Lock,SensiGuard,CryptoForgeHơn 2.7 triệu người sử dụng đã tải về và đăng ký giải phápmã hóa nguồn mở này. Nó tích hợp trong WindowsExplorer (nháy phải để mã hóa, nháy đúp để giải mã) vàcũng hỗ trợ các dịch vụ lưu trữ đám mây như DropBox,Live Mesh, SkyDrive và Box.net.Hệ điều hành: Windows.Gnu PrivacyGuardSymantecEmailGatewaySolution(PGP)Giải pháp mã hóa thư điện tử GNU hỗ trợ nhiều thuật toánmã hóa và đưa ra các tính năng quản lý khóa tốt. Đây làmột công tụ dòng lệnh chỉ cho Linux, nhưng các dự ánkhác đã tạo ra giao diện front end và đã chuyển nó sangcác hệ điều hành khác.Hệ điều hành: Linux.GPGTools SymantecEmailGatewaySolution(PGP)Nếu bạn chạy trên Mac, bạn có thể muốn thử phiên bảnnày của GPG. Nhưng lưu ý là phiên bản Mountain Lionvẫn còn ở giai đoạn sớm.Hệ điều hành: OS X.gpg4win SymantecEmailGatewaySolution(PGP)Như cái tên gợi ý, dự án này mang GNU Privacy sangWindows. Nó mã hóa cả các tệp và các thông điệp thư, vànó đặc trưng cho một giao diện dễ sử dụng.Hệ điều hành: Windows.PeaZip WinZip Công cụ nén và lưu trữ này cũng đưa ra các khả năng mãhóa và xóa an ninh. Nó hỗ trợ hơn 150 định dạng tệp vànhiều khả năng mã hóa, cộng với nó có trong các phiênbản khả chuyển và 64 bit.Hệ điều hành: Windows, Linux.Crypt SymantecEncryption,Folder Lock,Tốc độ là tuyên bố lừng danh của Crypt. Tiện ích mã hóadòng lệnh này chỉ chiếm có 44MB không gian đĩa, và nócó thể mã hóa 30 tiệp (tổng cổng 3MB) chỉ trong 0.7 giây.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 55/67
  • 56. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Loại Tên phần mềm Thay thế cho Mô tảSensiGuard,CryptoForgeHệ điều hành: Windows.NeoCrypt SymantecEncryption,Folder Lock,SensiGuard,CryptoForgeNeoCrypt nói một giao diện trực quan và “nhanh, tin cậyvà mã hóa không phá được”. Các tính năng bao gồm sự hỗtrợ cho 10 thuật toán mã hóa, tích hợp Windows Explorer,các hoạt động bó và hơn thế nữa.Hệ điều hành: Windows.LUKS/cryptsetupSymantecDriveEncryptionThiết lập Khóa Thống nhất Linux - LUKS (Linux UnifiedKey Setup), nói sẽ là “tiêu chuẩn cho mã hóa đĩa cứngLinux”. Nó mã hóa toàn bộ ổ hoặc phân vùng một lần vàhỗ trợ nhiều mật khẩu cho nhiều người sử dụng.Hệ điều hành: Linux.FreeOTFE SymantecDriveEncryptionViết tắt là “Mã hóa tự do trong khi làm việc” - FreeOTFE(Free On The Fly Encryption) tạo ra một đĩa ảo được mãhóa trong hệ thống của bạn. Nó hỗ trợ nhiều kỹ thuật bămvà các thuật toán mã hóa, và nó có thể chạy từ một ổ USB.Hệ điều hành: Windows.TrueCrypt SymantecDriveEncryptionĐây là tiện ích mã hóa đĩa rất phổ biến từng được tải vềhơn 26 triệu lần. Nó đưa ra hiệu năng nhanh, nhờ vào sựsong song và việc dẫn đường, và nói hỗ trợ tăng tốc phầncứng trong các vi xử lý hiện đại.Hệ điều hành: Windows.Pháp lý The SleuthKit/AutopsyBrowserEnCaseForensics, X-waysForensics,AccessDataForensicToolkitCác ứng dụng đó cho phép người sử dụng thực hiện phântích số trong các hệ thống Windows, Linux, OS X hoặcUnix. Sleuth Kit là một công cụ dòng lệnh, và AutopsyBrowser đưa ra một giao diện đồ họa để làm cho dễ dànghơn để sử dụng. Site này cũng đưa ra một ít thông tin vềphân tích số nói chung.Hệ điều hành: Windows, Linux, OS X.CổngGateway/ Cácthiết bịquản lýmối đedọathốngnhấtEndian FirewallCommunityCheck PointSecurityGateways,SonicWall,SymantecWeb GatewayVới phiên bản cộng đồng của Endian, bạn có thể biến bấtkỳ PC nào thành một thiết bị an ninh dựa vào Linux hoànchỉnh với tường lửa, chống phần mềm độc hại, lọc Web,VPN, lọc spam và hơn thế nữa. Công ty cũng đưa ra cácthiết bị phần cứng, phần mềm hoặc ảo hóa có trả tiền dựavào mã nguồn mở y hệt đó.Hệ điều hành: LinuxUntangle Lite Check PointSecurityGateways,Rất giống Endian, Untangle Lite cũng có thể biến cácphần cứng PC tiêu chuẩn của Intel/AMD thành một thiếtbị an ninh. Những người tiêu dùng có quan tâm có thểVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 56/67
  • 57. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Loại Tên phần mềm Thay thế cho Mô tảSonicWall,SymantecWeb Gatewaymua các ứng dụng an ninh riêng rẽ, các gói an ninh hoặccác thiết bị phần cứng hoàn chỉnh từ Untangle.Hệ điều hành: LinuxClearOS Check PointSecurityGateways,SonicWall,SymantecWeb GatewayMáy chủ của doanh nghiệp nhỏ cũng bao gồm chức năngan ninh cổng gateway. Các sản phẩm và dịch vụ được hỗtrợ thương mại dựa vào công nghệ y hệt là sẵn sàng thôngqua ClearCenter.Hệ điều hành: Linux.Sophos UTMHome EditionCheck PointSecurityGateways,SonicWall,SymantecWeb GatewayBan đầu được gọi như là Cổng An ninh Astaro, phiên bảntự do này của phần mềm Sophos bao gồm các khả năngchống phần mềm độc hại, chống spam, lọc Web, VPN vàcác tính năng khác. Sophos cũng đưa ra một phiên bảntường lửa cơ bản tự do, nguồn mở cho các doanh nghiệp,những như các phiên bản được trả tiền của phần mềm.Hệ điều hành: Linux.Dò tìmthâmnhập tráiphépOpen SourceTripwireTripwire Tripwire là một trong những giải pháp dò tìm thâm nhậptrái phép thương mại hàng đầu. Qua một thập kỷ, công tyngắn gọn đã đưa ra sản phẩm hàng đầu của mình theo mộtgiấy phép nguồn mở, và sự phát triển đã tiếp tục trong dựán độc lập với Tripwire thương mại. Cả 2 sản phẩm giúpnhận diện khi các tin tặc làm gián đoạn các mạng bằngviệc giám sát các thay đổi trong hệ thống tệp của bạn.Hệ điều hành: Windows, Linux.AFICK Tripwire Trình kiểm tra tính toàn vẹn tệp hác, hoặc ngắn gọn làAFICK, làm việc rất giống với Tripwire. Nó rất nhanh vàchạy từ dòng lệnh hoặc giao diện đồ họa được đưa vào.Hệ điều hành: Windows, Linux.CáctườnglửaIPCop Barricuda NGFirewall,Check PointAppliancesHầu hết các dự án tường lửa mạng nguồn mở, bao gồm cảIPCop, làm cho có khả năng tạo ra thiết bị tường lửa dựavào Linux của riêng bạn từ phần cứng PC tiêu chuẩn. Dựán này có một giao diện dựa vào Web khá trực quan và làlựa chọn tốt cho các chủ doanh nghiệp nhỏ hoặc khác vớicác mạng nhỏ.Hệ điều hành: Linux.Devil-Linux Barricuda NGFirewall,Check PointAppliancesNhiều tính năng đầy đủ hơn so với nhiều tường lửa mạngnguồn mở, Devil-Linux có thể hoạt động như một máychủ ứng dụng cũng như một tường lửa/bộ định tuyến. Nócũng có thể chạy từ một đĩa CD hoặc một đầu USB.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 57/67
  • 58. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Loại Tên phần mềm Thay thế cho Mô tảHệ điều hành: LinuxIPFire Barricuda NGFirewall,Check PointAppliancesĐược thiết kế để đáp ứng được các nhu cầu của từngngười trong những người sử dụng ở nhà bằng mọi dạngcho tới các doanh nghiệp lớn, IPFire nói là có tính mềmdẻo tuyệt vời và các cập nhật an ninh thường xuyên. Mộtsố hỗ trợ thương mại và trình bổ sung (add-ons) là sẵnsàng.Hệ điều hành: Linux.Turtle Firewall Barricuda NGFirewall,Check PointAppliancesTurtle được nó là cấu hình đơn giản, nhanh của một tườnglửa dựa vào IPTable. Nó là lựa chọn tốt cho khá nhiềungười sử dụng kỹ thuật, nhưng có thể quá mạnh đối vớinhững người ít hiểu biết về kết nối mạng.Hệ điều hành: Linux.Shorewall Barricuda NGFirewall,Check PointAppliancesCũng như “Tường lửa Shoreline”, Shorewall nhằm để trởthành “mềm dẻo và mạnh nhất” trong các lựa chọn tườnglửa dựa vào Linux. Bạn có thể thiết lập nó để hành độngnhư một tường lửa mạng đơn giản, như một cổnggateway/máy chủ/bộ định tuyến đa chức năng hoặc để bảovệ một hệ thống cá nhân riêng rẽ.Hệ điều hành: Linux.Vuurmuur Barricuda NGFirewall,Check PointAppliancesTường lửa dựa vào IPTable này nói “các tính năng giámsát mạnh” cho phép theo dõi theo thời gian thực các lưuký, các kết nối và băng thông rộng. Các tính năng khácbao gồm việc hình thành giao thông, một giao diện đồ họangười sử dụng GUI dễ sử dụng, hỗ trợ IPv6, các khả năngchống lừa gạt và hơn thế.Hệ điều hành: Linux.m0n0wall Barricuda NGFirewall,Check PointAppliancesKhông giống như hầu hét các dự án trong danh sách củachúng tôi, m0n0wall dựa vào FreeBSD, không dựa vàoLinux. Nó có thể được sử dụng với các hệ thống nhúng từPC Engines hoặc Soekris Engineering, cũng như với cácmáy tính cá nhân PC tiêu chuẩn x86.Hệ điều hành: FreeBSD.pfSense Barricuda NGFirewall,Check PointAppliancesMột lựa chọn khác dựa vào BSD, pfSense là một rẽ nhánhrất phổ biến của m0n0wall mà từng được tải về hàng triệulần. Nó nói đưa ra “hầu hết tất cả các tính năng trong cáctường lửa thương mại đắt tiền, và nhiều hơn trong nhiềutrường hợp”. Hỗ trợ thương mại là sẵn sàng.Hệ điều hành: FreeBSD.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 58/67
  • 59. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Loại Tên phần mềm Thay thế cho Mô tảVyatta NetworkOSCiscoproductsVyatta đưa ra các khả năng kết nối mạng dựa vào phầnmềm, bao gồm cả việc định tuyến lớp chuyên nghiệp, cáctính năng tường lửa và VPN. Bổ sung thêm vào phiên bảntự do nguồn mở, nó cũng đưa ra các phiên bản chuyênnghiệp có trả tiền của phần mềm, bổ sung nhiều khả nănghơn.Hệ điều hành: Linux.GiámsátmạngWireshark OmniPeek,CommViewWireshark tự cho bản thân là “nhà phân tích giao thứcmạng trước nhất của thế giới”, và đây là một sản phẩm rấtchín muồi với các tải tài liệu và trợ giúp sẵn sàng. Nó thựchiện điều tra sâu đối với hàng trăm giao thức, các tínhnăng chụp sống, phân tích phi trực tuyến và nhiều chứcnăng khác. Hỗ trợ và các dịch vụ thương mại là sẵn sàngthông qua Riverbed Technology.Hệ điều hành: Windows, Linux, OS X.Tcpdump/libpcapOmniPeek,CommViewCùng nhau, 2 công cụ dòng lệnh đó đưa ra một giải phápgiám sát và phân tích mạng hoàn chỉnh: tcpdump thựchiện phân tích gói, trong khi libpcap thực hiện chụp giaothông. Nhiều lập trình viên đằng sau Wireshark cũng cóliên quan tới các dự án đó.Hệ điều hành: Linux.WinDump/WinPcapOmniPeek,CommView2 dự án này chuyển tcpdump và libpcap sang Windows.Và, giống như Wireshark, chúng cũng có liên quan tớiRiverbed Technology.Hệ điều hành: Windows.Hệ điềuhànhBackTrackLinuxWindows Được xây dựng cho kiểm thử trình diễn, BackTrack giúpđơn giản hóa qui trình kiểm thử và tăng cường cho cácmạng của bạn, bất kể bạn là một người mới tới lĩnh vựcnày hay một chuyên gia theo vụ. Nó đưa ra một thư việnkhổng lồ các công cụ an ninh và kiểm thử thâm nhập tráiphép, và nó có thể được cài đặt trong một hệ thống hoặcchạy từ một đĩa Live CD hoặc đầu USB.EnGarde SecureLinuxWindows Engarde nói sẽ là “nền tảng hệ điều hành Internet thực sựan ninh, nguồn mở đầu tiên”. Nó bao gồm các khả năngcủa SELinux, cộng với các tính năng dò tìm thâm nhậptrái phép, lọc nội dung và các tính năng an ninh khác.Liberté Linux Windows Dựa vào Gentoo Linux, Liberté chạy từ một ổ USB, đảmbảo an ninh cho máy của bạn và mã hóa các thông điệpcủa bạn. Website của dự án nói, “Bất kỳ khi nào bạn đangVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 59/67
  • 60. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Loại Tên phần mềm Thay thế cho Mô tảlà một người bảo vệ cho tính riêng tư, một người bất đồngchính kiến, hoặc một đặc vụ đang ẩn mình, bạn có khảnăng như nhau để thấy Liberté Linux hữu dụng như mộtsự trợ giúp truyền thông cho nhiệm vụ sống còn”.LPS Windows Được Không quân Mỹ tạo ra, An ninh Khả chuyển Nhẹ,hoặc LPS (Lightweight Portable Security), là phát tánLinux có thể biến bất kỳ máy tính cá nhân PC hoặc Macnào thành một nút giao tiếp an ninh. Nó chạy từ một CDhoặc đầu USB và loại bỏ tất cả sự theo dõi hoạt động củabạn khi bạn tắt nó.NetSecl Windows Một biến thể của OpenSuse, NetSecl, giống nhưBackTrack, đã được xây dựng để sử dụng trong các tìnhhuống kiểm thử thâm nhập.SELinux Windows Nó không phải là hệ điều hành đầy đủ, nhưng các dự áncủa SELinux đã bổ sung các khả năng kiểm soát truy cậptới nhân Linux. Các tính năng đó được kết hợp vào nhiềuphát tán Linux, bao gồm nhiều phát tán phổ biến nhất, nhưRed Hat và Fedora.Tails Windows Phát tán Linux khác tập trung vào tính riêng tư, Tails làviết tắt của “Hệ thống Sống của Người cải trang Amnesic”(Amnesic Incognito Live System). Giống như Whonix, nólà đòn bẩy cho Tor và Debian, và nó sử dụng các công cụmã hóa đề bảo vệ các tệp và giao tiếp của bạn. Nó chạy từmột đĩa Live DVD hoặc đầu USB sao cho bạn có thể tựbảo vệ bất kể hệ điều hành nào bạn đang dùng.Whonix Windows Dựa trên Virtual Box, Debian GNU/Linux và Tor, Whonixđược thiết kế để thành một hệ điều hành nặc danh đầy đủmà đưa ra được an ninh khác thường và sự bảo vệ tínhriêng tư. Nó nói sẽ là cho các rò rỉ về IP và DNS là khôngthể.Phá mậtkhẩuOphcrack Access DataPasswordRecoveryToolkit,PasswareMỗi quản trị mạng cần một người phá mật khẩu trong khovũ khí của anh hoặc chị ta cho những lần khi các mật khẩukhông thể phục hồi được theo bất kỳ cách gì. Được pháttriển bởi những người đã sáng tạo ra các bảng cầu vồng,Ophcrack có thể sử dụng phương pháp đó hoặc sức mạnhthô thiển để tìm kiếm các mật khẩu không được biết.Hệ điều hành: Windows, Linux.John the Ripper Access DataPasswordJohn the Ripper là một trình phá mật khẩu dựa vào cácdanh sách các mật khẩu phổ biến trong các ngôn ngữ khácVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 60/67
  • 61. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Loại Tên phần mềm Thay thế cho Mô tảRecoveryToolkit,Passwarenhau. Bổ sung thêm vào phiên bản cộng đồng chính thức,nó cũng có trong một phiên bản cộng đồng được nâng cao,nó hỗ trợ nhiều kỹ thuật mật mã và băm hơn, hoặc mộtphiên bản chuyên nghiệp, nó được tùy biến cho hàng loạtcác hệ điều hành và dễ dàng hơn để cài đặt và sử dụng.Hệ điều hành: Windows, Linux, OS X.PDFCrack Access DataPasswordRecoveryToolkit,PasswareNhư bạn có thể đoán từ cái tên, trình phá khóa này đặcbiệt tập trung vào việc truy xuất các mật khẩu và nội dungtừ các tệp PDF. Nó chạy từ dòng lệnh và sử dụng cả sứcmạnh thô thiển và các kỹ thuật phá dựa vào danh sách.Hệ điều hành: Linux, Unix.Quản lýmậtkhẩuKeePassPassword SafeKasperskyPasswordManager,RoboFormViệc sử dụng mật khẩu y hệt liên tục và liên tục là đáng lolắng. Thay vào đó, hãy cố thử KeePass. Nó tạo ra các mậtkhẩu mạnh cho bạn và lưu trữ tất cả các mật khẩu của bạntrong một cơ sở dữ liệu được mã hóa, nên tất cả điều bạnphải nhớ là một mật khẩu chủ.Hệ điều hành: Windows.KeePassX KasperskyPasswordManager,RoboFormBan đầu được phát triển như một rẽ nhánh Linux củaKeePass, sự an toàn mật khẩu này rất giống với KeePass.Nó bây giờ hỗ trợ OS X và một số phiên bản Windows,cũng như Linux.Hệ điều hành: Windows, Linux, OS X.Password Safe KasperskyPasswordManager,RoboFormỨng dụng này nói hơn 1 triệu bản tải về và cài đặt rấtnhanh. Giống như KeePass, nó nhớ các mật khẩu của bạncho bạn và giữ chúng an ninh trong cơ sở dữ liệu được mãhóa.Hệ điều hành: Windows.WinSCP CuteFTP, FTPCommanderTiện ích được giải thưởng này hỗ trợ các giao thức SFTP,FTPS và SCPcho truyền tệp an ninh, cũng như FTP thôngthường khi an ninh không được đòi hỏi. Nó bao gồm 2dạng giao diện đồ họa khác nhau, hoặc nó có thể chạy từdòng lệnh.Hệ điều hành: Windows.FileZilla CuteFTP, FTPCommanderGiống như WinSCP, FileZilla hỗ trợ tất cả các giao thứctruyền tệp tiêu chuẩn. Bổ sung thêm vào phiên bản máytrạm nhiều nền tảng, nó cũng đi với một phiên bản máychủ chỉ cho Windows.Hệ điều hành: Windows, Linux, OS X.Trình Nixory SpyBot Bất kể bạn sử dụng Firefox, Chrome hay InternetVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 61/67
  • 62. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Loại Tên phần mềm Thay thế cho Mô tảkhóaphầnmềmgiánđiệpSearch andDestroy,AdAwareExplorer, Nixory xóa các cookies theo dõi độc hại từ trìnhduyệt của bạn. Lưu ý là bạn sẽ cần phải sử dụng nó cùngvới những phần mềm an ninh khác vì nó chỉ xóa theo dõicác cookies và không khóa các virus hoặc các dạng phầnmềm độc hại khác.Hệ điều hành: Không phụ thuộc vào hệ điều hành.Xácthựcngười sửdụngWiKID EntrustIdentityGuard,VascoDigipass,RSAsSecurIDWiKID đưa ra các giải pháp xác thực 2 yếu tố dựa vàophần mềm, đơn giản cho các doanh nghiệp. Bổ sung thêmvào phiên bản cộng đồng tự do, nó cũng có một phiên bảnchuyên nghiệp phải trả tiền mà bao gồm một số mã sở hữuđộc quyền.Hệ điều hành: Không phụ thuộc hệ điều hành.Lọc web DansGuardian McAfeeFamilyProtectionNetNannyCông cụ lọc nội dung mạng này sử dụng khớp cụm từ, lọcPICS và lọc URL để giúp khóa các nội dung chướng taigai mắt. Gần đây, một người duy trì mới đã nắm lấy dự ánnày, nên một lần nữa có được các bản vá và cập nhật.Hệ điều hành: Linux, OS X.6.2. Danh sách 12 phần mềm tự do nguồn mở sử dụng trong an ninhLoạt bài của Carla Schroder về 12 phần mềm tự do nguồn mở tuyệt vời trong lĩnh vực an ninh mà bạncó thể sử dụng để thay thế các ứng dụng sở hữu độc quyền.Loại Tên phần mềm Thay thế cho Mô tảXóa cóan ninh,khôiphục dữliệu,nhái lại,mã hóaDariks Bootand Nuke(DBAN)BCWipe TotalWipeOut, SecureErase,HDShredderDBAN là hệ điều hành độc lập và làm việc trong các ổcứng IDE, SCSI và SATA trên các hệ thống x86 vàPowerPC. DBAN dễ sử dụng: tải về và sao chép vào vậttrung gian khởi động được như đĩa mềm 3.5, CD/DVD,đầu USB hoặc PXE khởi động qua một mạng - chạy nóvà để nó làm. Bạn có thể quét sạch tất cả các đĩa cứngtrong một hệ thống, hoặc chỉ những thứ được chọn.Sửa vàphụchồi tệpTestDisk andPhotoRecRecover LostPartition,Active@PartitionRecovery, DiskDoctorsBạn có thể cài đặt chúng lên hầu như bất kỳ hệ điềuhành nào (Mac, Linux, Windows, BSD và các Unixkhác), nhưng cách tốt nhất để chạy chúng là từ vật trunggian khởi động được. TestDisk và PhotoRec được đưavào trong một số lượng lớn các phát tán cứu hệ thốngdựa vào Linux như GParted LiveCD và Knoppix.Cứucác ổđĩaGNU ddrescue Norton Ghost,Acronis TrueImage, Paragonddrescue thực hiện các bảo sao ở mức khối bloc, nênkhông là vấn đề gì đối với hệ thống tệp hoặc hệ điềuhành đang trong vật trung gian. Nó nhanh vì nó sao chépVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 62/67
  • 63. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Loại Tên phần mềm Thay thế cho Mô tảhỏng Backup &Recoverychỉ các khối còn tốt và bỏ qua các khối hỏng, và nó là tựđộng nên bạn không phải chăm sóc gì. Thiết bị bạn đangsao chép tới, như một đĩa USB hoặc đĩa cứng nội bộ thứ2, nên rộng lớn hơn 50% so với đĩa gốc.NháiđĩaClonezilla Norton Ghost vàSymantec GhostCorporateEditionCó 2 phiên bản: Clonezilla Live và Clonezilla SE.Clonezilla Live là cho sao lưu và phục hồi các máy tínhriêng rẽ, và nó chạy từ một đầu USB khởi động đượchoặc CD/DVD. Clonezilla SE nhái nhiều máy tính cánhân cùng một lúc, và rất nhanh qua mạng của bạn.Clonezilla vận hành ở mức khối trên các nền tảng x86và x86-64, nên nó sao chép bất kỳ hệ thống tập và hệđiều hành nào.Mã hóa TrueCrypt PGP Whole DiskEncryptionLà một trong những ứng dụng mã hóa liên nền tảng phổbiến nhất, và vì lý do tốt lành - nó dễ dàng sử dụng vàrất mạnh. TrueCrypt chạy trong Mac, Linux vàWindows.Anninh diđộngMasterPassword (iOS)Password Safe Master Password cho iOS là một trình quản lý mật khẩukhông tình trạng. Nó không lưu các mật khẩu vàoiPhone/Pad/Pod, cũng không lưu chúng trong một vàichỗ đâu đó trong đám mây mờ đục. Nó triển khai mộtchiến lược khác: nó tạo ra một mật khẩu mới, mạnh mỗilần bạn cần đăng nhập vào một site. Bạn chỉ cần nhớmột mật khẩu duy nhất. (Giá 5.99 USD)Secure Chat ChatSecure mã hóa AIM, Jabber, Google Talk, và tất cảcác ứng dụng chat/IM apps mà sử dụng giao thức chatXMPP.Rights Alert Rights Alert chỉ cho bạn một danh sách các ứng dụngđược cài đặt mà đang yêu cầu các quyền thừa quá mức,có thể là một dấu hiệu rằng chúng có thể sẽ không tốt,mò mẫm và tọc mạch vào trong các phần hệ thống củabạn nơi mà chúng không thuộc về.Dự án Guardian Dự án Guardian là một bộ các ứng dụng nguồn mở bảovệ tính riêng tư đã được tạo ra với ý tưởng bảo vệ cácnhà hoạt động chính trị xã hội mà đang gặp nguy hiểmđơn giản báo các sự kiến và chia sẻ các ảnh, và tất nhiêncác ứng dụng đó làm việc cho bất kỳ ai mà có quan tâmvề tính riêng tư của họ trên trực tuyến.Orbot Orbot mang Tor vào Android. Tor là mạng các máy chủủy quyền nặc danh hóa các cuộc du lịch của bạn trênVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 63/67
  • 64. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Loại Tên phần mềm Thay thế cho Mô tảInternetGibberbot Gibberbot đưa ra thông điệp tức thì và chat an ninh, vớiphần thưởng của sự hỗ trợ của Tor.Droidwall Droidwall là một giao diện mặt tiền đồ họa đẹp chotường lửa mạnh và được chứng minh Iptables từng làmột phần không thể thiếu của nhân Linux trong nhiềunăm. Nó trao sự kiểm soát tốt đối với các ứng dụng vàdịch vụ có thể có sự truy cập tới các mạng của bạn, vàkiểm soát những gì tới Droid của bạn qua mạng.7. Tuân thủ mô hình phát triển cộng đồng của phần mềm nguồn mởMô hình phát triển phần mềm tự do nguồn mở có ngược lên dòng trên.Khi sử dụng các phần mềm tự do nguồn mở nói chung, phần mềm an ninh là phần mềm tự do nguồnmở nói riêng, việc tùy biến các phần mềm đó nên được thực hiện theo đúng mô hình phát triển củaphần mềm tự do nguồn mở để đảm bảo các phần mềm đó luôn được cập nhất nhanh chóng, đúng thờihạn, qua đó đảm bảo được an ninh cho hệ thống. Tránh việc tùy biến mã nguồn của phần mềm rồi đemđóng lại, không chuyển mã nguồn tùy biến ngược lên dòng trên về với dự án gốc của phần mềm.Thường thì khi không ngược lên dòng trên để đóng góp mã nguồn được tùy biến trở về với dự án dòngchính thống, thì ta sẽ có các phiên bản rẽ nhánh của phần mềm đó và khó hoặc không thể nhận đượcnhững đóng góp của cả cộng đồng dự án cho bản rẽ nhánh đó. Kết quả là sau một thời gian, phần mềmrẽ nhánh có khả năng bị lạc hậu, gây mất an ninh cho hệ thống.Nói như vậy không có nghĩa là không bao giờ được rẽ nhánh, mà chỉ rẽ nhánh khi thực sự cần thiết vàchuẩn bị đầy đủ về cả nhân lực và vật lực để có thể duy trì kho mã nguồn của phần mềm rẽ nhánh đó.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 64/67
  • 65. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Mô hình phát triển phần mềm tự do nguồn mở không ngược lên dòng trên - rẽ nhánh.Việc phát triển phần mềm tự do nguồn mở là có sự cộng tác đóng góp của 2 cộng đồng: cộng đồngnhững người sử dụng và cộng đồng các lập trình viên trong hầu hết các bước của qui trình phát triểnphần mềm. Chính vì vậy, muốn phát triển tốt được phần mềm tự do nguồn mở, rất cần tới cộng đồngnhững người sử dụng. Cộng đồng những người sử dụng càng đông, càng tích cực đóng góp cho dự ánthì dự án sẽ càng mạnh và đáp ứng được nhu cầu của những người sử dụng càng tốt hơn.Mô hình phát triển của phần mềm tự do nguồn mở là sự cộng tác của 2 cộng đồng: cộng đồng nhữngngười sử dụng và cộng đồng các lập trình viênVăn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 65/67
  • 66. Quản lý và bảo mật thông tin doanh nghiệp 11/2012Các tài liệu tham khảo1. Báo cáo thường niên cho quốc hội - Các diễn biến quân sự và an ninh có liên quan tới Cộng hòaNhân dân Trung Hoa 2013, Văn phòng Bộ trưởng Quốc phòng Mỹ, xuất bản ngày 06/05/2013,90 trang. Tải về: http://ubuntuone.com/0haFbR680gL61uJKyst2fV.2. Chiếm lĩnh nền cao thông tin - Khả năng của Trung Quốc về tác chiến mạng máy tính và giánđiệp không gian mạng, tập đoàn Northrop Grumman xuất bản ngày 07/03/2012, 136 trang. Tảivề: http://ubuntuone.com/0fWXMK4CmmSWL3aGv5XPZx.3. An ninh không gian mạng - Câu hỏi gây tranh cãi đối với các quan hệ toàn cầu. Một báo cáođộc lập về sự chuẩn bị sẵn sàng về không gian mạng trên thế giới. Chương trình nghị sự về Anninh & Phòng thử (SDA) xuất bản tháng 02/1012, 94 trang. Tải về.4. Phát triển công nghệ mở. Những bài học học được và những thực tiễn tốt nhất cho các phầnmềm quân sự, phiên bản 1.0. Bộ Quốc phòng Mỹ. Xuất bản 16/05/2011. 73 trang. Tải về.5. Kế hoạch lộ trình phát triển công nghệ mở, phiên bản 3.1. Bộ Quốc phòng Mỹ. Tháng 07/2006.59 trang. Tải về.6. Các tác chiến thông tin. Học thuyết về tác chiến thông tin của Mỹ và Liên quân. Bộ Quốcphòng Mỹ. Xuất bản 13/02/2006. 119 trang.Tải về.7. Khả năng của Cộng hòa Nhân dân Trung hoa tiến hành chiến tranh không gian mạng và khaithác mạng máy tính. Tập đoàn Northrop Grumman xuất bản ngày 09/10/2009. 75 trang.Tải về.8. Nga, Mỹ và ngoại giao không gian mạng - Các cánh cửa còn để ngỏ. Viện Đông - Tây xuất bảnnăm 2010. 32 trang.Tải về.9. Báo cáo thường niên cho Quốc hội - Diễn biến về quân sự và an ninh liên quan tới Cộng hòaNhân dân Trung Hoa 2011, Văn phòng Bộ trưởng Quốc phòng Mỹ, Bộ Quốc phòng Mỹ. Xuấtbản 06/05/2011. 94 trang.Tải về.10. Những thách thức trong không gian mạng, Viện về Phân tích Quốc phòng (IDA), Bộ Quốcphòng Mỹ, xuất bản mùa hè năm 2011. 24 trang.Tải về.11. Chiến lược về tác chiến trong không gian mạng, Bộ Quốc phòng Mỹ xuất bản tháng 07/2011.19 trang.Tải về.12. Chiến lược An ninh Không gian mạng của nước Anh, Bảo vệ và thúc đẩy nước Anh trong thếgiới số, tháng 11/2011, Văn phòng Nội các Chính phủ Anh, 43 trang.Tải về.13. Những mối đe dọa không gian mạng đang nổi lên và quan điểm của Nga về chiến tranh thôngtin và tác chiến thông tin. Cơ quan Nghiên cứu Quốc phòng FOI, Thụy Điển, 2010. 70 trang.Tải về.14. Chỉ dẫn về an ninh cho các lĩnh vực trọng tâm sống còn trong ĐTĐM v2.1 của Liên minh Anninh Đám mây CSA, xuất bản tháng 12/2009, 72 trang. Tải về.15. Lộ trình Công nghệ Điện toán Đám mây của Chính phủ Mỹ, Tập 1, phiên bản 1.0 (Dự thảo).Các yêu cầu ưu tiên cao để áp dụng hơn nữa Điện toán Đám mây của các cơ quan Chính phủMỹ. Chương trình Điện toán Đám mây, Phòng Thí nghiệm Công nghệ Thông tin, Viện Tiêuchuẩn và Công nghệ Quốc gia Mỹ - NIST. Tháng 11/2011. 32 trang.Tải về.16. Kiến trúc tham chiếu Điện toán Đám mây của NIST. Những khuyến cáo của Viện Tiêu chuẩn vàCông nghệ Quốc gia. Viện Tiêu chuẩn và Công nghệ Quốc gia, Mỹ - NIST. Tháng 09/2011. 35trang. Tải về.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 66/67
  • 67. Quản lý và bảo mật thông tin doanh nghiệp 11/201217. Lộ trình tiêu chuẩn Điện toán Đám mây của NIST v1.0. Viện Tiêu chuẩn và Công nghệ Quốcgia, Mỹ - NIST. Tháng 07/2011. 76 trang. Tải về.18. Bản ghi nhớ cho các giám đốc thông tin - Ủy quyền an ninh của các hệ thống thông tin trongcác môi trường điện toán đám mây. Steven VanRoekel, Giám đốc Thông tin Liên bang Mỹ, Vănphòng Điều hành của Tổng thống Mỹ, xuất bản ngày 08/12/2011. 7 trang. Tải về.19. Chuẩn và Kiến trúc cho các ứng dụng chính phủ điện tử, phiên bản v2.0. Bộ Nội vụ Cộng hòaLiên bang Đức xuất bản. Tháng 12/2003. 179 trang. Tải về.20. Chuẩn và Kiến trúc cho các ứng dụng chính phủ điện tử, phiên bản v3.0. Bộ Nội vụ Cộng hòaLiên bang Đức xuất bản. Tháng 10/2006. 185 trang. Tải về.21. Ngược lên dòng trên: Tăng cường cho sự phát triển nguồn mở. Quỹ Linux. Tháng 01/2012. 10trang. Tải về.22. Mua sắm phần mềm máy tính của Chính phủ và Giấy phép Công cộng Chung GNU, B. ScottMichel, Lt. Cmdr., PhD, USN(RC), Eben Moglen, Trung tâm Luật Tự do cho Phần mềm, MishiChoudhary, Trung tâm Luật Tự do cho Phần mềm, Dorothy Becker, Luật sư về Bằng sáng chế,SPD của Navy OGC. Xuất bản ngày 01/10/2011, 15 trang. Tải về.23. GNU/Linux cơ bản, Joaquín López Sánchez-Montañés, Sofia Belles Ramos, Roger Baig Viñas,Francesc Aulí Llinàs và những người điều phối: Jordi Serra i Ruiz, David Megías Jiménez vàJordi Mas; Viện Hàn lâm Công nghệ Mở - FTA, 2008; 232 trang.Tải về: http://ubuntuone.com/4jTA2jKp014hi0ZVQKiwV724. Quản trị cao cấp GNU/Linux, Remo Suppi Boldrito và người điều phối Josep Jorba Esteve;Viện Hàn lâm Công nghệ Mở - FTA, 2009; 471 trang.Tải về: http://ubuntuone.com/65Pc7YMLMkObp3DEXS5tFV25. Giới thiệu phần mềm tự do, Jesús M. González-Barahona, Joaquín Seoane Pascual, GregorioRobles và những người điều phối: Jordi Mas Hernández và David Megías Jiménez; Viện Hànlâm Công nghệ Mở - FTA, 2009; Giấy phép in của Nhà xuất bản Thông tin và Truyền thông,2010; 301 trang.Tải về: http://ubuntuone.com/1Yz5iLEGwWM4tHpvtY83rx26. Kinh nghiệm chuyển đổi của Chính phủ Đức sang phần mềm nguồn mở. Hướng dẫn chuyển đổicác thành phần phần mềm cơ bản trên các máy tính chủ và các máy tính trạm, phiên bản 1.0,tháng 07/2003 của Bộ Nội vụ Cộng hòa Liên bang Đức xuất bản. Được dịch sang tiếng Việtxong vào tháng 10/2004.Tải về: https://docs.google.com/file/d/0ByycVz9CFCyMME9NR3pFRXVPOFE/edit27. Nguồn các báo cáo về phần mềm độc hại của G-Data từ năm 2010 tới nay.Ghi chú: Một số thông tin tham khảo khác về an ninh được cập nhật hàng ngày có thể xem ở đây, ở đâyhoặc ở đây.Văn phòng Phối hợp Phát triển Môi trường Khoa học và Công nghệ, Bộ Khoa học & Công nghệ Trang 67/67