Your SlideShare is downloading. ×
NHỮNG THÁCH THỨC VỀ AN NINH THÔNG TIN TRONG XÂY DỰNG VÀ TRIỂN KHAI CHÍNH PHỦ ĐIỆN TỬ
NHỮNG THÁCH THỨC VỀ AN NINH THÔNG TIN TRONG XÂY DỰNG VÀ TRIỂN KHAI CHÍNH PHỦ ĐIỆN TỬ
NHỮNG THÁCH THỨC VỀ AN NINH THÔNG TIN TRONG XÂY DỰNG VÀ TRIỂN KHAI CHÍNH PHỦ ĐIỆN TỬ
NHỮNG THÁCH THỨC VỀ AN NINH THÔNG TIN TRONG XÂY DỰNG VÀ TRIỂN KHAI CHÍNH PHỦ ĐIỆN TỬ
NHỮNG THÁCH THỨC VỀ AN NINH THÔNG TIN TRONG XÂY DỰNG VÀ TRIỂN KHAI CHÍNH PHỦ ĐIỆN TỬ
NHỮNG THÁCH THỨC VỀ AN NINH THÔNG TIN TRONG XÂY DỰNG VÀ TRIỂN KHAI CHÍNH PHỦ ĐIỆN TỬ
NHỮNG THÁCH THỨC VỀ AN NINH THÔNG TIN TRONG XÂY DỰNG VÀ TRIỂN KHAI CHÍNH PHỦ ĐIỆN TỬ
NHỮNG THÁCH THỨC VỀ AN NINH THÔNG TIN TRONG XÂY DỰNG VÀ TRIỂN KHAI CHÍNH PHỦ ĐIỆN TỬ
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

NHỮNG THÁCH THỨC VỀ AN NINH THÔNG TIN TRONG XÂY DỰNG VÀ TRIỂN KHAI CHÍNH PHỦ ĐIỆN TỬ

288

Published on

Hội thảo Hợp tác Phát triển CNTT-TT Việt Nam lần thứ 17 sẽ diễn ra tại khách sạn Xanh thành phố Huế từ ngày 29 đến 31/8/2013. Hội thảo do Bộ Thông tin và Truyền thông, UBND tỉnh Thừa Thiên Huế, Hội …

Hội thảo Hợp tác Phát triển CNTT-TT Việt Nam lần thứ 17 sẽ diễn ra tại khách sạn Xanh thành phố Huế từ ngày 29 đến 31/8/2013. Hội thảo do Bộ Thông tin và Truyền thông, UBND tỉnh Thừa Thiên Huế, Hội Tin học Việt Nam và Hội Tin học thành phố Hồ Chí Minh đồng tổ chức với chủ đề “Xây dựng hạ tầng CNTT-TT đồng bộ từ Trung ương đến địa phương tạo động lực phát triển kinh tế - xã hội”

http://ict2013.thuathienhue.gov.vn/

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
288
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
15
Comments
0
Likes
1
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Võ Thái Lâm |W: www.lactien.com | E: vothailam@lactien.com | M: 0903 83 93 90 NHỮNG THÁCH THỨC VỀ AN NINH THÔNG TIN TRONG XÂY DỰNG VÀ TRIỂN KHAI CHÍNH PHỦ ĐIỆN TỬ Tóm tắt Chính phủ là thành phần duy nhất cung cấp các dịch vụ hành chính công cho người dân và cho các doanh nghiệp. Các công dân điện tử sử dụng các dịch vụ của chính phủ điện tử và họ hy vọng rằng các dữ liệu trao đổi của mình luôn được đảm bảo an toàn một cách tuyệt đối. Chính điều này đã gây ra một áp lực cho những người quản lý hạ tầng trong các dịch vụ của chính phủ điện tử. Không như các dịch vụ khác, các máy chủ chạy các ứng dụng chính phủ điện tử sẽ chứa toàn bộ các thông tin nhạy cảm về người dân và doanh nghiệp, kể cả các bí mật nhà nước mà nếu bị lộ - lọt ra ngoài, điều đó sẽ gây nên những hậu quả vô cùng lớn. Trong bài trình bày này chúng tôi sẽ chỉ ra những thách thức về mặt an toàn an ninh thông tin với việc xây dựng chính phủ điện tử, bao gồm cả những thách thức về mặt kỹ thuật lẫn những thách thức phi kỹ thuật và cố gắng đưa ra những giải pháp cho các thách thức này. Bài trình bày có sử dụng tư liệu của các hãng bảo mật nổi tiếng trên thế giới, các nghiên cứu về an ninh thông tin trong chính phủ điện tử ở các nước đang phát triển, các nghiên cứu của STC-eGOV – một hiệp hội kỹ thuật đặc biệt chuyên về chính phủ điện tử, báo cáo của Đại học Stockholm – Thụy Điển về mô hình đảm bảo An ninh thông tin cho các chính phủ điện tử và trường hợp của Tanzania. 1. Khái niệm chính phủ điện tử tại Việt Nam 1.1. Khái niệm Chính phủ điện tử là chính phủ ứng dụng công nghệ thông tin và truyền thông nhằm tăng hiệu quả hoạt động của các cơ quan chính phủ, phục vụ người dân và doanh nghiệp tốt hơn. 1.2. Người dân là trung tâm Trong quá trình phát triển chính phủ điện tử, lấy người dân làm trung tâm là một định hướng cho phát triển. Khái niệm đó được hiểu như sau:  Thông tin người dân cung cấp cho một cơ quan chính phủ sẽ được đưa đến và có giá trị tại các cơ quan khác của chính phủ;  Các cơ quan chính phủ lấy người dân làm trung tâm chính trong toàn bộ các nỗ lực cung cấp thông tin, dịch vụ công của chính phủ;  Người dân ngày càng được tham gia nhiều hơn vào quá trình quản lý của chính phủ, ra quyết định của các cơ quan chính phủ, và giám sát các hoạt động của chính phủ. 1.3. Các quan hệ tương tác trong chính phủ điện tử Việc cung cấp thông tin, dịch vụ trực tuyến, các quan hệ tương tác của chính phủ điện tử được xác định trong mô hình chính phủ điện tử dựa trên các quan hệ giữa các cơ quan chính phủ, người dân, doanh nghiệp, các cán bộ, công chức, viên chức, bao gồm các quan hệ sau:
  • 2. Võ Thái Lâm |W: www.lactien.com | E: vothailam@lactien.com | M: 0903 83 93 90  Chính phủ và người dân (G2C);  Chính phủ và các doanh nghiệp (G2B);  Giữa các cơ quan chính quyền các cấp với nhau và trong các cơ quan chính phủ (G2G); giữa các cơ quan chính phủ với các cán bộ, công chức, viên chức (G2E). Quan hệ G2G và G2E thường được gọi chung là G2G.  Đôi khi người ta cũng xác định rõ cả chiều của quan hệ tương tác, như trong quan hệ giữa chính phủ và người dân, thì có quan hệ chính phủ với người dân (G2C) và quan hệ giữa người dân và chính phủ (C2G). Tương tự như vậy có quan hệ giữa chính phủ và doanh nghiệp (G2B) và giữa doanh nghiệp với chính phủ (B2G) 1.4. Mô hình thành phần 2. An ninh thông tin trong chính phủ điện tử Chính phủ điện tử là nơi cung cấp khả năng truy cập vào các dịch vụ của chính phủ bất cứ nơi nào và bất cứ lúc nào từ hệ thống mạng Internet. Khu vực công đang ngày càng phụ thuộc vào công nghệ thông tin và truyền thông để cung cấp thông tin và dịch vụ cho các đối tượng khác nhau. Nhưng sự phát triển của chính phủ điện tử cũng dẫn đến những tác động an ninh ngoài ý muốn và khả năng dễ bị tổn thương từ những hoạt động trên không giang mạng với tần suất ngày càng cao. Để đối mặt với những thách thức này, chính phủ trên khắp thế giới phải phát triển các chiến lược an ninh mạng hiệu quả. Một trong những vấn đề quan trọng và phát triển trong tương lai gần của chính
  • 3. Võ Thái Lâm |W: www.lactien.com | E: vothailam@lactien.com | M: 0903 83 93 90 phủ điện tử là sự an toàn của cơ sở hạ tầng thông tin và các ứng dụng chạy trên các cơ sở hạ tầng đó. Sự tin cậy (Trust) đóng một vai trò quan trọng để tăng hiệu quả và tần suất các giao dịch giữa người dân, doanh nghiệp và các tổ chức của chính phủ. Kiểm soát chặt chẽ an ninh thông tin, đặc biệt là an ninh dữ liệu là một trong những yếu tốt quan trọng quyết định sự thành công của một nền chính phủ điện tử. Dịch vụ Chính phủ điện tử có mức độ khác nhau về độ nhạy cảm của dữ liệu nên thông thường được xác thực qua nhiều lớp và nhiều phương thức khác nhau. Do đó hệ thống an ninh chính phủ điện tử sẽ phải đáp ứng các yêu cầu sau: nên cung cấp nhiều phương pháp xác thực, ủy quyền, phát hành chứng chỉ, thu hồi, kiểm toán, bảo mật, giải quyết xung đột, trách nhiệm giải trình, tính sẵn có, sự riêng tư, tính toàn vẹn của thông tin, tính ẩn danh, khả năng mở rộng, đăng nhập một cửa… Dưới đây là các đặc tính về an ninh mà các nền tảng chính phủ điện tử phải đáp ứng được:  Tính toàn vẹn của dữ liệu: các thông tin lưu trữ phải có khả năng không thể sửa đổi.  Tính bí mật: thông tin phải được cung cấp cho đúng người và không thể có chuyện cung cấp cho những người không có thẩm quyền được xem.  Tính sẵn sàng: luôn đáp ứng các yêu cầu từ nhiều thành phần khác nhau. Mặc dù còn nhiều mô hình khác nói rõ thêm như mô hình của Donn Paker đưa ra năm 2002 bao gồm cả tính không thoái thác, hiệu suất, hiệu quả, chính xác… tuy nhiên tựu chung lại vẫn nằm trong 3 đặc tính cơ bản ở trên. 3. Các mối đe dọa về ANTT với chính phủ điện tử 3.1. Nghe lén dữ liệu (Sniffer) Việc theo dõi các dữ liệu được lưu chuyển trong hệ thống mạng có thể giúp cho người quản trị nắm được tình hình hệ thống mạng mình đang kiểm soát. Tuy nhiên nó cũng có thể được sử dụng bởi những “kẻ không có chức năng” này và từ đó có thể dẫn đến việc mất an toàn trong các giao dịch và kể cả mất dữ liệu. Sniffer thường được sử dụng vào 2 mục đích khác biệt nhau. Nó có thể là một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình. Cũng như theo hướng tiêu cực nó có thể là một chương trình được cài vài một hệ thống mạng máy tính với mục đích đánh hơi, nghe nén các thông tin trên đoạn mạng này...Dưới đây là một số tính năng của Sniffer được sử dụng theo cả hướng tích cực và tiêu cực : - Tự động chụp các tên người sử dụng (Username) và mật khẩu không được mã hoá (Clear Text Password). Tính năng này thường được các Hacker sử dụng để tấn công hệ thống của bạn. - Chuyển đổi dữ liệu trên đường truyền để những quản trị viên có thể đọc và hiểu được ý nghĩa của những dữ liệu đó. - Bằng cách nhìn vào lưu lượng của hệ thống cho phép các quản trị viên có thể phân tích những lỗi đang mắc phải trên hệ thống lưu lượng của mạng. Ví dụ như : Tại sao gói tin từ máy A không thể gửi được sang máy B... - Một số Sniffer tân tiến còn có thêm tính năng tự động phát hiện và cảnh báo các cuộc tấn công đang được thực hiện vào hệ thống mạng mà nó đang hoạt động (Intrusion Detecte Service). - Ghi lại thông tin về các gói dữ liệu, các phiên truyền…Tương tự như hộp đen của máy bay, giúp các quản trị viên có thể xem lại thông tin về các gói dữ liệu, các phiên truyền sau sự cố…Phục vụ cho công việc phân tích, khắc phục các sự cố trên hệ thống mạng.
  • 4. Võ Thái Lâm |W: www.lactien.com | E: vothailam@lactien.com | M: 0903 83 93 90 3.2. Do thám (Probe) Là hành động do thám trên một hệ thống nhằm xác định các đặc tính cơ bản của hệ thống như các ứng dụng đang chạy, hệ điều hành đang sử dụng… Các công cụ thường sử dụng như nmap, ipsweep, portsweep.. 3.3. Mã độc Là cụm từ chung chỉ các chương trình, các đoạn mã được thực thi trên các máy tính nhằm các mục đích đánh cắp thông tin, phá hủy thông tin, cho phép truy cập trái phép từ xa… Mã độc bao gồm cả virus, trojan và worm.. 3.4. Tấn công vào hậ tầng Internet Các cuộc tấn công này thường ít xảy ra nhưng khi bị có thể làm ảnh hưởng trên diện rộng. Đó là những cuộc tấn công vào các máy chủ DNS, các hệ thống lưu trữ lớn, tấn công vào các nhà cung cấp dịch vụ mạng.. Các cuộc tấn công này sẽ gây ảnh hưởng trên diện rộng và ảnh hưởng đến các hoạt động hàng ngày của các dịch vụ chính phủ điện tử. 3.5. Tấn công từ chối dịch vụ Đây có lẽ là một dạng tấn công đáng sợ nhất đối với hầu hết các dịch vụ trên Internet. Kẻ tấn công có thể làm hết tài nguyên của nạn nhân (RAM, CPU, Băng thông…) và làm cho các dịch vụ không thể truy cập được. Ở Việt Nam cũng vừa mới xảy ra hàng loạt các vụ tấn công lớn nhằm vào các trang báo điện tử. Nếu các cuộc tấn công này nhằm vào hàng loạt các dịch vụ công của các cơ quan nhà nước thì hậu quả thật đáng lo ngại. 3.6. Tấn công từ xa Là kiểu tấn công từ xa bằng cách gửi các gói tin đến hệ thống máy chủ và xác định các lỗ hổng cũng như các điểm yếu của các hệ thống máy tính này và tấn công vào đó. Kẻ tấn công có thể sử dụng hoặc tạo một tài khoản trên máy của nạn nhân và truy cập vào các hệ thống dữ liệu không được phép. 3.7. Leo thang đặc quyền Loại hình tấn công này được bắt đầu với việc kẻ tấn công sử dụng một tài khoản bình thường ( ví dụ tạo ra một “công dân giả”), sau đó sử dụng các lỗ hổng của hệ thống hoặc của ứng dụng để làm sao cho tài khoản của mình có quyền như một admin và truy cập vào các tài nguyên không được phép. 3.8. Tấn công vào điểm yếu của các framework Đây là một lỗi khá phổ biến với các ứng dụng chính phủ điện tử ở Việt Nam, đặc biệt là các cổng thông tin điện tử, các trang thông tin điện tử, các phần mềm tác nghiệp sử dụng các framework có sẵn.. Mặc dù về phương thức nó sẽ là một trong các kỹ thuật tấn công ở trên nhưng vì tính chất đặc biệt nên chúng tôi liệt kê nó ra thành một loại hình riêng. Khi doanh nghiệp cung cấp các ứng dụng cho CPĐT dựa trên một framework, một CMS hay một Portal có sẵn nếu không thường xuyên cập nhật các lỗ hổng mới nhất của các nền tảng này thì những kẻ tấn công sau khi tìm ra được phiên bản và framework sẽ dễ dàng tấn công vào các hệ thống vì các lỗi này hầu như được công bố rộng rãi và liên tục. Điều này cũng đúng với các hệ điều hành máy chủ và máy trạm khi không được thường xuyên nâng cấp các bản vá.
  • 5. Võ Thái Lâm |W: www.lactien.com | E: vothailam@lactien.com | M: 0903 83 93 90 3.9. Xu hướng sử dụng các thiết bị di động Xu hướng này bao gồm cả việc sử dụng nhiều thiết bị khác nhau để cùng đăng nhập và làm việc trên một hệ thống. Điều này gây ra những điểm yếu chết người khi mất mát thiết bị và bị lợi dụng tấn công hoặc khi các thiết bị di động cài đặt các ứng dụng chưa rõ nguồn gốc và trở thành miếng mồi ngon cho các kẻ tấn công lợi dụng. 3.10. Sự bùng nổ của mạng xã hội Người dùng có thể dễ dàng chia sẻ các thông tin bí mật lên Internet, thậm chí chia sẻ một cách công khai (Public). Ngoài ra social engineering cũng là một kỹ thuật đang được sử dụng khá nhiều bởi các hacker. 4. Tăng cường an ninh cho chính phủ điện tử từ góc độ phi kỹ thuật 4.1. Chính sách về ANTT Chính sách về ANTT là điểm rất quan trọng trong việc đảm bảo ANTT cho các hệ thống. Các chính sách phải được đảm bảo tuân thủ bởi một cơ chế thực thi hiệu quả và đủ mạnh. Các chính sách thông thường bao gồm:  Định nghĩa về người dùng và các quyền  Các hướng dẫn về cách phản ứng với các sự kiện khác nhau  Mô tả về môi trường vận hành, triết lý được sử dụng khi thực thi chính sách, các vấn đề pháp lý…  Phân tích các rủi ro, các tài sản và những vấn đề tác động đến các tài sản này cũng như chi phí khi mất tài sản…  Các hướng dẫn cho người quản trị để quản trị hệ thống 4.2. Các best practice Là những hướng dẫn, những tiêu chuẩn hay thậm chí là những lời khuyên nên được áp dụng hàng ngày để đảm bảo an ninh cho các hệ thống. Dưới đây là một số những practice tốt cho các hoạt động quản trị an ninh hàng ngày:  Mật khẩu khó đoán và ngẫu nhiên càng tốt.  Sử dụng các công cụ an toàn khi xây dựng các hệ thống phần mềm  Thường xuyên cập nhật và vá các lỗ hổng phần mềm bằng các bản vá..  … 4.3. Các thủ tục Là các bước bắt buộc phải làm để đảm bảo an ninh cho các hệ thống dựa trên các chính sách về an ninh thông tin. Các thủ tục như việc cấu hình, giám sát, thủ tục kết nối từ xa hay khi đi công tác, thủ tục tạo các tài khoản mới, sử dụng mã hóa… 5. Tăng cường ANTT từ góc độ kỹ thuật và công nghệ 5.1. Công nghệ vận hành Thật không may là người quản trị hệ thống luôn phải đối mặt với hai nhiệm vụ đối lập nhau, đó là vừa làm sao cho đơn giản và tiện ích với những người sử dụng thông thường và người sử dụng hợp pháp nhưng lại vừa phải bảo vệ hệ thống trước các cuộc tấn công của những kẻ lạ mặt. Các hệ thống chính phủ điện tử phải được chuẩn bị và triển khai các công nghệ dành cho cá nhân và công nghệ vận hành
  • 6. Võ Thái Lâm |W: www.lactien.com | E: vothailam@lactien.com | M: 0903 83 93 90 (Operational Technology1 ) hằm phát hiện và xử lý ngay những giao dịch bất thường cũng như không đáng tin cậy. 5.2. OTP Kẻ tấn công thường sử dụng nhiều cách thức khác nhau để lấy thông tin tài khoản và mật khẩu của nạn nhân như nghe lén hoặc lừa bằng cách nào đó. Để đảm bảo an toàn cho các tài khoản, đặc biệt là các tài khoản quản trị, quản lý… thì các hệ thống và các ứng dụng CPĐT nên sử dụng các giải pháp OTP (One-time password). OTP có thể là các token hoặc các ứng dụng được cài lên các máy xác định từ trước hoặc qua SMS. 5.3. Mã hóa thông tin Các thông tin truyền đi mà chưa được mã hóa sẽ rất nguy hiểm và có khả năng cao bị nghe lén, bị đánh cắp. Có rất nhiều cách hiện nay để đảm bảo các tin tức gửi đi phải được mã hóa bằng một phương thức nào đó và bất kể loại dữ liệu nào cũng có thể mã hóa, kể cả hình ảnh. Tính xác thực của dữ liệu cũng có thể được bảo vệ bằng cách tương tự. Khi cần ta có thể gửi email cho đồng nghiệp bằng cách mã hóa dữ liệu và cả chữ ký số. Khi người nhận nhận được một thông điệp, họ sẽ sử dụng một chìa khóa để mở thông điệp và xác minh chữ ký điện tử của người gửi nhẳm đảm bảo dữ liệu gửi đi có nguồn gốc từ người gửi và thông điệp vẫn đảm bảo tính toàn vẹn của nó như ban đầu. 5.4. Tường lửa và các thiết bị an ninh tích hợp Một firewall là một tập hợp các ứng dụng được cài đặt lên một thiết bị hoặc một server nhằm bảo vệ cho người dùng và hệ thống mạng nội bộ khỏi các tác nhân bên ngoài. Gần đây các hãng bảo mật trong và ngoài nước đã cho ra đời các thiết bị an ninh tích hợp là các UTM (Unified Threat Management) bao gồm Firewall và các chức năng khác như Content Filtering, Load Balancer & Failover, QoS, VPN, IDS/IPS… 5.5. Các công cụ giám sát Xây dựng các hệ thống giám sát an ninh là một phương pháp phòng ngừa rủi ro khá hữu hiệu. Có rất nhiều các hệ thống giám sát khá mạnh ( và cả miễn phí) để đáp ứng nhu cầu của các đơn vị. Tuy nhiên, việc xây dựng hệ thống giám sát và giám sát lại phụ thuộc vào nhu cầu và chiến lược của từng đơn vị. 5.6. Kiểm thử, đánh giá các hệ thống định kỳ Các phương pháp tấn công ngày càng nhiều và càng tinh vi hơn, đòi hỏi người quản trị phải làm đối mặt với một loạt những nguy cơ mất an toàn dữ liệu. Một trong những phương án khả thi nhất là thường xuyên kiểm thử (Pennetration Testing) và đánh giá (Auditing) các hệ thống bao gồm từ cơ sở dữ liệu, ứng dụng web, server, máy trạm, hệ thống wireless, chính sách An ninh thông tin… để tìm ra các điểm yếu và khắc phục ngay khi chưa bị tấn công. 5.7. Chống thất thoát dữ liệu Theo thống kê của Synmatec, dữ liệu bị rò rỉ nhiều nhất từ các tổ chức chính phủ vẫn là thông tin cá nhân, thông tin thẻ tín dụng, mật khẩu và tài khoản ở các ngân hàng – các dịch vụ trực tuyến, email… Ngoài ra đối với các cơ quan chính phủ nó còn là các tài liệu bí mật và chỉ lưu hành nội bộ hoặc một số đối tượng được xem. Các giải pháp DLP ( Data Leak Prevention) có thể đảm bảo những tài liệu xác định luôn chỉ có thể lưu hành trong nội bộ, không thể gửi đính kèm file ra ngoài, kể cả khi chuyển sang dạng file ảnh hay bất cứ định dạng nào khác. 1 Operational Technology là một thuật ngữ mới, nhằm chỉ các phần cứng, phần mềm có khả năng phát hiện những thay đổi về trạng thái và điều chỉnh chúng (khi cần) của các thiết bị có kết nối Internet.
  • 7. Võ Thái Lâm |W: www.lactien.com | E: vothailam@lactien.com | M: 0903 83 93 90 6. Quy trình thiết kế và triển khai ANTT cho chính phủ điện tử  Đánh giá các rủi ro  Xây dựng quy trình và chính sách  Đào tạo nhận thức  Triển khai các vấn đề kỹ thuật  Giám sát và phản hồi  Đánh giá mức độ tuân thủ An ninh thông tin của một tổ chức nói chung và an ninh thông tin cho chính phủ điện tử nó là một quá trình hình thành chứ không phải là một giải pháp dạng “Plug-and-play”. Hình vẽ dưới đây mô tả cách tiếp cận khi thiết kế một chiến lược đảm bảo an ninh thông tin cho chính phủ điện tử. 6.1. Yêu cầu về ANTT hay đánh giá rủi ro Mỗi tổ chức đều có những rủi ro riêng và vấn đề của các tổ chức là xác định các rủi ro có thể xảy ra và mức độ chấp nhận các rủi ro đó. Việc chấp nhận rủi ro tới đâu sẽ quyết định các yêu cầu về ANTT. 6.2. Quy trình – thủ tục và chính sách Từ yêu cầu về ANTT, có thể bắt tay vào xây dựng các quy trình, thủ tục và chính sách thể hiện các yêu cầu đó. Nội dung bao gồm các kỳ vọng về ANTT, các hành động cụ thể khi có những sự kiện hay sự cố xảy ra, các khả năng bị tấn công và cách đối phó… 6.3. Đào tạo nhận thức Trong tất cả các yếu tố để đảm bảo ANTT, yếu tố con người luôn là khâu trọng yếu. Nếu bản thân đội ngũ vận hành có nhận thức tốt thì sẽ giảm thiểu rất nhiều nguy cơ mất an ninh và ngược lại. Đối với các tỉnh khi thực hiện chiến lược chính phủ điện tử, nên có nguồn ngân sách đủ cho việc đào tạo nhận thức cho toàn bộ đội ngũ vận hành. 6.4. Triển khai các giải pháp kỹ thuật Công nghệ bảo mật đang ngày một nhiều và giá thành không phải thấp, nhất là từ các hãng nước ngoài. Việc đảm bảo ANTT như đã nói ở trên, nó phải bắt nguồn từ việc xác định các rủi ro có thể xảy ra và khả năng chấp nhận các rủi ro đó, từ đó mới áp dụng các công nghệ và kỹ thuật tương ứng. Từ quan điểm của chúng tôi, kỹ thuật chỉ là công cụ, quan trọng nhất vẫn là người vận hành nên chúng. Đối với một số giải pháp kỹ thuật, chúng tôi tin rằng các giải pháp nguồn mở và các giải pháp Đánh giá rủi ro/Yêu cầu an ninh thông tin Xây dựng quy trình, thủ tục và chính sách. Đào tạo nhận thức Triển khai các giải pháp và sản phẩm kỹ thuật Giám sát và phản hồi Đánh giá sự tuân thủ
  • 8. Võ Thái Lâm |W: www.lactien.com | E: vothailam@lactien.com | M: 0903 83 93 90 trong nước vẫn mang tính an toàn cao hơn so với các giải pháp nhập khẩu, đặc biệt là an ninh thông tin cho chính phủ điện tử, một lĩnh vực cực kỳ nhạy cảm. 6.5. Giám sát và phản hồi Để triển khai một chương trình an ninh thông tin, nhất là ở cấp độ một tỉnh trở lên, điều chắc chắn không chỉ đào tạo, triển khai các hệ thống công nghệ là đủ mà còn việc giám sát việc thực thi và phản hồi lại độ hiệu quả của các chương trình đang áp dụng. Một chương trình an ninh hiệu quả bao gồm cả việc giám sát các sự cố an ninh xảy ra và xử lý chúng. Nếu bất kỳ tổ chức hay đơn vị nào bỏ qua những vi phạm về an ninh, khả năng thất bại và mất an ninh trong những sự cố tiếp theo là rất cao. 6.6. Đo lường sự tuân thủ Phải đảm bảo rằng các chương trình ANTT đang được áp dụng phải theo một chuẩn hay một khuôn mẫu nào đó. Ngày nay có rất nhiều các chuẩn được các tổ chức trên thế giới phát triển và là những best practice cho các đơn vị áp dụng. Các tổ chức và các đơn vị sẽ phải chứng tỏ cho công dân và doanh nghiệp thấy rằng các thông tin giao dịch luôn được an toàn và trong tương lai, nếu có những phát hiện về những lỗ hổng mới thì họ cũng đủ khả năng xử lý một cách chính xác nhất. 7. Kết luận An ninh thông tin luôn là vấn đề quan trọng hàng đầu trong các sáng kiến về chính phủ điện tử. Trong trường hợp ở Việt Nam, chúng ta nhận thấy rằng không phải mọi đơn vị đều đã nhận thức được một cách đúng đắn vai trò quan trọng của nó. Rất nhiều ứng dụng cho chính phủ điện tử chưa hề được kiểm nghiệm một cách chặt chẽ về an ninh thông tin nhưng vẫn được đưa ra áp dụng rộng rãi. Mặt khác, trong phần lớn các trường hợp các đơn vị ra quyết định triển khai các chương trình ANTT chỉ dựa trên việc mua sắm ồ ạt các giải pháp, thiết bị của các hãng nước ngoài mà không để ý tới các khía cạnh khác. Trong khuôn khổ báo cáo, chúng tôi chỉ có mong muốn chỉ ra những thách thức và cả những giải pháp và cách tiếp cận để các đơn vị có thể áp dụng trong tình huống thực tế của mình. Trong tương lai, chúng tôi hy vọng rằng mình có đủ thời gian và nguồn lực để tiếp tục nghiên cứu các mô hình đánh giá mức độ an ninh của một mô hình chính phủ điện tử ở các cấp khác nhau, từ cấp huyện, sở ban ngành, cấp tỉnh đến cả nước. Tp. Hồ Chí Minh ngày 22/8/2013. Võ Thái Lâm.

×