Giáo trình Những kiến thức cơ bản về công nghệ thông tin và truyền thông cho lãnh đạo trong cơ quan nhà nước - Học phần 6: An toàn, an ninh thông tin và mạng lưới

Nội dung text: Giáo trình Những kiến thức cơ bản về công nghệ thông tin và truyền thông cho lãnh đạo trong cơ quan nhà nước - Học phần 6: An toàn, an ninh thông tin và mạng lưới

1. Bộ giáo trình Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước Học phần 6 An toàn, an ninh thông tin và mạng lưới Korea Information Security Agency ICS TRUNG TÂM ĐÀO TẠO PHÁT TRIỂN TRƯỜNG ĐÀO TẠO, BỒI DƯỠNG CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG CÁN BỘ QUẢN LÝ THÔNG TIN CHÂU Á – THÁI BÌNH DƯƠNG VÀ TRUYỀN THÔNG
2. LỜI GIỚI THIỆU Thế kỷ 21 đã đánh dấu sự tác động lẫn nhau của con người trên toàn cầu. Thế giới đang mở ra cơ hội cho hàng triệu người nhờ công nghệ mới, những thông tin và kiến thức thiết yếu được mở rộng đã cải thiện một cách đáng kể cuộc sống của con người và giúp giảm cảnh nghèo nàn. Điều này chỉ trở thành hiện thực khi có sự liên kết cùng với việc chia sẻ giá trị, cùng cam kết và thống nhất sự phát triển tổng thể và phù hợp. Trong những năm gần đây, Châu Á Thái Bình Dương được biết đến như khu vực năng động nhất trong lĩnh vực công nghệ thông tin và truyền thông (ICT). Theo báo cáo của Liên minh Viễn thông Thế giới, khu vực này đã có trên 2 tỷ thuê bao điện thoại, trong đó có 1,4 tỷ thuê bao di động. Tinh đến năm 2008, chỉ riêng Ấn Độ và Trung Quốc đã chiếm ¼ số lượng thuê bao di động trên toàn thế giới. Khu vực Châu Á Thái Bình Dương được cho là chiếm 40% số lượng người sử dụng internet trên thế giới và đồng thời là thị trường băng rộng lớn nhất, chiếm 39% thị trường toàn cầu. Cùng với tốc độ phát triển nhanh của công nghệ, nhiều vấn đề được nhắc đến khi khoảng cách số biến mất. Nhưng điều đáng tiếc, khoảng cách số vẫn hiện hữu. Thậm chí 5 năm, sau khi Hội nghị Thế giới về Xã hội thông tin (WSIS) diễn ra ở Geneva vào năm 2003, bất chấp sự phát triển ấn tượng của công nghệ và những cam kết của các nước lớn trong khu vực. Kết quả là truy nhập truyền thông cơ bản vẫn còn xa lạ với nhiều người, đặc biệt là những người nghèo. Hơn 25 quốc gia trong khu vực gồm những nước đang phát triển, đã có gần 10 người sử dụng internet trên 100 dân, phần lớn tập trung ở các thành phố lớn. Trong khi đó ở một vài nước đã phát triển trong khu vực thì tỉ lệ rất cao với hơn 80 người sử dụng internet trên 100 dân. Sự chênh lệch về mức độ phổ cập băng rộng giữa các nước phát triển và đang phát triển vẫn còn giữ một khoảng cách lớn. Để giảm dần khoảng cách số và nhận diện đúng tiềm năng của ICT cho phát triển kinh tế xã hội trong khu vực, những nhà lập pháp ở các nước phát triển cần xây dựng các chính sách ưu tiên và khung điều chỉnh, chỉ định nguồn quỹ, và tạo điều kiện cho xúc tiến đầu tư vào lĩnh vực công nghiệp ICT và nâng cao kỹ năng ICT cho công dân nước họ. Học phần 6 An toàn, an ninh thông tin và mạng lưới 3
3. Trong Kế hoạch Hành động của WSIS có chỉ rõ, " mỗi người sẽ có cơ hội tiếp cận những kỹ năng và kiến thức cần thiết để hiểu, thực hành và đạt được những lợi ích từ Xã hội Thông tin và Kinh tế Tri thức". Trong phần cuối của kế hoạch này đã kêu gọi sự hợp tác quốc tế và khu vực trong những lĩnh vực có tiềm năng, đặc biệt nhấn mạnh vào việc tạo tập một số lượng lớn các chuyên gia ICT. Để hỗ trợ tốt cho lời kêu gọi từ Kế hoạch hành động của WSIS, APCICT đã xây dựng chương trình giảng dạy đầy đủ về ICT – Bộ giáo trình Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho lãnh đạo trong cơ quan nhà nước. Chương trình này bao gồm 8 phần có liên kết chặt chẽ với nhau, với mục tiêu truyền đạt những kiến thức và kinh nghiệm cần thiết giúp các nhà lập pháp xây dựng và thi hành sáng kiến ICT hiệu quả hơn. APCICT là một trong 5 học viện của Ủy ban Kinh tế Xã hội Liên hợp quốc Châu Á Thái Bình Dương. APCICT xúc tiến chương trình phát triển kinh tế xã hội phù hợp và toàn diện ở Châu Á Thái Bình Dương thông qua việc phân tích, chuẩn hóa, khai thác tiềm năng, hợp tác khu vực và chia sẻ kiến thức. Trong quá trình hợp tác với các cơ quan Liên hợp quốc khác, các tổ chức quốc tế, các quốc gia và những tổ chức liên quan, ESCAP, đại diện là APCICT, được giao nhiệm vụ hỗ trợ việc sử dụng, cải tiến và dịch thuật các bài giảng cho các quốc gia khác nhau, phù hợp với các trình độ trung và cao cấp của các nhân viên trong cơ quan nhà nước, với mục đích đưa kỹ năng và kiến thức thu thập được làm gia tăng những lợi ích từ ICT và thiết lập những hành động cụ thể để đạt được mục tiêu phát triển. Noeleen Heyzer TL. Tổng Thư ký Liên hợp quốc và Giám đốc điều hành của ESCAP 4 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
4. LỜI TỰA Chặng đường phát triển của Bộ giáo trình Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông (CNTT&TT) cho lãnh đạo trong cơ quan nhà nước thực sự là một kinh nghiệm mang tính trí tuệ cao. Bộ giáo trình không chỉ phục vụ cho việc xây dựng các kỹ năng CNTT&TT, mà còn mở đường cho một phương thức mới về xây dựng chương trình giảng dạy - thông qua sự hợp tác của các thành viên và tự chủ về quy trình. Bộ giáo trình là một chương trình mang tính chiến lược của APCICT, phát triển trên cơ sở kết quả khảo sát đánh giá nhu cầu một cách toàn diện được tiến hành trên 20 nước trong khu vực và sự tham khảo ý kiến của các nhân viên thuộc cơ quan nhà nước, thành viên các cơ quan phát triển quốc tế, các viện hàn lâm và cơ sở giáo dục; những nghiên cứu và phân tích kỹ lưỡng về điểm mạnh và điểm yếu của giáo trình đào tạo; thông tin phản hồi từ những người tham gia xây dựng chuỗi bài giảng của APCICT – tổ chức các buổi hội thảo khu vực và quốc gia liên quan đến nội dung bài giảng và các phương pháp đào tạo khoa học; và sự trao đổi góp ý thẳng thắn của các chuyên gia hàng đầu trong các lĩnh vực ICT phục vụ phát triển. Các hội thảo về giáo trình diễn ra ở các khu vực thu được những lợi ích vô giá từ các hoạt động trao đổi kinh nghiệm và kiến thức giữa những người tham dự đến từ các quốc gia khác nhau. Đó là một quy trình để các tác giả xây dựng nội dung. Việc xây dựng 8 học phần trong bộ giáo trình đánh dấu một sự khởi đầu quan trọng trong việc nâng cao sự hợp tác ở hiện tại và xây dựng các mối liên hệ mới nhằm phát triển các kỹ năng thiết lập chính sách phát triển CNTT&TT khắp khu vực. APCICT cam kết cung cấp sự hỗ trợ kỹ thuật trong việc giới thiệu bộ giáo trình quốc gia như một mục tiêu chính hướng tới việc đảm bảo rằng bộ giáo trình sẽ được phổ biến tới tất cả những nhà lập pháp. APCICT cũng đang xúc tiến một cách chặt chẽ với một số viện đào tạo trong khu vực và quốc tế, những tổ chức có mối quan hệ mật thiết với cơ quan nhà nước cấp trung ương và địa phương để cải tiến, dịch thuật và truyền đạt các nội dung của Giáo trình tới những quốc gia có nhu cầu. APCICT đang tiếp tục mở rộng hơn nữa về đối tượng tham gia nghiên cứu giáo trình hiện tại và kế hoạch phát triển một giáo trình mới. Học phần 6 An toàn, an ninh thông tin và mạng lưới 5
5. Hơn nữa, APCICT đang xúc tiến nhiều kênh để đảm bảo rằng nội dung Bộ giáo trình đến được nhiều người học nhất trong khu vực. Ngoài phương thức học trực tiếp thông qua các tổ chức lớp học ở các khu vực và quốc gia, APCICT cũng tổ chức các lớp học ảo (AVA), phòng học trực tuyến cho phép những học viên tham gia bài giảng ngay tại chỗ làm việc của họ. AVA đảm bảo rằng tất cả các phần bài giảng và tài liệu đi kèm cũng như bản trình chiếu và bài tập tình huống dễ dàng được truy nhập trực tuyến và tải xuống, sử dụng lại, cải tiến và bản địa hóa, và nó bao gồm nhiều tính năng khác nhau như bài giảng ảo, công cụ quản lý học tập, công cụ phát triển nội dung và chứng chỉ. Việc xuất bản và giới thiệu 8 học phần của bộ giáo trình thông qua các buổi hội thảo khu vực, tiểu khu vực, quốc gia có sự tận tâm cống hiến, tham gia tích cực của nhiều cá nhân và tổ chức. Tôi muốn nhân cơ hội này để bày tỏ lòng cảm ơn những nỗ lực và kết quả đạt được của nhóm cộng tác và các đối tác từ các Bộ, ngành, học viện, và các tổ chức khu vực và quốc gia đã tham gia hội thảo về bộ giáo trình. Họ không chỉ cũng cung cấp những thông tin đầu vào có giá trị, phục vụ nội dung của bài giảng, mà quan trọng hơn, họ đã trở thành những người ủng hộ việc truyền đạt bộ giáo trình trên đất nước mình, tạo ra kết quả là những thỏa thuận chính thức giữa APCICT và một số viện đối tác của các quốc gia và trong khu vực để cải tiến và phát hành bài giảng giáo trình chính thức cho đất nước họ. Tôi cũng muốn gửi lời cảm ơn đặc biệt cho những nỗ lực cống hiến của nhiều cá nhân nổi bật, những người đã tạo nên thành quả cho bài giảng này. Họ là Shahid Akhtar Cố Vấn Dự án Giáo trình; Patricia Arinto, Biên tập; Christine, Quản lý xuất bản; toàn bộ tác giả bộ giáo trình; và những nhóm APCICT. Chúng tôi hy vọng rằng bộ giáo trình sẽ giúp các quốc gia thu hẹp được những hạn chế của nguồn nhân lực CNTT&TT, xóa bỏ những rào cản nhận thức về CNTT&TT, và xúc tiến ứng dụng CNTT&TT trong việc thúc đẩy phát triển kinh tế xã hội và đạt được mục tiêu phát triển thiên nhiên kỷ. Hyeun-Suk Rhee Giám đốc UN-APCICT 6 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
6. VỀ CHUỖI HỌC PHẦN Trong kỷ nguyên thông tin ngày nay, việc truy cập thông tin một cách dễ dàng đang làm thay đổi cách chúng ta sống, làm việc và giải trí. Nền kinh tế số - còn được gọi là kinh tế tri thức, kinh tế mạng hay kinh tế mới, được mô tả như một sự chuyển tiếp từ sản xuất hàng hóa sang tạo lập ý tưởng. Công nghệ thông tin và truyền thông đang đóng một vai trò quan trọng và toàn diện trên mọi mặt của kinh tế xã hội. Như một kết quả, chính phủ trên khắp thế giới đang quan tâm nhiều hơn tới CNTT&TT trong sự phát triển quốc gia. Đối với các nước, phát triển CNTT&TT không chỉ phát triển về công nghiệp CNTT&TT là một lĩnh vực của nền kinh tế mà còn bao gồm cả việc ứng dụng CNTT&TT trong hoạt động kinh tế, xã hội và chính trị. Tuy nhiên, giữa những khó khăn mà chính phủ các nước phải đối mặt trong việc thi hành các chính sách CNTT&TT, những nhà lập pháp thường không nắm rõ về mặt công nghệ đang sử dụng cho sự phát triển quốc gia. Cho đến khi không thể điều chỉnh được những điều họ không hiểu, nhiều nhà lập pháp né tránh tạo lập các chính sách về CNTT&TT. Nhưng chỉ quan tâm tới công nghệ mà không tạo lập các chính sách thì cũng là một sai lầm vì những nhà công nghệ thường ít có kiến thức về thi hành những công nghệ họ đang phát triển hoặc sử dụng. Bộ giáo trình Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho lãnh đạo trong cơ quan nhà nước do Trung tâm Đào tạo Phát triển Công nghệ thông tin và Truyền thông Liên hợp quốc và Châu Á Thái Bình Dương (UN-APCICT) xây dựng nhằm phục vụ cho: 1. Các nhà hoạch định chính sách về CNTT&TT cả ở mức độ quốc gia và địa phương; 2. Quan chức chính phủ chịu trách nhiệm về phát triển và thi hành các ứng dụng của CNTT&TT; 3. Những nhà quản lý trong lĩnh vực công đang tìm kiếm chức danh quản lý dự án về CNTT&TT. Học phần 6 An toàn, an ninh thông tin và mạng lưới 7
7. Bộ giáo trình hướng đến những vấn đề liên quan tới CNTT&TT phục vụ phát triển trên cả khía cạnh chính sách và công nghệ. Mục đích cốt yếu của giáo trình CNTT&TT không tập trung vào kỹ thuật mà truyền đạt sự hiểu biết về những điều công nghệ số có khả năng hoặc đang hướng tới, tác động tới như thế nào trong việc hoạch định chính sách. Các chủ đề trong bài giảng được thiết kế dựa trên phân tích nhu cầu và khảo sát những chương trình đào tạo trên khắp thế giới. Học phần được cấu tạo theo cách mà người học có thể tự học một cách độc lập hoặc bài giảng cho một khóa học. Học phần vừa mang tính chất riêng lẻ nhưng cũng liên kết với những chủ đề và tình huống thảo luận trong phần khác của chuỗi. Mục tiêu là tạo được sự thống nhất ở tất cả các phần. Mỗi phần bắt đầu với việc trình bày một chủ đề và kết quả mà người đọc sẽ thu được. Nội dung các phần được chia thành các mục bao gồm bài tập và tình huống để giúp hiểu sâu hơn những nội dung chính. Bài tập có thể được thực hiện bởi từng cá nhân hoặc một nhóm học viên. Biểu đồ và bảng biểu được cung cấp để minh họa những nội dung của buổi thảo luận. Tài liệu tham khảo được liệt kê để cho người đọc có thể tự tìm hiểu sâu hơn về bài giảng. Việc sử dụng CNTT&TT phục vụ phát triển rất đa dạng, trong một vài tình huống hoặc thí dụ ở bài giảng có thể xuất hiện những mâu thuẫn. Đây là điều đáng tiếc. Đó cũng là sự kích thích và thách thức của quá trình rèn luyện mới và cũng là triển vọng khi tất cả các nước bắt đầu khai thác tiềm năng của CNTT&TT như công cụ phát triển. Hỗ trợ chuỗi học phần còn có một phương thức học trực tuyến – Học viện ảo APCICT (AVA – – với phòng học ảo sẽ chiếu bản trình bày của người dạy dưới dạng video và Power Point của học phần. Ngoài ra, APCICT đã phát triển một kênh cho phát triển CNTT&TT (e-Co Hub – một địa chỉ trực tuyến dành cho những học viên phát triển CNTT&TT và những nhà lập pháp nâng cao kinh nghiệm học tập. E-Co Hub cho phép truy cập những kiến thức về các chủ đề khác nhau của phát triển CNTT&TT và cung cấp một giao diện chia sẻ kiến thức và kinh nghiệm, và hợp tác trong việc nâng cao CNTT&TT phục vụ phát triển. 8 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
8. HỌC PHẦN 6 Trong thời đại thông tin, tin tức là một tài sản được bảo vệ và những nhà hoạch định chính sách cần nắm được bảo mật thông tin là gì và làm thế nào để chống lại các xâm phạm và rỏ rỉ thông tin. Phần này giới thiệu tổng quan về nhu cầu bảo mật thông tin, xu hướng và các vấn đề bảo mật thông tin, cũng như quá trình xây dựng chiến lược bảo mật thông tin. Mục tiêu của học phần Học phần này nhằm mục tiêu: 1. Làm sáng tỏ khái niệm an toàn, an ninh thông tin và các khái niệm liên quan; 2. Mô tả những thách thức đối với bảo mật thông tin và làm thế nào để có thể xác định chúng ; 3. Thảo luận về nhu cầu thiết lập và thực hiện chính sách an ninh thông tin, cũng như sự thay đổi phát triển của chính sách an ninh thông tin; 4. Giới thiệu tổng quan về các tiêu chuẩn bảo đảm an toàn, an ninh thông tin được sử dụng ở một số quốc gia cũng như các tổ chức an ninh thông tin quốc tế. Kết quả thu được Sau khi hoàn thành học phần này, học giả có thể: 1. Định nghĩa an toàn, an ninh thông tin và các khái niệm liên quan; 2. Nhận định những thách thức đối với an ninh thông tin; 3. Đánh giá chính sách an ninh thông tin hiện có theo các tiêu chuẩn quốc tế về bảo đảm an toàn, an ninh thông tin; 4. Xây dựng hoặc đưa ra các khuyến nghị về chính sách an ninh thông tin thích hợp. Học phần 6 An toàn, an ninh thông tin và mạng lưới 9
9. MỤC LỤC Lời giới thiệu . 3 Lời tựa 5 Về chuỗi học phần . 7 Học phần 6 9 Mục tiêu của học phần 9 Kết quả thu được 9 Danh mục các hình 11 Danh mục bảng 12 Danh mục các từ viết tắt 11 1. Nhu cầu về an ninh thông tin . 15 1.1 Các khái niệm cơ bản trong An ninh thông tin 15 1.2 Các tiêu chuẩn cho hoạt động An ninh thông tin . 21 2. Các định hướng và xu hướng An ninh thông tin 25 2.1 Các kiểu tấn công An ninh thông tin 25 2.2 Xu hướng của các mối hiểm họa an ninh thông tin . 30 2.3 Cải thiện an ninh, bảo mật . 36 3. Các hoạt động An ninh thông tin . 43 3.1 Các hoạt động An ninh thông tin quốc gia 43 3.2 Các hoạt động An ninh thông tin quốc tế . 58 4. Phương pháp An ninh thông tin . . 68 4.1 Phương pháp An ninh thông tin . 68 4.2 Một số ví dụ về phương pháp An ninh thông tin 78 5. Bảo vệ bí mật riêng tư . . 85 5.1 Khái niệm bí mật riêng tư 85 5.2 Các xu hướng của chính sách bí mật riêng tư 86 5.3 Đánh giá tác động bí mật riêng tư ( Privacy Impact Assessment – PIA) . . 96 6. Sự thành lập và hoạt động của CSIRT . . 101 6.1 Sự phát triển và vận hành một CSIRT 101 6.2 Các cơ quan CSIRT quốc tế 119 6.3 Các cơ quan CSIRT quốc gia 121 10 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
10. 7. Vòng đời của chính sách An ninh thông tin . . . 125 7.1 Thu thập thông tin và phân tích kẽ hở 126 7.2 Xây dựng chính sách An ninh thông tin 129 7.3 Thực hiện/ thực thi chinh sách 142 7.4 Xem xét lại và đánh giá chinh sách An ninh thông tin . 148 Phụ lục . 149 Tài liệu đọc thêm 149 Các lưu ý đối với giảng viên 151 Về KISA 153 Danh mục các hình Hình 1. 4R trong An ninh thông tin 18 Hình 2. Mối tương quan giữa rủi ro và tài sản thông tin 19 Hình 3. Các phương pháp quản lý rủi ro 20 Hình 4. Hiện trạng thư rác 33 Hình 5. Mô hình phòng thủ theo chiều sâu DID 38 Hình 6. Hành động mang tính dài hạn của ENISA 50 Hình 7. Dòng tiêu chuẩn ISO/IEC 27001 66 Hình 8. Mô hình quy trình Plan-Do-Check-Act được áp dụng cho các quy trình ISMS 69 Hình 9. CAP và CCP 78 Hình 10. Quy trình hoạch định an ninh đầu vào/ đầu ra 79 Hình 11. Quy trình chứng nhận BS7799 80 Hình 12. Chứng nhận ISMS ở Nhật Bản 81 Hình 13. Chứng nhận ISMS của KISA 82 Hình 14. Mô hình nhóm an ninh 103 Hình 15. Mô hình CSIRT phân tán nội bộ 104 Hình 16. Mô hình CSIRT tập trung nội bộ 105 Hình 17. Mô hình CSIRT kết hợp 106 Hình 18. Mô hình CSIRT điều phối 107 Hình 19. Vòng đời của chính sách An ninh thông tin 126 Hình 20. Ví dụ về cấu trúc hệ thống và mạng lưới 128 Hình 21. Hình mẫu của tổ chức An ninh thông tin quốc gia 131 Hình 22. Khuôn khổ An ninh thông tin 135 Hình 23. Các lĩnh vực công tác trong việc thực thi chính sách An ninh thông tin 142 Học phần 6 An toàn, an ninh thông tin và mạng lưới 11
11. Danh mục các bảng Bảng 1. Sự so sánh thông tin với các tài sản hữu hình 16 Bảng 2. Các tiêu chuẩn liên quan và phạm vi của an ninh thông tin 21 Bảng 3. Thống kê từ tội phạm mạng năm 2007 35 Bảng 4. Các vai trò và kế hoạch của mỗi loại dựa trên Chiến lược quốc gia thứ nhất về An ninh thông tin 56 Bảng 5. Các tiêu chuẩn so sánh trong ISO/IEC27001 69 Bảng 6. Số lượng cơ quan chứng nhận theo quốc gia 71 Bảng 7. Thành phần kết cấu của lớp trong SFR 74 Bảng 8. Thành phần kết cấu của lớp trong SACs 75 Bảng 9. Chứng nhận ISMS của một số quốc gia khác 83 Bảng 10. Quy trình PIA 97 Bảng 11. Các ví dụ về PIA 98 Bảng 12. Các dịch vụ CSIRT 116 Bảng 13. Danh sách các cơ quan CSIRT quốc gia 122 Bảng 14. Các bộ luật liên quan đến an ninh thông tin của Nhật Bản 138 Bảng 15. Các bộ luật liên quan đến an ninh thông tin của EU 139 Bảng 16. Các bộ luật liên quan đến an ninh thông tin của Mỹ 140 Bảng 17. Ngân sách bảo vệ thông tin của Nhật và Mỹ 140 Bảng 18. Ví dụ về cộng tác trong việc phát triển chính sách an ninh thông tin 143 Bảng 19. Ví dụ về hợp tác trong việc quản lý và bảo vệ cơ sở hạ tầng thông tin, truyền thông 144 Bảng 20. Ví dụ về hợp tác trong việc đối phó sự cố an ninh thông tin 144 Bảng 21. Ví dụ về hợp tác trong việc ngăn ngừa sự cố và vi phạm đến an ninh thông 145 Bảng 22. tin Ví dụ về hợp tác trong bảo vệ bí mật riêng tư 146 12 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
12. Danh mục từ viết tắt APCERT Asia-Pacific Computer Emergency Response Team APCICT Asian and Pacific Training Centre for Information and Communication Technology for Development APEC Asia-Pacific Economic Cooperation BPM Baseline Protection Manual BSI British Standards Institution BSI Bundesamt fűr Sicherheit in der Informationstechnik, Germany CAP Certificate Authorizing Participant CC Common Criteria CCP Certificate Consuming Participant CCRA Common Criteria Recognition Arrangement CECC Council of Europe Convention on Cybercrime CERT Computer Emergency Response Team CERT/CC Computer Emergency Response Team Coordination Center CIIP Critical Information Infrastructure Protection CISA Certified Information Systems Auditor CISO Chief Information Security Officer CISSP Certified Information Systems Security Professional CM Configuration Management CSEA Cyber Security Enhancement Act CSIRT Computer Security Incident Response Team DID Defense-In-Depth DNS Domain Name Server DoS Denial-of-Service ECPA Electronic Communications Privacy Act EGC European Government Computer Emergency Response Team ENISA European Network and Information Security Agency ERM Enterprise Risk Management ESCAP Economic and Social Commission for Asia and the Pacific ESM Enterprise Security Management EU European Union FEMA Federal Emergency Management Agency FIRST Forum of Incident Response and Security Teams FISMA Federal Information Security Management Act FOI Freedom of Information GCA Global Cybersecurity Agenda HTTP Hypertext Transfer Protocol ICT Information and Communication Technology ICTD Information and Communication Technology for Development IDS Intrusion Detection System IGF Internet Governance Forum IM Instant-Messaging IPS Intrusion Prevention System ISACA Information Systems Audit and Control Association ISMS Information Security Management System ISO/IEC International Organization for Standardization and International Electrotechnical Commission ISP Internet Service Provider ISP/NSP Internet and Network Service Provider IT Information Technology ITU International Telecommunication Union ITU-D International Telecommunication Union Development Sector ITU-R International Telecommunication Union Radiocommunication Sector ITU-T International Telecommunication Union Standardization Sector KISA Korea Information Security Agency MIC Ministry of Information and Communication, Republic of Korea Học phần 6 An toàn, an ninh thông tin và mạng lưới 13
13. NIS Network and Information Security NISC National Information Security Center, Japan NIST National Institute of Standards and Technology, USA OECD Organisation for Economic Co-operation and Development OMB Office of Management and Budget, USA OTP One-Time Passwords PC Personal Computer PP Protection Profile PSG Permanent Stakeholders Group RFID Radio Frequency Identification SAC Security Assurance Component SFR Security Functional Requirement SME Small and Medium Enterprise ST Security Target TEL Telecommunication and Information Working Group TOE Target of Evaluation TSF TOE Security Functions UK United Kingdom UN United Nations US United States USA United States of America WPISP Working Party on information Security and Privacy WSIS World Summit on the Information Society 14 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
14. 1. NHU CẦU VỀ AN NINH THÔNG TIN Phần này nhằm mục đích: • Giải thích khái niệm thông tin và an ninh thông tin; • Mô tả những tiêu chuẩn được áp dụng cho các hoạt động an ninh thông tin. Cuộc sống con người ngày nay phụ thuộc nhiều vào công nghệ thông tin và truyền thông (ICT). Điều này khiến cho các cá nhân, tổ chức và các quốc gia dễ bị tấn công qua các hệ thống thông tin, như các hình thức hacking (thâm nhập trái phép), cyberterrorism (khủng bố mạng), cybercrime (tội phạm mạng) cũng như các hình thức tương tự. Một số cá nhân và tổ chức được trang bị để có thể đối phó với các cuộc tấn công như vậy. Chính phủ có vai trò quan trọng trong công tác đảm bảo an ninh thông tin thông qua việc mở rộng cơ sở hạ tầng thông tin – truyền thông và thiết lập các hệ thống bảo vệ chống lại những nguy cơ đối với an ninh thông tin. 1.1 Các khái niệm cơ bản trong An ninh thông tin "Thông tin" là gì? Thông thường, thông tin được định nghĩa là kết quả của hoạt động trí óc; đó là sản phẩm vô hình, được truyền tải qua các phương tiện truyền thông. Trong lĩnh vực ICT, thông tin là kết quả của quá trình xử lý, thao tác và tổ chức dữ liệu, có thể đơn giản như việc thu thập số liệu thực tế. Trong phạm vi của An ninh thông tin, thông tin được định nghĩa như một “tài sản”, có giá trị do đó nên được bảo vệ. Học phần này sẽ sử dụng định nghĩa về thông tin và an ninh thông tin theo tiêu chuẩn ISO/IEC 27001. Ngày nay, giá trị của thông tin phản ánh sự chuyển đổi từ một xã hội nông nghiệp sang xã hội công nghiệp và cuối cùng là xã hội hướng thông tin (information-oriented society). Trong xã hội nông nghiệp, đất đai là tài sản quan trọng nhất và quốc gia nào có sản lượng lương thực nhiều nhất sẽ chiếm được lợi thế cạnh tranh. Trong xã hội công nghiệp, với sức mạnh tư bản, như có được các nguồn dự trữ dầu mỏ là nhân tố chủ chốt của khả năng cạnh tranh. Trong xã hội hướng thông tin và tri thức, thông tin là tài sản quan trọng nhất và năng lực thu thập, phân tích và sử dụng thông tin là lợi thế cạnh tranh cho bất kỳ quốc gia nào. Học phần 6 An toàn, an ninh thông tin và mạng lưới 15
15. Với viễn cảnh chuyển đổi từ giá trị tài sản hữu hình sang giá trị tài sản thông tin, có một sự đồng thuận cao đó là thông tin cần được bảo vệ. Bản thân thông tin có giá trị cao hơn phương tiện lưu trữ chúng. Bảng 1 sẽ đối chiếu thông tin với các tài sản hữu hình. Bảng 1. Sự so sánh thông tin với các tài sản hữu hình Đặc điểm Tài sản thông tin Tài sản hữu hình Hình thái – Sự duy Không có hình dạng vật lý và Có hình dạng vật lý trì có thể linh hoạt Giá trị - Tính biến đổi Có giá trị cao hơn khi được xử Tổng giá trị là sự tổng hợp các lý và phối hợp giá trị thành phần Sự chia sẻ Không giới hạn việc tái sản Việc tái sản xuất là không thể; xuất các tài sản thông tin và khi tái sản xuất, giá trị của tài mọi người có thể chia sẻ giá trị sản sẽ bị giảm đi Phương tiện truyền Cần được phát tán thông qua Có thể phân phát một cách thông – Tính phụ các phương tiện truyền thông độc lập (nhờ hình thái vật lý thuộc của tài sản) Như chúng ta thấy ở bảng 1, tài sản thông tin về cơ bản khác với tài sản hữu hình. Chính vì vậy, thông tin có thể bị tấn công bởi những loại hình rủi ro khác. Các mối hiểm họa đối với tài sản thông tin Khi giá trị của tài sản thông tin nâng lên, nhu cầu kiểm soát cũng như truy nhập thông tin giữa con người với nhau gia tăng. Các nhóm hình thành và sử dụng thông tin với nhiều mục tiêu khác nhau, và một số cố gắng để giành được thông tin bằng bất kỳ cách thức nào. Nó bao gồm thâm nhập trái phép (hacking), đánh cắp (piracy) và phá hủy các hệ thống thông tin thông qua virus máy tính và các hình thức khác. Những hiểm họa đi kèm với quá trình tin học hóa được thảo luận trong phần 2 của học phần này. Mặt trái của môi trường hướng thông tin bao gồm các vấn đề sau: Gia tăng những hành vi ứng xử trái với quy tắc nảy sinh từ tình trạng nặc danh – ICT có thể được sử dụng để duy trì tình trạng nặc danh, tạo điều kiện dễ dàng cho các cá nhân dàn xếp những hành vi phạm tội và ứng xử trái quy tắc, bao gồm cả việc chiếm dụng thông tin một cách bất hợp pháp. 16 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
16. Xung đột quyền kiểm soát và sở hữu thông tin – Sự phức tạp về quyền kiểm soát và sở hữu thông tin ngày một tăng lên cùng với việc mở rộng quá trình tin học hóa. Ví dụ như khi chính phủ nỗ lực xây dựng một cơ sở dữ liệu người dân dưới mô hình chính phủ điện tử, một số bộ phận có phàn nàn về khả năng xâm phạm bí mật đời tư từ việc phơi bày các thông tin cá nhân cho người khác. Khoảng cách thông tin và mức độ giàu có giữa các tầng lớp, quốc gia – Kích thước của vật chứa đựng tài sản thông tin có thể biểu thị sự giàu có trong xã hội hướng thông tin/tri thức. Các quốc gia phát triển có khả năng sản xuất ra thông tin và kiếm lợi từ việc bán thông tin như các sản phẩm hàng hóa. Ngược lại, các nước nghèo thông tin, có nhu cầu đầu tư lớn chỉ có thể truy cập thông tin. Tình trạng phơi bày thông tin tăng lên bắt nguồn từ các hệ thống mạng tiên tiến – Xã hội hướng thông tin/tri thức là một xã hội mạng lưới. Cả thế giới được kết nối như một hệ thống mạng duy nhất, điều này có nghĩa là sự yếu kém của một phần nào đó trong mạng lưới sẽ tác động xấu đến các phần còn lại. An ninh thông tin là gì? Đáp lại những cố gắng giành lấy thông tin một cách bất hợp pháp, con người đang nỗ lực để ngăn chặn tội phạm liên quan đến thông tin hoặc giảm thiểu thiệt hại do tội phạm gây ra. Điều này được gọi là an ninh thông tin. Diễn đạt một cách đơn giản, an ninh thông tin là việc nhận biết giá trị của thông tin và bảo vệ nó. 4R trong an ninh thông tin Bộ 4R trong an ninh thông tin đó là Right Information (thông tin đúng), Right People (con người đúng), Right Time (thời gian đúng) và Right Form (định dạng đúng). Kiểm soát toàn bộ 4R này là cách thức tốt nhất để kiểm soát và duy trì giá trị của thông tin. Học phần 6 An toàn, an ninh thông tin và mạng lưới 17
17. Hình 1. 4Rs trong An ninh thông tin Duy trì sự đúng đắn và tính Chỉ sẵn sàng đối với đầy đủ của thông tin những ai được cấp quyền Giá trị thông tin Cung cấp thông tin theo Truy cập và sử dụng theo một định dạng chuẩn nhu cầu “Right Information” thể hiện sự đúng đắn và tính chất đầy đủ của thông tin, đảm bảo tính toàn vẹn của thông tin. “Right People” có nghĩa là thông tin chỉ sẵn sàng đối với những người được cấp quyền, đảm bảo tính bí mật của thông tin. “Right Time” thể hiện khả năng có thể truy cập và tính khả dụng của thông tin theo yêu cầu của thực thể có thẩm quyền. Điều này đảm bảo tính sẵn sàng của thông tin. “Right Form” thể hiện việc cung cấp thông tin theo một định dạng chuẩn. Để bảo đảm an ninh thông tin, mô hình 4R phải được áp dụng một cách đúng đắn. Điều này có nghĩa là tính bí mật, tính toàn vẹn và tính sẵn sàng cần được giám sát trong quá trình quản lý thông tin. An ninh thông tin cũng yêu cầu sự am hiểu rõ ràng về giá trị của tài sản thông tin, cũng như khả năng bị xâm phạm và những mối đe dọa tương ứng. Vấn đề này được biết đến như công tác quản lý rủi ro. Hình 2 thể hiện sự tương quan giữa tài sản thông tin và rủi ro. 18 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
18. Hình 2. Mối tương quan giữa rủi ro và tài sản thông tin Khai thác Mối đe dọa Khả năng bị tấn công Bảo vệ Tăng lên Khai thác chống lại Tăng lên Giảm đi Quản lý Rủi ro Tài sản Đòi hỏi Có Tăng lên Đưa ra bởi Yêu cầu Giá trị tài sản an ninh Rủi ro được xác định thông qua giá trị tài sản, các mối đe dọa và khả năng bị xâm phạm. Công thức như sau: Rủi ro = (Giá trị tài sản, Các mối đe dọa, Khả năng bị xâm phạm) Rủi ro tỉ lệ thuận với giá trị tài sản, các mối đe dọa và khả năng bị xâm phạm. Do đó, rủi ro có thể bị tăng lên hay giảm đi thông qua việc thay đổi quy mô giá trị tài sản, các mối đe dọa và khả năng bị xâm phạm. Điều này có thể thực hiện thông qua công tác quản lý rủi ro. Các phương pháp quản lý rủi ro bao gồm: Thu hẹp rủi ro (giảm nhẹ rủi ro) – Phương pháp này được thực hiện khi khả năng xảy ra của các mối đe dọa/khả năng bị xâm hại cao nhưng tác động của chúng thấp. Nó đòi hỏi sự am hiểu các mối đe dọa và khả năng bị xâm phạm là gì, thay đổi hay giảm thiểu chúng, và việc triển khai một biện pháp đối phó. Tuy vậy, việc thu hẹp rủi ro không làm giảm giá trị của rủi ro tới mức ‘0’. Học phần 6 An toàn, an ninh thông tin và mạng lưới 19
19. Chấp nhận rủi ro – Phương pháp này được thực hiện khi khả năng xảy ra của các mối đe dọa/khả năng bị xâm hại thấp và ảnh hưởng của chúng có vẻ thấp hoặc có thể chấp nhận được. Di chuyển rủi ro – Nếu rủi ro ở mức quá cao hoặc tổ chức không có khả năng chuẩn bị các giải pháp kiểm soát cần thiết thì rủi ro có thể được di chuyển ra bên ngoài tổ chức. Một ví dụ đó là áp dụng một chính sách bảo hiểm. Tránh xa rủi ro – Nếu các mối đe doa và khả năng bị xâm phạm có khả năng cao xảy ra và tác động của chúng cũng ở mức rất cao thì phương pháp tốt nhất là tránh xa rủi ro, ví dụ như bằng cách thuê ngoài đội ngũ cũng như trang thiết bị xử lý dữ liệu. Hình 3 là một biểu đồ minh họa cho bốn phương pháp quản lý rủi ro. Trong hình này, góc phân tư số ‘1’ là Thu hẹp rủi ro, góc phần tư số ‘2’ là Chấp nhận rủi ro, góc phần tư số ‘3’ là Di chuyển rủi ro, và góc phần tư số ‘4’ là Tránh xa rủi ro. Hình 3. Các phương pháp quản lý rủi ro Cao 1 4 Khả năng của các mối đe dọa/Khả năng bị xâm phạm 2 3 Thấp Tác động Cao Nhân tố chính trong việc xem xét lựa chọn phương pháp quản lý rủi ro thích hợp đó là mối quan hệ chi phi – hiệu quả. Công tác phân tích chi phí – hiệu quả nên được tiến hành trước khi thiết lập các phương án thu hẹp rủi ro, chấp nhận rủi ro, di chuyển rủi ro hay tránh xa rủi ro. 20 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
20. 1.2 Các tiêu chuẩn cho hoạt động an ninh thông tin Các hoạt động an ninh thông tin không thể thực hiện một cách hiệu quả mà thiếu một kế hoạch vật chất và kỹ thuật cũng như quản trị một cách đồng bộ. Nhiều tổ chức có những tiêu chuẩn khuyến nghị cho các hoạt động an ninh thông tin. Tiêu biểu là các yêu cầu an ninh thông tin của Ủy ban Kỹ thuật chung (ISO/IEC) giữa Tổ chức Tiêu chuẩn hóa Quốc tế (International Organization for Standardization - ISO) và Hội đồng Kỹ thuật điện Quốc tế (International Electrotechnical Commission - IEC); các tiêu chuẩn đánh giá CISA (Certified Information Systems Auditor) và CISSP (Certified Information Systems Security Professional) của Hiệp hội Điều hành và Kiểm toán hệ thống thông tin ISACA (Information Systems Audit and Control Association). Các tiêu chuẩn này khuyến nghị cho các hoạt động an ninh thông tin đồng nhất, như xây dựng một chính sách an ninh thông tin, xây dựng và điều hành một tổ chức an ninh thông tin, quản lý nguồn nhân lực, quản lý an ninh các yếu tố vật chất, quản lý an ninh các yếu tố kỹ thuật, quản lý hoạt động kinh doanh liên tục và kiểm toán hệ thống. Bảng 2 liệt kê các tiêu chuẩn liên quan tới lĩnh vực an ninh thông tin. Bảng 2. Các tiêu chuẩn liên quan và phạm vi của An ninh thông tin Phạm vi an ISO/IEC 27001 CISA CISSP ninh thông tin • Chính sách • Quản trị IT • Thực tiễn quản lý an an ninh ninh • Mô hình và kiến trúc an ninh • Tổ chức về an • Quản trị IT ninh thông tin Quản trị • Quản lý tài sản • Bảo vệ tài sản • Thực tiễn quản lý an điều hành thông tin ninh • An ninh nguồn nhân lực • Quản lý các tình • Khôi phục các • Lập kế hoạch khôi huống bất ngờ liên thảm họa và tính phục thảm họa và lập quan tới an ninh liên tục của công kế hoạch duy trì tính thông tin việc kinh doanh liên tục của công việc kinh doanh Học phần 6 An toàn, an ninh thông tin và mạng lưới 21
21. • Quản lý tính liên • Khôi phục các • Lập kế hoạch khôi tục trong công việc thảm họa và tính phục thảm họa và lập kinh doanh liên tục của công kế hoạch duy trì tính việc kinh doanh liên tục của công việc kinh doanh • Sự tuân thủ • Quá trình kiểm • Luật lệ, công tác điều toán hệ thống tra và các nội quy thông tin • An ninh môi • An ninh các yếu tố Các yếu tố trường và các yếu vật chất vật chất tổ vật chất • Quản lý điều hành • Quản lý vòng đời • Công nghệ mã hóa và truyền thông cơ sở hạ tầng và • An ninh mạng lưới và các hệ thống truyền thông • An ninh điều hành Các yếu tố kỹ thuật • Quản trị truy nhập • Bảo trì và phát • Hỗ trợ và giao triển, thu nhận các phát dịch vụ IT hệ thống thông tin Tiêu chuẩn ISO/IEC270011 tập trung vào an ninh quản trị. Cụ thể, nó nhấn mạnh công tác kiểm toán hoạt động và tài liệu như hành vi quản trị và việc giám sát các quy tắc cũng như chính sách/định hướng. Tiếp đó, việc xác nhận và các biện pháp đối phó được yêu cầu đưa ra bởi nhà quản trị. Do vậy, ISO/IEC27001 cố gắng xác định những điểm yếu trong trang thiết bị, các hệ thống an ninh và những yếu tố tương tự trong một đường lối quản trị. Ngược lại, không có đề cập nào về an ninh các yếu tổ vật chất và nguồn nhân lực trong CISA2. CISA tập trung vào các hoạt động kiểm toán và quản trị hệ thống thông tin. Theo đó, vai trò của kiểm toán viên và hiệu quả của quá trình kiểm toán được xem là rất quan trọng. CISSP3 thì chủ yếu tập trung vào an ninh các yếu tố kỹ thuật. Nó nhấn mạnh công tác sắp xếp và điều hành trang thiết bị như các hệ thống máy tính và máy chủ. 1 ISO, “ISO/IEC27001:2005,” csnumber =42103. 2 Xem ISACA, “Standards for Information Systems Auditing,” CISA_Certification&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=16&ContentID=19566. 3 Xem (ISC)², “CISSP® - Certified Information Systems Security Professional,” 22 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
22. Một vài điều cần làm 1. Đánh giá mức độ nhận thức về an ninh thông tin của các thành viên trong đơn vị bạn. 2. Các biện pháp an ninh thông tin được thực hiện trong đơn vị của bạn là gì? Phân loại các biện pháp này theo những tiêu chí của 4 phương pháp an ninh thông tin. 3. Cho ví dụ về các biện pháp an ninh thông tin theo các lĩnh vực quản trị điều hành, các yếu tố vật chất và kỹ thuật trong tổ chức của bạn hoặc tại các tổ chức khác trong vùng hay quốc gia bạn sống. Các thành viên tham dự khóa học có thể làm bài tập theo nhóm. Nếu các thành viên đến từ nhiều quốc gia khác nhau, việc phân nhóm có thể tiến hành theo mỗi quốc gia. Tự kiểm tra 1. Thông tin khác với các tài sản khác như thế nào? 2. Tại sao an ninh thông tin liên quan tới một chính sách? 3. Các cách thức đảm bảo an ninh thông tin là gi? Phân biệt các phương pháp tiến hành an ninh thông tin. 4. Phân biệt sự khác nhau giữa ba phạm vi an ninh thông tin (quản trị điều hành, các yếu tố vật chất, các yếu tố kỹ thuật). Học phần 6 An toàn, an ninh thông tin và mạng lưới 23
23. 24 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
24. 2. CÁC ĐỊNH HƯỚNG VÀ XU HƯỚNG AN NINH THÔNG TIN Phần này nhằm mục đích: • Giới thiệu các mối đe dọa đối với an ninh thông tin; • Miêu tả các biện pháp đối phó chống lại các mối đe dọa này. 2.1 Các kiểu tấn công An ninh thông tin Thâm nhập trái phép (Hacking) Hacking là một hành động truy cập tới một máy tính hoặc mạng máy tính nhằm giành được hay chỉnh sửa thông tin mà không có sự cho phép hợp pháp. Hacking có thể được phân loại thành hình thức thâm nhập mang tính tiêu khiển, tội phạm hay mang tính chính trị, tùy thuộc vào mục đích của cuộc tấn công. Hacking mang tính tiêu khiển là việc thay đổi trái phép các chương trình hay dữ liệu một cách đơn giản nhằm thỏa mãn sự tò mò của tin tặc (hacker). Hacking mang tính chất tội phạm được sử dụng trong hoạt động gian lận và gián điệp. Hacking mang tính chính trị là hình thức can thiệp vào các website để quảng bá những thông điệp chính trị không được phép.4 Gần đây, hacking ngày càng gắn liền với khủng bố mạng và chiến tranh mạng, tạo ra một mối đe dọa lớn đối với an ninh quốc gia. 4 Suresh Ramasubramanian, Salman Ansari and Fuatai Purcell, “Governing Internet Use: Spam, Cybercrime and e-Commerce,” in Danny Butt (ed.), Internet Governance: Asia-Pacific Perspectives (Bangkok: UNDP-APDIP, 2005), 95, Học phần 6 An toàn, an ninh thông tin và mạng lưới 25
25. Chiến tranh mạng giữa Mỹ và Trung Quốc Một nhóm tin tặc có tên PoizonBox tại Mỹ đã bị buộc tội xóa sổ hơn 350 website của Trung Quốc trong vòng 1 tháng. Nhóm này cũng bị cho là đã tấn công 24 website Trung Quốc, trong đó có website của 8 tổ chức chính phủ Trung Hoa, ngày 30/4/2001. Các tin tặc Trung Quốc sau đó đã tuyên bố Cuộc chiến tranh mạng lần thứ 6 với Bộ Quốc Phòng và đánh vào các website Mỹ từ 30/4 – 1/5/2001, trong đó có website của các tổ chức chính phủ Mỹ. Các cuộc tấn công đã khiến Lầu năm góc phải nâng tình trạng an ninh các hệ thống máy tính của mình từ INFO-CON NORMAL lên INFO-CON ALPHA. Ngày 1/5/2001, Trung tâm Bảo vệ Hạ tầng quốc gia của Cục điều tra Liên Bang đưa ra cảnh báo rằng tin tặc Trung Quốc đã tấn công website của các công ty và chính phủ Mỹ. Sau cuộc chiến tranh mạng này, Mỹ nhận ra rằng các hiểm họa điện tử (giống như hacking) có thể là nguyên nhân gây ra nhiều thiệt hại cho các tổ chức chính phủ Mỹ và sau đó đã tăng cường khả năng phòng thủ chống lại các mối đe dọa mạng thông qua việc nâng mức ngân sách tài chính cho an ninh thông tin và cải thiện chính sách thông tin bên trong các tổ chức chính phủ. Nguồn: Attrition.org, “Cyberwar with China: Self-fulfilling Prophecy” (2001), Từ chối dịch vụ (DoS) Tấn công từ chối dịch vụ ngăn chặn người dùng hợp pháp sử dụng một dịch vụ nào đó trong khi kẻ phạm tội giành quyền truy nhập tới hệ thống máy móc hoặc dữ liệu. Tình huống này xảy ra khi kẻ tấn công “làm tràn” một hệ thống mạng với khối lượng lớn dữ liệu hoặc cố ý chiếm dụng nguồn tài nguyên giới hạn, như việc chặn đứng khả năng kiểm soát tiến trình hay xếp hàng chờ các kết nối mạng. Hoặc chúng có thể phá hỏng các thành phần vật lý trong mạng lưới thao túng dữ liệu trong quá trình truyền đưa, kể cả dữ liệu đã được mã hóa.5 5 ESCAP, “Module 3: Cyber Crime and Security,” sources.asp. 26 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
26. Khủng bố mạng chống lai Estonia Ngày 4/5/2007 tại thủ phủ của Estonia, cuộc di dời đài tưởng niệm của Liên bang Xô Viết từ trung tâm thành phố tới một nghĩa trang quân đội đã kích động cuộc tấn công khủng bố mạng kéo dài ba tuần chống lại Estonia, trong đó có tấn công từ chối dịch vụ DoS với khoảng 1 triệu máy tính. Website và mạng máy tính của phủ tổng thống, Quốc hội Estonia, nhiều cơ quan chính phủ, đảng cầm quyền, báo chí và ngân hàng bị đánh sập. Thậm chí mạng không dây cũng là mục tiêu của cuộc tấn công. Sau đó, Estonia đã tìm ra vị trí của kẻ tấn công nằm tại một tổ chức chính phủ của Nga. Chính phủ Nga đã phủ quyết cáo buộc này. Khi cuộc tấn công khủng bố mạng xảy ra, Estonia không thể đối phó ngay lập tức do thiếu một đội phản ứng nhanh và không có chính sách an ninh thông tin. Nguồn: Beatrix Toth, “Estonia under cyber attack” (Hun-CERT, 2007), Mã độc (Malicious code) Mã độc được hiểu là các chương trình có thể gây ra những hư hại cho một hệ thống khi được thực thi. Virus, sâu worm và Trojan là các loại của mã độc. Virus máy tính là một chương trình hay mã lập trình gây hư hại cho dữ liệu và hệ thống máy tính bằng cách tự tái tạo thông qua bản sao chép ban đầu tới một chương trình, phân vùng khởi động máy tính hay tài liệu khác. Sâu máy tính là một loại virus có khả năng tự tái tạo mà không làm biến đổi tệp tin (file) nhưng nó thường trú trong bộ nhớ chính, sử dụng một phần hệ điều hành, vô thức và thường vô hình đối với người dùng. Việc không kiểm soát được sự nhân bản của chúng dẫn tới tiêu tốn tài nguyên hệ thống, gây chậm hoặc tắc nghẽn các tác vụ khác. Trojan là một chương trình mà sự xuất hiện của nó là hữu ích và/hoặc vô hại, nhưng thật ra nó có một chức năng nguy hiểm như các chương trình ẩn tự động tải dữ liệu lên hoặc các đoạn mã lệnh khiến cho một hệ thống có thể bị tấn công, xâm phạm. Học phần 6 An toàn, an ninh thông tin và mạng lưới 27
27. Cuộc khủng bố Internet 1.25 tại Hàn Quốc Ngày 25/01/2003, một virus máy tính có tên “Slammer worm” đã gây ra sự cố ngắt các kết nối Internet trên toàn quốc tại Hàn Quốc. Sự cố này rốt cuộc kéo dài hơn 9 giờ đồng hồ, được xác định nguyên nhân là do dịch vụ máy chủ tên miền (DNS) bị đánh sập bởi sâu máy tính. Hậu quả của sự cố khiến thị trường mua bán trực tuyến bị thiệt hại một khoản ước tính 200.000 – 500.000 USD và tổng giá trị giao dịch trực tuyến bị thất thoát lên tới 22,5 tỉ USD. Kết quả báo cáo cho thấy thiệt hại do Slammer worm gây ra lớn hơn cả thiệt hại gây bởi virus CodeRed và Nimda vì nạn nhân chỉ là những người dùng bình thường. Cuộc khủng bố Internet đã thúc đẩy chính phủ Hàn Quốc thông qua công tác quản lý toàn diện đối với các nhà cung cấp dịch vụ Internet (ISP) và Công ty an ninh thông tin (Information Security Company). Các hệ thống an ninh thông tin và bảo vệ hạ tầng thông tin đã được thiết lập, và một ban hay đơn vị an ninh thông tin được xây dựng trong mỗi tổ chức. Kiến trúc xã hội (Social engineering) Thuật ngữ “kiến trúc xã hội” dùng để chỉ một bộ kỹ thuật được sử dụng để lôi kéo người dùng trong việc bày tỏ, chia sẻ các thông tin mang tính bí mật. Mặc dù nó cũng tương tự như một thủ đoạn hay sự gian lận đơn giản, hình thức điển hình này được áp dụng để thu thập thông tin hay truy nhập hệ thống máy tính. Trong hầu hết các trường hợp, kẻ tấn công không bao giờ đối mặt với nạn nhân. Tấn công lừa đảo (Phishing) Phishing là hành động lấy cắp thông tin cá nhân thông qua Internet nhằm mục đích lừa gạt tài chính, đây là một ví dụ của Social engineering. Phishing ngày càng trở thành một hoạt động tội phạm quan trọng trên mạng Internet. 28 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
28. Heist Vụ tấn công Ngân hàng Thụy Sĩ được biết đến là vụ ăn cắp trực tuyến “lớn chưa từng có” Ngày 19/01/2007, ngân hàng Thụy Sĩ Nordea bị tấn công bằng hình thức lừa đảo trực tuyến phishing. Cuộc tấn công bắt đầu từ một Trojan tự tạo được gửi dưới danh nghĩa của ngân hàng tới một số khách hàng. Người gửi khuyến khích khách hàng tải một ứng dụng “ngăn chặn thư rác”. Người dùng tải về tệp tin đính kèm có tên ranking.zip hoặc ranking.exe đã bị nhiễm Trojan được biết đến là haxdoor.ki bởi một số công ty bảo mật. Thực chất haxdoor đã cài đặt trình theo dõi thao tác bàn phím keylogger để ghi lại những thông tin đánh cắp và có khả năng tự ẩn mình nhờ sử dụng công cụ rootkit (là công cụ phần mềm do kẻ xâm nhập đưa vào máy tính nhằm mục đích cho phép mình quay lại xâm nhập máy tính đó và dùng nó cho các mục đích xấu mà không bị phát hiện). Các biến kể .ki của Trojan được kích hoạt khi khách hàng đăng nhập vào trang (site) trực tuyến của ngân hàng Nordea. Khách hàng bị chuyển tới một trang chủ giả mạo, nơi họ điền các thông tin đăng nhập quan trọng, kể cả số lần đăng nhập. Sau khi khách hàng điền thông tin, một thông báo lỗi xuất hiện, thông báo với họ rằng site đang gặp phải các sự cố kỹ thuật. Kẻ phạm tội sau đó sử dụng thông tin chi tiết của khách hàng thu được trên website thật của ngân hàng Nordea để rút tiền từ tài khoản khách hàng. Khách hàng của Nordea bị lừa đảo bằng e-mail có chứa Trojan trong hơn 15 tháng. 250 khách hàng phản ánh bị ảnh hưởng với tổng thiệt hại ước tính khoảng 7 – 8 triệu krona Thụy Sĩ (7.300 – 8.300USD). Tình huống này minh chứng rằng tấn công mạng có thể ảnh hưởng tới cả các công ty tài chính có mức độ bảo mật cao. Nguồn: Tom Espiner, “Swedish bank hit by ‘biggest ever’ online heist,” ZDNet.co.uk (19 January 2007), 39285547,00.htm. Học phần 6 An toàn, an ninh thông tin và mạng lưới 29
29. 2.2 Xu hướng của các mối hiểm họa an ninh thông tin6 Một hoạt động quan trọng trong công tác bảo đảm an ninh thông tin là phân tích xu hướng của hiểm họa an ninh. Điều này hướng tới việc tìm kiếm các mô hình hiểm họa an ninh theo trật tự thời gian để nhận biết cách thức chúng thay đổi và phát triển, xoay theo một chiều hướng mới hay chuyển đổi. Quá trình liên tục thu thập, liên kết thông tin và phát triển các đặc trưng đi kèm này được thực hiện để có thể lường trước các nguy cơ tương tự hoặc có thể đồng thời chuẩn bị những đối sách phù hợp đối phó với những hiểm họa đó. Những tổ chức thực hiện việc phân tích xu hướng các mối hiểm họa an ninh thông tin và chia sẻ các báo cáo hiểm họa an ninh thông tin gồm có: • CERT ( • Symantec ( • IBM ( Dưới đây là mô tả về các xu hướng hiểm họa an ninh thông tin đã được báo cáo: Các công cụ tấn công tự động7 Ngày nay, những kẻ xâm nhập sử dụng các công cụ tự động cho phép chúng có thể thu thập thông tin của hàng ngàn máy chủ lưu trữ Internet (host) một cách dễ dàng và nhanh chóng. Hệ thống mạng có thể bị quét từ một vị trí ở xa và với các host được nhận định là có điểm yếu sẽ sử dụng những công cụ tự động này. Kẻ xâm nhập ghi lại những thông tin cho mục đích sử dụng sau này, chia sẻ hoặc giao dịch với những kẻ xâm nhập khác hoặc có thể tấn công ngay lập tức. Một số công cụ (như Cain&Abel) tự động thực hiện một loạt những tấn công nhỏ nhắm tới một mục tiêu tổng thể. Ví dụ, kẻ xâm nhập có thể sử dụng một chương trình nghe trộm gói tin (packet sniffer) để lấy mật khẩu của router hoặc firewall, đăng nhập vào firewall để vô hiệu hóa bộ lọc (filter), và sau đó sử dụng một dịch vụ tệp tin mạng để đọc dữ liệu trên máy chủ. 6 Được trích từ Tim Shimeall and Phil Williams, Models of Information Security Trend Analysis (Pittsburgh: CERT Analysis Center, 2002), 7 Được trích từ CERT, “Security of the Internet,” Carnegie Mellon University, 30 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
30. Các công cụ tấn công khó phát hiện Một số công cụ tấn công sử dụng mô hình tấn công kiểu mới mà không bị phát hiện bởi các công cụ dò tìm hiện tại. Ví dụ, các kỹ thuật anti – forensic được sử dụng để che dấu hay ẩn đi bản chất của những công cụ tấn công. Các công cụ đa dạng thay đổi hình thức theo mỗi lần chúng được sử dụng. Một vài công cụ này sử dụng các giao thức chung như giao thức truyền tải siêu văn bản (HTTP) khiến cho khó có thể phân biệt chúng với giao dịch mạng hợp pháp.8 Sâu MSN Messenger là một ví dụ điển hình cho tình huống này. Sâu trong trình nhắn tin nhanh (IM) MSN Messenger gửi tới các danh bạ trong sổ địa chỉ của người bị nhiễm một tệp tin được thiết kế để xâm nhập vào hệ thống sau khi đưa ra cảnh báo lần đầu rằng họ nhận một tệp tin. Các hành động trên trình IM của người sử dụng bị bắt chước, gây ra sự hoang mang.9 Khôi phục nhanh hơn các khả năng bị tấn công Hàng năm, số lượng các sản phẩm phần mềm khôi phục khả năng bị tấn công mới được báo cáo tới Trung tâm đối ứng sự cố máy tính Computer Emergency Response Team Coordination Center (CERT/CC) nhiều hơn gấp đôi, gây khó khăn cho các nhà quản trị trong việc cập nhật các bản vá (patch). Những kẻ xâm nhập biết điều đó và chiếm lợi thế.10 Một số kẻ xâm nhập tiến hành tấn công zero-day hoặc zero-hour (lỗ hổng chưa được công bố), theo đó một máy tính có nguy cơ bị khai thác qua các ứng dụng có khả năng bị tấn công mà không có bản vá hay sự bảo vệ bởi chúng chưa được phát hiện bởi nhà quản trị.11 Sự gia tăng hiểm họa bất đối xứng và sự hội tụ các phương thức tấn công Hiểm họa bất đối xứng là một tình huống mà trong đó kẻ tấn công có lợi thế vượt trên cả khả năng chống đỡ. Số lượng các mối hiểm hoạ bất đối xứng gia tăng cùng với khả năng tự động hóa của sự phát triển hiểm họa cũng như tính chất tinh vi của các công cụ tấn công. 8 Suresh Ramasubrahmanian et al., op. cit., 94. 9 Munir Kotadia, “Email worm graduates to IM,” ZDNet.co.uk (4 April 2005), security/0,1000000189,39193674,00.htm. 10 Suresh Ramasubrahmanian et al., op. cit. 11 Wikipedia, “Zero day attack,” Wikimedia Foundation Inc., Học phần 6 An toàn, an ninh thông tin và mạng lưới 31
31. Sự hội tụ các phương thức tấn công thể hiện sự thống nhất các cách thức tấn công khác nhau của kẻ thực hiện nhằm tạo ra hệ thống mạng toàn cầu nhằm hỗ trợ cho hoạt động phá hại được sắp xếp. Một ví dụ là Mpack, đây là Trojan được cài đặt lên máy tính của người dùng thông qua việc giao tiếp với các máy chủ Mpack. Kẻ tấn công tạo ra các giao dịch tới những máy chủ này bằng cách phá hại các website chính thức vì thế những khách viếng thăm website này sẽ được chuyển hướng tới máy chủ Web giả mạo, hoặc bằng cách gửi đường liên kết (link) tới máy chủ Web giả mạo thông qua các thông điệp thư rác (spam). Những máy chủ Web giả mạo này sẽ chuyển hướng trình duyệt của người dùng tới các máy chủ Mpack.12 Sự gia tăng các nguy cơ tấn công cơ sở hạ tầng Tấn công cơ sở hạ tầng là những tấn công có ảnh hưởng sâu rộng tới các thành phần chủ chốt của mạng Internet. Chúng là mối quan tâm bởi số lượng các tổ chức và người sử dụng Internet cũng như sự gia tăng tính phụ thuộc đối với Internet của họ trong việc thực hiện các hoạt đông kinh doanh hàng ngày. Hậu quả của các cuộc tấn công cơ sở hạ tầng với hình thức DoS, làm thiệt hại các thông tin nhạy cảm, phát tán tin tức sai và làm chệch đi đáng kể các nguồn lực từ những nhiệm vụ khác. Botnet là một ví dụ về tấn công cơ sở hạ tầng. Thuật ngữ botnet dùng để chỉ một nhóm các máy tính nhiễm độc bị điều khiển từ xa bởi một máy chủ điều lệnh (command control server). Các máy tính bị nhiễm độc sẽ phát tán sâu và Trojan thông qua hệ thống mạng. Thư rác nhanh chóng tăng lên do sử dụng botnet. Thư rác là những thông điệp không mong muốn có số lượng lớn có thể được gửi thông qua e-mail, tin nhắn, các động cơ tìm kiếm, blog và thậm chí là qua điện thoại di động. Hình 4 cho thấy xu hướng gia tăng lượng thư rác 12 Symantec, Symantec Internet Security Threat Report: Trends for January–June 07, Volume XII (September 2007), 13, whitepaper_internet_security_threat_report_xii_exec_summary_09_2007.en-us.pdf. 32 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
32. Hình 4. Hiện trạng thư rác Thư rác nhận được mỗi ngày Tổng số Số liệu đối chiếu ắn Tinnh Năm Học phần 6 An toàn, an ninh thông tin và mạng lưới 33
33. Đối phó với Botnet Để giảm thiệt hại do botnet gây ra, Liên minh viễn thông quốc tế (ITU) khuyến nghị một sự kết hợp giữa chính sách, công nghệ và phương pháp luận mang tính xã hội. Về chính sách: Các quy tắc và luật tội phạm mạng, chống thư rác có hiệu quả • Xây dựng năng lực giữa các đối tượng nắm giữ chính sách có liên quan • Khuôn khổ toàn diện cho các hoạt động và hợp tác quốc tế • Nhất quán giữa pháp chế về tội phạm mạng và sự riêng tư • Khuôn khổ cho việc thi hành tại đơn vị về giảm thiểu tội phạm mạng và botnet Về kỹ thuật: Các kỹ thuật và công cụ nhận diện cũng như thu thập thông tin về những botnet thực sự • Những bài thực hành tốt nhất cho ISP để giảm thiểu các hoạt động botnet • Những bài thực hành tốt nhất cho cán bộ đào tạo và cơ quan đăng ký để giảm thiểu các hoạt động botnet • Xây dựng năng lực cho các nhà cung cấp giao dịch trực tuyến và thương mại điện tử Về xã hội: Sáng kiến đào tạo rộng rãi về an ninh và an toàn Internet • Tạo điều kiện thuận lợi về các truy nhập ICT bảo đảm cho người dùng Bộ công cụ PTF ITU SPAM là một gói giải pháp toàn diện giúp các nhà hoạch định chính sách, nhà quản lý và các doanh nghiệp trong việc điều chỉnh chính sách và khôi phục tính riêng tư đối với e-mail. Bộ công cụ này cũng khuyến nghị việc chia sẻ thông tin giữa các quốc gia nhằm ngăn chặn những sự cố mang tầm quốc tế. Thay đổi mục đích tấn công Trước đây, các cuộc tấn công mạng và máy tính thường xảy ra vì tính hiếu kỳ hay tự thỏa mãn bản thân. Ngày nay, mục đích tấn công thường là vì tiền bạc, vu khống và phá hoại. Hơn nữa, những kiểu tấn công này chỉ thể hiện cho một phần nhỏ trong phạm vi rộng lớn của tội phạm mạng. 34 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
34. Tội phạm mạng là hình thức phá hoại có chủ ý, đánh sập hay làm sai lệch dữ liệu số hoặc các luồng thông tin vì các nguyên nhân chính trị, kinh tế, tôn giáo hay hệ tư tưởng. Hầu hết các hình thức tội phạm phổ biến bao gồm xâm nhập trái phép, từ chối dịch vụ, mã độc và kiến trúc xã hội. Gần đây, tội phạm mạng đã trở thành một phần của khủng bố mạng và chiến tranh mạng với các tác hại tới an ninh quốc gia. Bảng 3 dưới đây cho thấy những gì mà thủ phạm của tội phạm mạng kiếm được. Bảng 3. Thống kê từ tội phạm mạng năm 2007 Tài sản Định giá (bằng USD) Chi trả cho mỗi lần cài đặt quảng cáo duy 30 cents tại Mỹ, 20 cents tại Canada, 10 nhất cents tại Anh, 2 cents tại những nơi khác Gói phần mềm gây hại (Malware), phiên 1.000USD – 2.000USD bản cơ bản Gói phần mềm gây hại (Malware) với dịch Giá cả không cố định với mức khởi đầu vụ đi kèm 20USD Cho thuê bộ thủ thuật phá hoại (Exploit kit) 0,99USD – 1USD trong 1 giờ Cho thuê bộ thủ thuật phá hoại (Exploit kit) 1,60USD – 2USD trong 2,5 giờ Cho thuê bộ thủ thuật phá hoại (Exploit kit) 4USD, có thể nhiều hơn trong 5 giờ Trojan đánh cắp thông tin mà không bị 80USD, có thể nhiều hơn phát hiện Tấn công DoS phân tán 100USD/ngày 10.000 máy tính bị nhiễm độc 1.000USD Đánh cắp tài khoản tín dụng ngân hàng Giá cả không cố định với mức khởi đầu 50USD 1 triệu địa chỉ e-mail mới thu thập được 8USD trở lên, phụ thuộc vào chất lượng (không kiểm định) Nguồn: Trend Micro, 2007 Threat Report and Forecast (2007), 41, Học phần 6 An toàn, an ninh thông tin và mạng lưới 35
35. 2.3 Cải thiện an ninh, bảo mật Do xu hướng về các mối đe dọa an ninh và các công nghệ tấn công, phòng thủ mạnh mẽ đòi hỏi một chiến lược linh hoạt, cho phép thích ứng với môi trường thay đổi, các thủ tục và chính sách rõ ràng, việc sử dụng các công nghệ bảo mật thích hợp, và cảnh giác không ngừng. Một điều hữu ích đó là bắt đầu chương trình cải tiến bảo mật bằng việc xác định hiện trạng an ninh. Không thể thiếu đối với một chương trình bảo mật là các tài liệu về chính sách và thủ tục, cũng như công nghệ hỗ trợ cho việc thực hiện. Quản trị an ninh Quản trị an ninh bao gồm một chiến lược an ninh thông tin, chính sách và các đường lối chỉ đạo. Một chiến lược an ninh thông tin đặt ra định hướng cho tất cả các hoạt động an ninh thông tin. Một chính sách an ninh thông tin là một tài liệu kế hoạch ở mức cao cho an ninh thông tin của toàn bộ tổ chức. Nó cung cấp một khuôn khổ cho việc ra các quyết định, như một kế hoạch an ninh vật lý và quản trị.ư Bởi một chính sách an ninh thông tin có quan điểm dài hạn, nó nên tránh đề cập đến một công nghệ nhất định, và bao hàm sự phát triển kế hoạch hoạt động liên tục hiệu quả. Đường lối chỉ đạo an ninh thông tin được xây dựng dựa trên chính sách và chiến lược an ninh thông tin. Đường lối chỉ đạo sẽ chỉ rõ các quy tắc cho mỗi lĩnh vực liên quan đến an ninh thông tin. Và do đường lối chỉ đạo phải bao hàm toàn diện trên phạm vi quốc gia, chúng phải được phát triển và đưa ra bởi chính phủ, được thực hiện bởi các tổ chức. Các tiêu chuẩn an ninh thông tin phải được chuyên biệt hóa và cụ thể do đó chúng có thể được áp dụng cho tất cả các lĩnh vực an ninh thông tin. Một điều thuận lợi cho mỗi quốc gia để phát triển các tiêu chuẩn sau khi phân tích các tiêu chuẩn an ninh kỹ thuật, vật lý và quản trị thì chúng được sử dụng rộng rãi trên toàn thế giới. Các tiêu chuẩn sẽ được dành riêng cho môi trường ICT đang phổ biến. 36 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
36. Chiến lược, chính sách và đường lối chỉ đạo an ninh thông tin của một quốc gia sẽ tuân thủ quy tắc có liên quan. Phạm vi của chúng sẽ nằm cho ranh giới của các luật lệ quốc tế và quốc gia. Tiến trình và sự vận hành an ninh thông tin Một khi các đường lối, chính sách và chiến lược an ninh thông tin được xây dựng, các tiến trình và thủ tục vận hành an ninh thông tin cũng sẽ cần được xác định. Bởi kẻ phạm tội tấn công vào thông tin hay kẽ hở thông tin nội bộ, do đó quản lý nguồn nhân lực là yếu tố quan trọng nhất trong vận hành an ninh thông tin. Do đó cần chú ý những vấn đề sau đây: 1. Chương trình giáo dục và đào tạo về an ninh thông tin – Có nhiều phương pháp để cải thiện mức độ an ninh thông tin của một tổ chức tuy nhiên giáo dục và đào tạo là những hoạt động cơ bản. Các thành viên của một tổ chức phải đánh giá đúng nhu cầu đối với an ninh thông tin và đạt được các kỹ năng liên quan thông qua quá trình đào tạo. Tuy nhiên, điều quan trọng là phát triển nhiều các chương trình để tối đa hóa sự tham gia bởi vì các chương trình giáo dục, đào tạo về an ninh thông tin được tiêu chuẩn hóa có thể không hiệu quả. 2. Tăng cường các hoạt động xúc tiến thông qua rất nhiều sự kiện – Sự tham gia của người lao động có vai trò quan trọng đối với việc thực hiện thành công đường lối chỉ đạo, chính sách và chiến lược an ninh thông tin. An ninh thông tin sẽ được đẩy mạnh trong đội ngũ người lao động thông qua các hoạt động hàng ngày. 3. Bảo đảm trách nhiệm của người đứng đầu – Trong khi người lao động có thể có nhận thức cao về an ninh thông tin và họ có quyết tâm lớn để duy trì an ninh thông tin thì rất khó để đảm bảo an ninh thông tin mà không có sự hỗ trợ từ cấp lãnh đạo cao nhất trong tổ chức. Cần phải có được sự ủng hộ từ Chủ tịch Hội đồng quản trị (Chief Executive Officer) và Giám đốc Công nghệ thông tin (Chief Information Officer). An ninh về mặt công nghệ Có rất nhiều công nghệ đã được phát triển để giúp các tổ chức bảo đảm cho hệ thống thông tin của mình chống lại những kẻ xâm nhập. Những công nghệ này giúp cho thông tin và các hệ thống có thể chống lại các cuộc tấn công, dò tìm các hoạt động nghi ngờ và bất thường, đồng thời đối phó những vấn đề phát sinh được coi là an ninh hiệu quả. Học phần 6 An toàn, an ninh thông tin và mạng lưới 37
37. Các hệ thống an ninh ngày nay được thiết kế và phát triển dựa trên mô hình Phòng thủ theo chiều sâu DID (Defense In Depth) dẫn tới việc quản lý đồng bộ những công nghệ liên quan. Mô hình này khác với mô hình phòng thủ vành đai, chỉ có một lớp phòng thủ chống lại các hiểm họa. Mô hình DID bao gồm việc ngăn ngừa, dò tìm và chống chịu lỗi, với các mối hiểm họa được giảm bớt theo mỗi pha (Hình 5). Hình 5. Mô hình phòng thủ theo chiều sâu DID Nguồn: Defense Science Board, Protecting the Homeland: Defensive Information Operations 2000 Summer Study Volume II (Washington, D.C.: Defense Science Board, 2001), 5, Chống chịu lỗi Dò tìm Ngăn ngừa Tấn công Phòng thủ động/Linh hoạt Tầng bảo vệ và chống suy giảm Công nghệ ngăn ngừa (Prevention Technology) Các công nghệ ngăn ngừa bảo vệ chống lại những kẻ tấn công và các mối hiểm họa về lưu trữ hay ở cấp độ hệ thống. Những công nghệ này bao gồm: 1. Mật mã (Cryptography): Cũng được xem là mã hóa, mật mã là một quá trình dịch thông tin từ định dạng gốc (dưới hình thức văn bản – plaintext) thành định dạng được mã hóa, khó hiểu (được gọi là văn bản mật mã – ciphertext). Giải mã được hiểu là quá trình tác động vào ciphertext và dịch ngược nó trở lại thành plaintext. Mật mã được sử dụng để bảo vệ rất nhiều ứng dụng. Thông tin về mật mã và các công nghệ liên quan (IPSec, SSH, SSL, VPN, OTP, ) có thể tìm thấy nhiều hơn tại các trang web sau: 38 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
38. • IETF RFC ( • RSA Laboratories’ Frequently Asked Questions About Today’s Cryptography (http:// www.rsa.com/rsalabs/node.asp?id=2152) 2. Mật khẩu sử dụng 1 lần (One-time passwords - OTP): Như tên gọi, OPT chỉ có thể sử dụng được một lần. Mật khẩu tĩnh có thể dễ bị truy nhập hơn thông qua các kỹ thuật đánh cắp mật khẩu (password loss), đánh hơi mật khẩu (password sniffing), bẻ khóa mật khẩu bằng thuật toán “vét cạn” (brute-force password cracks) và các hình thức tương tự. Hiểm họa này có thể được giảm đi rất nhiều nhờ việc thay đổi mật khẩu một cách liên tục, như được thực hiện với OTP. Vì lý do này, OTP được sử dụng để đảm bảo cho các giao dịch tài chính điện tử như dịch vụ ngân hàng trực tuyến (online banking). 3. Tường lửa (Firewalls): Tường lửa quản lý một số luồng giao dịch giữa các mạng máy tính có các mức độ tin cậy khác nhau như giữa mạng Internet – khu vực không có độ tin cậy, và một mạng nội bộ – khu vực có độ tin cậy cao hơn. Một khu vực với mức độ tin cậy trung bình, được đặt ở vị trí giữa mạng Internet và một mạng nội bộ tin cậy thì thường được hiểu như một “mạng vành đai” (perimeter network) hay vùng phi quân sự (demilitarized zone). 4. Công cụ phân tích khả năng bị tấn công (Vulnerability analysis tool): Do sự gia tăng về số lượng các phương thức tấn công cũng như khả năng bị tấn công trong những ứng dụng thông thường, cần đánh giá thường xuyên về khả năng bị tấn công của hệ thống. Trong an ninh máy tính, một khả năng bị tấn công là một điểm yếu cho phép kẻ tấn công xâm phạm hệ thống. Các khả năng bị tấn công có thể là kết quả từ những mật khẩu yếu, lỗi phần mềm, virus máy tính, một đoạn mã nhiễm độc, chèn lệnh SQL (SQL Injection) hay phần mềm độc hại. Các công cụ phân tích khả năng bị tấn công cung cấp các dịch vụ phân tích. Tuy nhiên, những công cụ này cung cấp miễn phí bởi cộng đồng Internet có thể bị lợi dụng bởi kẻ xâm nhập. Để biết thêm thông tin, có thể xem tại: • INSECURE Security Tool ( • FrSIRT Vulnerability Archive ( • Secunia Vulnerability Archive ( • SecurityFocus Vulnerability Archive ( Các công cụ phân tích khả năng tấn công mạng lưới có thể sử dụng để phân tích khả năng tấn công các nguồn tài nguyên mạng như bộ định tuyến (router), tường lửa (firewall) và máy chủ (server). Học phần 6 An toàn, an ninh thông tin và mạng lưới 39
39. Một công cụ phân tích khả năng bị tấn công máy chủ sẽ phân tích những khả năng như mật khẩu yếu, cách thức cấu hình yếu và lỗi thiết lập quyền cho phép đối với tệp tin trong hệ thống nội bộ. Công cụ phân tích khả năng bị tấn công máy chủ về tương đối cho chúng ta nhiều kết quả chính xác hơn công cụ phân tích khả năng bị tấn công mạng lưới bởi vì công cụ này phân tích nhiều nguy cơ bị tấn công hơn trong hệ thống nội bộ. Công cụ phân tích khả năng bị tấn công Web sẽ phân tích những khả năng tấn công của các dịch vụ Web như XSS và SQL Injection. Để biết thêm thông tin, có thể xem tài liệu Open Web Application Security Project tại địa chỉ: Công nghệ dò tìm (Detection Technology) Công nghệ dò tìm được sử dụng để phát hiện và lần theo sự xâm nhập và những trạng thái không bình thường trong mạng lưới hay trong các hệ thống quan trọng. Công nghệ dò tìm bao gồm: 1. Phần mềm chống virus (Antivirus): Phần mềm chống virus là một chương trình máy tính dùng để nhận diện, loại trừ hay làm vô hiệu mã độc, bao gồm sâu máy tính (worm), tấn công lừa đảo (phishing), rootkit, Trojan và phần mềm độc hại khác (malware).13 2. Hệ thống dò tìm xâm nhập (Intrusion detection system - IDS): Một hệ thống IDS sẽ thu thập và phân tích thông tin từ rất nhiều khu vực trong một máy tính hay một mạng lưới để nhận diện các lỗ hổng an ninh có thể xảy ra. Chức năng dò tìm xâm nhập bao gồm phân tích những mô hình hoạt động bất thường và khả năng phát hiện ra các mô hình tấn công. 3. Hệ thống ngăn ngừa xâm nhập (Intrusion prevention system - IPS): Việc ngăn ngừa xâm nhập là cố gắng phát hiện ra những đe dọa tiềm năng và đối phó lại với chúng trước khi bị sử dụng trong các cuộc tấn công. Một hệ thống IPS sẽ giám sát lưu lượng mạng lưới và đưa ra các hoạt động ngay lập tức chống lại các mối đe dọa tiềm năng theo một tập các quy tắc được thiết lập bởi nhà quản trị mạng. Ví dụ, hệ thống IPS có thể khóa lưu lượng từ một địa chỉ IP nghi ngờ.14 13 Wikipedia, “Antivirus software,” Wikimedia Foundation, Inc., 14 SearchSecurity.com, “Intrusion prevention,” TechTarget, 40 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
40. Công nghệ tích hợp (Integration Technology) Công nghệ tích hợp thực hiện việc tích hợp những chức năng quan trọng đối với an ninh thông tin của các tài sản cốt lõi như dự đoán, dò tìm và lần theo dấu vết xâm nhập. Công nghệ tích hợp bao gồm: 1. Quản trị an ninh tổ chức (Enterprise security management - ESM): Một hệ thống ESM thực hiện quản lý, kiểm soát và điều hành giải pháp an ninh thông tin như một hệ thống IDS và IPS dựa trên một chính sách nhất quán. Nó được sử dụng để tạo ra các giải pháp khác cho những điểm yếu bằng cách sử dụng những lợi thế của mỗi giải pháp an ninh thông tin và tối đa hóa hiệu quả an ninh thông tin theo một chính sách nhất quán. 2. Gần đây, các hệ thống ESM có thể quản lý những công nghệ an ninh hiện có một cách tổng hợp do sự thiếu hụt nguồn nhân lực vận hành các công nghệ an ninh, sự gia tăng các cuộc tấn công ở cấp cao hơn như sự hội tụ các phương thức tấn công, và sự nổi lên của các công cụ tấn công khó có thể phát hiện. Với ESM, hiệu quả của công tác quản lý được nâng lên và các biện pháp đối phó chủ động cũng được thiết lập. 3. Quản trị rủi ro tổ chức (Enterprise risk management - ERM): ERM là một hệ thống giúp dự báo tất cả những rủi ro liên quan tới tổ chức, bao gồm các phạm vi bên ngoài của an ninh thông tin và các biện pháp cấu hình một cách tự động. Việc sử dụng ERM để bảo vệ thông tin đòi hỏi phải xác định được những mục tiêu chính xác về thiết kế và quản lý rủi ro cho sự phát triển của hệ thống. Hầu hết các tổ chức xây dựng và tối ưu các hệ thống ERM của mình thông qua các đơn vị tư vấn an ninh thông tin chuyên nghiệp thay vì tự mình thực hiện công việc đó. Học phần 6 An toàn, an ninh thông tin và mạng lưới 41
41. Câu hỏi suy nghĩ 1. Các mối hiểm họa an ninh thông tin trong tổ chức của bạn có khả năng bị tấn công là gì? Tại sao? 2. Những giải pháp công nghệ an ninh thông tin nào được thực hiện trong tổ chức của bạn? 3. Tổ chức của bạn có một chính sách, chiến lược và đường lối chỉ đạo an ninh thông tin hay không? Nếu có, làm thế nào để những yếu tố đó tương xứng với các mối đe dọa mà tổ chức của bạn có khả năng bị tấn công? Nếu không, bằng cách nào bạn khuyến nghị về chính sách, chiến lược và đường lối chỉ đạo an ninh thông tin đối với tổ chức của bạn? Tự kiểm tra 1. Tại sao việc thực hiện phân tích xu hướng mối đe dọa an ninh thông tin lại quan trọng? 2. Tại sao quản trị nguồn nhân lực lại là yếu tố quan trọng nhất trong các hoạt động an ninh thông tin? Những hoạt động chủ chốt trong quản trị nguồn nhân lực đối với an ninh thông tin là gì? 3. Hãy giải thích mô hình phòng thủ theo chiều sâu Defense-in-Depth của an ninh công nghệ. Nó hoạt động như thế nào? 42 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
42. 3. CÁC HOẠT ĐỘNG AN NINH THÔNG TIN Phần này nhằm mục đích: • Đưa ra ví dụ về các hoạt động an ninh thông tin của nhiều quốc gia nhằm cung cấp như một hướng dẫn trong việc tạo lập chính sách an ninh thông tin; • Làm nổi bật vai trò hợp tác quốc tế trong việc triển khai chính sách an ninh thông tin. 3.1 Các hoạt động an ninh thông tin quốc gia Chiến lược an ninh thông tin của Mỹ Sau cuộc tấn công khủng bố ngày 11/9/2001, chính phủ Mỹ đã thành lập Bộ Nội an Hoa Kỳ (Department of Homeland Security) nhằm tăng cường an ninh quốc gia không chỉ chống lại các hiểm họa vật lý mà còn đối phó với những mối đe dọa mạng lưới. Mỹ thực hiện các họat động an ninh thông tin mang tính toàn diện và hiệu quả thông qua hệ thống các nhân viên an ninh thông tin (Information Security Officer). Chiến lược an ninh thông tin của Mỹ bao gồm Chiến lược quốc gia cho Bộ Nội an (National Strategy for Homeland Security), Chiến lược quốc gia về An ninh vật lý đối với những tài sản chủ chốt và cơ sở hạ tầng tới hạn (National Strategy for the Physical Security of Critical Infrastructures and Key Assets), và Chiến lược quốc gia về Không gian mạng an toàn (National Strategy to Secure Cyberspace). Chiến lược quốc gia về Không gian mạng an toàn15 đặt ra tầm nhìn về an ninh mạng lưới và bảo vệ các tài sản, cở sở hạ tầng tới hạn. Nó xác định các hoạt động và mục tiêu rõ ràng để ngăn chặn những cuộc tấn công mạng lưới nhằm vào các tài sản và cơ sở hạ tầng tới hạn. Năm vấn đề ưu tiên được xác định trong Chiến lược Không gian mạng an toàn đó là: 15 The White House, The National Strategy to Secure Cyberspace (Washington, D.C.: The White House, 2003), Học phần 6 An toàn, an ninh thông tin và mạng lưới 43
43. • Hệ thống Phản ứng an ninh không gian mạng quốc gia (National Cyberspace Security Response System) • Chương trình giảm thiểu khả năng bị tấn công và đe dọa đối với an ninh không gian mạng quốc gia (National Cyberspace Security Threat and Vulnerability Reduction Program) • Chương trình đào tạo và trang bị nhận thức về an ninh không gian mạng quốc gia (National Cyberspace Security Awareness and Training Program) • An ninh không gian mạng các cơ quan chính phủ (Securing Government’s Cyberspace) • Phối hợp an ninh không gian mạng quốc tế và an ninh quốc gia (National Security and International Cyberspace Security Cooperation) Siết chặt Luật An ninh thông tin (Information Security Law) Đạo luật tăng cường An ninh mạng năm 200216 (Cyber Security Enhancement Act of 2002 - CSEA) bao gồm chương 2 của Luật An ninh quốc nội (Homeland Security Law). Nó đưa ra sự bổ sung về hình phạt đối với loại hình tội phạm mạng, ngoại lệ của việc công bố tình trạng khẩn cấp, những trường hợp mang tính thiện chí, ngăn cấm quảng cáo trên Internet bất hợp pháp, bảo vệ bí mật riêng tư và những vấn đề khác. Ngoại lệ của việc công bố tình trạng khẩn cấp (Emergency Disclosure Exception - EDE): Trước ngày 11/9, Đạo luật về sự riêng tư trong liên lạc điện tử (Electronic Communications Privacy Act - ECPA) cấm các nhà cung cấp dịch vụ truyền thông điện tử (như các ISP) công bố các liên lạc của người dùng (như thư thoại, e-mail và các tệp tin đính kèm). Quy định EDE cho phép các ISP chia sẻ nội dung của một e-mail hay một liên lạc điện tử với các cơ quan thi hành luật pháp mà không cần đảm bảo tuân theo Đạo luật Ái quốc Mỹ (USA Patriot Act) được ban hành sau ngày 11/9/2001. Các quy định ngoại lệ về tính chất công khai trong trường hợp khẩn cấp đã được củng cố trong luật CSEA. Các cơ quan chính phủ nhận nội dung nghi ngờ được yêu cầu báo cáo tới Bộ trưởng Tư pháp (Attorney General) về ngày công khai, các bên liên quan, số nguyên cáo có liên quan cũng như số lượng liên lạc, trong vòng 90 ngày sau khi công bố. 16 Computer Crime and Intellectual Property Section, SEC. 225. Cyber Security Enhancement Act of 2002 (Washington, D.C.: Department of Justice, 2002), 44 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
44. Ngoại lệ đối với các trường hợp mang tính thiện chí (Good Faith Exception): Luật CSEA quy định miễn trừ phạm tội và trách nhiệm công dân trong trường hợp việc lấy thông tin (eavesdropping) được yêu cầu bởi người chủ hay người điều hành máy tính. Cấm quảng cáo trên Internet đối với các thiết bị không được phép: ECPA cấm việc sản xuất, phân phối, chiếm giữ và quảng cáo trực tuyến qua đôi dây, miệng và các thiết bị chặn liên lạc điện tử. Các thiết bị lấy thông tin hợp pháp (eavesdropping devices) có thể được quảng cáo. Tuy nhiên, người quảng cáo được yêu cầu để biết các nội dung quảng cáo. Tăng sự trừng phạt đối với các tội phạm máy tính: Theo Đạo luật về Lạm dụng và gian lận máy tính (US Computer Fraud and Abuse Act), việc cố ý truy cập vào một máy tính và gây thiệt hại cho nó mà không có sự cho phép thì được coi là bất hợp pháp. Trước ngày 11/9, bất kỳ cá nhân nào bị phát hiện là phạm tội này đều sẽ bị kết án bỏ tù với mức không hơn 5 năm trong trường hợp lần đầu phạm tội và không hơn 10 năm trong trường hơp phạm tội lần hai. Sau ngày 11/9, sự trừng phạt đối với tội này đã được sửa lại thành bỏ tù không hơn 10 năm trong trường hợp phạm tội lần đầu và không hơn 20 năm đối với trường hợp phạm tội lần hai. Các điều khoản phụ trong CSEA quy định rằng một người phạm tội có thể bị kết án tù không nhiều hơn 20 năm nếu người phạm tội gây ra hoặc cố gắng gây ra tổn hại về thể xác nghiêm trọng; cô ta/anh ta có thể bị kết án chung thân nếu gây ra hoặc cố gắng gây ra cái chết. Sự miễn trừ trách nhiệm của những người hỗ trợ: ECPA miễn trừ trách nhiệm phạm tội đối với nhà cung cấp dịch vụ thông tin liên lạc hỗ trợ trong việc chặn liên lạc hoặc cung cấp thông tin cho các cơ quan thực thi pháp luật. Đạo luật Quản lý an ninh thông tin Liên bang (Federal Information Security Management Act - FISMA)17 bao gồm chương 3 của Luật chính phủ điện tử (e-Government Act) năm 2002. Luật này bảo vệ mạng lưới hạ tầng quốc gia, và kêu gọi tăng cường nỗ lực bảo vệ an ninh thông tin cho tất cả các công dân, các cơ quan an ninh quốc gia và cơ quan thực thi pháp luật. Các mục tiêu chính của Quản lý An ninh thông tin Liên bang đó là: (1) cung cấp một khuôn khổ toàn diện cho việc tăng cường hiệu quả kiểm soát an ninh thông tin đối với các tài sản và hoạt động; và (2) phát triển các kế hoạch kiểm soát và duy trì đối với công tác bảo vệ thông tin/các hệ thống thông tin, đồng thời cung cấp một cơ chế tăng cường quản lý các chương trình an ninh thông tin. 17 Office of Management and Budget, Federal Information Security Management Act: 2004 Report to Congress (Washington, D.C.: Executive Office of the President of the United States, 2005), Học phần 6 An toàn, an ninh thông tin và mạng lưới 45
45. Chiến lược an ninh thông tin của Liên minh Châu Âu Trong một thông báo đưa ra vào tháng 5 năm 200618, Ủy ban Châu Âu mô tả chiến lược mới của Liên minh Châu Âu (EU) về an ninh thông tin, bao gồm một số biện pháp phụ thuộc lẫn nhau dính dáng đến nhiều bên liên quan. Những biện pháp này gồm có việc thiết lập một Khuôn khổ điều tiết cho các giao tiếp điện tử (Regulatory Framework for Electronic Communications) năm 2002, kết nối với sáng kiến i2010 về việc tạo dựng một Xã hội thông tin Châu Âu (European Information Society), và thành lập Cơ quan An ninh Thông tin và Mạng lưới Châu Âu (European Network and Information Security Agency - ENISA) năm 2004. Theo thông báo, những biện pháp này phản ánh một cách tiếp cận theo 3 khía cạnh của vấn đề an ninh trong Xã hội Thông tin bao gồm các biện pháp an ninh thông tin và mạng lưới (network and information security - NIS) rõ ràng, khuôn khổ điều tiết đối với các giao tiếp điện tử (bao gồm các vấn đề bảo mật dữ liệu và sự riêng tư), và đấu tranh chống tội phạm mạng. Thông báo lưu ý những cuộc tấn công nhằm vào các hệ thống thông tin, sự gia tăng của các thiết bị di động, việc hướng tới môi trường điện tử “ambient intelligence” (một môi trường nhạy cảm và phản ứng với sự hiện diện của con người), và nâng cao mức độ nhận thức của người dùng về các vấn đề an ninh chủ đạo mà Ủy ban Châu Âu hướng tới để xác định thông qua đối thoại, hợp tác và trao quyền. Những chiến lược này được mô tả trong thông báo sau: Đối thoại Ủy ban đã đề xuât một loạt các biện pháp được thiết kế để tổ chức một cuộc đối thoại mở, bao gồm và đa dạng những đối tượng liên quan: • Một phép đo kiểm (chấm điểm) đối với các chính sách quốc gia liên quan đến an ninh thông tin và mạng lưới, nhằm giúp nhận định những thực tiễn có hiệu quả nhất theo đó chúng có thể được triển khai trên một nền tảng rộng lớn trên toàn Châu Âu. Đặc biệt, phép đo này sẽ xác định những hoạt động tối ưu để nâng cao nhận thức của các doanh nghiệp vừa và nhỏ (SME) cũng như người dân về những hiểm họa và thách thức gắn với an ninh thông tin và mạng lưới; 18 Europa, “Strategy for a secure information society (2006 communication),” European Commission, 46 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
46. • Một cấu trúc đa đối tượng liên quan (multi-stakeholder) cân nhắc xem làm thế nào để khai thác tốt nhất những công cụ điều tiết hiện có. Tranh luận này sẽ được tổ chức trong nội dung của các buổi hội thảo, hội nghị. Hợp tác Việc lập chính sách hiệu quả cần có một khả năng nắm bắt rõ ràng về bản chất của các thách thức được chỉ ra, cũng như tính tin cậy, cập nhật của các dữ liệu kinh tế và thống kê Theo đó, Ủy ban sẽ yêu cầu ENISA: • Xây dựng một quan hệ hợp tác tin cậy với các Thành viên Chính phủ và những đối tượng liên quan nhằm phát triển một khuôn khổ thích hợp cho việc thu thập dữ liệu; và • Kiểm tra tính khả thi về một hệ thống cảnh báo và chia sẻ thông tin Châu Âu nhằm đối phó hiệu quả đối với các mối đe dọa. Hệ thống này là một cổng thông tin Châu Âu đa ngôn ngữ, cung cấp thông tin theo yêu cầu về các mối hiểm họa, rủi ro và những cảnh báo. Song song với đó, Ủy ban sẽ mời các Thành viên Chính phủ, khu vực tư nhân và cộng đồng nghiên cứu để tạo nên sự hợp tác nhằm đảm bảo tính sẵn sàng của dữ liệu liên quan đến lĩnh vực an ninh ICT. Sự trao quyền Sự trao quyền cho những đối tượng liên quan là một điều kiện tiên quyết để kích thích nhận thức của họ về những hiểm họa và nhu cầu an ninh. Vì lý do này, các Thành viên Chính phủ được mời để: • Tham gia tích cực trong việc đề xuất các phép đo kiểm, chấm điểm những chính sách quốc gia; • Đẩy mạnh, trong khuôn khổ hợp tác với ENISA, các chiến dịch nhận thức về lợi ích đạt được của các hoạt động, hành vi và những công nghệ an ninh hiệu quả; • Là đòn bẩy để đưa ra những dịch vụ chính phủ điện tử nhằm thúc đẩy các hoạt động an ninh tích cực; • Khuyến khích sự phát triển của các chương trình an ninh thông tin và mạng lưới như một phần của giáo trình giáo dục đại học. Học phần 6 An toàn, an ninh thông tin và mạng lưới 47
47. Những đối tượng liên quan trong khu vực tư nhân cũng được khuyến khích nhằm tạo ra các sáng kiến để: • Xác định trách nhiệm của các ISP và đơn vị sản xuất phần mềm trong quan hệ cung cấp các mức độ an ninh tương xứng và có thể kiểm tra; • Tăng cường tính đa dạng, tính mở, tính tương hợp, tính hữu dụng và sự cạnh tranh như các nhân tố chính của an ninh, đồng thời khuyến khích sự phát triển của các dịch vụ và sản phẩm bảo mật nâng cao nhằm chống lại hành vi đánh cắp ID và các tấn công xâm nhập – bí mật riêng tư khác; • Phổ biến các hoạt động an ninh có kết quả tốt cho những nhà điều hành mạng lưới, nhà cung cấp dịch vụ và SME; • Đẩy mạnh các chương trình đào tạo trong khu vực tư nhân nhằm cung cấp cho nhân viên các kiến thức và kĩ năng cần thiết cho việc thực hiện các hoạt động an ninh; • Hướng tới các chương trình chứng nhận an ninh cho những dịch vụ, quy trình và sản phẩm mà sẽ đáp ứng các nhu cầu cụ thể của EU; và • Thu hút giới bảo hiểm đối với việc phát triển các phương pháp và công cụ quản lý rủi ro. Nguồn: Abridged from Europa, “Strategy for a secure information society (2006 communication),” European Commission, Hội đồng Công ước Châu Âu về tội phạm mạng – CECC (Council of Europe Convention on Cybercrime) Năm 2001, Liên minh Châu Âu EU đã công bố CECC, cơ quan “đưa ra hướng dẫn cho tất cả các chính phủ có nhu cầu phát triển pháp luật chống tội phạm mạng” và “cung cấp khuôn khổ hợp tác trên phạm vi quốc tế cho lĩnh vực này”. 39 quốc gia Châu Âu đã ký vào hiệp ước, ngoài ra còn có Canada, Nhật Bản, Nam Phi và Hoa Kỳ. Điều này khiến cho CECC, có hiệu lực từ tháng 7/2004, “là hiệp ước quốc tế ràng buộc duy nhất được thực hiện cho tới nay”19. 19 Council of Europe, “Cybercrime: a threat to democracy, human rights and the rule of law,” 48 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
48. Cơ quan An ninh Thông tin và Mạng lưới Châu Âu – ENISA (European Network and Information Security Agency) ENISA được thành lập bởi Quốc hội Châu Âu và Hội đồng EU vào ngày 10/3/2004 “nhằm giúp tăng cường an ninh thông tin và mạng lưới trong cộng đồng (Châu Âu) đồng thời xúc tiến làm nổi bật vai trò của an ninh thông tin và mạng lưới đối với lợi ích của người dân, người tiêu dùng, các doanh nghiệp và các tổ chức hoạt động trong khu vực công”. Tầm nhìn của Nhóm các bên liên quan thường trực (Permanent Stakeholders Group - PSG) về ENISA20 được đưa ra rõ ràng vào tháng 5/2006 cho thấy ENISA như một trung tâm nổi trội về lĩnh vực an ninh thông tin và mạng lưới, một diễn đàn dành cho các bên liên quan NIS, một nhân tố định hướng nhận thức an ninh thông tin cho toàn bộ dân cư của EU. Để khép lại vấn đề này, các hành động mang tính dài hạn sau đây của ENISA được quy định trong Tầm nhìn PSG (Hình 6): Hình 6. Hành động mang tính dài hạn của ENISA Nguồn: (Source: Paul Dorey and Simon Perry, ed. The PSG Vision for ENISA (Permanent Stakeholders Group, 2006), 20 Paul Dorey and Simon Perry, ed. The PSG Vision for ENISA (Permanent Stakeholders Group, 2006), Học phần 6 An toàn, an ninh thông tin và mạng lưới 49
49. 1. Hợp tác và điều phối thẩm quyền an ninh thông tin và mạng lưới quốc gia của các thành viên chính phủ Hiện tại, sự hợp tác giữa các cơ quan quốc gia rất yếu. Sự việc có thể được thực hiện tốt hơn nhiều thông qua thúc đẩy tăng cường truyền thông và hợp tác giữa các cơ quan quốc gia, đặc biệt là việc chia sẻ những kinh nghiệm tốt từ các cơ quan đi trước với những cơ quan mới bắt đầu. 2. Hợp tác với các viện nghiên cứu Mục đích của ENISA nên được hướng vào nghiên cứu cơ bản và nhắm tới sự phát triển về mặt kỹ thuật để tập trung và các lĩnh vực có lợi ích lớn nhất đối với việc quản lý rủi ro an ninh có thực trong các hệ thống thực tế. ENISA không nên hỗ trợ cho một nghiên cứu những vấn đề của chính nó, mà thực hiện việc điều chỉnh những ưu tiên và quy trình hiện tại trong các chương trình đã có. 3. Hợp tác với các bên bán phần cứng và phần mềm (vendor) Các nhà cung cấp phần cứng và phần mềm là những đối thủ cạnh tranh rõ ràng về quyền lợi và điều này có thể là khó khăn đối với họ khi công khai các bài học thực tiễn với nhau. ENISA có thể đưa ra quan điểm không thiên vị và là một diễn đàn cho các cuộc thảo luận nhạy cảm, trong khi duy trì sức mạnh cần thiết để chống lại hành vi phi cạnh tranh. Tầm nhìn dài hạn của ENISA tập trung nhiều hơn vào việc tạo lập những công nghệ tin cậy về thông tin và mạng lưới có thể kháng cự lại các loại sâu và những vấn đề khác, thay vì mở rộng số lượng các xu hướng an ninh hiện tại. Điều này có thể đạt được với việc đẩy mạnh các kỹ thuật phát triển phần mềm và kiến trúc đúng, an toàn, tin cậy. 4. Tham gia vào các cơ quan thiết lập tiêu chuẩn Với cách nhìn để nhận biết và công khai những sáng kiến có giá trị cao, ENISA nên theo dõi và giám sát các chủ đề liên quan đến NIS trong các cơ quan thiết lập tiêu chuẩn, bao gồm cả những gì đi kèm với công việc của rất nhiều cơ quan đại diện và chứng nhận an ninh hiện tại. 5. Tham gia vào quà trình lập pháp thông qua vận động hành lang và đóng góp ý kiến ENISA nên hoạt động để nâng cao vị trí của một đơn vị tư vấn tin cậy được tham vấn sớm trong quá trình đề xuất và soạn thảo các định hướng cũng như pháp chế khác về các vấn đề liên quan đến NIS. 50 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
50. 6. Làm việc với các tổ chức người sử dụng Thông thường các tổ chức người sử dụng không mấy khi được có mặt trong các cơ quan thiết lập tiêu chuẩn và luật pháp như là các vendor. ENISA có thể mang lại cho các nhóm người dùng cuối sự hiểu biết thông suốt trong công tác xây dựng tiêu chuẩn và cơ hội để tác động vào công việc này. 7. Nhận định và xúc tiến những bài học thực tiễn tốt của các Thành viên chính phủ tới người dùng cuối ENISA không chỉ bảo vệ các lợi ích của doanh nghiệp mà còn nâng cao sự tin tưởng của người dùng trong việc sử dụng các phương tiện số và Internet. 8. Xây dựng một giải pháp chính trị và kỹ thuật để quản lý nhận dạng Thiếu sự tin tưởng về Internet là cản trở chính đối với phạm vi rộng lớn các khách hàng hướng tới kinh doanh điện tử. Khả năng có thể kiểm tra một cách đúng đắn về chủ sở hữu của một site, một địa chỉ e-mail, hay một số dịch vụ trực tuyến sẽ là một bước đi lớn để thay đổi và nâng cao sự tin tưởng của người dùng nói chung về Internet. Các giải pháp kỹ thuật trong lĩnh vực này có thể được theo đuổi trong quá trình phát triển ngành, tuy nhiên ENISA có thể hướng tới các chính sách rộng lớn của EU cho vấn đề xác thực các thực thể trực tuyến. 9. Thực hiện cân đối các nỗ lực cho vấn đề an ninh của cả “Thông tin” và “Mạng lưới” ENISA nên liên hệ với những nhà cung cấp dịch vụ mạng và Internet (ISP/NSP) lớn nhất để giúp họ nhận diện các bài học thực tiễn tốt nhất đối với lợi ích của doanh nghiệp và người tiêu dùng trên toàn Châu Âu. Điều này là quan trọng bởi các ISP/NSP có thể đóng vai trò then chốt trong việc tăng cường an ninh Internet trên phạm vi rộng. Sự điều phối và hợp tác đủ mạnh của các ISP đang là vấn đề ít được quan tâm ở thời điểm hiện tại. Nguồn: Source: Abridged from Paul Dorey and Simon Perry, ed. The PSG Vision for ENISA (Permanent Stakeholders Group, 2006), Học phần 6 An toàn, an ninh thông tin và mạng lưới 51
51. Chiến lược An ninh thông tin của Hàn Quốc Mặc dù Hàn Quốc là một trong những quốc gia tiên tiến nhất thế giới về công nghệ thông tin, nhu cầu bảo vệ an ninh thông tin mới chỉ được đề cập gần đây. Năm 2004, Chính phủ Hàn Quốc thông qua Bộ Thông tin và Truyền thông (Ministry of Information and Communication - MIC) đưa ra một Lộ trình An ninh thông tin trung và dài hạn (Medium and Long-term Information Security Roadmap) nhằm mục tiêu thiết lập một nền tảng an ninh thông tin đảm bảo môi trường kết nối an toàn cho Mạng hội tụ băng rộng (Broadband Convergence Network) đồng thời nhằm phát triển kỹ thuật an ninh chống lại tình trạng sao chép bất hợp pháp của các thiết bị di động thế hệ kế tiếp. Thêm vào đó, Hàn Quốc đã ký Hiệp ước Seoul - Melbourne nhằm xây dựng sự cộng tác giữa các quốc gia Châu Á Thái Bình Dương để chống thư rác thông qua việc thực thi một hệ thống giám sát thư rác, đối phó về mặt công nghệ, đào tạo và củng cố nhận thức cho người dùng, tăng cường hợp tác công và tư thông qua chia sẻ thông tin giữa các quốc gia và trao đổi nguồn nhân lực. Các mục tiêu cụ thể của Lộ trình An ninh thông tin bao gồm: (1) Đảm bảo an toàn hạ tầng mạng lưới; (2) Đảm bảo tính tin cậy của các thiết bị và dịch vụ IT mới; (3) Đẩy mạnh nền tảng an ninh thông tin của Hàn Quốc. Việc thực hiện lộ trình này đỏi hỏi nguồn ngân sách 247,89 triệu USD phân bổ trong 4 năm (43 triệu USD trong năm 2005, 55,5triệu USD trong năm 2006 và 80,1 triệu USD trong năm 2008). Đảm bảo an toàn hạ tầng mạng lưới: Theo Lộ trình, an toàn hạ tầng mạng lưới được đảm bảo thông qua việc phát triển một cấu trúc nền tảng an ninh thông tin cho sự tích hợp và phối hợp giữa rất nhiều hệ thống máy tính không đồng nhất; xây dựng công tác quản lý an ninh DNS thế hệ kế tiếp; và phát triển một cơ chế phân tán mạng lưới nhằm ngăn chặn thiệt hại trong môi trường Mạng hội tụ băng rộng từ mạng phân tán tới các mạng tư nhân và ngược lại. Đảm bảo tính tin cậy của các thiết bị và dịch vụ IT mới: Một mô hình đánh giá tác động an ninh thông tin có thể đánh giá nguy cơ bị tấn công và các mối đe dọa vật lý, kỹ thuật và quản trị sẽ được phát triển nhằm ngăn chặn hiệu quả các lỗ hổng an ninh thông tin trong các dịch vụ IT mới. Một thủ tục chứng nhận đối với các mức độ đánh giá an ninh thông tin sẽ được đưa vào sử dụng ở đây. Đối với các dịch vụ IT thế hệ kế tiếp, hệ thống chứng nhận sẽ được nâng cấp bao gồm các bản ghi về giao dịch, quyền hạn, con người và các yếu tố tương tự. 52 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
52. Hơn nữa, một kế hoạch về việc phát triển công nghệ an ninh thông tin đã được xây dựng, bao gồm công nghệ xác thực cho các mạng gia đình, công nghệ nhận diện đầu cuối để ngăn chặn truy nhập bất hợp pháp, công nghệ bảo mật cho dịch vụ thế hệ kế tiếp và công nghệ bảo mật cho nội dung thế hệ kế tiếp. Tạo lập hạ tầng an ninh thông tin: Lộ trình An ninh thông tin Hàn Quốc bao gồm tầm nhìn cho việc nâng cao công tác điều tiết đáp ứng các nhu cầu của một môi trường truyền thông đang thay đổi và chuẩn bị cho các mối đe dọa trong tương lai. Thứ nhất, Trung tâm dịch vụ xử lý các vấn đề liên quan tới Internet (Internet Incident Response Service Centre) nên được tăng cường để đối phó với các hình thức thâm nhập ngày càng nâng cao và tinh vi. Các hệ thống hợp tác an ninh thông tin trong và ngoài nước nên được củng cố và hỗ trợ chúng đối với hình thức an ninh thông tin nghèo nàn đang được cung cấp. Thứ hai, những vấn đề liên quan đến công nghệ như luật bảo vệ bí mật riêng tư cần được phát triển và một Trung tâm dịch vụ xử lý thư rác (Spam Response Service Centre) cần được đưa vào hoạt động. Thứ ba, các bộ luật hiện tại về an ninh thông tin cần được cải tiến để đáp ứng các nhu cầu của một môi trường thông tin mọi lúc, mọi nơi, mọi đối tượng (ubiquitous environment). Tương tự như vậy, nhận thức về an ninh thông tin cần được đẩy mạnh thông qua các chiến dịch và các chương trình đào tạo chuyên gia an ninh thông tin. Chiến lược An ninh thông tin của Nhật Bản21 Giữ vững mục tiêu trở thành một ‘quốc gia tiên tiến về an ninh thông tin’22, Nhật Bản đã xác định một bộ chi tiết các mục tiêu, dự án và nguyên tắc cơ bản trong lĩnh vực an ninh thông tin. Hội đồng Chính sách An ninh thông tin (Information Security Policy Council) và Trung tâm An ninh thông tin quốc gia (National Information Security Center - NISC) là các tổ chức hạt nhân đang giám sát tất cả những vấn đề liên quan tới an ninh thông tin diễn ra trên cả nước. Trong lĩnh vực nghiên cứu về các mối đe dọa mạng, Trung tâm Thanh lọc mạng lưới (Cyber Clean Center) được lập ra để phân tích các đặc điểm của các máy tính ma và xây dựng phương pháp đối phó an toàn và hiệu quả. 21 Được trích từ NISC, Japanese Government’s Efforts to Address Information Security Issue (November 2007), 22 Information Security Policy Council, The First National Strategy on Information Security (2 February 2006), 5. Học phần 6 An toàn, an ninh thông tin và mạng lưới 53
53. Chiến lược An ninh thông tin của Nhật Bản được chia ra làm hai phần: (1) Chiến lược quốc gia thứ nhất về An ninh thông tin (First National Strategy on Information Security), được áp dụng một cách tổng quát; và (2) An ninh Nhật Bản YYYY (Secure Japan YYYY). Chiến lược quốc gia thứ nhất về An ninh thông tin chấp nhận nhu cầu đối với tất cả các “thực thể” trong một xã hội IT “để tham gia vào quá trình tạo lập một môi trường sử dụng IT an toàn”. Chiến lược chấp nhận các thực thể “mà trên thực tế thông qua và thực hiện các biện pháp như một thành phần của xã hội IT.”23 Những ‘thực thể thực thi’ này được chia ra làm bốn loại: chính quyền trung ương và địa phương, cơ sở hạ tầng thiết yếu, các doanh nghiệp và các cá nhân. Mỗi loại đều được yêu cầu lập ra các vai trò, kế hoạch và hoạt động cho mình (như trong bảng 4). Bảng 4. Các vai trò và kế hoạch của mỗi loại dựa trên Chiến lược quốc gia thứ nhất về An ninh thông tin Loại Vai trò Kế hoạch Chính quyền trung ương Đưa ra “các bài học thực Tiêu chuẩn đối với các biện và địa phương tiễn tốt nhất” về biện pháp pháp an ninh thông tin Cơ sở hạ tầng thiết yếu Đảm bảo khả năng cung Kế hoạch hành động cơ sở cấp ổn định các dịch vụ như hạ tầng thiết yếu là nền tảng cho các họat động kinh tế và sinh sống của xã hội loài người Các doanh nghiệp Thực thi các biện pháp an Các biên pháp được xúc tiến ninh thông tin được quan bởi các Bộ và Ban ngành tâm cao hơn bởi thị trường Các cá nhân Tăng cường nhận thức như Các biên pháp được xúc tiến là một yếu tố chính trong xã bởi các Bộ và Ban ngành hội IT Nguồn: NISC, Japanese Government’s Efforts to Address Information Security Issues (November 2007), 23 Ibid., 11. 54 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
54. Các chính sách thực tiễn trong Chiến lược quốc gia thứ nhất về An ninh thông tin bao gồm như sau: • Thúc đẩy công nghệ an ninh thông tin – Phát triển công nghệ dành riêng cho chính phủ sử dụng đồng thời thúc đẩy sự phát triển công nghệ giải quyết “Thách thức lớn” (Grand Challenge) trong quá trình đổi mới công nghệ cơ bản với cái nhìn dài hạn. • Thúc đẩy hợp tác và phối hợp trên phạm vi quốc tế - Góp phần vào sự thiết lập các nền tảng quốc tế về vấn đề an ninh thông tin, đồng thời tạo cho Nhật Bản khả năng dẫn đầu về sự đóng góp trên phạm vi quốc tế. • Phát triển nguồn nhân lực – Phát triển nguồn nhân lực với năng lực và kỹ năng thực tế cũng như các khả năng rộng lớn, đồng thời tổ chức một hệ thống đủ năng lực cho an ninh thông tin; và • Biện pháp bảo vệ và kiểm soát sự vi phạm đối với quyền và lợi ích – Tăng cường kiểm soát tội phạm mạng và phát triển các nền tảng pháp luật có liên quan, đồng thời phát triển công nghệ giúp cải thiện an ninh trong môi trường mạng. An ninh Nhật Bản YYYY (Secure Japan YYYY) là một kế hoạch hàng năm về an ninh thông tin. Secure Japan 2007 là một tài liệu kế hoạch gồm có 159 định hướng và biện pháp thực hiện an ninh thông tin cho 24 vấn đề ưu tiên trong năm 2007. Chúng có thể được tóm tắt lại như sau: • Nâng cao các biện pháp an ninh thông tin cho các cơ quan chính phủ trung ương; • Phổ biến các biện pháp cho những đơn vị đi sau để đảm bảo an ninh thông tin, cũng như cho công chúng nói chung; và • Nỗ lực cao độ nhằm mục tiêu củng cố nền tảng an ninh thông tin. Câu hỏi suy nghĩ 1. Hoạt động an ninh thông tin tại đất nước bạn khác như thế nào so với những mô tả trên? 2. Có hoạt động an ninh thông tin nào được thực hiện tại các quốc gia đã đề cập trong phần này mà không áp dụng được hay không thích hợp với đất nước bạn? Nếu có thì đó là những hoạt động nào và tại sao lại không áp dụng được hay không thích hợp? Học phần 6 An toàn, an ninh thông tin và mạng lưới 55
55. 3.2 Các hoạt động an ninh thông tin quốc tế Các hoạt động an ninh thông tin của tổ chức Liên hợp quốc (United Nations) Tại Hội nghị thượng đỉnh về Xã hội Thông tin (World Summit on the Information Society - WSIS24) được bảo trợ bởi UN, một tuyên bố về các nguyên tắc và kế hoạch hành động cho sự phát triển hiệu quả của xã hội thông tin và thu hẹp ‘khoảng cách thông tin’ đã được thông qua. Kế hoạch hành động đưa ra một loạt vấn đề sau: • Vai trò của các chính phủ và tất cả các bên liên quan trong việc thúc đẩy sự phát triển của ICT • Hạ tầng thông tin và truyền thông được coi là nền tảng thiết yếu cho một xã hội thông tin • Truy cập thông tin và tri thức • Xây dựng năng lực • Xây dựng an ninh và sự tin tưởng trong việc sử dụng ICT • Ứng dụng ICT trong tất cả các mặt của đời sống • Tính đồng nhất và đa dạng về văn hóa, tính đa dạng về ngôn ngữ và nội dung bản địa • Truyền thông media • Khuôn khổ đạo đức trong Xã hội thông tin • Hợp tác vùng và hợp tác quốc tế25 Diễn đàn Quản trị Internet26 (Internet Governance Forum – IGF) là tổ chức hỗ trợ UN về các vấn đề quản trị Internet. Nó được thành lập trong giai đoạn 2 của WSIS tại Tunis nhằm xác định và giải quyết các vấn đề liên quan đến quản trị Internet. Diễn đàn IGF thứ hai được tổ chức tại Rio de Janeiro từ 12 đến 15 tháng 11 năm 2007, tập trung vào các vấn đề an ninh thông tin như khủng bố mạng, tội phạm mạng và sự an toàn cho trẻ em trong môi trường Internet. 24 World Summit on the Information Society, “Basic Information: About WSIS,” 25 World Summit on the Information Society, Plan of Action (12 December 2003), 26 Internet Governance Forum, 56 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
56. Các hoạt động an ninh thông itn của tổ chức OECD27 Tổ chức Phát triển và Hợp tác Kinh tế (Organisation for Economic Co- operation and Development - OECD) là diễn đàn duy nhất, nơi chính phủ của 30 nền dân chủ thị trường làm việc cùng nhau với các doanh nghiệp và cộng đồng để giải quyết các thách thức về kinh tế, xã hội, môi trường và quản trị đang phải đối mặt trong quá trình toàn cầu hóa kinh tế thế giới. Bên trong OECD, đơn vị hợp tác về An ninh thông tin và Bí mật riêng tư (Working Party on Information Security and Privacy - WPISP) hoạt động dưới sự bảo trợ của Ủy ban Chính sách Thông tin, Máy tính và Truyền thông (Committee for Information, Computer and Communications Policy) nhằm cung cấp các phân tích tác động của ICT đối với an ninh thông tin và bí mật riêng tư, đồng thời phát triển các khuyến nghị chính sách thông qua sự nhất trí để giữ vững niềm tin vào nền kinh tế Internet. WPISP hoạt động trong lĩnh vực an ninh thông tin: Năm 2002, OECD đưa ra “Hướng dẫn về An ninh cho các mạng lưới và hệ thống thông tin: Hướng tới văn hóa an ninh”27 nhằm đẩy mạnh “an ninh trong việc phát triển các mạng lưới và hệ thống thông tin, đồng thời thông qua hướng đi mới trong suy nghĩ và hành xử khi sử dụng và tương tác với các mạng lưới và hệ thống thông tin.”28 Nhằm chia sẻ kinh nghiệm và các bài học thực tiễn về an ninh thông tin, Diễn đàn thế giới về An ninh mạng lưới và các hệ thông thông tin (Global Forum on Information Systems and Network Security) đã được tổ chức năm 2003 và Hội thảo OECD – APEC về An ninh mạng lưới và các hệ thống thông tin (OECD-APEC Workshop on Security of Information Systems and Networks) được tổ chức năm 2005. WPISP hoạt động về các vấn đề bí mật riêng tư: Hướng dẫn về bảo vệ bí mật riêng tư và trao đổi dữ liệu cá nhân (Guidelines on the Protection of Privacy and Transborder Flows of Personal Data) năm 1980 thể hiện sự nhất trí của thế giới về quản lý thông tin cá nhân trong cả khu vực công và tư. “Quản lý trực tuyến: Sự chỉ dẫn về Chính sách và Thực tiễn” (Privacy Online: OECD Guidance on Policy and Practice) được đưa ra năm 2002, tập trung vào các công nghệ nâng cao bí mật riêng tư, chính sách bí mật riêng tư trực tuyến, sự điều chỉnh và thi hành, cũng như các vấn đề liên quan tới thương mại điện tử. Hiện tại, WPISP đang hoạt động theo Hợp tác thực thi luật bí mật riêng tư (Privacy Law Enforcement Cooperation). 27 OECD, OECD Guidelines for the Security of Information Systems and Networks: Towards a Culture of Security (Paris: OECD, 2002), 28 Ibid., 8. Học phần 6 An toàn, an ninh thông tin và mạng lưới 57