Tạp chí ATTT xin giới thiệu nội dung chính bài tham luận của TS. Vũ Quốc Khánh, Giám đốc VNCert đánh giá khái quát về tình hình triển khai bảo đảm an toàn mạng tại Việt nam qua các số liệu khảo sát một số các cơ qua tổ chức trong nước.
Môi trường Công nghệ thông tin
Cùng với quá trình triển khai đề án “ Đưa Việt Nam sớm trở thành nước mạnh về công nghệ thông tin (CNTT)” hạ tầng mạng CNTT&TT đã được triển khai rộng khắp trên cả nước. Mạng truyền dẫn cáp quang, mạng điện thoại cố định, di động, mạng Internet đã được triển khai đến hầu hết các xã và tín hiệu vệ tinh viễn thông Vinasat đã phủ sóng trên cả nước. Triển khai triển khai ứng dụng CNTT được đẩy mạnh phục vụ cho các hoạt động trong lĩnh vực tài chính, ngân hàng, Thương mại điện tử, Chính phủ điện tử...Bên cạnh đó, sự phát triển của các công nghệ mới như Điện toán đám mây, công nghệ 3G và mạng xã hội là những nền tảng mới cho ứng dụng CNTT.
Tuy nhiên, việc sử dụng các thiết bị và hệ thống mạng CNTT&TT còn chưa an toàn. Người sử dụng chưa được hướng dẫn đầy đủ về thiếu hiểu biết, thiếu sự quản lý chặt chẽ dưới góc độ an ninh, an toàn. Đồng thời các kỹ thuật tấn công mạng luôn phát triển song hành cùng kỹ thuật ATTT và ngày càng trở nên tinh vi, phức tạp. Các hoạt động tội phạm mạng, khủng bố mạng gia tăng.
Với các vấn đề thách thức đó, ATTT ngày càng trở nên quan trọng và ảnh hưởng đến hoạt động của cơ quan, tổ chức, cá nhân.
Môi trường pháp lý về ATTT
Môi trường pháp lý của Việt Nam ở lĩnh vực ATTT đang trong quá trình hoàn thiện. Sắp tới, các cơ quan quản lý nhà nước đề xuất xây dựng 2 dự thảo Luật trong lĩnh vực ATTT (Luật An toàn thông tin và Luật Bảo vệ bí mật nhà nước) cùng một số nghị định, thông tư hướng dẫn.
Bên cạnh đó, các tiêu chuẩn trong lĩnh vực ATTT đề xuất xây dựng gồm: Tiêu chuẩn quản lý về ATTT (6 tiêu chuẩn); Tiêu chuẩn về đánh giá ATTT (8 tiêu chuẩn); Tiêu chuẩn về kỹ thuật an ninh mạng và ứng cứu sự cố (9 tiêu chuẩn); Tiêu chuẩn về mật mã và chứng thực số (5 tiêu chuẩn).
Văn bản pháp lý của Việt Nam trong lĩnh vực ATTT thời gian qua đã tập trung giải quyết những vấn đề bức xúc, ưu tiên đưa ra các quy định định hướng và các chế tài xử lý các hành vi phạm tội trên không gian mạng.
Tuy nhiên, việc xây dựng các văn bản này chưa có tính hệ thống, khái niệm trong các văn bản đôi khi còn chưa nhất quán, các văn bản nền tảng chưa đón đầu sự phát triển, thiếu các tiêu chuẩn, quy chuẩn làm công cụ quản lý....
Tình hình triển khai ATTT số
Để triển khai Quy hoạch phát triển An toàn thông tin số quốc gia đến năm 2020 và Chỉ thị 879/CT- TTg của Thủ tướng Chính phủ về việc tăng cường các hoạt động bảo đảm ATTT số, đến tháng 11/2011, phần lớn các Bộ, ngành và địa phương đã xây dựng và phê duyệt kế hoạch đảm bảo ATTT số. Trên 30% đơn vị chuyên trách về CNTT của các Bộ, ngành và địa phương đã ban hành quy chế đảm bảo ATTT số.
Về quản lý ATTT
Năm 2011, kết quả khảo sát của VNISA và VNCERT cho thấy mức độ quan tâm của các cấp lãnh đạo đối với ATTT ngày càng tăng, thể hiện qua các số liệu sau:
- Tỷ lệ đơn vị ban hành quy trình thao tác chuẩn về phản ứng, xử lý sự cố máy tính là 24,4%;
- Tỷ lệ đơn vị có cán bộ chuyên trách hoặc bán chuyên trách về CNTT là 69,8%;
- Tỷ lệ đơn vị có kế hoạch xây dựng hệ thống quản lý ATTT theo TCVN - ISO/IEC 27001:2009 là 33%;
- Tỷ lệ đơn vị có kế hoạch đào tạo về ATTT là 61,2%;
- Tỷ lệ đơn vị áp dụng hình thức mua bảo hiểm để đề phòng thiệt hại do bị tấn công là 10%.
Chỉ số mức độ quan tâm của các nhóm doanh nghiệp về công tác bảo đảm ATTT trong TMĐT thể hiện như sau (được đánh giá theo thang điểm tử 1 - 10):
Nhóm Công nghiệp - Thương mại: 5/10; Nhóm Ngân hàng - Tài chính: 10/10; Nhóm Chứng khoán: 10/10; Nhóm Hàng không - Vận tải: 10/10; Viễn thông: 8/10; Dịch vụ TMĐT và CNTT: 7/10.
Những lĩnh vực tiên phong ứng dụng CNTT vào hoạt động nghiệp vụ cũng là những ngành đặc biệt quan tâm tới công tác bảo đảm ATTT.
Chỉ số tỷ lệ áp dụng giải pháp ATTT (%)
Đến nay, chỉ có 24,5 % tổ chức áp dụng các giải pháp công nghệ đảm bảo ATTT và nhóm thiết bị, phần mềm, giải pháp bảo vệ hệ thống được áp dụng nhiều nhất (42%).
Thống kê lỗi bảo mật của cổng thông tin điện tử Việt Nam
Cổng thông tin điện tử của các địa phương và các doanh nghiệp hay gặp phải lỗi về lộ mã nguồn (khoảng 70%), còn website của các Bộ, ngành trung ương thường bị tấn công DDoS hoặc tấn công tràn bộ đệm (37,4%).
Tình hình xử lý sự cố tại VNCERT
So với năm 2009, năm 2011 số lượng sự cố được xử lý tại VNCERT đã tăng lên 279%, (với 757 vụ việc). Trong đó, tấn công Phishing luôn chiếm tỷ trọng lớn, nhưng tỷ lệ giảm dần từng năm (năm 2009 là 66%, năm 2011 là 50,9%). Đặc biệt, năm 2011 đã xuất hiện tấn công Deface (44,9%).
lý tại một số nước châu Á
Tại Hàn Quốc, số các sự cố được CERT xử lý nói chung có xu hướng giảm, trong khi tại Việt Nam lại tăng lên đáng kể so với các nước khác ở châu Á.
Đánh giá nguy cơ ATTT
Có thể nói, các nguy cơ về ATTT thể hiện tập trung ở các tấn công hệ thống thông tin ngành tài chính, ngân hàng; đột nhập mạng của Chính phủ và hệ thống thông tin quốc gia.... Đã xuất hiện nguy cơ tấn công mạng thế hệ mới, sử dụng công nghệ mới; nguy cơ về ATTT trong viễn thông và nguy cơ chiến tranh mạng, chiến tranh thông tin. Bên cạnh đó còn có nguy cơ phụ thuộc nền công nghệ nước ngoài, không kiểm soát được ATTT.
Các giải pháp thực thi ATTT
Để phòng chống mã độc xâm nhập vào hệ thống thông tin của mình, các tổ chức cần thực hiện các yêu cầu sau: Sử dụng thiết bị tường lửa tiên tiến; Duy trì hệ điều hành ở chế độ cập nhật thường xuyên; Sử dụng chương trình diệt mã độc có khả năng cập nhật liên tục và luôn ở chế độ bảo vệ tự động; Sử dụng phần mềm có nguồn gốc rõ ràng, tải phần mềm từ trang chủ chính thống và khi nhận được file đính kèm trên thư điện tử thì cần xem xét kỹ lưỡng.
Các tổ chức, cá nhân cũng cần áp dụng các giải pháp:
- Áp dụng các tiêu chuẩn quản lý ATTT theo bộ tiêu chuẩn ISO/IEC- 27000 và phải bảo đảm quy trình tuân thủ chặt chẽ.
- Cần có sự tách bạch giữa các mạng truyền số liệu chuyên dùng và mạng Internet. Áp dụng biện pháp bảo vệ an toàn nhiều lớp cho hệ thống thông tin.
- Đối với phần mềm và dịch vụ, cần được xây dựng theo nguyên tắc lập trình an toàn. Ưu tiên sử dụng các phần mềm có ghi biên bản trạng thái, giám sát truy cập. Thiết lập cấu hình hệ thống đúng yêu cầu và dùng mật khẩu truy cập có độ an toàn cao.
- Việc đầu tư cho công nghệ ATTT phải được thực hiện đồng bộ: có hệ thống sao lưu online- offline; Có các sản phẩm chống virus, mã độc, hệ thống giám sát truy cập và phát hiện tấn công, truy cập trái phép.
- Ứng dụng hệ thống PKI để thực hiện chứng thực điện tử; mã hóa dữ liệu được lưu trữ, trao đổi qua mạng.
- Hình thành mạng lưới các tổ chức ứng cứu sự cố máy tính các cấp độ khác nhau.
Một vấn đề cũng hết sức quan trọng là phải lồng ghép các giải pháp bảo đảm ATTT vào kế hoạch ứng dụng CNTT của các Bộ, ngành, địa phương và phải có kinh phí đầu tư, chi phí vận hành, duy trì sản phẩm, dịch vụ ATTT