Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trang 1
I. AN TOÀN THÔNG TIN LÀ GÌ?
An toàn thông tin là một mắt xích liên kết hai yếu tố: yếu tố công nghệ và
yếu tố con người.
1. Yếu tố công nghệ: bao gồm những sản phẩm như Firewall, phần mềm
phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành và
những ứng dụng như: trình duyệt Internet và phần mềm nhận Email từ
máy trạm.
2. Yếu tố con người: Là những người sử dụng máy tính, những người làm
việc với thông tin và sử dụng máy tính trong công việc của mình.
Hai yếu tố trên được liên kết lại thông qua các chính sách về An toàn thông
tin.
Theo ISO 17799, An Toàn Thông Tin là khả năng bảo vệ đối với môi
trường thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng và
phát triển vì lợi ích của mọi công dân, mọi tổ chức và của quốc gia. Thông
qua các chính sách về ATTT, lãnh đạo thể hiện ý chí và năng lực của mình
trong việc quản lý hệ thống thông tin. ATTT được xây dựng trên nền tảng
một hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật
nhằm mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu
cũng như các tài nguyên thông tin của các đối tác, các khách hàng trong
một môi trường thông tin toàn cầu. Như vậy, với vị trí quan trọng của mình,
có thể khẳng định vấn đề ATTT phải bắt đầu từ các chính sách trong đó con
người là mắt xích quan trọng nhất.
An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có
khả năng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các
thay đổi tác động đến độ an toàn của hệ thống là nhỏ nhất. Hệ thống có một
trong các đặc điểm sau là không an toàn: Các thông tin dữ liệu trong hệ
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trang 2
thống bị người không được quyền truy nhập tìm cách lấy và sử dụng (thông
tin bị rò rỉ). Các thông tin trong hệ thống bị thay thế hoặc sửa đổi làm sai
lệch nội dung (thông tin bị xáo trộn)...
Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thống
chỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ
thống đảm bảo hoạt động đúng đắn. Mục tiêu của an toàn bảo mật trong
công nghệ thông tin là đưa ra một số tiêu chuẩn an toàn. Ứng dụng các tiêu
chuẩn an toàn này vào đâu để loại trừ hoặc giảm bớt các nguy hiểm. Do kỹ
thuật truyền nhận và xử lý thông tin ngày càng phát triển đáp ứng cácyêu
cầu ngày càng cao nên hệ thống chỉ có thể đạt tới độ an toàn nào đó. Quản
lý an toàn và sự rủi ro được gắn chặt với quản lý chất lượng. Khi đánh giá
độ an toàn thông tin cần phải dựa trên phân tích các rủi ro, tăng sự an toàn
bằng cách giảm tối thiểu rủi ro. Các đánh giá cần hài hoà với đặc tính, cấu
trúc hệ thống và quá trình kiểm tra chất lượng.
Hiện nay các biện pháp tấn công càng ngày càng tinh vi, sự đe doạ tới độ an
toàn thông tin có thể đến từ nhiều nơi theo nhiều cách chúng ta nên đưa ra
các chính sách và phương pháp đề phòng cần thiết. Mục đích cuối cùng của
an toàn bảo mật là bảo vệ các thông tin và tài nguyên theo các yêu cầu sau:
• Tính tin cậy(Confidentiality): Thông tin không thể bị truy nhập trái phép
bởi những người không có thẩm quyền.
• Tính nguyên vẹn(Integrity): Thông tin không thể bị sửa đổi, bị làm giả bởi
những người không có thẩm quyền.
• Tính sẵn sàng(Availability): Thông tin luôn sẵn sàng để đáp ứng sử dụng
cho người có thẩm quyền.
• Tính không thể từ chối (Non-repudiation): Thông tin được cam kết về mặt
pháp luật của người cung cấp.
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trang 3
Viện tiêu chuẩn của Anh đã công bố một danh sách gồm 10 điều kiện cần
để kiểm tra việc triển khai các biện pháp an ninh cơ bản của một hệ thống
như sau:
1. Tài liệu về chính sách an ninh thông tin.
2. Việc phân bổ các trách nhiệm về an ninh hệ thống.
3. Các chương trình giáo dục và huấn luyện về sự an ninh thông tin.
4. Các báo cáo về các biến cố liên quan đến an ninh thông tin.
5. Các biện pháp kiểm soát Virus.
6. Tiến trình liên tục lập kế hoạch về kinh doanh.
7. Các hình thức kiểm soát việc sao chép các thông tin thuộc sở hữu của tổ
chức.
8. Việc bảo vệ các hồ sơ về tổ chức.
9. Việc tuân thủ pháp luật về bảo vệ dữ liệu.
10. Việc tuân thủ chính sách về an ninh hệ thống của tổ chức.
II. THỰC TRẠNG VẤN ĐỀ AN TOÀN THÔNG TIN HIỆN NAY
Theo đánh giá của thiếu tướng Nguyễn Viết Thế, Cục trưởng Cục Tin học
Nghiệp vụ Tổng cục Kỹ thuật Bộ Công an, tình hình an ninh mạng năm 2008
này vẫn đang trên đà bất ổn và tiếp tục coi là năm “báo động đỏ” của an ninh
mạng Việt Nam và thế giới. Nhiều lỗ hổng an ninh nghiêm trọng đã được phát
hiện, hình thức tấn công cũng đã thay đổi và có rất nhiều cuộc tấn công thành
công trong thời gian gần đây.
Tính tới thời điểm này, đã có nhiều lỗ hổng an ninh đã được phát hiện như lỗ
hổng DNS bị coi là siêu nguy hiểm, cho phép hacker kiểm soát lưu lượng dữ
liệu qua lại trên toàn mạng World Wire Web, lỗ hổng trình duyệt web Google
Chrome… Hình thức tấn công cũng đã có sự thay đổi. Hacker đã thay đổi từ
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trang 4
hình thức tấn công hệ thống thông qua dịch vụ thư điện tử sang tấn công hệ
thống dựa vào dịch vụ web. Hacker đã mở một chiến dịch “tổng tấn công”
nhằm vào mạng Internet với số lượng hơn 1 triệu website. Trong đó có các
website nổi tiếng thế giới như USA Today.com, Walman.com… Số lượng và
tầm quan trọng của các website bị tấn công đang tăng lên từng ngày.
Virus và phần mềm độc hại tiếp tục tăng trưởng. Theo thống kê của hãng
Symantec, tổng số virus, sâu, trojan máy tính lan truyền trên Internet cho tới
thời điểm này đã đạt ngưỡng 1 triệu. Trong 6 tháng đầu năm 2008, hãng
Symantec đã phát hiện được 499.811 mã độc nguy hiểm, tăng 136% so với 6
tháng đầu năm ngoái, đưa tổng số mẫu virus có trong sản phẩm của hãng này
lên tới 1.122.311 mẫu. Giới tin tặc đang có xu hướng dùng trojan như là “chìa
khoá” để truy cập máy tính người dùng, sau đó download và tải rất nhiều
chương trình độc hại.
Theo thống kê của APACS, chỉ trong 6 tháng đầu năm 2008, trên toàn thế giới
đã có tới 20.000 vụ lừa đảo trực tuyến xảy ra gây thiệt hại tới 37 triệu USD,
trong khi đó năm 2007 chỉ có khoảng 7.000 vụ. Hacker đã tấn công hàng ngàn
trang web game online, không “tha” cả website bán vé Euro 2008, 18 máy chủ
của ngân hàng thế giới WorldBank đã bị tấn công. Đặc biệt, rất nhiều dữ liệu
của cá nhân đã bị tấn công, đánh cắp. Theo thống kê của Trung tâm tài nguyên
và mất cắp danh tính ITRC, tính từ đầu năm tới nay, chỉ riêng tại Mỹ đã có tới
512 vụ trộm cắp danh tính làm ảnh hưởng tới khoảng 30 triệu người dùng.
Và Việt Nam cũng là một quốc gia không tránh khỏi những hệ luỵ này. Chỉ
trong năm 2008, đã có 52 website của Việt Nam bị các hacker trong nước tấn
công và có tới 109 website Việt bị các hacker nước ngoài “dòm” tới. Trung
tâm an ninh mạng BKIS đã từng cảnh báo 30 website Việt có lỗ hổng nghiêm
trọng. 27.046.000 lượt máy tính Việt bị nhiễm bởi 6269 loại virus khác nhau
trong đó có 8 virus có “xuất xứ” Việt Nam.
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TOÀN THÔNG TIN
May 4, 2009
Trang 5
Nhiều website Việt bị tấn công trong đó có cả những website có uy tín. Ngày
25/7/2008, website của ngân hàng Techcombank bị hacker xâm nhập và để lại
lời cảnh báo về lỗi bảo mật. Ngày 27/7/2008, một số tên miền quan trọng của
PAVietnam, một trong những nhà cung cấp dịch vụ hosting lớn của Việt Nam
đã bị hacker chiếm quyền điều khiển khiến khoảng 8.000 website mà khách
hàng đang sử dụng máy chủ tên miền của PAVietnam bị tê liệt. Thậm chí gần
đây, ngày 5/10/2008, ngay cả website của Trung tâm an ninh mạng BKIS
cũng đã bị tấn công từ chối dịch vụ.
Năm 2008, các hình thức lừa đảo trực tuyến phổ biến trên thế giới đều đã xuất
hiện ở Việt Nam như lừa đảo qua diễn đàn trên mạng, lừa đảo qua email mà
phổ biến nhất là lừa đảo trúng xổ số, lừa đảo qua các tin nhắn trên mạng di
động từ những tổng đài tự động, ăn cắp và làm giả thẻ tín dụng…
Ngay cả tình trạng phát tán blog đen, video clip xấu trên mạng vẫn còn xảy ra
tràn lan. Mặc dù không có nhiều vụ việc giật gân nhưng trên một số blog của
cá nhân vẫn tồn tại nhiều bài viết, video clip có nội dung không lành mạnh.
Đã có tình trạng diễn ra “chợ tình” trên mạng Internet, một kiểu tiếp thị mại
dâm mới…
Thiếu tướng Nguyễn Viết Thế cho rằng, nguyên nhân của sự bất ổn và báo
động đỏ năm 2008 của Việt Nam là do các cơ quan, doanh nghiệp, tổ chức và
ngay cả những cá nhân chưa thực sự quan tâm đến vấn đề an ninh mạng. Các
cơ quan, doanh nghiệp, tổ chức vẫn còn chủ quan nên chưa có sự quan tâm,
đầu tư kinh phí đúng mức cho vấn đề này.
Các điểm yếu an ninh trên các website của Việt Nam chưa được cập nhật
thường xuyên, chưa kiểm soát được các lỗi lập trình. Ngoài ra, chính sách,
văn bản của Việt Nam về tội phạm mạng còn rất yếu và thiếu. Chưa có được
![Đồ án tốt nghiệp: Phân tích và thiết kế mạng [Chuẩn SEO]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250912/maithanhtam2008/135x160/90431757666930.jpg)
![Website bán điện thoại di động: Đồ án tốt nghiệp [Chuẩn SEO]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250903/nguyendatds204@gmail.com/135x160/82481756954648.jpg)
![Đồ án tốt nghiệp: Phân tích và thiết kế mạng [Chuẩn SEO]](https://cdn.tailieu.vn/images/document/thumbnail/2025/20250903/mthnh.tam04@gmail.com/135x160/93981756954649.jpg)
