Đang tải... (xem toàn văn)
Luật chính sách an toàn thông tin
Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TỒN THƠNG TIN I May 4, 2009 AN TỒN THƠNG TIN LÀ GÌ? An tồn thơng tin mắt xích liên kết hai yếu tố: yếu tố công nghệ yếu tố người Yếu tố công nghệ: bao gồm sản phẩm Firewall, phần mềm phòng chống virus, giải pháp mật mã, sản phẩm mạng, hệ điều hành ứng dụng như: trình duyệt Internet phần mềm nhận Email từ máy trạm Yếu tố người: Là người sử dụng máy tính, người làm việc với thơng tin sử dụng máy tính cơng việc Hai yếu tố liên kết lại thơng qua sách An tồn thơng tin Theo ISO 17799, An Tồn Thơng Tin khả bảo vệ môi trường thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng phát triển lợi ích công dân, tổ chức quốc gia Thông qua sách ATTT, lãnh đạo thể ý chí lực việc quản lý hệ thống thông tin ATTT xây dựng tảng hệ thống sách, quy tắc, quy trình giải pháp kỹ thuật nhằm mục đích đảm bảo an tồn tài ngun thơng tin mà tổ chức sở hữu tài nguyên thông tin đối tác, khách hàng mơi trường thơng tin tồn cầu Như vậy, với vị trí quan trọng mình, khẳng định vấn đề ATTT phải sách người mắt xích quan trọng An tồn nghĩa thơng tin bảo vệ, hệ thống dịch vụ có khả chống lại tai hoạ, lỗi tác động không mong đợi, thay đổi tác động đến độ an tồn hệ thống nhỏ Hệ thống có đặc điểm sau khơng an tồn: Các thơng tin liệu hệ Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TỒN THƠNG TIN May 4, 2009 thống bị người không quyền truy nhập tìm cách lấy sử dụng (thơng tin bị rị rỉ) Các thông tin hệ thống bị thay sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn) Thơng tin có giá trị cao đảm bảo tính xác kịp thời, hệ thống cung cấp thơng tin có giá trị thực chức hệ thống đảm bảo hoạt động đắn Mục tiêu an tồn bảo mật cơng nghệ thơng tin đưa số tiêu chuẩn an toàn Ứng dụng tiêu chuẩn an toàn vào đâu để loại trừ giảm bớt nguy hiểm Do kỹ thuật truyền nhận xử lý thông tin ngày phát triển đáp ứng cácyêu cầu ngày cao nên hệ thống đạt tới độ an tồn Quản lý an tồn rủi ro gắn chặt với quản lý chất lượng Khi đánh giá độ an tồn thơng tin cần phải dựa phân tích rủi ro, tăng an tồn cách giảm tối thiểu rủi ro Các đánh giá cần hài hồ với đặc tính, cấu trúc hệ thống trình kiểm tra chất lượng Hiện biện pháp công ngày tinh vi, đe doạ tới độ an tồn thơng tin đến từ nhiều nơi theo nhiều cách nên đưa sách phương pháp đề phịng cần thiết Mục đích cuối an tồn bảo mật bảo vệ thông tin tài nguyên theo u cầu sau: • Tính tin cậy(Confidentiality): Thơng tin bị truy nhập trái phép người khơng có thẩm quyền • Tính ngun vẹn(Integrity): Thơng tin bị sửa đổi, bị làm giả người khơng có thẩm quyền • Tính sẵn sàng(Availability): Thơng tin sẵn sàng để đáp ứng sử dụng cho người có thẩm quyền • Tính khơng thể từ chối (Non-repudiation): Thông tin cam kết mặt pháp luật người cung cấp Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TỒN THƠNG TIN May 4, 2009 Viện tiêu chuẩn Anh công bố danh sách gồm 10 điều kiện cần để kiểm tra việc triển khai biện pháp an ninh hệ thống sau: Tài liệu sách an ninh thông tin Việc phân bổ trách nhiệm an ninh hệ thống Các chương trình giáo dục huấn luyện an ninh thông tin Các báo cáo biến cố liên quan đến an ninh thông tin Các biện pháp kiểm sốt Virus Tiến trình liên tục lập kế hoạch kinh doanh Các hình thức kiểm sốt việc chép thông tin thuộc sở hữu tổ chức Việc bảo vệ hồ sơ tổ chức Việc tuân thủ pháp luật bảo vệ liệu 10 Việc tuân thủ sách an ninh hệ thống tổ chức II THỰC TRẠNG VẤN ĐỀ AN TỒN THƠNG TIN HIỆN NAY Theo đánh giá thiếu tướng Nguyễn Viết Thế, Cục trưởng Cục Tin học Nghiệp vụ Tổng cục Kỹ thuật Bộ Công an, tình hình an ninh mạng năm 2008 đà bất ổn tiếp tục coi năm “báo động đỏ” an ninh mạng Việt Nam giới Nhiều lỗ hổng an ninh nghiêm trọng phát hiện, hình thức cơng thay đổi có nhiều cơng thành cơng thời gian gần Tính tới thời điểm này, có nhiều lỗ hổng an ninh phát lỗ hổng DNS bị coi siêu nguy hiểm, cho phép hacker kiểm soát lưu lượng liệu qua lại toàn mạng World Wire Web, lỗ hổng trình duyệt web Google Chrome… Hình thức cơng có thay đổi Hacker thay đổi từ Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TỒN THƠNG TIN May 4, 2009 hình thức cơng hệ thống thông qua dịch vụ thư điện tử sang công hệ thống dựa vào dịch vụ web Hacker mở chiến dịch “tổng công” nhằm vào mạng Internet với số lượng triệu website Trong có website tiếng giới USA Today.com, Walman.com… Số lượng tầm quan trọng website bị công tăng lên ngày Virus phần mềm độc hại tiếp tục tăng trưởng Theo thống kê hãng Symantec, tổng số virus, sâu, trojan máy tính lan truyền Internet thời điểm đạt ngưỡng triệu Trong tháng đầu năm 2008, hãng Symantec phát 499.811 mã độc nguy hiểm, tăng 136% so với tháng đầu năm ngối, đưa tổng số mẫu virus có sản phẩm hãng lên tới 1.122.311 mẫu Giới tin tặc có xu hướng dùng trojan “chìa khố” để truy cập máy tính người dùng, sau download tải nhiều chương trình độc hại Theo thống kê APACS, tháng đầu năm 2008, tồn giới có tới 20.000 vụ lừa đảo trực tuyến xảy gây thiệt hại tới 37 triệu USD, năm 2007 có khoảng 7.000 vụ Hacker công hàng ngàn trang web game online, không “tha” website bán vé Euro 2008, 18 máy chủ ngân hàng giới WorldBank bị công Đặc biệt, nhiều liệu cá nhân bị công, đánh cắp Theo thống kê Trung tâm tài nguyên cắp danh tính ITRC, tính từ đầu năm tới nay, riêng Mỹ có tới 512 vụ trộm cắp danh tính làm ảnh hưởng tới khoảng 30 triệu người dùng Và Việt Nam quốc gia không tránh khỏi hệ luỵ Chỉ năm 2008, có 52 website Việt Nam bị hacker nước cơng có tới 109 website Việt bị hacker nước ngồi “dịm” tới Trung tâm an ninh mạng BKIS cảnh báo 30 website Việt có lỗ hổng nghiêm trọng 27.046.000 lượt máy tính Việt bị nhiễm 6269 loại virus khác có virus có “xuất xứ” Việt Nam Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TỒN THƠNG TIN May 4, 2009 Nhiều website Việt bị công có website có uy tín Ngày 25/7/2008, website ngân hàng Techcombank bị hacker xâm nhập để lại lời cảnh báo lỗi bảo mật Ngày 27/7/2008, số tên miền quan trọng PAVietnam, nhà cung cấp dịch vụ hosting lớn Việt Nam bị hacker chiếm quyền điều khiển khiến khoảng 8.000 website mà khách hàng sử dụng máy chủ tên miền PAVietnam bị tê liệt Thậm chí gần đây, ngày 5/10/2008, website Trung tâm an ninh mạng BKIS bị công từ chối dịch vụ Năm 2008, hình thức lừa đảo trực tuyến phổ biến giới xuất Việt Nam lừa đảo qua diễn đàn mạng, lừa đảo qua email mà phổ biến lừa đảo trúng xổ số, lừa đảo qua tin nhắn mạng di động từ tổng đài tự động, ăn cắp làm giả thẻ tín dụng… Ngay tình trạng phát tán blog đen, video clip xấu mạng xảy tràn lan Mặc dù khơng có nhiều vụ việc giật gân số blog cá nhân tồn nhiều viết, video clip có nội dung khơng lành mạnh Đã có tình trạng diễn “chợ tình” mạng Internet, kiểu tiếp thị mại dâm mới… Thiếu tướng Nguyễn Viết Thế cho rằng, nguyên nhân bất ổn báo động đỏ năm 2008 Việt Nam quan, doanh nghiệp, tổ chức cá nhân chưa thực quan tâm đến vấn đề an ninh mạng Các quan, doanh nghiệp, tổ chức cịn chủ quan nên chưa có quan tâm, đầu tư kinh phí mức cho vấn đề Các điểm yếu an ninh website Việt Nam chưa cập nhật thường xuyên, chưa kiểm sốt lỗi lập trình Ngồi ra, sách, văn Việt Nam tội phạm mạng cịn yếu thiếu Chưa có Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TỒN THƠNG TIN May 4, 2009 tiêu chuẩn sách an ninh mạng, an tồn thơng tin để đưa giải pháp tổng thể bảo đảm an ninh, an tồn thơng tin Trong đó, năm 2009 lại chuyên gia an ninh mạng dự báo tiếp tục năm xuất nhiều biến thể virus mới, tội phạm mạng chuyên nghiệp hơn, tinh vi hơn, mạng xã hội trở thành đích ngắm hacker, vụ việc đánh cắp thông tin liệu người dùng phức tạp hơn… Con người – khâu yếu tồn q trình đảm bảo an tồn thơng tin Hầu phần lớn phương thức công hacker sử dụng khai thác điểm yếu hệ thống thông tin đa phần điểm yếu tiếc lại người tạo Việc nhận thức không tuân thủ sách ATTT nguyên nhân gây tình trạng Đơn cử vấn đề sử dụng mật quy định rõ sách ATTT song việc tuân thủ quy định lại không thực chặt chẽ Việc đặt mật chất lượng, không thay đổi mật định kỳ, quản lý mật lỏng lẻo khâu yếu mà hacker lợi dụng để xâm nhập công Ra mắt Hiệp hội An tồn thơng tin VN phía Nam Hiệp hội An tồn thơng tin Việt Nam (VNISA) vừa thành lập tổ chức lễ mắt chi hội an tồn thơng tin phía Nam Sự kiện đánh dấu bước phát triển lĩnh vực an toàn thông tin, TP.HCM nơi mà lĩnh vực cơng nghệ thơng tin phát triển động Ơng Võ Đỗ Thắng, ủy viên ban điều hành chi hội, cho biết: “Chi hội an tồn thơng tin phía Nam đời nhằm tạo điều kiện giúp hội viên, tổ chức, doanh nghiệp phía nam nâng cao kiến thức lĩnh vực an tồn thơng tin Đồng thời nơi chia Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TỒN THƠNG TIN May 4, 2009 sẻ kinh nghiệm thành tựu khoa học hướng dẫn việc ứng dụng phát triển kỹ thuật, công nghệ an tồn thơng tin” III CÁC DẠNG TỘI PHẠM, HÀNH VI XÂM PHẠM AN TỒN THƠNG TIN HIỆN NAY Những thủ đoạn phạm tội cơng nghệ cao liệt kê như: lừa đảo mạng, trộm cắp địa thư điện tử, thơng tin thẻ tín dụng thơng tin cá nhân; đưa thơng tin thẻ tín dụng ăn cắp lên mạng để mua bán, trao đổi, cho tặng; thực rửa tiền cách chuyển tiền từ tài khoản trộm cắp sang tài khoản tiền ảo e-gold, e-passport…; lừa đảo hoạt động thương mại điện tử, quảng cáo, bán hàng trực tuyến qua mạng, mua bán ngoại tệ, mua bán cổ phiếu qua mạng; đánh bạc, cá độ bóng đá qua mạng; sử dụng máy tính để thực hành vi trốn thuế, tham ô; buôn bán ma tuý qua mạng; tổ chức hoạt động mại dâm qua mạng; truyền bá văn hoá phẩm đồi truỵ qua mạng; thực hoạt động khủng bố, gây rối qua mạng; xâm phạm an toàn hệ thống hạ tầng an ninh quốc gia; lập trạm thu phát tín hiệu trái phép, sử dụng mạng Internet để chuyển gọi quốc tế thành gọi nội hạt… Đặc điểm bật loại tội phạm cơng nghệ cao tính quốc tế Từ phương thức, thủ đoạn, phạm vi gây án, đối tượng bị xâm hại tới mục tiêu gây án giống toàn giới Thủ phạm gây án ngồi chỗ công vào nơi giới mà không cần xuất đầu lộ diện, để lại dấu vết dấu vết điện tử thời gian gây án thường ngắn khiến quan điều tra khó phát hiện, thu thập lại dễ dàng tiêu huỷ Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TỒN THƠNG TIN May 4, 2009 Tội phạm cơng nghệ cao chia làm hai nhóm: nhóm tội phạm với mục tiêu công loại thiết bị kỹ thuật số, mạng máy tính nhóm thứ hai tội phạm sử dụng máy tính làm cơng cụ phạm tội Lừa đảo mạng ATM “ Một bọn tội phạm lấy liệu dải từ tính với số PIN, chúng hồn tồn tạo thẻ giả , thẻ dùng để rút tiền” Vấn đề khác tổ chức khả thực quản lý rủi ro họ nhiều so với giao dịch trực tuyến ATM “ Đó máy ATM cung ứng hàng hóa cho khách hàng lập tức, xác ý muốn bọn lừa đảo – tiền mặt loại vé, giấy có sau phải cất trữ bán lại Tiếp tục công dạng Phishing Năm 2008, ngành dịch vụ tài quan sát thấy có tăng trưởng vể số lượng công phishing trông chờ tiếp tục vào năm 2009, gồm có spear phishing phức tạp cơng Rock Phish Nhóm cơng tác chống phishing (Anti-Phishing Working Group) báo cáo lĩnh vực dịch vụ tài lĩnh vực chịu nhiều công phishing nhất, Với khoảng 90% công nhắm trực tiếp dịch vụ tài Theo Terry Gudaitis, PhD, giám đốc Cyber Interligence , cơng ty tình báo an ninh mạng chuyên dịch vụ phát kiểm soát phishing lĩnh vực mà bà người khác thấy gia tăng mối hiểm họa công phishing “Smishing” SMS phishing “Phishers (kẻ công phishing) gửi thông điệp phishing tới máy điện thoại di động thông qua SMS Điều làm bối rối người sử dụng online banking, đặc biệt người sử dụng dịch vụ mobile banking,” bà nói “Khách Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TỒN THƠNG TIN May 4, 2009 hàng banking thông thường nghĩ, „Ngân hàng không gửi email cho tôi, mà lại gửi thông điệp văn yêu cầu nhấn vào đường link hay gọi số để kiểm tra,”‟ Trong phương thức cơng khác biệt, đối tượng phisher Loại công đặt vấn đề độ tin cậy ảnh hưởng tới dịch vụ mobile banking, đặc biệt ngày nhiều khách hàng tin cậy trở nên tin tưởng điện thoại di động Tấn cơng từ chối SQL Nghiên cứu Sophos cho hay, số lượng công SQL vào trang web “vô tội” năm qua tăng lên rõ rệt, năm tới, xu hướng tiếp diễn Độ bảo mật trang web, đặc biệt khơng có khả phịng chống cơng tự động từ xa công từ chối SQL, tiếp tục trở thành nơi để phát tán mã độc Báo cáo Trung tâm thu nhận tố cáo tội phạm internet số lượng công SQL năm qua tăng lên đáng kể, đặc biệt liên quan đến dịch vụ tài ngành cơng nghiệp bán lẻ trực tuyến Drive-By Attacks Deliver Các tổ chức cần phải hướng dẫn cảnh báo khách hàng nhân viên online phải cẩn trọng với trang Web giả mạo (look-alikes) bị nhiễm độc, Tom Wills, Javelin Strategy Research's Senior Analyst for Security & Fraud nói “Các công Drive-by lút phân phối Trojans trộm bàn phím (keylogger) vào máy tính khách hàng trở thành vũ khí trộm danh tính tự nguyện.” Các máy bị nhiễm người dùng viếng trang web giả mạo bị chuyển tới thông qua phishing emails xu hướng gia tăng thông qua trang web hợp lệ bị hack, ông nhận xét Javelin's Wills tiên đốn có gia tăng số lượng hackers tội phạm “nghiệp dư"(amateur), tìm cách ăn trộm tiền hay thơng tin cá nhân Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TỒN THƠNG TIN May 4, 2009 khách hàng tổ chức, chủ yếu kinh tế suy thoái “ Các tổ chức cần nhận thấy có tăng cường lừa đảo khơng chn Những „tội phạm có hội‟ xuất khách hàng nhân viên ngày nhiều người bị tress tài hậu kinh tế suy thối.” Will nhận xét Mạng xã hội khơng mục tiêu Với phát triển mạnh mạng xã hội, theo Sophos, trở thành mục tiêu tin tặc Báo cáo hãng nghiên cứu cho thấy, vào tháng vừa ước tính có tới 1800 tài khoản Facebook bị thay đổi thông tin cá nhân tin tặc cài Trojan vào hình động để cơng người dùng Trojan Koobface công MySpace Facebook biến máy tính nạn nhân thành mạng botnet kiện an ninh đáng lưu ý năm qua, cịn tái diễn 2009 Twitter trở thành công cụ dành cho tin tặc giúp phát tán phần mềm hiểm độc đưa tin quảng cáo Nhiều lần, chúng đánh cắp thông tin tài khoản mật người dùng để “đánh bom” bạn bè nạn nhân với thông tin quảng cáo dẫn dụ tới trang web thứ ba Khi kết hợp với dịch vụ rút ngắn địa URL, khó để phát thơng tin liên kết thơng điệp hạn chế số lượng kí tự (Twitter cho phép đăng tin có số kí tự tối đa 140) Smartphones: trò chơi tin tặc Trong đa số phần mềm hiểm độc thư rác phát tán nhằm mục đích kiếm tiền theo phân tích Sophos, với smartphone, tin tặc chủ yếu viết phần mềm hiểm độc với mục đích danh Apple iPhone theo Sohpos, có lí khiến người dùng iPhone dễ bị công phishing so với sử dụng máy tính Người dùng iPhone thường muốn nhấp vào địa giới thiệu việc nhập URL hình cảm ứng thường khó khăn Trang 10 ... tượng chứa thông tin, có khả gây rỏ rỉ thơng tin An toàn Chú trọng bảo đảm an toàn thông tin mặt người, người huấn luyện quy định vai trò, nghĩa vụ người tổ chức an tồn thơng tin An tồn vật chất... trình Ngồi ra, sách, văn Việt Nam tội phạm mạng cịn yếu thiếu Chưa có Trang Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TỒN THƠNG TIN May 4, 2009 tiêu chuẩn sách an ninh mạng, an tồn thơng tin để đưa giải... thống thông tin; d) Đánh bạc, tổ chức đánh bạc, môi giới mại dâm, lừa đảo, khủng bố Trang 18 Nhóm 10 LUẬT VÀ CHÍNH SÁCH AN TỒN THƠNG TIN May 4, 2009 môi trường mạng Điều 71 (Luật Công nghệ thông tin) :
