y o c u -tr a c k c ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC KINH TẾ - TRỊNH PHƢƠNG ANH PHÁT TRIỂN NHÂN LỰC KỸ SƢ AN TOÀN THÔNG TIN CỦA VIỆT NAM TRONG ĐIỀU KIỆN HỘI NHẬP KINH TẾ QUỐC TẾ LUẬN VĂN THẠC SĨ QUẢN LÝ KINH TẾ CHƢƠNG TRÌNH ĐỊNH HƢỚNG THỰC HÀNH Hà Nội – 2015 d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC KINH TẾ - TRỊNH PHƢƠNG ANH PHÁT TRIỂN NHÂN LỰC KỸ SƢ AN TOÀN THÔNG TIN CỦA VIỆT NAM TRONG ĐIỀU KIỆN HỘI NHẬP KINH TẾ QUỐC TẾ Chuyên ngành: Quản lý kinh tế Mã số: 60 34 04 10 LUẬN VĂN THẠC SĨ QUẢN LÝ KINH TẾ CHƢƠNG TRÌNH ĐỊNH HƢỚNG THỰC HÀNH NGƢỜI HƢỚNG DẪN KHOA HỌC: PGS.TS LÊ QUÂN XÁC NHẬN CỦA CÁN BỘ HƯỚNG DẪN XÁC NHẬN CỦA CHỦ TỊCH HĐ CHẤM LUẬN VĂN Hà Nội - 2015 d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c LỜI CAM ĐOAN Tôi xin cam đoan công trình nghiên cứu riêng hướng dẫn PGS.TS Lê Quân Các số liệu nêu luận văn trung thực Những kết luận khoa học luận văn chưa công bố công trình khác .d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c LỜI CẢM ƠN Luận văn kết trình học tập, nghiên cứu nhà trường, kết hợp với kinh nghiệm trình thực tiễn công tác, với cố gắng nỗ lực thân Lời xin dành bày tỏ lòng biết ơn chân thành, sâu sắc tới thầy giáo- PGS.TS Lê Quân người trực tiếp hướng dẫn khoa học, tận tình hướng dẫn cho chuyên môn phương pháp nghiên cứu bảo cho nhiều kinh nghiệm thời gian thực đề tài Tôi xin chân thành cám ơn Trung tâm ứng cứu khẩn cấp máy tính Việt Nam ,Vụ Công nghệ thông tin, Vụ Khoa học Công nghệ, Cục An toàn thông tin – Bộ Thông tin Truyền thông giúp đỡ trình thu thập liệu cung cấp thông tin luận văn Tôi xin chân thành cám ơn thầy, cô giáo Trường Đại học kinh tế Đại học Quốc gia Hà Nội bạn bè giúp đỡ trình học tập trình hoàn thành luận văn Sau cùng, xin gửi lời biết ơn sâu sắc đến gia đình tạo điều kiện tốt cho suốt trình học thực luận văn Mặc dù với nỗ lực cố gắng thân, luận văn không tránh khỏi thiếu sót Tôi mong nhận góp ý chân thành quý Thầy, quý Cô, đồng nghiệp bạn bè để luận văn hoàn thiện Tôi xin gửi lời kính chúc sức khỏe hạnh phúc tới toàn thể Quý thầy cô, bạn bè Bộ Thông tin Truyền thông Tôi xin chân thành cảm ơn .d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c TÓM TẮT LUẬN VĂN Tên luận văn: “Phát triển nhân lực kỹ sƣ An toàn thông tin Việt Nam điều kiện hội nhập kinh tế quốc tế” Tác giả: Trịnh Phƣơng Anh Chuyên ngành: Quản lý kinh tế Bảo vệ năm: 2015 Giáo viên hƣớng dẫn: PGS.TS Lê Quân Mục đích nhiệm vụ nghiên cứu: *Mục đích: Luận văn nhằm làm rõ sở lý luận nghiên cứu, đánh giá thực trạng phát triển nhân lực kỹ sư ATTT nhân tố ảnh hưởng đến phát triển nhân lực Việt Nam từ đưa giải pháp thúc đẩy phát triển nhân lực An toàn thông tin Việt Nam bối cảnh hội nhập kinh tế quốc tế * Nhiệm vụ nghiên cứu: - Nghiên cứu vấn đề lý luận phát triển nhân lực Kỹ sư An toàn thông tin - Đánh giá thực trạng phát triển nhân lực Kỹ sư An toàn thông tin Việt Nam - Đưa giải pháp thúc đẩy phát triển nhân lực An toàn thông tin Việt Nam bối cảnh hội nhập kinh tế quốc tế Những đóng góp luận văn: Về mặt lý luận: - Hệ thống hóa sở lý luận phát triển nhân lực kỹ sư ATTT, làm sáng tỏ chất nội dung phát triển nhân lực Việt Nam Về mặt thực tiễn: - Luận văn góp phần làm rõ sở lý luận thực tiễn phát triển nhân lực kỹ sư ATTT, làm sáng tỏ chất nội dung phát triển nhân lực Việt Nam - Trên sở đánh giá thực trạng đội ngũ kỹ sư ATTT giai đoạn 2011 – 2014, luận văn đề xuất giải pháp chủ yếu có tính khả thi, nhằm nâng cao chất lượng phát triển nhân lực ngành .d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c - Luận văn sử dụng làm tài liệu nghiên cứu, phục vụ cho việc sơ kết, tổng kết, đánh giá công tác phát triển nhân lực nói chung công tác phát triển nhân lực kỹ sư ATTT, làm sở để xây dựng số kế hoạch, đề án… công tác đào tạo, bồi dưỡng, luân chuyển, bố trí, xếp thực sách đội ngũ kỹ sư ATTT giai đoạn hội nhập kinh tế quốc tế - Luận văn sử dụng làm tư liệu tham khảo phục vụ cho việc nghiên cứu, học tập giảng dạy cho đội ngũ cán bộ, công nhân viên .d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c MỤC LỤC Tính cấp thiết đề tài Mục tiêu nghiên cứu 3 Nhiệm vụ nghiên cứu Câu hỏi nghiên cứu Đối tượng phạm vi nghiên cứu Những dự kiến đóng góp Luận văn Kết cấu luận văn 1.1 Tổng quan nghiên cứu 1.2 Lý luận chung An toàn thông tin Kỹ sư An toàn thông tin 1.2.1 Khái niệm An toàn thông tin 1.2.2 Khái niệm Kỹ sư An toàn thông tin nhiệm vụ Kỹ sư An toàn thông tin8 Nhiệm vụ Kỹ sư An toàn thông tin 1.3 Lý luận chung phát triển nhân lực, phát triển nhân lực Kỹ sư An toàn thông tin 11 1.3.1 Phát triển nhân lực 11 1.3.2 Khái niệm phát triển nhân lực kỹ sư An toàn thông tin 13 1.4 Tác động hội nhập kinh tế quốc tế đến phát triển nhân lực Kỹ sư An toàn thông tin 13 1.5 Vai trò việc phát triển nhân lực 15 1.6 Nội dung phát triển nhân lực kỹ sư an toàn thông tin 16 1.6.1 Tuyển dụng để đảm bảo nhân lực kỹ sư an toàn thông tin số lượng cấu phù hợp 16 1.6.2 Phát triển trình độ chuyên môn nghiệp vụ 17 1.6.3 Phát triển kỹ làm việc 20 1.6.4 Phát triển thể lực cho người lao động 21 1.6.5 Phát triển nhân cách, nhận thức cho Kỹ sư ATTT 22 1.6.6 Phát triển đạo đức tác phong người lao động 23 1.7 Các nhân tố tác động đến chất lượng, hiệu đào tạo phát triển nhân lực kỹ sư ATTT 24 1.7.1 Các nhân tố thuộc môi trường vĩ mô 25 1.7.2 Các nhân tố thuộc môi trường vi mô 28 1.8 Kinh nghiệm phát triển nhân lực Kỹ sư an toàn thông tin số quốc gia giới 31 2.1 Phương pháp luận 42 2.2 Các phương pháp nghiên cứu cụ thể 42 2.2.1 Phương pháp phân tích 42 2.2.2 Phương pháp tổng hợp 43 2.2.3 Phương pháp so sánh 44 2.2.4 Phương pháp thống kê mô tả nghiên cứu tài liệu 44 2.3 Địa điểm thời gian thực nghiên cứu 45 2.4 Các bước thực thu thập số liệu 45 3.1 Tình hình An toàn thông tin Việt Nam 48 3.2 Đánh giá thực trạng tổng hợp nhu cầu nhân lực kỹ sư an toàn thông tin Việt Nam 50 3.2.1 Đánh giá thực trạng nhân lực Kỹ sư An toàn thông tin Việt Nam 50 3.2.2 Tổng hợp nhu cầu nhân lực kỹ sư an toàn thông tin Việt Nam 57 3.3 Đánh giá thực trạng sử dụng nhân lực Kỹ sư An toàn thông tin Việt Nam 61 d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y c 3.3.1 Hiệu sử dụng 61 3.3.2 Cơ chế đãi ngộ 61 3.3.3 Đào tạo nâng cao kỹ 62 3.4 Khó khăn công tác phát triển nhân lực kỹ sư ATTT ngành 63 4.1 Một số xu An toàn thông tin thời gian tới 65 4.2 Các chủ trương chiến lược liên quan đến vấn đề nguồn nhân lực, phát triển nguồn nhân lực ngành 67 4.3 Cơ hội thách thức ngành An toàn thông tin điều kiện hội nhập kinh tế quốc tế 68 4.4 Các giải pháp 70 4.4.1 Các nhóm giải pháp đẩy mạnh đào tạo, phát triển nhân lực kỹ sư an toàn thông tin 70 4.4.2 Tăng cường lực đào tạo chuyên ngành ATTT 72 4.4.3 Triển khai đào tạo nhân lực kỹ sư ATTT 79 4.4.4 Đảm bảo chất lượng đào tạo 83 4.4.5 Xây dựng chế ưu đãi nhân lực kỹ sư ATTT 88 d o m w o o c u -tr a c k w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c DANH MỤC CÁC KÝ HIỆU VIẾT TẮT Ký hiệu STT Nguyên nghĩa CNTT Công nghệ thông tin CNTT-TT Công nghệ thông tin- Truyền thông Bộ TTTT Bộ Thông tin Truyền thông DN Doanh nghiệp ATTT An toàn thông tin ĐH Đại học i d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c DANH MỤC BẢNG BIỂU STT Bảng Nội dung Bảng 3.1 Số lượng cán chuyên trách ATTT quan, đơn vị Bảng 3.2 Nhu cầu sử dụng kỹ sư ATTT quan nhà nước Bảng 3.3 Cung cầu lao động ATTT ngành CNTT-TT giai đoạn 2011-2012 Bảng 4.1 Các môn học bắt buộc chương trình đào tạo kỹ sư ATTT Bảng 4.2 Các môn học tự chọn chương trình đào tạo kỹ sư ATTT Trang 47 56 57 73 74 Bảng 4.3 Các chứng quốc tế ATTT 79 Bảng 4.4 Các kỹ ATTT cho người sử dụng 81 Bảng 4.5 Phân nhóm kiến thức ATTT tương ứng với loại kỹ sư ATTT Bảng 4.6 Các kỹ yêu cầu cụ thể kỹ ATTT ii 88 91 d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k PHỤ LỤC Bảng 4 Phân nhóm kiến thức ATTT tƣơng ứng với loại kỹ sƣ ATTT Kỹ Kiến thức Đặc thù Chung Kiến trúc hệ thống ATTT Xây dựng sách bảo mật - Kỹ thuật đánh giá thông tin - Kỹ thuật nhận biết mối đe dọa - Kỹ thuật xác định rủi ro - Kỹ thuật đo lường - Kỹ thuật đánh giá rủi ro - Kỹ thuật xây dựng sách bảo mật Tiêu chuẩn bảo mật - Kỹ thuật xây dựng tiêu chuẩn bảo mật Kế hoạch bảo mật hệ thống - Kỹ thuật xác định yêu cầu - Kỹ thuật đánh giá yêu cầu - Kỹ thuật xây dựng tài liệu mô tả yêu cầu Thiết kế hệ thống bảo mật - Kỹ thuật điều khiên xác thực phân quyền - Kỹ thuật kiểm soát an toàn vật lý - Kỹ thuật kiểm soát an toàn logic - Công nghệ đảm bảo liệu tin hạ tầng mạng - Kỹ thuật khởi tạo tiến trình hoạt động bảo mật Triển khai kiểm soát hệ thống bảo mật 98 - Kỹ thuật lựa chọn cài đặt sản phẩm bảo mật - Công nghệ phát triển hệ thống bảo mật - Công nghệ kiểm soát triển khai bảo mật c y o c u -tr a c k c d o Hỗ trợ cài đặt hệ thống bảo mật - Kỹ thuật đào tạo người sử dụng - Kỹ thuật hỗ trợ người sử dụng Quản lý hoạt động hệ thống bảo mật - Kỹ thuật vận hành hệ thống bảo mật - Kỹ thuật bảo trì hệ thống bảo mật Lỗi bảo mật - Kỹ thuật đáp ứng trường hợp khẩn cấp (lỗi xảy ra) Phân tích bảo mật - Kỹ thuật giám sát bảo mật - Kỹ thuật phát cố - Kỹ thuật đối phó cố - Kỹ thuật phân tích cố - Kỹ thuật phục hồi cố - Kỹ thuật ngăn chặn cố lặp lại - Kỹ thuật đánh giá bảo mật Xem xét bảo mật - Kỹ thuật đánh giá hệ thống CNTT - Kỹ thuật phân tích phân loại lỗi - Kỹ thuật phân tích xếp lỗi Kiến trúc hệ Triển khai hỗ trợ thống - Kỹ thuật thống kê an ninh thống bảo mật kê/kiểm soát an ninh thông tin - Tường lửa - IDS/IPS - SSL Accelerator - Hệ thống xác thực (RADIUS) - Mạng riêng ảnh (VPN) - Thiết bị OTP (One-time password) - Xác thực sinh trắc học - Kiểm định hệ thống mạng LAN - Cổng bảo mật - Rò virus - Công cụ Anti-Spyware - Kiểm toán email - Vá lỗi - Giám sát, cài đặt phần mềm - Mã hóa ổ - Thẻ vào/ra 99 m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y o c u -tr a c k c d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k - Camera giám sát - Công cụ giám sát (Forensic tool) Công nghệ - Công nghiệp yêu cầu an ninh bảo mật thành trường hợp cụ thể phần - Tư vấn triển khai - Chuẩn công nghiệp, tiêu chuẩn công nghiệp - Công nghệ tư vấn sử dụng - Thiết lập trì quan hệ khách hàng - Phân tích, thiết kế quy trình kinh doanh - Xu công nghệ bảo mật - Single Sign-On - PKI - Quản lý an ninh - Ngăn chặn xâm nhập - Mã hóa - Chữ ký điện tử - Tường lửa (Firewall) - Quy hoạch - Bảo mật thông tin người dùng - Đo lường bảo mật - Bảo đảm tính riêng tư - Các biện pháp phòng chống giả mạo - Ngăn chặn xâm nhập - Virus máy tính - Bảo đảm tính toàn vẹn - Quản lý rủi ro (Nguồn: Báo cáo nhiệm vụ Khoa học Công nghệ 2013 - Vụ Công nghệ Thông tin - Bộ Thông tin Truyền thông) Bảng 4.5 Các kỹ ATTT cho ngƣời sử dụng Nhóm kỹ Khái An mạng Các kỹ Yêu cầu cụ thể Phân biệt liệu thông tin niệm Nguy an ninh Hiểu biết tội phạm mạng toàn liệu Hiểu khác biệt hack, crack đạo đức 100 c y o c u -tr a c k c d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k hacking Nhận thức mối đe dọa cho liệu từ thiên tai như: hỏa hoạn, lũ lụt, chiến tranh, động đất Nhận thức mối đe dọa cho liệu từ: kỹ sư ATTT, nhà cung cấp dịch vụ cá nhân bên tổ chức Hiểu lý để bảo vệ thông tin cá nhân: phòng tránh bị đánh cắp, lừa đảo thông tin nhận dạng cá nhân Hiểu lý để bảo vệ thông tin thương mại nhạy cảm như: ngăn chặn hành vi trộm cắp sử dụng sai mục đích thông tin chi tiết thông tin tài khách hàng Giá trị thông tin Hiểu biện pháp ngăn ngừa truy cập trái phép liệu như: mã hóa, mật Hiểu nguyên lý an ninh thông tin như: bảo mật, tính toàn vẹn, tính sẵn sàng Xác định liệu quan trọng cần bảo vệ theo quy định nhà nước Hiểu tầm quan trọng việc xây dựng tuân thủ hướng dẫn sách sử dụng ICT Hiểu thuật ngữ kỹ thuật lưa đảo qua mạng (social engineering) cách sử dụng như: information gathering, fraud, computer system access An ninh thông tin Xác định phương pháp kỹ thuật lừa đảo qua mạng như: phone calls, phishing, shoulder cá nhân surfing Hiểu biết hành vi trộm cắp nhận dạng Xác định phương pháp hành vi trộm cắp danh tính như: information diving, skimming, 101 c y o c u -tr a c k c d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k pretexting Hiểu tác dụng cho phép/vô hiệu hóa thiết lập bảo mật macro Bảo mật tập tin Thiết lập mật cho tập tin như: tài liệu, tập tin nén, bảng tính Hiểu lợi hạn chế việc mã hóa Hiểu thuật ngữ phần mềm độc hại Định nghĩa chức Nhận cách khác mà phần mềm độc hại có thể che dấu như: trojan, rootkit back doors Nhận biết cách loại phần mềm độc hại lây nhiễm hiểu chế làm việc chúng: virus, Các loại phần mềm sâu Malware độc hại Nhận biết hình thức trộm cắp liệu, mục (Phần mềm đích cách thức thực hiện: adware, spyware, độc hại) botnets, keystroke logging and diallers Hiểu cách phần mềm chống virus làm việc hạn chế Bảo vệ liệu khỏi Quét ổ đĩa, thư mục, tập tin cách sử dụng phần mềm độc hại phần mềm chống virus Hiểu thuật ngữ kiểm dịch hiểu việc cáh ly file nghi nhiễm virus Hiểu thuật ngữ mạng nhận biết loại mạng phổ biến như: mạng cục (LAN), diện rộng mạng (WAN), mạng riêng ảo (VPN) Networks An mạng toàn Hiểu vai trò quản trị mạng việc quản lý Xác thực Hiểu chức giới hạn tường lửa Kết nối mạng Nhận tùy chọn để kết nối với mạng như: cáp, không dây Hiểu làm kết nối với mạng có chế độ đảm bảo an ninh như: malware, unauthorised data 102 c y o c u -tr a c k c d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k access, maintaining privacy Nhận tầm quan trọng yêu cầu Bảo vệ mật truy cập cho mạng không dây An ninh không dây Nhận biết phương pháp đảm bảo an ninh cho mạng không dây như: Wired Equivalent Privacy mạng (WEP), Wi-Fi Protected Access (WPA), Media Access Control (MAC) Nhận biết nguy bị nghe trộm đánh cắp liệu từ mạng không dây Phương pháp kết nối với mạng không dây có bảo vệ/không bảo vệ Hiểu mục đích tài khoản mạng cách sử dụng để truy cập mạng Kiểm soát Truy cập Nhận sách mật tốt như: không chia sẻ mật khẩu, thay đổi thường xuyên, đảm bảo chiều dài mật khẩu, mật có đầy đủ chữ, số ký tự đặc biệt Xác định bảo mật sử dụng công nghệ sinh trắc học kiểm soát truy cập như: dấu vân tay, quét mắt Nhận thức số hoạt động trực tuyến (mua hàng, giao dịch tài chính) nên thực trang web an toàn Xác định trang web an toàn với dấu hiệu như: https, biểu tượng khóa Sử dụng Web Duyệt web an toàn Hiểu biết thuật ngữ xác thực kỹ thuật số Hiểu thuật ngữ mật dùng lần Chọn cài đặt thích hợp cho phép/vô hiệu hóa tự động hoàn chỉnh, tự động lưu soạn thảo mẫu khai mạng Hiểu thuật ngữ cookie Chọn cài đặt thích hợp cho phép, ngăn chặn cookie 103 c y o c u -tr a c k c d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k Xóa liệu cá nhân từ trình duyệt như: browsing history, cached internet files, passwords, cookies, autocomplete data Hiểu mục đích, chức loại phần mềm kiểm soát nội dung như: Phần mềm lọc Internet, phần mềm kiểm soát cha mẹ Mạng Xã hội Hiểu tầm quan trọng việc không tiết lộ thông tin bí mật trang web mạng xã hội Hiểu biết mối nguy hiểm tiềm sử dụng trang mạng xã hội Hiểu mục đích mã hóa, giải mã e-mail Hiểu thuật ngữ chữ ký kỹ thuật số E-Mail Tạo thêm chữ ký kỹ thuật số Nhận biết nguy từ email không không rõ nguồn gốc Hiểu thuật ngữ tin nhắn tức thời (IM) Tin nhắn tức cách sử dụng chúng Hiểu biết lỗ hổng bảo mật IM như: malware, backdoor access Nhận cách Đảm bảo an ninh vật lý cho thiết bị như: log equipment location and details, use cable locks, access control Quản lý liệu an toàn Nhận thức tầm quan trọng việc back-up Bảo vệ Sao lưu dư liệu Dữ liệu Xác định thông số thủ tục back-up: regularity/frequency, schedule, storage location Sao lưu liệu Khôi phục lưu xác nhận liệu Hiểu lý xóa liệu vĩnh viễn từ ổ đĩa Phá hủy liệu An thiết bị lưu trữ khác toàn Phân biệt việc xóa liệu hủy liệu vĩnh viễn 104 c y o c u -tr a c k c d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k Xác định phương pháp phổ biến hủy liệu vĩnh viễn như: shredding, drive/media destruction, degaussing, using data destruction utilities (Nguồn: Báo cáo nhiệm vụ Khoa học Công nghệ 2013 - Vụ Công nghệ Thông tin - Bộ Thông tin Truyền thông ) 105 c y o c u -tr a c k c d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k Bảng Các kỹ yêu cầu cụ thể kỹ ATTT Nhóm kỹ Kỹ Yêu cầu cụ thể Quản lý ATTT Khái niệm Mô tả khía cạnh ATTT: bảo mật thông tin, toàn vẹn liệu, sẵn sàng đối phó với rủi ro Chứng thực điều khoản ATTT Quản lý rủi ro Đánh giá vấn đề rủi ro thông tin: giá trị thông thông tin tin, liệu dễ bị bẻ khóa, mối đe dọa, vi phạm, tác động mức độ rủi ro thông tin Mối quan hệ quy trình/ mục tiêu quản lý rủi ro, vai trò ATTT việc giảm thiểu rủi ro Các cấp bảo mật thông tin như: định nghĩa xác thực, kiểm soát truy cập, kiểm toán, trách nhiệm, đối tượng tái sử dụng thông tin, độ xác, độ tin cậy dịch vụ an toàn liệu trao đổi Quản lý ATTT Phân biệt chức vai trò đảm bảo, công nhận Tầm quan trọng đảm bảo công nhận ATTT Mô tả vai trò sách định hướng bảo mật ATTT Nhận biết trình quan trọng thực tổ chức để tăng cường ATTT như: ISO/IEC 17799, BS 7799,… Nắm quy trình phục hồi ổn định kinh doanh sau cố khách quan Trách nhiệm kỹ sư ATTT việc quản trị hệ thống, vận hành hệ thống thông tin hàng ngày doanh nghiệp Quy trình tham gia vào quy trình bảo mật máy tính 106 c y o c u -tr a c k c d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k Hiểu tiêu chuẩn ATTT vai trò chúng Các phương pháp đánh giá cấp độ bảo mật ( ITSEC, ISO/IEC 15408,…) Tiêu chuẩn quản lý an ninh sở hạ tầng tổ chức như: phần ISO / IEC 17799, BS7799,… Mã hóa Khái niệm Khái niệm mã hóa dạng cleartext, cyphertext, thuật toán mã hóa,… Mã hóa đối Khái niệm nguyên tắc đối xứng quan trọng xứng khóa bảo mật chung, thuật toán đối xứng,… Phân biệt tiêu chuẩn đối xứng: DES, 3DES, AES,… Mã hóa không Các nguyên tắc mã hóa bất đối xứng đối xứng Nắm vững kiến thức khóa dùng chung tiêu chuẩn PKCS 1, PKCS 7,… Hash Nguyên tắc kỹ thuật băm mã hóa Digest Tiêu chuẩn MD5 SHA1 So sánh Nhược điểm ưu điểm mã hóa đối xứng bất phương pháp đối xứng mã hóa Nguyên tắc Kirrhoff thực thi mã hóa có sẵn Cách dùng Chữ ký số mã hóa kỹ thuật mã Khác thuật toán bảo mật giao thức mã hóa hóa Phương pháp thi hành chữ ký điện tử Nguyên tắc đặc điểm việc thực thi bảo mật Ứng dụng Mã hóa giao dịch trực tuyến Cài đặt – thiết lập phần mềm quản lý giao thức PGP Nguyên tắc ứng dụng SSH Nguyên tắc ứng dụng S/MIME 107 c y o c u -tr a c k c d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k Nguyên tắc ứng dụng TLS/SSL Nguyên tắc cách dùng thẻ thông minh Xác thực Kiến thức Sự khác PAP, CHAP, Keberos,… kiểm soát truy Các nguyên tắc quản lý mật khẩu: độ phức tạp, cập lưu trữ, thay đổi định kỳ,… Nguyên tắc hoạt động mã thông báo xác thực Kỹ thuật bảo mật sinh trắc học: vân tay, giọng nói,… Xác thực cho mạng host Xác thực cho Wifi: WEP, WPA,… Mô tả dịch vụ an ninh Web: XML, mã hóa chữ ký XML,… Kiểm soát truy Các phương pháp kiểm soát truy nhập chính: MAC, nhập DAC, RBAC,… Danh sách điều khiển truy nhập danh sách nguy bị truy nhập Quản lý truy nhập kiểm soát hệ thống tập tin phổ biến Hệ thống quản lý RDBMS Hạ tầng thông Cơ Liệt kê sở hạ tầng yêu cầu cần thiết cho công nghệ UPS, cáp thông tin, tin Khả Nhận biết khác loại đĩa cứng, chế phục hồi thời gian thực Máy chủ chép chế phân phối liệu Sự khác LAN WAN, WLAN,… Thủ tục back-up Sao lưu phục hồi Mã độc Cơ Các thành phần điều khiển máy tính: hệ điều hành, chương trình, marcro,… Yêu cầu xác nhận đầu vào bảo mật Tràn chế thực thi mã chống tràn 108 c y o c u -tr a c k c d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k Các loại công trình duyệt/ máy chủ Hiểu biết công từ chối dịch vụ Các nguy từa email, CD-rom, Web, chat,… Bảo mật truy cập Internet Rủi ro phần mềm quảng cáo spyware Quản lý MIME cách sử dụng liệu tự động Xây dựng marcro bảo vệ máy tính Outline applet chế bảo vệ Phần mềm độc Các loại virus trojan, virus, sâu,… hại Xây dựng chương trình chống virus Các công cụ bảo vệ chống phần mềm độc hại: tường lửa, phần mềm chống spyware,… Hạn chế chương trình chống virus Cài đặt thiết lập hệ thống chống virus Cơ sở hạ tầng Sử dụng PKI khóa công cộng Nhận biết phân phối khóa công cộng Chứng nhận điện tử Chứng nhận X509 V3 Hạ tầng khóa công cộng thành phần chính: quan đăng ký sách truy cập Sử dụng trình duyệt để tạo yêu cầu chứng nhận Nhập xuất chứng nhận điện tử vào trình duyệt Online Protocol (OCSP) Hiệu lực trạng thái chứng nhận số Dịch vụ giao Giao thức truy cập tức thời Lightweight thức tức thời Truy vấn LDAP Dịch vụ Common Name Chuẩn X509 Bảo mật mạng Khái niệm Ethernet địa MAC, CSMA/CD, Mô hình OSI, TCP/IP khái niệm 109 c y o c u -tr a c k c d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k Ứng dụng TCP/IP Bảo mật vô Bảo mật Wifi, Bluetooth, zigbee, tuyến Các rủi ro liên quan đến mạng không dây giải pháp sẵn có Dịch vụ Dịch vụ truy cập máy chủ Dịch vụ độc hại từ chối dịch vụ, giả mạo liệu,… Lạm dụng DNS Các dịch vụ gây hư hỏng máy chủ Rủi ro công nghệ peer-to-peer Kiểm soát truy Mô tả dịch vụ xác thực mạng quản lý nhập Khóa mật mã quản lý Chứng thực hệ điều hành Quản lý đăng Quản lý tập hệ thống đăng nhập nhập Thiết lập đăng nhập ứng dụng Dịch vụ đăng nhập tập trung Bảo vệ hệ thống từ ghi giả mạo HTTP kiểm Phân biệt http https soát truy cập Dịch vụ web hệ thống khác Cấu hình web an toàn Chứng nhận dịch vụ web SSL ứng dụng Email kiểm Địa nguồn email soát truy cập POP IMAP SASL xác thực SMTP Thiết lập liên kết POP IPMAP Thư rác phương pháp kiểm soát thư rác Tường lửa Xác định tường lửa ứng dụng Dịch vụ DMZ Proxy ứng dụng 110 c y o c u -tr a c k c NAT an ninh thông tin Tường lửa IP Cài đặt tường lửa máy chủ proxy Quản lý thiết lập tường lửa Phát truy IDS IDS máy chủ cập Giám sát an ninh IPS ứng dụng Triển khai cấu hình hệ thống phát truy cập Các mạng truy Nguyên tắc giao thức IPSEC/IKE cập ảo MPLS ứng dụng SSL IPSEC Cài đặt VPN Pháp luật, xã Khái niệm Xác định quyền riêng tư hội đạo đức Công nghệ Hiểu vấn đề đạo đức liên quan bảo mật ATTT tăng cường Quy tắc nghĩa vụ đạo đức ATTT bảo mật Khía cạnh đạo đức tin tặc Các hình thức tội phạm mạng (Nguồn: Báo cáo nhiệm vụ Khoa học Công nghệ 2013 - Vụ Công nghệ Thông tin - Bộ Thông tin Truyền thông) 111 d o m o w w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c y c d o m w o o c u -tr a c k w w d o C lic k to bu y bu to k lic C w w w N O W ! h a n g e Vi e N PD ! XC er O W F- w m h a n g e Vi e w PD XC er F- c u -tr a c k c