Bài thuyết trình Về tình hình triển khai đảm bảo an toàn, an ninh mạng tại Việt Nam

Bộ Thông tin và Truyền thông

Trung tâm VNCERT

VỀ TÌNH HÌNH TRIỂN KHAI

ĐẢM BẢO AN TOÀN, AN NINH MẠNG

TẠI VIỆT NAM

Trình bày: TS. Vũ Quốc Khánh

Security World - Hà Nội, 03/2012

Nội dung

I. MÔI TRƯỜNG CNTT

- Hạ tầng mạng CNTT-TT

- Chính phủ điện tử

- Thương mại điện tử

- Phát triển và thách thức

II. MÔI TRƯỜNG PHÁP LÝ

- Một số nhận định

- Kế hoạch phát triển

III. TÌNH HÌNH AN TOÀN THÔNG TIN SỐ

- Quản lý ATTT

- Xử lý sự cố ATTT

- Đánh giá nguy cơ ATTT

- Giải pháp

2

I. MÔI TRƯỜNG CNTT

HẠ TẦNG MẠNG CNTT-TT (2/2012)

Mạng truyền dẫn cáp quang

Mạng điện thoại cố định, đi động

Mạng Internet

Hầu hết các xã

Cả nước

Vệ tinh viễn thông Vinasat

Tăng/giảm so

với cùng kỳ

năm trước

Số thuê bao

(x triệu)

Thuê bao điện thoại cố định

Thuê bao điện thoại di động

Số người sử dụng Internet

Thuê bao Internet băng rộng

15,3

119

32,6

4,3

-1,4 %

+4,3 %

+18,4 %

+18,2 %

3

Nguồn: Tổng cục Thống kê

PHÁT TRIỂN CHÍNH PHỦ ĐIỆN TỬ (12/2010)

Bộ, Cơ quan Tỉnh, TP trực

ngang Bộ

thuộc TƯ

Có mạng nội bộ và đơn vị chuyên trách CNTT

Có trang/cổng TTĐT

100%

21/22

62/63

Tỷ lệ máy tính trên tổng số cán bộ, công chức

Tỷ lệ máy vi tính kết nối Internet

Dịch vụ công trực tuyến mức 1

88,50%

88,37%

4.841

63,19%

85,53%

88.387

751

Dịch vụ công trực tuyến từ mức 2-4

28

Ứng dụng CNTT trong quản lý điều hành (Tính

đến đơn vị cấp trực thuộc)

95%

90%

75%

93%

Xây dựng và triển khai sử dụng hệ thống thư

điện tử trong công việc

Tỷ lệ địa phương có ứng dụng CNTT tại bộ

phận một cửa (tại trên 30% số quận, huyện)

87% (20%)

4

PHÁT TRIỂN THƯƠNG MẠI ĐIỆN TỬ (12/2010)

Tỷ lệ

100%

98%

89%

Sử dụng máy tính

Kết nối Internet

Kết nối Internet băng rộng

Sử dụng thư điện tử trong SX-KD

+ Doanh nghiệp lớn

96%

80%

+ Doanh nghiệp vừa và nhỏ

53%

52%

21%

15%

38%

14%

Đặt hàng qua email

Nhận đặt hàng qua email

Đặt hàng qua website

Nhận đặt hàng qua website

Có website riêng

Tham gia sàn giao dịch điện tử

49%

18%

4%

Hộ gia đình sử dụng dịch vụ TMĐT ở TP lớn (Hà Nội...)

+ Dùng internet cho TMĐT

+ Có thanh toán trực tuyến

5

PHÁT TRIỂN VÀ THÁCH THỨC

Dự báo (Đề án đưa VN thành nước mạnh về CNTT-TT)

+ 2015: 50% dân số, 20%-30% hộ GĐ sử dụng Internet băng

rộng, 85% phủ sóng di động băng rộng, dịch vụ công mức 2,3

+ 2020: 70% dân số, 50%-60% hộ GD sử dụng Internet băng

rộng, 95% phủ sóng di động băng rộng, dịch vụ công mức 4.

Thách thức:

+ Tài chính-Ngân hàng, TMĐT, CPĐT, Dịch vụ trên mạng

+ ĐT đám mây+3G+mạng xã hội = nền tảng mới CNTT

+ Sử dụng không an toàn, thiếu hiểu biết, thiếu quản lý

+ Kỹ thuật hacker > < Kỹ thuật ATTT

+ Tội phạm mạng, khủng bố mạng

 ATTT ngày càng quan trọng

6

II. MÔI TRƯỜNG PHÁP LÝ VỀ ATTT

Giai đoạn 2005-2011

+ Luật liên quan: 5

+ Nghị định: 7

+ Thông tư: 9

+ Văn bản điều hành, Quyết định: 9

+ Tiêu chuẩn Việt Nam: 2

7

Một số nhận định chung

+ Các quy định khá phong phú

Tập trung giải quyết những vấn đề bức xúc

Ưu tiên đưa ra các quy định định hướng

Chú trọng các chế tài xử lý

+ Vấn đề hệ thống:

Chưa có tính hệ thống cao,

Nhiều văn bản gò bó, khái niệm chưa nhất quán

Các văn bản QPPL nền tảng chưa đón đầu phát triển

+ Vấn đề thực thi và tuân thủ:

Bước đầu quan tâm nhưng chưa nhiều

Thiếu các hệ thống hướng dẫn, tài liệu đào tạo

Thiếu các tiêu chuẩn, quy chuẩn

8

PHÁT TRIỂN MÔI TRƯỜNG PHÁP LÝ

Đang trong kế hoạch xây dựng

+ Luật: 2

+ Nghị định: 4 và các thông tư

+ Tiêu chuẩn Việt Nam tương thích quốc tế: 31

Nhóm tiêu chuẩn về quản lý an toàn thông tin: 6

Nhóm tiêu chuẩn về đánh giá ATTT: 8

Nhóm tiêu chuẩn về kỹ thuật AT mạng và ứng cứu sự cố: 9

Nhóm tiêu chuẩn về đào tạo ATTT: 3

Nhóm tiêu chuẩn về mật mã và chứng thực số: 5

9

II. TÌNH HÌNH AN TOÀN TT số

- Triển khai Quy hoạch phát triển ATTT số từ 2010

- Triển khai Chỉ thị 897/CT-TTg ngày 10/6/2011 của

Thủ tướng CP về tăng cường triển khai các hoạt

động đảm bảo an toàn thông tin số

- Theo báo cáo của các CQNN đến tháng 11/2011,

phần lớn các bộ, ngành và địa phương đã xây dựng

và phê duyệt kế hoạch đảm bảo an toàn thông tin số.

- Trên 30% các đơn vị chuyên trách về CNTT của các

bộ, ngành và địa phương đã ban hành quy chế đảm

bảo an toàn thông tin số.

10

VỀ QUẢN LÝ ATTT

69% đơn vị có cán bộ chuyên trách về ATTT và 59% đơn vị có kế hoạch đào tạo

về an toàn, an ninh thông tin.

Tỷ lệ đơn vị có ban hành quy chế về

ATTT đã được lãnh đạo phê duyệt và

áp dụng

35

36

2011

2010

Tỷ lệ đơn vị có ban hành quy trình

thao tác chuẩn phản ứng, xử lý sự

cố máy tính

27

24.4

Tỷ lệ đơn vị có cán bộ chuyên trách

hoặc bán chuyên trách về ATTT

69

69.8

Tỷ lệ đơn vị có kế hoạch xây dựng

HT quản lý ATTT theo TCVN-ISO/IEC

27001:2009

33

Tỷ lệ đơn vị có kế hoạch đào tạo về

ATTT

59

61.2

Tỷ lệ đơn vị áp dụng hình thức mua

bảo hiểm để đề phòng thiệt hại do bị

tấn công

12

10

0 10 20 30 40 50 60 70 80

11

Nguồn: khảo sát của VNISA+VNCERT

Chỉ số mức độ quan tâm của các nhóm

doanh nghiệp về công tác đảm bảo ATTT

trong thương mại điện tử

TT Nhóm doanh nghiệp được

khảo sát

Số lượng

Mức độ quan tâm (từ 1-10)

về công tác đảm bảo ATTT

1 Công nghiệp – Thương mại

2 Ngân hàng – Tài chính

3 Chứng khoán

15

10

08

03

04

15

5/10

10/10

4 Hàng không – vận tải

5 Viễn thông

10/10

8/10

7/10

6 Dịch vụ TMDT và CNTT

Nguồn: Cục TMĐT-CNTT, Bộ CT

12

CHỈ SỐ TỶ LỆ ÁP DỤNG GiẢI PHÁP ATTT (%)

24.5

Mức độ trung bình áp dụng các giải

pháp công nghệ đảm bảo ATT

18

Nhóm giải pháp bảo vệ dữ liệu bằng

mật khẩu và mật mã

42

Nhóm thiết bị, phần mềm, giải pháp

bảo vệ hệ thống

16.6

Nhóm giải pháp kiểm soát truy cập,

áp dụng công nghệ sinh trắc học

14.1

Nhóm công cụ dò quét điểm yếu,

quản lý bản vá ATTT

16.4

20

Nhóm giải pháp quản lý log-file, giải

pháp quản lý sự kiện và sự cố ATTT

0

40

60

13

Thư điện tử rác (Spam) tại VN tháng 6/2011

Thống kê của

VNCERT +

VINASIS trong

năm 2010: Số

thư điện tử rác

ước tính năm

sau gấp ba lần

năm trước.

Lỗi bảo mật của cổng thông tin điện tử VN

các địa phương

các bộ ngành trung ương

cácdoanh nghiệp nhà nước

Theo đánh giá của VNCERT 2010

NHẬN BIẾT DẠNGTẤN CÔNG MẠNG (%)

27

Không gặp phải tấn công nào

Phá hoại dữ liệu hay hệ thống

10

Thay đổi diện mạo, nội dung website

Tấn công từ chối dịch vụ (DoS, DDoS)

Các kiểu tấn công làm suy giảm hiệu năng…

Hệ thống nhiễm phải virus hay worm

Hệ thống nhiễm phải trojan hay rootkit

Xâm nhập hệ thống bởi người trong tổ chức

Xâm nhập từ người ngoài nắm rõ bên trong (ví…

Xâm nhập hệ thống từ bên ngoài vào bên trong

0

8

18

46

35

6

9

17

20

40

60

Nguồn: kết quả khảo sát của VNISA+VNCERT 2010

16

Tình hình xử lý sự cố tại VNCERT

Cơ cấu sự cố

2009

2010

2012

385 50.9%

13 1.7%

3 0.4%

14 1.8%

340 44.9%

2 0.3%

136 66.0% 233 86.0%

10 4.9% 8 3.0%

6 2.9% 1 0.4%

19 9.2% 10 3.7%

Phishing

Malware

DoS/DDoS

SMS Spams

Deface

35 17.0% 19 7.0%

206 =261% 271 =132%

Khác

Cộng (= tỷ lệ so

với năm trước)

757 =279%

17

Xu hướng thay đổi số sự cố được các CERT QG xử lý

Phishing Malware Deface Spam Botnet

Ấn Độ

Indonexia

Hàn Quốc

Nhật Bản

Malaysia

Philippin

Singapore

Thái Lan

Trung Quốc

Việt Nam

ĐÁNH GIÁ NGUY CƠ ATTT

- Tấn công hệ thống tài chính, ngân hàng

- Đột nhập mạng chính phủ, hệ thống thông tin QG

- Nguy cơ tấn công mạng hiện nay

- Nguy cơ tội phạm mạng thế hệ mới

- Nguy cơ sử dụng công nghệ mới

- Nguy cơ an toàn thông tin trong viễn thông

- Nguy cơ chiến tranh mạng và sự chuẩn bị

- Nguy cơ phụ thuộc, không kiểm soát được ATTT

19

ĐÁNH GIÁ NGUY CƠ ATTT

Lộ Bị Mất

Bí mất uy

mật tiền tín

20

Bài thuyết trình Về tình hình triển khai đảm bảo an toàn, an ninh mạng tại Việt Nam - Vũ Quốc Khánh