mục lụcfiles.ais.gov.vn/portal/attt/source_files/2017/05/26... · 2017-05-26 · e rằng tổn...

Mục Lục

PHẦN 1. DÀNH CHO CÁN BỘ LÃNH ĐẠO CÁC ĐƠN VỊ .. ........4I. Vai trò và tầm quan trọng của an toàn thông tin trong hệ

thống công nghệ thông tin ............................................................5II. Nghiên cứu chuyên đề biện pháp loại trừ và giảm nhẹ rủi

ro trong hệ thống thông tin ............................................................8III. Xây dựng và duy trì chính sách an toàn thông tin trong tổ

chức ............................ ................................................................13IV. Xây dựng và hướng dẫn triển khai Luật an toàn thông tin

mạng ............................................................................................. 18PHẦN 2. DÀNH CHO CÁN BỘ KỸ THUẬT ........................... .....22

I. Các kỹ năng phòng chống mã độc ..................................23II. Kỹ năng nhận biết, phòng chống thư rác, thư giả mạo, tin

nhắn rác ........................................................................................ 27III. Bảo đảm an toàn thông tin khi sử dụng mạng không dây

......................................................................................................30PHẦN 3. DÀNH CHO ĐỐI TƯỢNG CỘNG ĐỒNG CHUNG ..... 36

I. Hướng dẫn thiết lập máy tính mới bảo đảm an toàn thông tin ................................................... ...............................................37

II. Phòng chống lừa đảo trực tuyến ....................................40III. Bảo đảm an toàn thông tin khi sử dụng mạng xã hội ....43

SỔ TAYAN TOÀN THÔNG TIN

4

PHẦN 1. DÀNH CHO CÁN BỘ LÃNH ĐẠO CÁC ĐƠN VỊ


5


4

I. Vai trò và tầm quan trọng của an toàn thông tin trong hệ thống công nghệ thông tin

1. Bối cảnh chung về an toàn thông tin Trong xu thế hội nhập kinh tế thế giới và toàn cầu hóa, công nghệ thông tin (CNTT) đã trở thành một động lực quan trọng để thúc đẩy sự phát triển của toàn bộ xã hội và đang làm biến đổi sâu sắc đời sống kinh tế, văn hóa, xã hội của thế giới hiện đại. An toàn thông tin ngày càng trở thành một vấn đề nóng vì có ảnh hưởng lớn đến sự phát triển của CNTT và có tác động không nhỏ đến mọi lĩnh vực. Đảm bảo an toàn thông tin là nhằm tạo môi trường thuận lợi cho ứng dụng và phát triển CNTT bền vững phục vụ sự nghiệp công nghiệp hóa, hiện đại hóa; bảo vệ thành quả do CNTT mang lại cho cộng đồng; tăng cường hiệu quả ứng dụng CNTT; giảm thiểu thiệt hại do sự cố mất an toàn thông tin gây ra; tạo môi trường mạng an toàn cho cơ quan, tổ chức, doanh nghiệp và người dân.

Từ con số chỉ vài nghìn người sử dụng Internet (số liệu năm 1993), tính đến nay, số lượng người sử dụng mạng Internet đã đạt con số gần ba tỉ người, chiếm 40% dân số của toàn cầu1. Có thể thấy vai trò to lớn của Internet nói riêng và CNTT nói chung trong đời sống xã hội hiện nay. Nó có tác động trực tiếp tới mọi hoạt động, từ giải trí, kinh doanh đến quản lý đất nước. Do đó, bất kỳ sự cố nào đối với hệ thống thông tin cũng sẽ gây ra hậu quả lớn.

1 Nguồn: https://www.atkearney.com.au


6

2. Các sự cố an toàn thông tin nổi bật Việc bảo đảm an toàn thông tin luôn được các quốc gia trên thế giới và ngay tại Việt Nam quan tâm đặc biệt. Dưới đây là một số vụ tấn công nổi tiếng của tin tặc nhằm vào các tổ chức, chính phủ gây ảnh hưởng không nhỏ tới hoạt động chính trị, kinh tế của các tổ chức này. 2.1. Một số sự cố mất an toàn thông tin nổi bật trên thế giới - Sự cố tin tặc tấn công Sony Bắt đầu từ ngày 24/11/2014, Sony Pictures Entertainment hứng chịu một đợt tấn công bảo mật khiến toàn bộ hệ thống máy tính nhân viên tại hãng phim này phải ngưng hoạt động và tê liệt bởi nhóm hacker tự nhận là #GOP. Tin tặc đã lấy được hơn 100 TB dữ liệu khác nhau, từ mật khẩu của nhân viên và thông tin chi tiết thẻ tín dụng tới lịch sử y tế và các chi tiết về tiền lương điều hành. Đến ngày 7/12, mạng Sony PlaySta-tion Network và cả PlayStation Store tiếp tục bị tấn công dẫn đến không thể kết nối trong khoảng thời gian khá lâu. Hacker cũng phát tán một số

2.2. Các sự cố tấn công của tin tặc vào một số website của Việt Nam Theo Báo cáo an toàn thông tin Việt Nam năm 2015, Việt Nam nằm trong danh sách các nước có tỉ lệ lây nhiễm phần mềm độc hại trên máy tính cao, ước tính khoảng 66%, nghĩa là cứ trong 100 máy tính thì

e-mail của lãnh đạo Sony Pictures, trong đó có nhắc đến nhiều bí mật của các ngôi sao lớn tại Hollywood. Loạt các sự kiện này đã gây ra thiệt hại không nhỏ về tài chính cũng như uy tín của Sony trong năm. - Hàng loạt CEO công nghệ bị khống chế tài khoản.

Ông chủ của mạng xã hội lớn nhất thế giới là Mark Zuckerberg đã sử dụng mật khẩu quá dễ đoán, là “dadada”. Lỗi thứ hai là CEO này còn dùng chung mật khẩu cho nhiều tài khoản. Nhóm tin tặc OurMine đã phát hiện điều này khi thâm nhập tài khoản LinkedIn, Twitter và Pinterest của Zuckerberg. Ngay sau Mark Zuckerberg, OurMine nhắm đến nạn nhân tiếp theo: Sundar Pichai, CEO Google. Bằng cách khai thác lỗ hổng trên Quora, nhóm này đã truy cập được vào tài khoản Quora cũng như đăng thông điệp lên tài khoản Twitter của Pichai. Danh sách nạn nhân của Our-Mine còn kéo dài, trong đó có cựu CEO Twitter là Dick Costolo, CEO Twit-ter Jack Dorsey, CEO Yahoo Marissa Mayer, CEO Uber Travis Kalanick…


7


6

có 66 máy tính từng bị tấn công bởi phần mềm độc hại. Tỷ lệ lây nhiễm tại Việt Nam cao gấp 03 lần tỷ lệ lây nhiễm trung bình trên thế giới. Ngoài ra, tỷ lệ lây nhiễm phần mềm độc hại trên thiết bị di động của Việt Nam cũng khá cao, đứng thứ 6 trên thế giới vào năm 2014 (theo số liệu của Kaspersky).

Danh sách các quốc gia có tỉ lệ thiết bị di động bị lây nhiễm phần mềm độc hại cao nhất

Một số sự cố đáng chú ý có thể kể ra như vụ tấn công của tin tặc vào Công ty VCCorp, hay vụ tấn công vào website của Hãng hàng không quốc gia Việt Nam, Liên đoàn bóng đá Việt Nam. Tác động của nó không chỉ dừng lại trong lĩnh vực an toàn thông tin mà còn ảnh hưởng trực tiếp đến các lĩnh vực kinh tế, chính trị và có tác động sâu rộng trong toàn xã hội.


8

3. Vai trò và tầm quan trọng của an toàn thông tin Trong những năm gần đây, Đảng, nhà nước ta đã chỉ đạo các bộ, ngành và địa phương tổ chức thực hiện nhiều chương trình, dự án tăng cường bảo đảm an toàn thông tin. Việc đầu tư trang bị các hệ thống thiết bị bảo vệ, đưa ra các chính sách nhằm tăng cường các biện pháp quản lý, các chương trình nâng cao nhận thức đã góp phần quan trọng nâng cao năng lực đảm bảo an toàn thông tin. Tuy nhiên công tác quản lý nhà nước về an toàn thông tin vẫn còn những thách thức và bất cập, chủ yếu từ việc thiếu hành lang pháp lý, công tác quản lý bảo đảm an toàn thông tin còn chưa thống nhất từ Trung ương đến địa phương, còn thiếu cơ chế phối hợp và tính đồng bộ, các biện pháp, chế tài cưỡng chế cũng chưa đủ mạnh… Việt Nam cũng như các nước trên thế giới đang đứng trước các mối đe dọa từ các tội phạm trên môi trường mạng. Một số tội phạm chỉ tồn tại trong thế giới kỹ thuật số, đặc biệt với mục tiêu phá hoại an toàn của mạng máy tính và dịch vụ trực tuyến; sử dụng mạng làm công cụ để mở rộng phạm vi ảnh hưởng; tiến hành hoạt động gián điệp hoặc gây ảnh hưởng đến hoạt động của Chính phủ để phá hoại nền kinh tế; truyền bá thông tin sai lệch, làm gián đoạn các dịch vụ quan trọng hoặc tìm kiếm lợi thế trong xung đột mạng. Mặt khác, lỗ hổng trên mạng có thể bị tội phạm khai thác nhằm giảm lợi thế công nghệ quân sự hoặc sử dụng nó để tấn công cơ sở hạ tầng quan trọng của các quốc gia.

II. Nghiên cứu chuyên đề biện pháp loại trừ và giảm nhẹ rủi ro trong hệ thống thông tin

Trong thời gian gần đây, lĩnh vực công nghệ thông tin và truyền thông ở Việt Nam phát triển mạnh mẽ, được ứng dụng rộng rãi vào mọi mặt đời sống xã hội, góp phần bảo đảm quốc phòng, an ninh của đất nước. Thông tin trên mạng đã trở thành tài sản của mỗi cá nhân, tổ chức và thậm chí cả quốc gia. Các doanh nghiệp sẽ không thể tồn tại và phát triển nếu các thông tin hoặc hệ thống thông tin này bị đánh cắp hay bị phá hoại. Cải cách hành chính, chính phủ điện tử, thương mại điện tử và một loạt chương trình lớn của quốc gia sẽ không thể thực hiện được nếu an toàn thông tin không được bảo đảm. Thời gian vừa qua, nhiều hệ thống thông tin của các doanh nghiệp và cơ quan nhà nước, bị tấn công, phá hoại, gây thiệt hại nhiều tỷ đồng Đối với lĩnh vực thương mại điện tử. Đơn cử, ngày 13/10/2014, Trung tâm dữ liệu của Công ty cổ phần Truyền thông Việt Nam - VCCorp bị tấn công khiến hơn 200 website của Việt Nam do VCCorp vận hành,


9


8

quản lý bị tê liệt không thể truy cập được, trong đó có một số hệ thống thương mại điện tử, một số tờ báo điện tử lớn có hàng triệu người đang sử dụng dịch vụ, ước tính thiệt hại về doanh thu khoảng từ 1,5-2,5 tỉ đồng mỗi ngày. Nhưng e rằng tổn thất này không chỉ tính bằng các thiệt hại tức thời mà sẽ còn đeo đuổi VCCorp trong tương lai, bởi nó ảnh hưởng nghiêm trọng đến uy tín và hình ảnh của các thương hiệu mà VCCorp đã gây dựng khá thành công trong những năm qua. Vụ việc gần đây nhất ngày 5/08/2016, một khách hàng của ngân hàng Vietcombank đã bị mất 500 triệu đồng trong tài khoản. Theo nhận định sơ bộ thì có thể chị đã bị đánh cắp thông tin và mật khẩu do đã khai báo thông tin trên đường link giả mạo website của ngân hàng. Chính vì vậy, việc loại trừ và giảm nhẹ rủi ro cho các hệ thống thông tin của cơ quan, tổ chức nhà nước hay hệ thống cung cấp dịch vụ trực tuyến phục vụ người dân và doanh nghiệp là hết sức quan trọng và cấp bách. Tuy nhiên, để giảm thiểu được các rủi ro về an toàn thông tin trong các hệ thống thông tin không chỉ cần những yêu cầu về kĩ thuật mà còn có một yếu tố không kém phần quan trọng là yếu tố quản lý. Đối với các cán bộ làm công tác lãnh đạo, quản lý các hệ thống thông tin, đặc biệt là các hệ thống thông tin quan trọng có sức ảnh hưởng với xã hội phải xác định được mức độ ảnh hưởng hay rủi ro khi hệ thống của cơ quan đơn vị mình bị tấn công, phá hoại. Những hậu quả mà tấn công mạng gây ra có tác động như thế nào đến trật tự, xã hội hay cao hơn nữa là đến quốc phòng an ninh quốc gia. Việc đảm bảo an toàn thông tin cho hệ thống thông tin phải tuân thủ theo Luật an toàn thông tin mạng. Trong đó quy định tổ chức cần phải xác định được cấp độ an toàn của hệ thống thông tin từ đó có thể áp dụng các biện pháp bảo vệ cho từng cấp độ. Chi tiết về việc xác định cấp độ đã được hướng dẫn trong Nghị định số 85/2016/NĐ-CP. Ngoài ra cũng cần thực hiện bước tiếp theo là đánh giá và quản lý rủi ro an toàn hệ thống thông tin. Đầu tiên, cần phải xác định được những rủi ro mà hệ thống thông tin của mình đang gặp phải bằng cách tiến hành các hoạt động quản lý rủi ro cơ bản, bao gồm cả việc chuẩn bị một danh sách các tài sản, giá trị tài sản, phân tích mức độ nghiêm trọng của các mối đe dọa mà hệ thống thông tin phải đối mặt với một phân tích sơ bộ về cách thức xác định các lỗ hổng của hệ thống thông tin, phân tích một cách đơn giản về rủi ro an toàn khi lỗ hổng này bị tin tặc lợi dụng để tấn công vào hệ thống. Bố trí nhân viên thực hiện phân tích đánh giá rủi ro định kì với các thành phần quan trọng của hệ thống thông tin. Áp dụng các phương pháp và quy trình tiêu chuẩn cần thiết, coi việc quản lý rủi ro là thành phần không thể thiếu trong việc quản lý an toàn hệ thống thông tin trong suốt toàn bộ quá trình vận hành hệ thống.


10

Xác định tiêu chí để xác định liệu các rủi ro có được chấp nhận hay không. Ví dụ, các rủi ro có thể được chấp nhận nếu nó được đánh giá là rủi ro ở mức thấp, hay chi phí cho xử lý rủi ro không quá nặng nề đối với tổ chức. - Cần đưa ra quyết định xử lý rủi ro đối với các rủi ro đã được xác định sau đánh giá rủi ro. Dưới đây là những lựa chọn nhằm xử lý rủi ro: + Áp dụng các biện pháp quản lý thích hợp nhằm giảm bớt rủi ro; + Chấp nhận các rủi ro một cách khách quan và có dụng ý, miễn là chúng thỏa mãn chính sách và tiêu chí chấp nhận rủi ro của tổ chức; + Tránh rủi ro bằng cách không cho phép các hoạt động sẽ làm phát sinh rủi ro; + Chuyển các rủi ro liên đới tới các bên khác, ví dụ các nhà bảo hiểm hoặc các nhà cung cấp. Đối với các rủi ro mà việc quyết định xử lý rủi ro đã xác định phải áp dụng các biện pháp quản lý thích hợp, thì những biện pháp quản lý này cần được lựa chọn và thực hiện để đáp ứng các yêu cầu được xác định bởi quá trình đánh giá rủi ro. Các biện pháp quản lý cần đảm bảo rằng các rủi ro được giảm tới một mức chấp nhận, cần quan tâm tới các vấn đề sau: + Các yêu cầu và các ràng buộc của pháp luật và các quy định trong nước và quốc tế. + Các mục tiêu của tổ chức. + Các yêu cầu và các ràng buộc về vận hành. + Chi phí triển khai và vận hành liên quan tới các rủi ro sẽ được giảm thiểu, và duy trì tương quan đối với các yêu cầu và các ràng buộc của tổ chức. + Nhu cầu cân bằng đầu tư trong quá trình triển khai và vận hành các biện pháp quản lý để chống lại thiệt hại có thể xảy ra do các lỗi về an toàn. - Dưới đây là một số các biện pháp về quản lý cơ bản nhằm loại trừ và giảm thiểu các rủi ro trong hệ thống thông tin.


11


10

1. Cơ cấu quản lý + Xây dựng vị trí công việc cho các hạng mục: hạ tầng mạng, quản trị hệ thống, an toàn thông tin và các vị trí khác tùy thuộc vào yêu cầu riêng của mỗi hệ thống thông tin. + Đối với các hệ thống có cấp độ cao như 4,5 cần bố trị nhân sự chuyên trách, làm việc toàn thời gian cho vị trí quản lý và kỹ thuật liên quan đến: hạ tầng mạng, quản trị hệ thống, an toàn bảo mật thông tin và các vị trí khác nếu có. + Xây dựng cơ chế phối hợp, hợp tác giữa cán bộ quản lý và kỹ thuật, hợp tác với các bên cung cấp dịch vụ, chuyên gia an toàn thông tin và các hãng cung cấp giải pháp an toàn thông tin. + Thanh tra, kiểm tra quy trình thao tác kỹ thuật, sự tuân thủ chính sách an toàn của nhân viên trong đơn vị. 2. Quản lý nhân lực + Tuyển dụng cán bộ cần chỉ định hoặc ủy quyền cho đơn vị hoặc cán bộ chuyên trách có kinh nghiệm, chịu trách nhiệm về tuyển dụng cán bộ; công tác tuyển dụng phải tuân thủ theo các quy định của cơ quan chủ quản hệ thống thông tin. + Xử lý cán bộ thôi việc xây dựng quy định về quản lý các quy trình, thủ tục cán bộ thôi việc. Khi cán bộ thôi việc phải vô hiệu hóa tất cả các quyền truy cập thông tin riêng của tổ chức, quyền truy cập, quản trị hệ thống sau khi có quyết định nghỉ việc của cán bộ. + Phải định kỳ tiến hành kiểm tra kỹ năng, kiến thức chuyên môn, cũng như nhận thức về an toàn thông tin đối với cán bộ ở các vị trí. + Giáo dục đào tạo nâng cao nhận thức và trách nhiệm về an toàn thông tin và kỹ năng làm việc cho toàn bộ cán bộ trong tổ chức. Lập kế hoạch, chương trình đào tạo, tập huấn, nâng cao nhận thức về an toàn thông tin cho cán bộ ở các vị trí công việc khác nhau. Quy định về trách nhiệm và hình thức xử lý vi phạm đối với cán bộ vi phạm quy định, chính sách quản lý an toàn của tổ chức. 3. Quản lý vận hành hệ thống + Quản lý môi trường: chỉ định bộ phận hoặc cán bộ chuyên trách định kỳ kiểm tra, sửa chữa, bảo trì hạ tầng cơ sở: thiết bị cung cấp điện, điều hòa kiểm soát độ ẩm và các hệ thống khác. + Quản lý thiết bị: xây dựng quy định quy trình bảo trì sửa chữa thiết bị, xác định rõ trách nhiệm của bên cung cấp dịch vụ sửa chữa bảo trì, và người quản lý thiết bị. + Quản lý giám sát an toàn thông tin: thiết lập các cơ chế giám sát hoạt động của hệ thống, kiểm tra trạng thái thiết bị (CPU, RAM), lưu lượng kết nối, phát hiện sớm các hành vi tấn công, xâm nhập hệ thống.


12

+ Quản lý an toàn mạng: thường xuyên cập nhật bản vá mới nhất hoặc tiến hành các biện pháp xử lý khác đối với các điểm yếu, lỗ hổng bảo mật phát hiện được; sao lưu dự phòng tệp tin cấu hình, ảnh hệ điều hành trước khi tiến hành xử lý, khắc phục. + Quản lý an toàn máy chủ và ứng dụng: xây dựng chính sách quản lý an toàn cho máy chủ và ứng dụng bao gồm các nội dung như: chính sách quản lý an toàn, quy trình khai thác vận hành, cấu hình bảo mật, quản lý đăng nhập, ghi nhật ký hệ thống. + Quản lý phòng chống phần mềm độc hại: tổ chức tuyên truyền nâng cao nhận thức của người dùng về tác hại của phần mềm độc hại; hướng dẫn biện pháp phòng, chống phần mềm độc hại. + Quản lý thay đổi hệ thống: cần kiểm tra sự thay đổi của hệ thống xem có ảnh hưởng đến các chính sách bảo mật, hoặc có biện pháp loại trừ những điểm yếu bảo mật khi thay đổi hệ thống. + Quản lý sao lưu và phục hồi: xây dựng quy định về việc sao lưu, phục hồi các dữ liệu quan trọng như: nơi lưu trữ, quy tắc đặt tên tập tin, tần suất thay đổi phương tiện lưu trữ và phương pháp lấy dữ liệu ra khỏi phương tiện lưu trữ. + Định kỳ tổ chức kiểm tra đánh giá lại các chính sách, kịp thời điều chỉnh, bổ sung các biện pháp cần thiết để đạt được các yêu cầu an toàn của hệ thống đặt ra. + Xử lý sự cố an toàn thông tin: xây dựng quy định về quy trình phân tích và kiểm định nguyên nhân phát sinh sự cố; thu thập chứng cứ; lưu hồ sơ quá trình xử lý, tổng kết bài học kinh nghiệm; đưa ra biện pháp ngăn chặn sự cố tái phát sinh; lưu hồ sơ toàn quá trình thực hiện. + Xây dụng phương án ứng cứu khẩn cấp điều kiện thực hiện phương án ứng cứu khẩn cấp, quy trình xử lý ứng cứu khẩn cấp, quy trình khôi phục hệ thống, tổ chức đào tạo và bồi dưỡng sau sự cố. Các biện pháp quản lý có thể được chọn từ các tiêu chuẩn hoặc từ các biện pháp quản lý khác nhau, hoặc tự xây dựng các biện pháp quản lý mới được thiết kế phù hợp với các yêu cầu nhất định của tổ chức. Một số khuyến nghị nhằm tổ chức triển khai đảm bảo an toàn thông tin cho tổ chức. + Xây dựng kết hoạch đảm bảo an toàn thông tin cho thông tin và hệ thống thông tin của tổ chức. + Xây dựng quy chế, quy trình đảm bảo an toàn thông tin cho tổ chức. + Tổ chức triển khai thực hiện theo kế hoạch đã được đề ra. + Thường xuyên theo dõi, giám sát và kiểm tra, đánh giá kết quả của kế hoạch thực hiện. Cần lưu ý rằng không tồn tại bộ các biện pháp quản lý giúp đạt được an toàn tuyệt đối, và cần thực hiện hoạt động quản lý bổ trợ nhằm giám sát, ước lượng, và nâng cao khả năng và tính hiệu quả của các biện pháp quản lý an toàn nhằm hướng đến các mục tiêu của tổ chức.


13


12

1. Tình hình an toàn thông tin của Việt Nam trong thời gian vừa qua Trong quá trình đổi mới và hội nhập quốc tế, công nghệ thông tin đã được Đảng, Nhà nước quan tâm lãnh đạo, chỉ đạo ứng dụng, phát triển để phục vụ sự nghiệp công nghiệp hóa, hiện đại hóa đất nước, đáp ứng nhu cầu về vật chất và tinh thần của người dân. Một số thông tin điển hình về tình hình an toàn thông tin tại Việt Nam như sau: Theo đánh giá tổng thể, tình hình bảo đảm an toàn thông tin của Việt Nam đã có những chuyển biến tích cực rõ rệt. Chỉ số an toàn thông tin Việt Nam năm 2015 (VNISA Index 2015) đã tăng từ mức 39% vào năm 2014 lên 46,4% vào năm 2015. Về mặt tích cực, có thể thấy, dấu ấn rõ nét nhất trong năm 2015 là việc Luật an toàn thông tin mạng được Quốc hội thông qua vào ngày 19/11/2015. Sự kiện này thể hiện sự quyết tâm của Quốc hội, Chính phủ và là bước khởi đầu quan trọng trong việc hoàn thiện hành lang pháp lý về an toàn thông tin của Việt Nam. * Những điểm sáng trong lĩnh vực an toàn thông tin - Ngày 19/11/2015, Quốc hội đã thông qua Luật an toàn thông tin mạng. - Ngày 01/7/2016, Chính phủ đã ban hành Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ. - Ngày 01/7/2016, Chính phủ đã ban hành Nghị định số 108/2016/NĐ-CP quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng. - Ngày 27/5/2016, Phó Thủ tướng Chính phủ Vũ Đức Đam đã ký Quyết định số 898/QĐ-TTg phê duyệt phương hướng, mục tiêu, nhiệm vụ bảo đảm an toàn thông tin mạng giai đoạn 2016 – 2020. Trong đó thể hiện các định hướng lớn như: Đổi mới, tạo sự chuyển biến mạnh mẽ trong nhận thức và ý thức chấp hành pháp luật về an toàn thông tin mạng của toàn xã hội; Thúc đẩy phát triển thị trường sản phẩm, dịch vụ an toàn thông tin; Tăng cường bảo đảm an toàn thông tin mạng quốc gia... - Công tác triển khai các Đề án quan trọng về an toàn thông tin được thực hiện một cách tích cực và đã đem lại những hiệu quả ban đầu nhất định, góp phần nâng cao năng lực bảo đảm an toàn thông tin quốc gia như Đề án Số 99/QĐ-TTg về Đào tạo và phát triển nguồn nhân lực về an toàn, an ninh thông tin đến năm 2020; Đề án Số 1524/QĐ-BTTTT về Triển khai tiêu chuẩn DNS Security cho hệ thống máy chủ tên miền (DNS) “.vn”. Điển hình trong đó, ngày 19/6/2015, Thủ tướng Chính phủ ban hành Quyết định số 893/QĐ-TTg phê duyệt Đề án Tuyên

III. Xây dựng và duy trì chính sách an toàn thông tin trong tổ chức


14

truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin đến năm 2020. - Một số bộ, ngành, địa phương đã quan tâm hơn đến việc bảo đảm an toàn thông tin qua việc tổ chức các khóa đào tào ngắn hạn về an toàn thông tin cho cán bộ, công chức, viên chức làm về CNTT và triển khai diễn tập, ứng cứu sự cố an toàn thông tin. - Nhiều tổ chức ở Việt Nam đón nhận “Chứng chỉ Hệ thống quản lý an toàn thông tin theo tiêu chuẩn ISO/IEC - 27001:2013”, các tổ chức này bao gồm: Trung tâm Internet Việt Nam (VNNIC), Ngân hàng Thương mại cổ phần Tiên phong (TPBank), Ngân hàng Thương mại cổ phần Sài Gòn - Hà Nội (SHB), Ngân hàng Thương mại cổ phần Đông Nam Á (SeA-Bank), Công ty cổ phần NetNam, Trung tâm Viễn thông và Công nghệ thông tin - Tập đoàn Điện lực Việt Nam (EVNICT), Công ty Cổ phần Giải pháp phần mềm Hanel (HanelSoft), Công ty cổ phần viễn thông Tinh Vân, Công ty cổ phần Tin học Lạc Việt, Công ty cổ phần FSI, Công ty Gimasys,… Sự kiện này cho thấy các tổ chức chủ quản của hệ thống thông tin đã bắt đầu quan tâm nhiều hơn tới các biện pháp bảo đảm an toàn thông tin theo chuẩn quốc tế. - Việt Nam là điểm đến của một số Hội thảo, Hội nghị lớn, uy tín về an toàn thông tin trên thế giới như: Đại hội đồng Liên minh Nghị viện thế giới lần thứ 132 (IPU-132) đã diễn ra tại Hà Nội từ ngày 28/3/2015 đến ngày 01/4/2015; Hội nghị quốc tế về phòng chống mã độc toàn cầu - AVAR 2015 do Công ty cổ phần Tập đoàn CMC tổ chức dưới sự bảo trợ của Cục An toàn thông tin từ ngày 02/12/2015 đến ngày 04/12/2015 tại Đà Nẵng. * Những điểm bất cập, tồn tại về an toàn thông tin Hệ thống tiêu chuẩn, quy chuẩn kỹ thuật quốc gia về an toàn thông tin còn chưa đầy đủ, nên thiếu cơ sở cho việc áp dụng các biện pháp quản lý cũng như biện pháp kỹ thuật mà nhiều nước tiên tiến trên thế giới đã và đang áp dụng. Việc chỉ đơn thuần đầu tư trang thiết bị mà không chú trọng đúng mức tới quy trình quản lý, vận hành theo tiêu chuẩn, quy chuẩn một cách đồng bộ sẽ không mang lại hiệu quả bảo vệ như mong muốn, làm giảm hiệu quả đầu tư. Việt Nam luôn nằm trong danh sách các quốc gia có tỷ lệ lây nhiễm phần mềm độc hại và phát tán thư rác (bao gồm thư điện tử rác và tin nhắn rác) cao trên thế giới. Số lượng thư rác được phát tán từ Việt Nam chiếm tỷ lệ cao so với tổng thư rác trên thế giới. Những vấn nạn này đã và đang gây ra những thiệt hại lớn, đồng thời đặt ra nhiều nguy cơ, rủi ro trong tương lai, ảnh hưởng không nhỏ tới hình ảnh và mức độ tin cậy của Việt Nam đối với quốc tế trong lĩnh vực công nghệ thông tin.


15


14

Năng lực công nghệ của Việt Nam trong lĩnh vực an toàn thông tin vẫn còn chưa đáp ứng được yêu cầu ứng dụng và phát triển công nghệ thông tin phục vụ phát triển kinh tế - xã hội của đất nước. Việt Nam vẫn đang ở giai đoạn mới bắt đầu, chưa định hình rõ nét nên chưa có cơ hội phát triển bứt phá. Các doanh nghiệp viễn thông, công nghệ thông tin lớn cũng chưa dành sự quan tâm đúng mức tới thị trường này. 2. Hành lang pháp lý trong lĩnh vực an toàn thông tin Nhận thức được tầm quan trọng của an toàn thông tin, trong những năm gần đây, Đảng, Nhà nước luôn quan tâm và ban hành các văn bản nhằm thúc đẩy sự phát triển và tạo hành lang pháp lý xuyên suốt, cụ thể: a) Luật an toàn thông tin mạng Có hiệu lực thi hành từ ngày 01/7/2016, Luật an toàn thông tin mạng là bộ luật quan trọng sẽ làm nền tảng cho việc triển khai các hoạt động an toàn thông tin tại Việt Nam. Luật này gồm 8 Chương, 54 Điều quy định về hoạt động an toàn thông tin mạng, quyền và trách nhiệm của cơ quan, tổ chức, cá nhân trong việc bảo đảm an toàn thông tin mạng; mật mã dân sự; tiêu chuẩn; quy chuẩn kỹ thuật về an toàn thông tin mạng; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triển nguồn nhân lực an toàn thông tin mạng; quản lý nhà nước về an toàn thông tin mạng Luật an toàn thông tin mạng tập trung giải quyết các yêu cầu về an toàn thông tin trên môi trường mạng nhằm hoàn thiện cơ sở pháp lý về an toàn thông tin theo hướng áp dụng các quy định pháp luật đồng bộ, khả thi trong thực tiễn thi hành và phát huy các nguồn lực của đất nước, phát triển lĩnh vực an toàn thông tin đáp ứng yêu cầu phát triển kinh tế - xã hội và bảo đảm quốc phòng, an ninh của đất nước. Bên cạnh đó, Luật an toàn thông tin mạng cũng hướng tới mục tiêu bảo vệ quyền và lợi ích hợp pháp của tổ chức, cá nhân tham gia hoạt động trên môi trường mạng; đẩy mạnh công tác giám sát, phòng, chống nguy cơ mất an toàn thông tin trên môi trường mạng, đảm bảo hiệu quả công tác thực thi quản lý nhà nước trong lĩnh vực an toàn thông tin; mở rộng hợp tác quốc tế về lĩnh vực an toàn thông tin trên cơ sở tôn trọng độc lập, chủ quyền, bình đẳng, cùng có lợi, phù hợp với luật pháp Việt Nam và điều ước quốc tế mà Việt Nam tham gia ký kết. b) Quyết định Số 898/QĐ-TTg ngày 27/05/2016 của Thủ trướng Chính phủ về Phê duyệt phương hướng, mục tiêu, nhiệm vụ bảo đảm an toàn thông tin mạng giai đoạn 2016 – 2020: Quan điểm xuyên suốt là phát triển khả năng thích ứng một cách chủ động, linh hoạt và giảm thiểu các nguy cơ, đe dọa mất an toàn thông


16

tin trên mạng (Cyber Resilience). Đây là quan điểm mà hầu hết các quốc gia tiên tiến đều áp dụng để thực hiện công tác bảo đảm an toàn thông tin mạng trong thời gian gần đây, được khuyến nghị bởi các tổ chức, hãng công nghệ và chuyên gia uy tín hàng đầu về bảo đảm an toàn thông tin trên thế giới. Quyết định 898 cũng đưa ra 4 giải pháp để thực hiện các nhiệm vụ nói trên, cụ thể như sau: Hoàn thiện hành lang pháp lý, cơ chế, chính sách; Thúc đẩy hợp tác trong nước và quốc tế; Kiện toàn bộ máy, phát triển nguồn nhân lực; Tuyên truyền, phổ biến, nâng cao nhận thức. Trong đó giải pháp hoàn thiện hành lang pháp lý bao gồm các nội dung chính sau: - Tiếp tục rà soát, ban hành văn bản quy phạm pháp luật, hoàn thiện hành lang pháp lý về an toàn thông tin mạng. - Xây dựng, ban hành chính sách đãi ngộ cho chuyên gia quản lý, kỹ thuật trình độ cao trực tiếp tham gia bảo đảm an toàn thông tin mạng. c) Nghị định về bảo đảm an toàn hệ thống thông tin theo cấp độ.Chính phủ đã ban hành Nghị định số 85/2016/NĐ-CP quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ, có hiệu lực thi hành từ ngày 01/07/2016. Nghị định được xây dựng với những quan điểm mang tính xuyên suốt như sau: - Kịp thời thể chế hóa các chủ trương, đường lối của Đảng và Quốc hội nhằm thúc đẩy triển khai các hoạt động bảo đảm an toàn thông tin đúng mục tiêu, có hiệu quả, chất lượng, thực hành tiết kiệm, chống lãng phí. - Bảo đảm tính đồng bộ, thống nhất với các quy định của các văn bản quy phạm pháp luật liên quan. - Thực hiện cải cách, đơn giản hóa thủ tục hành chính, thực hiện phân cấp mạnh cho cơ sở, tạo thuận lợi cho các tổ chức, cá nhân trong việc bảo đảm an toàn thông tin; đồng thời tăng cường vai trò quản lý nhà nước về an toàn thông tin. - Các quy định phải phù hợp với tình hình thực tế về ứng dụng và phát triển công nghệ thông tin của đất nước, cơ chế, chính sách của giai đoạn hiện tại và có dự báo cho tương lai, bảo đảm tính khả thi cho các vùng, miền trong cả nước. Nghị định này quy định chi tiết về tiêu chí, thẩm quyền, trình tự, thủ tục xác định cấp độ an toàn hệ thống thông tin và trách nhiệm bảo đảm an toàn hệ thống thông tin theo từng cấp độ và được áp dụng đối với cơ quan, tổ chức, cá nhân tham gia hoặc có liên quan đến hoạt động xây dựng, thiết lập, quản lý, vận hành, nâng cấp, mở rộng hệ thống thông tin tại Việt Nam phục vụ ứng dụng công nghệ thông tin trong hoạt


17


16

động của cơ quan, tổ chức nhà nước hoặc ứng dụng công nghệ thông tin trong việc cung cấp dịch vụ trực tuyến phục vụ người dân và doanh nghiệp. d) Hệ thống Tiêu chuẩn kỹ thuật trong lĩnh vực an toàn thông tin Bộ Thông tin và Truyền thông đã phối hợp cùng Bộ Khoa học và Công nghệ xây dựng và ban hành hơn 10 tiêu chuẩn quốc gia tương đương quốc tế về quản lý an toàn thông tin, đánh giá an toàn thông tin và an toàn mạng. Để triển khai Nghị định số 85/2016/NĐ-CP, Bộ Thông tin và Truyền thông đang tích cực đẩy nhanh việc xây dựng các tiêu chuẩn làm cơ sở xác định cấp độ ATTT. Trước hết tập trung xây dựng tiêu chuẩn đưa ra các yêu cầu an toàn thông tin tối thiểu cho hệ thống thông tin theo cấp độ. Từ yêu cầu này, chủ quản hệ thống thông tin sẽ có cơ sở thiết kế an toàn hệ thống thông tin cũng như xây dựng và duy trì chính sách quản lý an toàn thông tin của mình. 3. Xây dựng chính sách về an toàn thông tin cho cơ quan, tổ chức Việc xây dựng chính sách quản lý an toàn thông tin, cơ quan, tổ chức trước hết cần căn cứ vào các quy định tại Điều từ 22 đến 25 Luật an toàn thông tin mạng. Để có những quy định chi tiết về việc bảo đảm an toàn hệ thống thông tin theo từng cấp độ, cơ quan, tổ chức căn cứ vào các quy định của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016. Theo đó, để bảo đảm an toàn hệ thống thông tin, trước hết cơ quan, tổ chức phải thực hiện quy trình, thủ tục xác định cấp độ an toàn hệ thống thông tin của mình. Căn cứ vào cấp độ an toàn hệ thống thông tin của mình (sau khi được cấp có thẩm quyền thẩm định và phê duyệt), cơ quan, tổ chức căn cứ vào các quy định cụ thể trong Nghị định về bảo đảm an toàn thông tin theo cấp độ tương ứng của mình để có cơ sở xây dựng chính sách phù hợp đối với hệ thống thông tin của mình. Chính sách bảo đảm an toàn thông tin phải bao quát được việc bảo đảm an toàn thông tin trong quá trình xây dựng, nâng cấp, mở rộng, quản lý, vận hành và hủy bỏ hệ thống thông tin. Theo quy định việc bảo đảm an toàn hệ thống thông tin phải đảm bảo các yêu cầu an toàn tối thiểu theo tiêu chuẩn kỹ thuật về an toàn thông tin. Trong đó, yêu cầu tối thiểu bao gồm các yêu cầu về kỹ thuật và các yêu cầu về quản lý. Các yêu cầu về kỹ thuật giúp cơ quan tổ chức có cơ sở để thiết kế, xây dựng hệ thống thông tin. Đối với các yêu cầu quản lý sẽ giúp cơ quan, tổ chức có cơ sở để xây dựng các chính sách quản lý an toàn thông tin cụ thể đối với cơ quan, tổ chức của mình theo từng cấp độ.


18

IV. Xây dựng và hướng dẫn triển khai Luật an toàn thông tin mạng

1. Thực trạng chung về tình hình quản lý an toàn thông tin tại Việt Nam trước khi Luật ATTTM được xây dựng. Tại Việt Nam, trước khi Luật ATTTM ra đời, các văn bản pháp luật trong lĩnh vực an toàn thông tin tới nay thường được xây dựng tập trung vào nhiệm vụ quản lý của từng lĩnh vực đơn lẻ, chỉ đề cập đến một số quy địnhvề an toàn thông tin ở từng phạm vi hẹp, chưa đầy đủ, chưa hoàn thiện. Tuy các văn bản luật nêu trên có nêu một số quy định về công tác đảm bảo ATTT, song chưa đề cập đến đầy đủ và bao quát các lĩnh vực trong an toàn thông tin. Nhìn chung, việc xảy ra các sự cố gây mất ATTTM tại Việt Nam hiện nay chủ yếu do thiếu cơ sở pháp lý trong lĩnh vực này, cụ thể: - Do sự thiếu đồng bộ và bao quát trong các văn bản pháp luật liên quan đến an toàn thông tin trong các lĩnh vực kinh tế, xã hội, an ninh, quốc phòng; - Do chưa có chế tài thực sự mạnh để xử lý các hành vi gây mất an toàn thông tin; - Do chưa có quy định rõ về quyền hạn, trách nhiệm pháp lý của các cá nhân, tổ chức, doanh nghiệp, cơ quan nhà nước trong việc áp dụng, thực thi các biện pháp, chương trình đảm bảo an toàn thông tin; - Do chưa có quy định về đảm bảo an toàn thông tin đối với các cơ sở hạ tầng thông tin quan trọng của quốc gia, các tài nguyên và cơ sở dữ liệu dùng chung; - Chưa có định hướng, chính sách và cơ chế hỗ trợ phát triển rõ ràng đối với doanh nghiệp và thị trường an toàn thông tin trong nước. - Quy định về đầu tư vào an toàn thông tin và kinh doanh trong lĩnh vực an toàn thông tin chưa rõ ràng. Có thể thấy, việc cần một văn bản quy phạm pháp luật chung điều chỉnh chi tiết, cụ thể các vấn đề liên quan đến an toàn thông tin hiện nay là hết sức cần thiết. Trên cơ sở đó có thể đáp ứng yêu cầu phát triển bền vững kinh tế - xã hội, bảo vệ thông tin và hệ thống thông tin, bảo đảm quốc phòng, an ninh, chủ quyền và lợi ích quốc gia; bảo đảm sự thống nhất, đồng bộ trong hệ thống pháp luật cũng như sự tương thích với các cam kết quốc tế của Việt Nam.


19


18

Vào ngày 19/11/2015, tại kỳ họp thứ 10 của Quốc hội khóa XIII, trong phiên họp toàn thể tại hội trường, Đại biểu Quốc hội đã biểu quyết thông qua Luật ATTTM với tỉ lệ phiếu tán thành lên đến hơn 85% số Đại biểu. 2. Hoạt động xây dựng Luật ATTTM Việc ban hành Luật ATTTM nhằm kịp thời thể chế hóa các chủ trương, đường lối, chính sách của Đảng và Nhà nước về công tác bảo đảm an toàn thông tin, đáp ứng yêu cầu phát triển bền vững kinh tế - xã hội, bảo vệ thông tin và hệ thống thông tin, bảo đảm quốc phòng, an ninh, chủ quyền và lợi ích quốc gia; bảo đảm sự thống nhất, đồng bộ trong hệ thống pháp luật cũng như sự tương thích với các cam kết quốc tế của Việt Nam. 3. Hướng dẫn triển khai Luật ATTTM 3.1. Các Nghị định của Chính phủ hướng dẫn Luật ATTTM Trong năm 2016, Bộ Thông tin và Truyền thông đã chủ trì xây dựng và trình Chính phủ ban hành 02 Nghị định nhằm hướng dẫn các nội dung tại Luật ATTTM, bao gồm: - Quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ Ngày 01/7/2016, Chính phủ đã ban hành Nghị định số 85/2016/NĐ-CP về bảo đảm an toàn hệ thống thông tin theo cấp độ. Cụ thể, hệ thống thông tin được xác định theo cấp độ tăng dần từ 1 đến 5. Hệ thống thông tin phải xác định cấp độ là hệ thống thống tin có thể hoạt động tương đối độc lập, được thiết lập nhằm trực tiếp phục vụ hoặc hỗ trợ hoạt động nghiệp vụ cụ thể của cơ quan, tổ chức. Việc quy định như vậy nhằm loại trừ các trường hợp chỉ lấy một thành phần hệ thống duy nhất như máy chủ, thiết bị đầu cuối, thiết bị mạng làm đối tượng phải xác định cấp độ. Hệ thống thông tin được xác định cấp độ căn cứ theo nguyên tắc phân loại hệ thống thông tin phân loại tài sản thông tin được lưu trữ, xử lý, trao đổi thông qua hệ thống thông tin đó. Trên cơ sở đó, tiêu chí cụ thể được xây dựng căn cứ trên thực tiễn triển khai ứng dụng công nghệ thông tin tại Việt Nam thời gian qua, đồng bộ với các văn bản quy phạm pháp luật khác, cụ thể là: + Thông tin xử lý thông qua hệ thống thông tin được phân loại theo thuốc tính bí mật, gồm: thông tin công cộng; thông tin riêng, thông tin cá nhân; thông tin bí mật nhà nước. + Tham chiếu tới các cách thức phân loại khác đã được áp dụng thực tế thời gian qua như: dịch vụ công trực tuyến do cơ quan nhà nước cung cấp trên môi trường mạng được phân loại thành 4 mức độ (từ mức độ 1 đến mức độ 4) theo Nghị định số 43/2011/NĐ-CP; công trình công nghiệp, xây dựng được phân loại thành 05 cấp (cấp Đặc biệt, cấp I, cấp II, cấp III và cấp IV) theo pháp luật về xây dựng.


20

Căn cứ vào các quy định tại Luật ATTTM, các đơn vị như UBND các tỉnh, thành phố chịu trách nhiệm trực tiếp xây dựng các quy định về bảo đảm an toàn thông tin từ cấp độ 3 trở lên theo nhiệm vụ, chức năng cụ thể của đơn vị mình. Đồng thời, Bộ Thông tin và Truyền thông, Bộ Quốc phòng và Bộ Công an chịu trách nhiệm thực hiện các hoạt động bảo đảm an toàn thông tin cũng như xây dựng tiêu chuẩn, quy chuẩn kỹ thuật theo từng chức năng Bộ mình quản lý trên cơ sở đó bảo đảm việc vận hành hệ thống thông tin của từng đơn vị và tránh việc bị tấn công gây mất an toàn thông tin.

- Quy định về điều kiện kinh doanh sản phẩm, dịch vụ ATTTM Chính phủ đã ban hành Nghị định số 108/2016/NĐ-CP quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin có hiệu lực từ ngày 01/7/2016. Các loại hình sản phẩm, dịch vụ ATTTM đang được quy định bao gồm: Sản phẩm ATTTM bao gồm 03 loại sản phẩm: Sản phẩm kiểm tra, đánh giá an toàn thông tin mạng; Sản phẩm giám sát an toàn thông tin mạng; Sản phẩm chống tấn công, xâm nhập; Dịch vụ ATTTM bao gồm 07 loại hình dịch vụ: Dịch vụ giám sát an toàn thông tin mạng; Dịch vụ kiểm tra, đánh giá an toàn thông tin mạng; Dịch vụ phòng ngừa, chống tấn công mạng; Dịch vụ tư vấn an toàn thông tin mạng; Dịch vụ ứng cứu sự cố an toàn thông tin mạng; Dịch vụ khôi phục dữ liệu là dịch vụ khôi phục dữ liệu; Dịch vụ bảo mật thông tin không sử dụng mật mã dân sự. Đối với hoạt động quản lý nhập khẩu sản phẩm ATTTM theo giấy phép, dự thảo Nghị định đang quy định 03 loại hình sản phẩm khi nhập khẩu cần có giấy phép tương đồng với 03 loại hình sản phẩm cần cấp phép kinh doanh. Trên cơ sở đó, tạo điều kiện cho doanh nghiệp, tổ chức thực hiện hoạt động nhập khẩu sản phẩm ATTTM nắm được rõ các loại hình sản phẩm cũng như các tiêu chuẩn, điều kiện để được cấp phép nhập khẩu các loại sản phẩm này.


21


20

3.2. Một số hoạt động khác - Tiếp tục triển khai Quy hoạch về phát triển an toàn thông tin số quốc gia đến năm 2020, mục tiêu của Quy hoạch là đến năm 2020 các ứng dụng về Chính phủ điện tử và thương mại điện tử đều được đảm bảo an toàn thông tin ở mức cao nhất; - Tiếp tục triển khai các hoạt động trong kế hoạch của Quyết định số 898/QĐ-TTg phê duyệt phương hướng, mục tiêu, nhiệm vụ bảo đảm an toàn thông tin mạng giai đoạn 2016 – 2020 như tiến hành thành lập Ban điều hành để thực hiện nhiệm vụ được Thủ tướng Chính phủ phân công trong công tác bảo đảm an toàn thông tin mạng đến năm 2020; - Tiếp tục triển khai Đề án đào tạo và phát triển nguồn nhân lực an toàn, an ninh thông tin đến năm 2020. Theo đó, triển khai các hoạt động nhằm thúc đẩy và phát triển nguồn nhân lực về an toàn thông tin trong nước thông qua các hoạt động đã được đề ra như cử cán bộ đi đào tạo, tập huấn nhằm nâng cao trình độ tại các nước phát triển về an toàn thông tin bên cạnh đó tập trung đầu tư phát triển các cơ sở đào tạo về an toàn thông tin đã được nêu ra trong Đề án này; - Thực hiện Đề án Tuyên truyền nâng cao nhận thức và trách nhiệm về an toàn thông tin mục tiêu đến năm 2020 qua các hình thức tuyên truyền, phổ biến sẽ giúp tăng cường nhận thức và ý thức chấp hành về an toàn thông tin tại Việt Nam. Giảm thiểu số sự cố mất an toàn thông tin xảy ra vì lí do bắt nguồn từ nhận thức yếu kém về các nguy cơ mất an toàn thông tin của con người. Đồng thời tuyên truyền, phổ biến kiến thức cơ bản cho người sử dụng trong việc phòng tránh mất an toàn thông tin.


22

PHẦN 2. DÀNH CHO CÁN BỘ KỸ THUẬT


23


22

I. Các kỹ năng phòng chống mã độc Mã độc là phần mềm độc hại có nhiều cách lây lan khác nhau trong mạng cũng như thông qua các thiết bị lưu trữ. Việc phòng tránh mã độc cần được thực hiện đồng bộ trên tất cả các thiết bị trong mạng. Do đó, cần có những chính sách chặt chẽ đối với các thành phần trong mạng nhằm ngăn chặn sự lây lan, phát tán giữa các thiết bị với nhau. Dưới đây là một số thao tác cơ bản nhưng hữu hiệu trong việc phòng chống các mã độc thông thường đang hoạt động hiện nay. Cần lưu ý rằng ngoài các biện pháp dưới đây, người quản trị mạng cần triển khai thêm các biện pháp nâng cao như các biện pháp giám sát, theo dõi, phát hiện tấn công, xâm nhập để phòng tránh các nguy cơ mã độc tấn công phức tạp, nâng cao. 1. Phát hiện các tiến trình độc hại đang chạy trên hệ thống: Một trong những chức năng quan trọng thường có ở các mã độc là khả năng ẩn mình trên hệ thống bị lây nhiễm. Trong đó, các tiến trình của mã độc thường sử dụng các tên gần giống hoặc giống hoàn toàn với tiến trình thật của hệ thống. Ví dụ: svchost.exe, explorer.exe. Do đó, người quản trị cần có khả năng phát hiện ra các tiến trình nghi ngờ là tiến trình của mã độc để xác định và phục vụ công tác tháo gỡ. Để liệt kê các tiến trình đang chạy trên hệ thống, quản trị viên có thể sử dụng ứng dụng Task manager có sẵn để thực hiện liệt kê. Tuy nhiên, ứng dụng có sẵn này thường chỉ liệt kê các thông tin cơ bản mà thiếu đi các thông tin quan trọng khác giúp quản trị viên có thể phân biệt được giữa tiến trình độc hại và tiến trình an toàn.

Ứng dụng task manager thông thường

Để khắc phục các nhược điểm của ứng dụng task manager, Microsoft đã phát hành ứng dụng mới mang tên Process Explorer để cung cấp nhiều hơn thông tin cho người sử dụng. Ứng dụng Process Explorer là một phần trong gói ứng dụng Sysinternal suite có thể tải về từ website của Microsoft:


24

https://technet.microsoft.com/en-us/sysinternals/bb842062.aspx

Giao diện của ứng dụng Process Explorer

Bằng cách sử dụng Process Explorer, quản trị viên có thể có được nhiều thông tin hơn về một tiến trình đang chạy trên hệ thống. Cụ thể như: - Các thư viện dll mà tiến trình sử dụng - Cây tiến trình để xác định tiến trình khởi tạo - Trạng thái của tiến trình - Hiệu năng riêng của tiến trình. - Và nhiều thông tin khác.

Ví dụ về việc verify một tiến trình thành công

Để xác định một tiến trình bất thường, quản trị viên thường phải chú ý đến một số đặc điểm như: - Tiến trình không có Description - Tiến trình không có Company name - Tiến trình có các hoạt động mạng trên nền TCP/IP bất thường - Tiến trình không thể verify theo chữ ký số của nhà sản xuất. Ngoài ra, process explorer còn có cung cấp khả năng tải file của tiến trình lên website Virustotal để dò quyét trên nhiều ứng dụng phòng chống mã độc.

Ví dụ về việc đưa tiến trình lên Virus total Trong trường hợp kết quả trả về từ Virus Total cho thấy tiến trình trên là tiến trình của mã độc, quản trị viên có thể loại bỏ tiến trình bằng cách sử dụng chức năng “kill” của ứng dụng để loại bỏ tạm thời tiến trình ra khỏi hệ thống.


25


24

2. Phát hiện phương thức tự động khởi động của mã độc: Ngoài khả năng che dấu bản thân theo tên các tiến trình thông thường, mã độc còn có khả năng thiết lập các cơ chế tự động khởi tạo theo hệ thống khi hệ thống khởi động. Do đó, quá trình phát hiện và tháo gỡ mã độc phải bao gồm việc xác định cơ chế tái khởi động của mã độc. Thông thường, Windows sử dụng ứng dụng Startup để liệt kê các chương trình sẽ khởi động kèm Windows trong mỗi lần khởi động. Tuy nhiên, tương tự như ứng dụng task manager, ứng dụng autorun có nhiều hạn chế trong việc cung cấp thông tin và đôi khi không thể liệt kê cơ chế tự động khởi tạo của mã độc.

Ví dụ về chức năng start up thông thườngtrong Windows

Vì vậy, để liệt kê các thông tin liên quan đến cơ chế tái khởi động của mã độc, quản trị viên có thể sử dụng chương trình autorun thuộc bộ chương trình Sysinternal suite tương tự như với ứng dụng Process explorer như tại phần trước.

Giao diện của ứng dụng autorun

- Xác thực chữ ký số - Miêu tả (description) - Tên công ty phát hành Sau khi xác định được các ứng dụng nghi ngờ, quản trị viên có thể sử dụng thông tin được cung cấp bởi ứng dụng autorun để tìm đến đường dẫn đầy đủ của ứng dụng và dò quét bằng VirusTotal để

Sử dụng ứng dụng Autorun, quản trị viên có thể liệt kê tất cả các cơ chế tái khởi động của các tiến trình như: - Các Services tự động khởi động cùng hệ thống - Các tasks đã được đặt lịch cùng hệ thống - Các addons của ứng dụng được đăng ký tự động khởi tạo - Và các cơ chế khác. Tương tự như với ứng dụng process explorer, đối với ứng dụng autorun, quản trị viên cần chú ý đến các ứng dụng đã dược đăng ký tái khởi động cùng hệ thống nhưng không có:

xác định ứng dụng có phải là mã độc hay không. Trong trường hợp ứng dụng được cho là mã độc, quản trị viên có thể tháo gỡ ứng dụng khỏi hệ thống để ngăn cản việc mã độc có thể tái khởi động trong lần khởi động tiếp theo.


26

3. Thiết lập việc sử dụng USB, thiết bị lưu trữ ngoài: Các thiết bị lưu trữ bên ngoài cũng như USB là một trong những nguyên nhân chủ yếu gây ra việc lây lan mã động trong môi trường mạng. Điều này thường xảy ra trong môi trường văn phòng khi việc trao đổi tệp tin phục vụ văn bản được thực hiện chủ yếu qua hình thức sử dụng USB lưu trữ. Do đó, cần có các thiết lập đảm bảo an toàn thông tin cho việc sử dụng thiết bị lưu trữ ngoài trong hệ thống như: 3.1. Ngăn chặn chức năng Autorun đối với thiết bị lưu trữ USB: Thông thường, mã độc thường sử dụng chức năng Autorun để lây lan thông qua các thiết bị lưu trữ gắn ngoài như USB, ổ cứng gắn ngoài,… Viêc cấu hình loại bỏ chức năng autorun cho các thiết bị lưu trữ gắn ngoài là công việc đơn giản nhưng hữu hiệu trong việc phòng chống mã độc tại các máy tính cá nhân. Để vô hiệu hoá chức năng autorun, người dùng có thể truy cập vào chức năng Windows Start -> gpedit.msc:

Sau đó tìm đến phần Computer Configuration -> Administrative Templates -> Windows Components -> Autoplay Policies: Mở chức năng Turn off Autoplay và chọn Enable cũng như tuỳ chọn All driver và xác nhận.


27


26

3.2 Dò quét mã độc trước khi sử dụng thiết bị: Ngoài việc loại bỏ chức năng autorun đối với các thiết bị lưu trữ, người sử dụng cần hình thành thói quen sử dụng chương trình diệt virus dò quét trước khi sử dụng thiết bị. Trên thị trường hiên nay, các hãng cung cấp phần mềm diệt virus thường duy trì hai phiên bản: phiên bản miễn phí giới hạn chức năng và phiên bản thương mại với nhiều chức năng cao cấp. Đối với người sử dụng thông thường, nếu duy trì được thói quen sử dụng các phiên bản miễn phí cho các thao tác sử dụng đối với thiết bị lưu trữ ngoài sẽ phòng tránh được hầu hết các mã độc thông thường hiện nay. Ngoài ra, một số phần mềm diệt virus của doanh nghiệp Việt Nam sản xuất hiện nay cũng đã có chất lượng tương đương và ngày càng phù hợp với nhu cầu của người sử dụng phiên bản tiếng Việt.

II. Kỹ năng nhận biết, phòng chống thư rác, thư giả mạo, tin nhắn rác

Một trong các mục tiêu ưa thích hiện nay của hacker là lừa đảo người dùng thông qua việc gửi thư điện tử giả mạo, thư rác đến cho người dùng. Để phòng tránh được những hình thức tấn công này, người sử dụng cần có những nhận thức cơ bản về thư điện tử và cách nhận biết chúng. 1. Email header Email header là nội dung được gửi kèm theo những email nhằm cung cấp các thông tin đầy đủ cho một bức email. Những thông tin này thông thường sẽ không được hiển thị cho người dùng, mà cần mở trong giao diện của Mail client.

Cách mở thông tin email trong Gmail và Hotmail Web Client

Khi đọc các nội dung trong Email header, chúng ta cần chú ý đọc ngược từ dưới lên để xác định các thời điểm theo thứ tự từ cũ đến mới. Trong đó cần chú ý một số thông tin: Received: Thông tin máy chủ SMTP đã tiếp nhận email này từ người gửi, đây là thông tin quan trọng hiển thị máy chủ đã tiếp nhận email và gửi đi. Nên cân nhắc chỉ tin tưởng những máy chủ SMTP phổ biến như SMTP của Google, Hotmail hoặc Yahoo… Dựa theo các lần Received người dùng cũng hoàn toàn có thể biết được đường đi của email và các IP máy chủ đã chuyển tiếp email. Nếu đường đi này quá lòng vòng và đi qua nhiều máy chủ nghi ngờ thì đó rất có thế là email giả mạo.


28

Ví dụ về Email header

From: Địa chỉ email của người gửi. Tuy nhiên trường này hoàn toàn có thể giả mạo và không nên tin cậy các địa chỉ email được khai báo trong trường này. To: Địa chỉ email của người nhận Reply-To: Địa chỉ email của người sẽ nhận email phản hồi, nếu trường giá trị này không trùng với trường giá trị From mà trong thư không trực tiếp nhắc đến việc chuyển tiếp nội dung thì khả năng rất lớn đây là thư giả mạo. X-Mailer: Thông tin ứng dụng được sử dụng để gửi email. Khi kiểm tra thông tin này chúng ta có thể thu được tên của ứng dụng và phiên bản của ứng dụng đó. Nếu là những ứng dụng phổ biến như Out-look hay Thunderbird thì cần kiểm tra thêm phiên bản của ứng dung. Nếu email được gửi đi từ những ứng dụng phiên bản quá cũ, người dùng hoàn toàn có thể nghi ngờ đó là email giả mạo. Nếu những ứng dụng gửi email ít phổ biến hơn thì người dùng cũng nên kiểm tra ứng dụng đó để kiểm tra ứng dụng có được thường xuyên sử dụng trong gửi thư rác và giả mạo. Dựa vào những lần Received được liệt kê, chúng ta hoàn toàn có thể xác định IP của người gửi đi thư giả mạo hoặc thư rác. Ví dụ với đoạn Email header trong một thư rác:Received: from c1-smtp-out43.am-mdn.com (c1-smtp-out43.am-mdn.com. [185.31.139.44]) by mx.google.com with ESMTPS id g89si3354669lfi.3.2016.08.03.05.52.17 for <[email protected]> (version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128); Wed, 03 Aug 2016 05:52:17 -0700 (PDT)Received: from smtp-front1.authmailer.com (smtp-front1.authmailer.com [185.31.136.72]) by smtp-cluster1.am-mdn.com (Postfix) with ESMTPS id AD93618008E90 for <[email protected]>; Wed, 3 Aug 2016 09:38:28 +0000 (UTC)Received: from localhost.localdomain (unknown [125.253.124.A]) (Authenticated sender: u4715331) by smtp-front1.authmailer.com (Postfix) with ESMTPSA id A534926007B for <[email protected]>; Wed, 3 Aug 2016 12:38:26 +0300 (EEST)


29


28

Thì các mốc thời gian được hiểu như sau:[1] Received: from localhost.localdomain (unknown [125.253.124.A]) (Authenticated sender: u4715331) by smtp-front1.authmailer.com (Postfix) with ESMTPSA id A534926007B for <[email protected]>; Wed, 3 Aug 2016 12:38:26 +0300 (EEST)[2] Received: from smtp-front1.authmailer.com (smtp-front1.authmailer.com [185.31.136.72]) by smtp-cluster1.am-mdn.com (Postfix) with ESMTPS id AD93618008E90 for <[email protected]>; Wed, 3 Aug 2016 09:38:28 +0000 (UTC)[3] Received: from c1-smtp-out43.am-mdn.com (c1-smtp-out43.am-mdn.com. [185.31.139.44])by mx.google.com with ESMTPS id g89si3354669lfi.3.2016.08.03.05.52.17 for <[email protected]> (version=TLS1 cipher=ECDHE-RSA-AES128-SHA bits=128/128); Wed, 03 Aug 2016 05:52:17 -0700 (PDT)

Ví dụ cho quá trình theo dấu email bằng công cụ Email Tracker tại địa chỉ:

http://www.ip2location.com/free/email-tracer

Như vậy ban đầu email được gửi từ địa chỉ máy chủ 125.253.124.A thông qua dịch vụ Authmailer SMTP, sau đó được máy chủ 185.31.136.72 của dịch vụ Authmailer và cuối cùng là gửi đến máy chủ của Gmail tại 185.31.139.44. Bên cạnh đó, người dùng cũng có thể sử dụng công cụ Email Tracker để theo dấu các email, từ đó kiểm tra các máy chủ mà email đã được xử lý qua. Người dùng sẽ cần lấy toàn bộ phần email header và nhập vào các công cụ email tracker này để phần mềm xác định đường đi của email. 2. Phân tích địa chỉ email Với các địa chỉ email gửi đến có độ phức tạp, hoặc gần giống với những địa chỉ website tin tưởng, người dùng cũng cần hết sức cẩn trọng khi mở những địa chỉ email này. Những email giả mạo thường mạo danh các website tin tưởng về ngân hàng, tài chính, học tập, chính phủ để lừa người dùng click vào những đường dẫn nguy hiểm. Người dùng có thể sử dụng một số công cụ miễn phí để phân tích các địa chỉ email này và kiểm tra IP liên quan có nằm trong các danh sách đen hay không.

Ví dụ sử dụng công cụ Email Dossier để kiểm tra một địa chỉ email phức tạp xem

thuộc về máy chủ email nào và có địa chỉ IP nào tại địa chỉ:http://centralops.

net/co/emaildossier.aspx


30

3. Kiểm tra kỹ các file tải về Khi nhận được những email giả mạo, một số người dùng thường chủ quan và tải trực tiếp các file đính kèm về và khởi chạy. Điều này tạo điều kiện cho các hình thức tấn công lây lan và cài đặt các phần mềm độc hại. Để phòng tránh được điều này, người dùng có thể thực hiện một số cách thức như sau:

Sử dụng công cụ Google Doc của Google để tải lên và mở các file đính kèm là văn bản

- Đối với các file văn bản, có thể sử dụng các dịch vụ documents trực tuyến để xem và chỉnh sửa trực tiếp trên website. - Chỉ mở file đính kèm từ những địa chỉ quen thuộc, với những địa chỉ lạ hoặc nghi ngờ là giả mạo, cần tải về và kiểm tra lại trên các trang kiểm tra phần mềm độc hại trực tuyến. Kiểm tra file đính kèm khi tải về

tại trang Virustotal.com

III. Bảo đảm an toàn thông tin khi sử dụng mạng không dây

Mạng không dây - Wireless LAN (WLAN) là mô hình mạng được sử dụng cho một khu vực có phạm vi nhỏ như một tòa nhà, khuôn viên của một công ty, trường học. WLAN sử dụng băng tần phục vụ công nghiệp, khoa học, y tế: 2.4GHz và 5GHz, không chịu sự quản lý của chính phủ cũng như không cần cấp giấy phép sử dụng, vì vậy tồn tại nhiều vấn đề liên quan tới an toàn thông tin của người dùng trong mạng WLAN. Ngoài ra do sử dụng môi trường truyền dẫn vô tuyến nên WLAN rất dễ bị rò rỉ thông tin do tác động của môi trường bên ngoài, đặc biệt là sự tấn công của các tin tặc. Do đó, đi đôi với phát triển WLAN phải phát triển các khả năng bảo mật WLAN an toàn, để cung cấp thông tin hiệu quả, tin cậy cho người sử dụng. Một số vấn đề bảo đảm an toàn thông tin cho mạng không dây WLAN bao gồm các nội dung:


31


30

- Cấu trúc mạng không dây WLAN. - Các hình thức tấn công mạng không dây phổ biến. - Một số khuyến nghị nhằm bảo đảm an toàn thông tin mạng không dây trong thực tế. 1. Cấu trúc mạng không dây WLAN Một mạng không dây thông thường gồm có 2 phần: các thiết bị truy nhập không dây (Wireless Clients), các điểm truy nhập (Access Points – AP).

- Chế độ cơ sở (Infrastructure mode): Các máy trong mạng sử dụng một hoặc nhiều thiết bị định tuyến hay thiết bị thu phát để thực hiện các hoạt động trao đổi dữ liệu với nhau.

2. Các hình thức tấn công mạng không dây phổ biến 2.1. Tấn công không thông qua xác thực (deauthentication attack) Trong mạng không dây khi một thiết bị mới gia nhập vào mạng nó sẽ phải đi qua quá trình xác thực, sau quá trình xác nhận, thiết bị này sẽ thực hiện các quá trình có liên quan khác để có thể trao đổi dữ liệu và quảng bá trong toàn mạng. Trong suốt quá trình xác thực chỉ có một vài bản tin dữ liệu, quản lý và điều khiển là được chấp nhận. Một trong các bản tin đó mang lại cho thiết bị khả năng đòi hỏi không qua xác thực từ các nút khác. Bản tin đó được sử dụng khi một thiết bị muốn chuyển giữa hai mạng không dây khác nhau. Khi một thiết bị nhận được bản tin “không qua xác thực” này nó sẽ tự động rời khỏi mạng và quay trở lại trạng thái gốc ban đầu của nó.


32

Trong tấn công không qua chứng thực, tin tặc sẽ sử dụng một thiết bị giả mạo để tìm ra địa chỉ của điểm truy nhập (AP) đang điều khiển mạng (địa chỉ của AP có thể dễ dàng được tìm thấy nếu tin tặc “lắng nghe” lưu lượng giữa AP và các thiết bị khác). Khi tin tặc có được địa chỉ của AP, chúng sẽ gửi quảng bá các bản tin “không chứng thực” ra toàn mạng khiến cho các thiết bị trong mạng ngay lập tức dừng trao đổi thông tin với mạng. Sau đó tất cả các thiết bị đó sẽ cố kết nối lại, xác thực lại và liên kết lại với AP tuy nhiên do việc truyền các bản tin “không qua xác thực” được lặp lại liên tục khiến cho mạng rơi vào tình trạng bị dừng hoạt động. 2.2. Tấn công bằng cách gửi lại bản tin (Reply Attack) Tin tặc thực hiện các cuộc tấn công Replay Attack bằng cách đứng chắn giữa việc truyền thông tin hợp lệ, tin tặc không thay đổi bản tin mà chỉ gửi lại nó trong thời điểm thích hợp theo sự lựa chọn của tin tặc do các bản tin trong mạng không dây không có thứ tự một cách rõ ràng. 2.3. Giả mạo điểm truy nhập Đây là kiểu tấn công mà tin tặc đứng ở giữa và trộm lưu lượng truyền giữa 2 thiết bị. Kiểu tấn công này tồn tại là do trong mạng không dây không yêu cầu xác thực 2 hướng giữa AP và thiết bị truy nhập. AP phát quảng bá ra toàn mạng, do vậy tin tặc có thể dễ dàng nghe trộm và lấy được tất cả các thông tin mà chúng cần. Rất khó khăn để tạo một cuộc tấn công theo kiểu “đứng giữa” trong mạng có dây bởi vì kiểu tấn công này yêu cầu truy cập thực sự đến đường truyền. Trong mạng không dây thì lại rất dễ bị tấn công kiểu này. Tin tặc tạo ra một AP thu hút nhiều thiết bị truy nhập hơn AP thật. AP giả này có thể được thiết lập bằng cách sao chép tất cả các cấu hình của AP thật đó là: SSID, địa chỉ MAC... Bước tiếp theo là làm cho nạn nhân thực hiện kết nối tới AP giả. Cách thứ nhất là đợi cho nguời dùng tự kết nối. Cách thứ hai là gây ra một cuộc tấn công từ chối dịch vụ trong AP thật do vậy nguời dùng sẽ phải kết nối lại với AP giả. Trong mạng không dây sự lựa chọn AP được thực hiện bởi cường độ của tín hiệu nhận. Do đó tin tặc sẽ thực hiện các biện pháp kỹ thuật để làm cho AP giả có cường độ tín hiệu mạnh hơn, ví dụ như: đặt AP giả gần người dùng hơn là AP thật; sử dụng kỹ thuật anten định hướng. Sau khi nạn nhân kết nối tới AP giả, nạn nhân vẫn hoạt động như bình thường do vậy nếu nạn nhân kết nối đến một AP thật khác thì dữ liệu của nạn nhân đều đi qua AP giả. Tin tặc sẽ sử dụng các tiện ích để ghi lại mật khẩu của nạn nhân khi trao đổi thông tin và sẽ có được tất cả nhưng thông tin để đăng nhập vào mạng chính thống.


33


32

2.4. Tấn công dựa trên thuật toán đa truy cập cảm nhận sóng mang (CSMA) Trong mạng không dây sử dụng thuật toán đa truy cập cảm nhận sóng mang (CSMA) để tránh xung đột. CSMA là một thành phần của lớp MAC. Tin tặc khai thác CSMA bằng cách làm cho các thiết bị trong mạng đều tin tưởng rằng có một thiết bị đang truyền tin tại thời điểm hiện tại và sẽ không tiến hành truyền tin vào mạng để tránh xung đột. Có các cách sau để đạt được điều này: tạo ra một thiết bị giả mạo để truyền tin một cách liên tục; sử dụng bộ tạo tín hiệu vô tuyến; làm cho card mạng chuyển thành chế độ kiểm tra để nó truyền đi liên tiếp một mẫu kiểm tra. 2.5. Giả mạo địa chỉ MAC Trong mạng không dây, lọc địa chỉ MAC là một cách để ngăn người dùng bất hợp pháp gia nhập vào mạng. Tuy nhiên tin tặc lại có thể dễ dàng giả mạo địa chỉ MAC vì giá trị được đưa ra trong firmware của phần cứng có thể thay đổi được. Mà trong mạng không dây thì địa chỉ MAC được phát quảng bá ra toàn mạng, do đó tin tặc chỉ cần chặn lại một vài gói tin để lấy địa chỉ MAC. Và bằng việc giả mạo địa chỉ MAC tin tặc sẽ được nhận dạng như một người dùng hợp pháp trong mạng. 2.6. Tấn công từ chối dịch vụ Đây là hình thức tấn công làm cho các mạng không dây không thể phục vụ được người dùng, từ chối dịch vụ với những người dùng hợp pháp. Khi sóng radio truyền trong môi trường, nó rất dễ bị ảnh hưởng bởi các yếu tố khách quan cũng như chủ quan. Tin tặc có thể lợi dụng điều này để tấn công từ chối dịch vụ bằng cách tạo ra các sóng có cùng tần số với tần số truyền tín hiệu để gây nhiễu cho đường truyền. 3. Một số khuyến nghị bảo đảm an toàn thông tin mạng không dây trong thực tế 3.1. Đối với người dùng tại gia và các cơ quan, văn phòng nhỏ Đối với người sử dụng trong phạm vi nhà ở và văn phòng nhỏ chi phí triển khai các biện pháp bảo đảm an toàn thông tin là một vấn đề không được để ý đầu tư. Các các biện pháp sau có thể giảm thiểu rủi ro mất an toàn thông tin: - Cập nhật phần mềm, firmware các thiết bị truy nhập và các điểm truy nhập với phiên bản mới nhất do nhà sản xuất cung cấp. - Kích hoạt các phương thức mã hóa WEP/WPA/WPA2 theo thứ tự ưu tiên sử dụng WPA2, WPA nếu thiết bị hỗ trợ.


34

- Thay đổi tên mạng không dây (SSID) mặc định do các nhà sản xuất cài đặt sẵn, chú ý không sử dụng các tên gọi có gợi ý như tên đường phố hay địa chỉ, công ty hay nhà riêng hay hay họ tên của các thành viên trong gia đình, cơ quan, văn phòng. - Không kích hoạt chức năng quảng bá SSID (chú ý: phải đảm người dùng hợp pháp đã có thông tin SSID trên thiết bị của họ). - Lọc địa chỉ MAC: Một vài điểm truy nhập có khả năng chấp nhận các kết nối chỉ đối với các địa chỉ MAC đáng tin cậy là các địa chỉ duy nhất trên mạng (không trùng khớp nhau). Thực hiện điều này là rất khó khăn trong một môi trường với hơn 20 người sử dụng do việc thiết lập điểm truy nhập bằng tay rất mất thời gian. Tuy nhiên, nó có thể được thiết lập một cách đơn giản trong môi trường nhà ở và môi trường văn phòng nhỏ. 3.2. Đối với người dùng tại các cơ quan, tổ chức, văn phòng vừa và nhỏ Các cơ quan, tổ chức, văn phòng vừa và nhỏ có thể là một phần của một tổ chức lớn hơn. Đảm bảo an toàn thông tin là vấn đề quan trọng và phải cân bằng với hiệu xuất sử dụng khi số lượng người dùng tăng. - Cập nhật phần mềm, firmware các thiết bị truy nhập và các điểm truy nhập với phiên bản mới nhất do nhà sản xuất cung cấp. - Kích hoạt các phương thức mã hóa WEP/WPA/WPA2 theo thứ tự ưu tiên sử dụng WPA2, WPA nếu thiết bị hỗ trợ. - Sử dụng mạng riêng ảo (VPN): Trong trường hợp có thể được sử dụng các điểm truy nhập kích hoạt IPSec hoặc các tường lửa mà chúng có thể thiết lập các đường ống VPN từ người dùng đầu cuối tới điểm truy nhập. Phần mềm VPN cho phép quá trình nhận thực và mã hoá hiệu quả hơn trong mạng công cộng bao gồm các thành phần vô tuyến và hữu tuyến. - Thay đổi mật khẩu mặc định của nhà sản xuất, sử dụng các mật khẩu an toàn cho các điểm truy nhập. - Đảm bảo các mật khẩu được mã hoá trước khi truyền qua mạng. Khi gửi mật khẩu tới người sử dụng, sử dụng một chương trình mã hóa để đảm bảo rằng các mật khẩu không bao giờ được gửi đi một cách rõ ràng mà những người sử dụng khác có thể hiểu được. - Luôn lưu ý kiểm tra cấu hình điểm truy nhập để đảm bảo thiết bị này không bị “reset” về các thiết lập mặc định do một nguyên nhân khách quan hay chủ quan nào đó (các thiết lập mặc định của điểm truy nhập không có khả năng bảo đảm an toàn thông tin khi có một ai đó nhấn vào nút “reset”. Điều này làm cho điểm truy nhập dễ bị tấn công bởi các tin tặc).


35


34

3.3. Đối với người sử dụng của các cơ quan, tổ chức, tập đoàn lớn. Đối với người sử dụng của các cơ quan, tổ chức, tập đoàn lớn, yêu cầu an toàn thông tin cao. Ngoài các khuyến nghị ở trên các cơ quan, tổ chức có thể xem xét các yếu tố sau: - Giám sát các điểm truy nhập: sử dụng các công cụ hỗ trợ vận hành để giám sát mạng một cách liên tục và kiểm tra các điểm truy nhập không tuân thủ các nguyên tắc về cấu hình. Một vài điểm truy nhập không có các thiết lập an toàn thông tin theo quy định tương ứng có thể là một điểm truy nhập bí mật thiết lập bởi tin tặc. - Xác thực: Tích hợp các mạng WLAN vào trong có chế nhận thực bằng cách sử dụng các máy chủ nhận thực RADIUS hoặc LDAP. Các mật khẩu và tên người sử dụng có thể được mã hoá hoặc các chứng chỉ số có thể được sử dụng để nâng cao khả năng nhận thực. - Điều khiển sóng vô tuyến: Tối thiểu hoá quá trình truyền sóng vô tuyến trong các khu vực không có người sử dụng như các khu vực đỗ xe hay các khu vực lân cận văn phòng. Thử nghiệm các anten để tránh các vùng phủ bên ngoài các biên giới điều khiển về mặt vật lý trong điều kiện thuật lợi. Nếu có thể, không đặt các điểm truy nhập tại biên của khu vực nhà ở hay văn phòng. - Phân vùng các thiết bị: đưa các điểm truy nhập vào một vùng mạng trung lập giữa mạng nội bộ và mạng internet (DMZ). Thiết lập cấu hình cho tường lửa để cho phép truy nhập đối với người sử dụng hợp lệ dựa trên các địa chỉ MAC, làm cho các tin tặc khó khăn hơn khi tấn công vào mạng.


36

PHẦN 3. DÀNH CHO ĐỐI TƯỢNG CỘNG ĐỒNG CHUNG


37


36

I. Hướng dẫn thiết lập máy tính mới bảo đảm an toàn thông tin

Các nguy cơ mất an toàn thông tin có thể lập tức ảnh hưởng đến chúng ta ngay sau khi sử dụng máy tính vừa mua hoặc vừa cài đặt lại. Do đó cần có một số lưu ý để thiết lập máy tính mới an toàn chống lại các nguy cơ bị tấn công như sau:

Bảng điều khiển của chức năng Control Panel Tiếp tục lựa chọn “Turn Windows Firewall on or off” để thực hiện việc kích hoạt. Tiếp tục chọn các lựa chọn “Turn on..” và và tuỳ chọn bên dưới để kích hoạt. Bước 2: Tháo gỡ các chương trình không cần thiết. Các máy tính mới thường được nhà sản xuất cài đặt sẵn các chương trình quảng cáo, giới thiệu hoặc bản dùng thử của các phần mềm khác. Các phần mềm này có thể chứa sẵn các nguy cơ mất an toàn thông tin mà kẻ tấn công có thể lợi dụng ngay trong quá trình sử dụng đầu tiên. Vì vậy, người dùng cần tháo bỏ các chương trình không cần thiết trên máy tính của mình ngay trong quá trình thiết lập ban đầu để phòng tránh các nguy cơ mất an toàn thông tin phát sinh.

Bước 1: Kích hoạt chức năng tường lửa báo vệ cá nhân trên máy tính. Một trong các tác vụ đầu tiên cần thực hiện sau khi cài đặt máy tính mới là thiết lập các cơ chế bảo vệ cơ bản cho máy tính đấy. Trong đó, việc sử dụng tường lửa là cách cơ bản để phòng tránh các nguy cơ mất an toàn thông tin cơ bản cho các thiết bị. Hiện nay, các hệ điều hành hầu hết đều đã tích hợp các tường lửa cá nhân nhằm bảo vệ người sử dụng khỏi các tấn công cơ bản. Do đó, cần kích hoạt phần mềm tường lửa này trước khi kết nối máy tính đến bất kỳ mạng máy tính nào như Internet/Wifi/LAN. Trên hệ điều hành Windows, có thể kích hoạt tường lửa bằng cách truy cập chức năng Firewall trong Control Panel:


38

Để tháo gỡ các chương trình và thành phần không cần thiết, người sử dụng có thể sử dụng chức năng quản lý các chương trình đã được cài đặt trong máy tính để liệt kê tất cả các chương trình đã được cài đặt. Từ đó, lần lượt xem xét các chương trình đang có sẵn với nhu cầu của mình để tháo gỡ các chương trình không cần thiết khỏi hệ thống. Để kích hoạt chức năng quản lý các chương trình đã cài đặt, người sử dụng có thể vào Control Panel, chọn Programs and Features để thực hiện việc liệt kê. Bước 3: Tạo các mật khẩu mạnh. Ngay trong các bước đầu tiên của việc thiết lập cấu hình máy tính. Các tài khoản của người sử dụng cần được tạo ra với độ phức tạp nhất định. Với các tài khoản sử dụng các mật khẩu dễ đoán, các mã độc và kẻ tấn công có thể dễ dàng đăng nhập hoặc thực hiện các tác vụ bất hợp pháp thông qua các tài khoản này. Các mật khẩu dễ nhớ và dễ đoán thường gặp có dạng như “123456”, “abcdef” … Đây là các mật khẩu tuyệt đối không được sử dụng đối với bất kỳ tài khoản nào. Do đó, người sử dụng cần có một mật khẩu an toàn, đủ mạnh để kẻ tấn công khó đoán ra và lợi dụng. Một mật khẩu an toàn thường bao gồm các loại ký tự sau: - Ký tự hoa, ký tự thường - Ký tự chữ số - Ký tự đặc biệt ($#%”#%)

Sử dụng chức năng Programs and Features để liệt kê các phần mềm đã được

cài sẵn trong các máy mới

Ví dụ về một mật khẩu mạnh: h@n0i2015 Để thay đổi mật khẩu, người dùng có thể sử dụng chứcnăng Start và gõ “Change password” để kích hoạt thành phần cho phép đổi mật khẩu; Sau khi chọn tài khoản

muốn đổi mật khẩu, click Change your password để thực hiện việc đổi mật khẩu: Sau đó, gõ mật khẩu cũ và mật khẩu mới an toàn để đổi mật khẩu


39


38

Bước 4: Nâng cấp các phần mềm và hệ điều hành Windows. Hệ điều hành của máy tính lúc vừa cài đặt có thể là phiên bản cũ chưa được vá các lỗi bảo mật. Do đó, người sử dụng cần thiết lập chế độ tự động nâng cấp và thực hiện nâng cấp cho hệ điều hành và các phần mềm khác. Trong phần Windows Update của Control Panel, sử dụng tuỳ chọn “Change Settings” để thiếp lập việc tư động cập nhật. Trong các tuỳ chọn về nâng cấp, người sử dụng có thể tuỳ chọn theo nhu cầu của mình. Tuy nhiên, có thể tuỳ chọn việc tự quyết định thực hiện nâng cấp theo yêu cầu của người sử dụng để đảm bảo không bị gián đoạn công việc do quá trình nâng cấp. Sau đó, máy tính sẽ thông báo đến người sử dụng khi có bản cập nhật mới. Người sử dụng sẽ click vào thông báo để thực hiện việc cập nhật. Bước 5: Cài đặt phần mềm diệt virus Phần mềm diệt virus là lớp lá chắn quan trọng bảo vệ người sử dụng khỏi các mã độc và virus. Do đó, cần có chương trình diệt virus để bảo vệ người dùng ngay trong các hoạt động đầu tiên của người sử dụng trên máy tính. Trên thị trường có nhiều hãng cung cấp giải pháp diệt virus, người sử dụng có thể lựa chọn giải pháp miễn phí hoặc các giải pháp thương mại.

Một số hãng phần mềm diệt virus nước ngoài

Ngoài ra, người dùng có thể cân nhắc sử dụng các phần mềm diệt virus của Việt Nam sản xuất như BKAV hay CMC. Các phần mềm này đều có các phiên bản miễn phí với chức năng hạn chế cho người sử dụng. Một số phần mềm diệt viruscó thể đính kèm các chức năng khác như tường lửa, IDS cá nhân,... Do đó, việc cài đặt các chương trình này cũng như kích hoạt việc bảo vệ của các chương trình là cần thiết để bảo vệ người sử dụng khỏi các tấn công của virus, mã độc trong quá trình sử dụng máy tính của người sử dung.


40

Việc có ít nhất một phần mềm diệt mã độc là rất cần thiết và nên được cài đặt trước khi kết nối máy tính vào mạng Internet hoặc copy dữ liệu từ một máy tính khác.

II. Phòng chống lừa đảo trực tuyến Để có thể tự bảo vệ mình khỏi các tình huống gian lận hoặc lừa đảo trên mạng, người dùng nên trang bị cho mình một số kiến thức nhận biết và phòng ngừa. Có nhiều phương thức lừa đảo trực tuyến, tuy nhiên hiện nay phổ biến các phương thức sau: 1. Lừa đảo qua Email Nội dung phổ biến của các email lừa đảo chủ yếu là: thông báo về việc người dùng đã trúng thưởng, thông báo tài khoản ngân hàng đã bị khóa, thông báo các giao dịch trên thẻ tín dụng, yêu cầu người dùng cung cấp thông tin cá nhân,…. 1.1 Cách nhận biết thư lừa đảo Các nội dung thư điện tử lừa đảo được tin tặc sử dụng rất phong phú, dưới đây là một số đặc điểm nhận dạng các email lừa đảo: - Yêu cầu người dùng cung cấp thông tin cá nhân, thông tin tài khoản truy cập. - Đưa thông tin về các giải thưởng, sự kiện cho người dùng. - Các tin liên quan đến các vấn đề nóng trong xã hội tại thời điểm hiện tại. - Gửi các tập tin đính kèm, các tập tin có thể liên quan đến công việc, tuyển dụng hay các thông tin về lĩnh vực mà người sử dụng quan tâm. - Thư chỉ là những hình ảnh, bấm vào bất kỳ vùng nào trong ảnh (email) đó đều có thể dẫn đến trang web để dụ người dùng đăng nhập thông tin cá nhân hoặc bị nhiễm mã độc. - Thư chứa nhiều thông tin bôi đậm. - Thư với những lời chào hỏi, làm quen chung chung không chi tiết. Thường bắt đầu theo kiểu “chào bạn”, “chào anh/chị”, “Dear Friend”. - Gửi một tập tin HTML của 1 form đăng nhập trang thanh toán, login của ngân hàng, website nổi tiếng. 1.2. Cách phòng tránh Còn nhiều mánh khóe tinh vi khác có thể sẽ được tin tặc sử dụng, với mỗi thư điện tử nhận được, người dùng hãy kiểm tra kỹ địa chỉ người gửi, thông thường với các địa chỉ thư lừa đảo sẽ được ngụy trang gần giống với một địa chỉ thư điện tử mà người sử dụng tin tưởng. Tuyệt đối không trả lời các thư điện tử được gửi từ nước ngoài nhờ giúp đỡ chuyển tiền, hứa hẹn về việc sẽ trích một khoản thù lao nhưng cũng yêu cầu người dùng phải gửi thông tin tài khoản ngân hàng để chi trả các khoản phụ phí khác.


41


40

Không nhấn vào bất kỳ liên kết hay mở bất kỳ tệp tin đính kèm nào nếu không biết chính xác người gửi hoặc chưa quét qua các công cụ diệt mã độc. Cuối cùng với tất cả các thư điện tử lừa đảo, thông báo tới nhà cung cấp dịch vụ và hãy xóa khỏi trong hòm thư, phổ biến cho đồng nghiệp, bạn bè, người thân và mọi người biết về thư này và các hình thức lừa đảo tương tự để phòng tránh. 2. Lừa đảo qua các trang web giả mạo Thông thường, lừa đảo để chiếm đoạt tài khoản ngân hàng sẽ được thực hiện thông qua các thư điện tử, diễn đàn hoặc mạng xã hội. Tin tặc sẽ gửi các thư lừa đảo, giả mạo là ngân hàng để thông báo tới người sử dụng về việc cập nhật thông tin cá nhân hoặc thông báo có giao dịch bất thường. Các thư điện tử này sẽ có đường liên kết tới trang web giả mảo của ngân hàng đó, khi người sử dụng truy cập trang web lừa đảo và đăng nhập, toàn bộ thông tin sẽ được chuyển về cho tin tặc. 2.1. Dấu hiệu cảnh bảo lừa đảo Các thư điện tử, bài viết trên diễn đàn hoặc mạng xã hội với các nội dung dưới đây có thể là lừa đảo: - Địa chỉ thư điện tử có dấu hiệu khả nghi, thông thường sẽ sử dụng tên miền gần giống với ngân hàng của người dùng, chẳng hạn như: [email protected] (thiếu chữ o, hoặc thay chữ o bằng số 0). - Lời chào hỏi ban đầu không sử dụng của người dùng mà chỉ ghi chung chung như: Thưa quý khách hàng. Tuy nhiên, một số trường hợp có thể sử dụng tên của người dùng nếu tin tặc thu thập đủ thông tin. - Các địa chỉ liên kết không chính xác, hoặc cố tình bị che giấu, khi truy về địa chỉ gốc, sẽ có dạng: tên-ngân-hàng.vn.abcxyz.com. - Thư điện tử thông báo tình trạng khẩn cấp, nếu không thực hiện ngay, tài khoản sẽ bị chiếm đoạt. Ngân hàng (công ty) sẽ không chịu trách nhiệm pháp lý với tài khoản của bạn nếu bạn bỏ qua email này. 2.2. Cách phòng tránh Cách phòng tránh duy nhất là: Không bao giờ nhấn vào liên kết ngân hàng được gửi trong thư điện tử, các diễn đàn hay mạng xã hội. Hãy nhập địa chỉ trang web của ngân hàng ngay trên chính thanh địa chỉ trình duyệt. 3. Lừa đảo trên mạng xã hội Gần đây, một số tin tặc đã sử dụng phương thức lừa đảo bằng cách lập một ứng dụng có giao diện giống với trang web xác minh tài khoản của các trang mạng xã hội nhằm đánh cắp tài khoản của người dùng. Đây là một thủ đoạn lừa đảo hết sức tinh vi vì ứng dụng trên mạng xã hội như Facebook hay Twitter đang rất phổ biến, người sử dụng cần cảnh giác để tránh bị chiếm đoạt tài khoản mạng xã hội.


42

Để dễ dụ dỗ người dùng sập bẫy, tin tặc sẽ tin nhắn hoặc viết bài lên trên trang cá nhân của người dùng với nội dung dụ dỗ người đọc nhấp vào đường link chứa mã độc đi kèm, những đoạn quảng cáo nguy hiểm này thường giả vờ một đoạn video liên quan đến nạn nhân hoặc một bài báo viết về họ. Khi truy cập vào các liên kết lừa đảo, người dùng được hướng dẫn nhập địa chỉ email hoặc số điện thoại, mật khẩu và câu trả lời cho câu hỏi an ninh. Các thông tin này sau đó sẽ được gửi trực tiếp đến tin tặc. Thậm chí, tinh vi hơn, trong trường hợp người dùng nghi ngờ, cố tình gõ sai tên đăng nhập và mật khẩu để kiểm tra tính hợp pháp của việc xác minh, website này sẽ hiển thị một thông báo lỗi giả. Qua đó, người dùng sẽ tin tưởng khai báo thông tin cá nhân của mình hơn. Khi nhập lại thông tin lần thứ hai, nạn nhân sẽ được yêu cầu chờ 24 giờ để xác nhận. Trong thời gian đó, tin tặc có thể truy cập vào tài khoản của nạn nhân hoặc bántài khoản cho kẻ xấu để sử dụng vào các mục đích khác như gửi thư rác hoặc gian lận. Tài khoản bị cướp cũng có thể được sử dụng để thu hút bạn bè của nạn nhân đến trang lừa đảo. 3.1. Dấu hiệu lừa đào - Khi truy cập vào địa chỉ lừa đảo, thường sẽ yêu cầu thực hiện thêm một số bước, chẳng hạn như cho phép thực hiện thêm một số chức năng hay chia sẻ lại thông điệp. - Nội dung gây sốc hoặc gây tò mò - Hứa hẹn những điều mà các trang mạng xã hội không có tính năng đó hoặc không bao giờ làm (xem ai ghé thăm nhiều nhất, ai là bạn bè thân thiết nhất,…) 3.2. Cách phòng chống - Tìm hiểu về ứng dụng hoặc bài viết trước khi truy cập và cài đặt thông qua cụm từ “tên-ứng-dụng/nội-dung-quảng-cáo - lừa đảo”. Ví dụ: “ai xem tường của bạn nhiều nhất - lừa đảo”. - Tìm hiểu về các tính năng của trang mạng xã hội để biết những chức năng mà nhà cung cấp có và những chức năng đáng ngờ mà tin tặc có thể lợi dụng. - Kiểm tra quyền truy cập của các ứng dụng trên mạng xã hội, đặc biệt lưu ý các quyền truy cập tới thông tin cá nhân, cho phép viết lên trang của bạn bè, cho phép gửi tin nhắn tới bạn bè,… 4. Mã độc Ransomware Giống như các phần mềm độc hại khác, Ransomware có thể xâm nhập vào máy tính của người sử dụng khi: sử dụng các phần mềm bẻ khóa,


43


42

truy cập web đen, đồi trụy, truy cập vào website giả mạo, tải và cài đặt phần mềm không rõ nguồn gốc, tệp đính kèm qua thư rác,… Có 02 loại ransomware phổ biến: - Ransomware khóa màn hình: Sẽ khóa máy tính của nạn nhân và hiển thị thông báo của cơ quan thực thi pháp luật cáo buộc người dùng đã vi phạm và máy tính sẽ bị khóa cho tới khi trả tiền phạt. - Ransomware mã hóa tệp tin: Mã hóa các tệp tin của người dùng và hiển thị thông báo tệp tin đã bị mã hóa và yêu cầu người dùng thanh toán trong một khoảng thời gian trước khi mức tiền chuộc tăng lên. 4.1. Cách phòng tránh - Không mở các thư điện tử hay tệp tin đính kèm đáng ngờ - Luôn cập nhật các trình duyệt và phần mềm diệt mã độc - Để hạn chế mất mát, sao lưu dữ liệu quan trọng thường xuyên sang ổ cứng ngoài hoặc các dịch vụ lưu trữ đám mây. 4.2. Cách xử lý khi bị ransomware Việc xử lý tùy thuộc vào loại ransomware và hệ điều hành của máy tính nhưng bước mấu chốt cần làm là ngắt kết nối mạng để hạn chế sự lây lan Với ransomware màn hình khóa: Hãy chạy phần mềm diệt mã độc để xóa các ransomware này hoặc ít nhất, phần mềm diệt mã đọc cũng sẽ nhận được chỉ dẫn để loại bỏ nguy hiểm này. Với ransomware mã hóa tệp tin: Nếu các hình ảnh, video, bảng tính hay tài liệu quan trọng của bạn đã được sao lưu bảo mật thì bạn không cần phải trả tiền cho tin tặc. Chỉ cần rà quét bằng chương trình diệt mã độc và khôi phục lại bản sao lưu trên máy tính. Trong trường hợp không sao lưu và toàn bộ tệp tin đã bị mã hóa, đối với một số ransomware nhất định đã có các công cụ để khôi phục dữ liệu, hãy liên hệ với bộ phận chuyên trách về an toàn thông tin để được trợ giúp.

III. Bảo đảm an toàn thông tin khi sử dụng mạng xã hội

Mạng xã hội là một dạng xã hội ảo, mục đích kết nối các thành viên cùng môi trường, công việc sở thích trên mạng với nhau. Cho phép người dùng chia sẻ và giao lưu thông tin một cách hiệu quả. Mạng xã hội có những tính năng như chat, e-mail, phim ảnh, chia sẻ file, blog và xã luận. Các dịch vụ này có nhiều phương cách để các thành viên tìm kiếm bạn bè, đối tác: dựa theo nhóm (ví dụ như tên trường hoặc tên thành phố), dựa trên thông tin cá nhân (như địa chỉ e-mail hoặc tên tài khoản), hoặc dựa trên sở thích cá nhân (như thể thao, phim ảnh, sách báo, hoặc ca nhạc), lĩnh vực quan tâm: kinh doanh, mua bán...


44

Hiện nay, trên thế giới có hàng trăm mạng mạng xã hội khác nhau, với MySpace và Facebook nổi tiếng nhất trong thị trường Bắc Mỹ và Tây Âu; Orkut và Hi5 tại Nam Mỹ; Friendster tại Châu Á và các quốc đảo Thái Bình Dương. Mạng xã hội khác gặt hái được thành công đáng kể theo vùng miền như Bebo tại Anh Quốc, CyWorld tại Hàn Quốc, Mixi tại Nhật Bản và tại Việt Nam xuất hiện rất nhiều các mạng xã hội như: Zing Me, YuMe, Tamtay... Các trang mạng xã hội đều được sở hữu bởi các hãng thương mại tư nhân và họ kiếm tiền bằng cách thu thập thông tin dữ liệu về các cá nhân và bán các thông tin này cho các đơn vị quảng cáo. Khi gia nhập một mạng xã hội, người dùng đang rời bỏ sự tự do của mạng Internet và bước vào mạng kết nối chịu sự chi phối và điều khiển bởi tổ chức sở hữu mạng này. Các thiết lập cài đặt bảo mật sự riêng tư chỉ có nghĩa là sự riêng tư của người dùng được bảo vệ khỏi các thành viên khác trong mạng chứ không bảo vệ thông tin khỏi chính nhà cung cấp dịch vụ mạng xã hội này. Thực tế người dùng đang tin tưởng trao toàn bộ thông tin dữ liệu bản thân của mình cho nhà cung cấp mạng xã hội. 1. Mạng xã hội có an toàn không? Như xã hội ở đời thật, không một mạng xã hội trên Internet, thế giới ảo hay trò chơi trực tuyến nào đảm bảo được 100% an toàn cho người sử dụng. Trong khi mạng xã hội được xem là phương tiện giao tiếp tốt với mọi người thì nó cũng trở thành đích ngắm với tội phạm mạng. Các hãng bảo mật lớn đã quan sát được làn sóng đe dọa trực tuyến ngày càng tăng lợi dụng mạng xã hội để đánh cắp thông tin sử dụng cho mục đích kiếm tiền. Những đe dọa này ngày càng phức tạp hơn, khó phát hiện hơn và thường nhằm vào lối sống “kết mạng trực tuyến” của mọi người. 2. Các rủi ro khi sử dụng mạng xã hội Mạng xã hội hoạt động trên nguyên tắc kết nối và chia sẻ thông tin. Do vậy, các mạng xã hội sẽ bắt buộc người sử dụng phải cung cấp một số thông tin nhất định về thông tin cá nhân. Càng nhiều thông tin mà người sử dụng cung cấp lên mạng xã hội, càng làm tăng nguy cơ bị kẻ xấu lợi dụng, làm ảnh hưởng tới hình ảnh, uy tín của bản thân. Sử dụng các thông tin đưa lên mạng xã hội như: vị trí địa lý, sở thích cá nhân, danh sách bạn bè, kẻ xấu có thể khai thác thêm các thông tin cá nhân khác hoặc các dữ liệu tài chính, ngân hàng của người dùng. 3. Làm sao để bảo vệ bản thân trên mạng xã hội?Internet là một mạng công cộng được kết nối toàn cầu, chỉ đưa những thông tin lên mạng khi mình thấy thoải mái cho mọi người có thể đọc, xem được những thông tin này. Khi công khai thông tin cá nhân trên


45


44

mạng xã hội, người sử dụng cần xác định những thành viên khác trên mạng xã hội và Internet đều có thể lấy được nhưng thông tin này, kể cả trường hợp những thông tin này đã được xoá, chỉnh sửa thì các bản lưu có thể tồn tại ở máy tính của người sử dụng khác. Do vậy, cần giới hạn lượng thông tin cá nhân mà mình cung cấp lên mạng xã hội, cố gắng hạn chế công khai các thông tin có tính liên kết, xâu chuỗi với nhau. 4. Bảo mật thông tin cá nhân trên mạng Không tiết lộ số điện thoại, địa chỉ thực tế, lịch công tác, thông tin liên quan tới công việc của mình tại cơ quan... Đặt chế độ cá nhân hoặc chỉ bạn bè thân thiết và tin cậy mới có thể xem để tránh trường hợp kẻ xấu có thể lợi dụng khai thác thông tin của mình vào mục đích xấu hoặc sử dụng những thông tin đó uy hiếp, đe dọa. Sử dụng mật khẩu khó dò tìm, khó đoán và luôn giữ bí mật mật khẩu, tuyệt đối không chia sẻ cho ai khác. 5. Tạo dựng uy tín bản thân trên mạng - Xin phép bạn bè mình trước khi đăng tải những bức ảnh và các câu chuyện của họ. Tôn trọng người khác trong cộng đồng mạng. - Suy nghĩ và cân nhắc kỹ về những gì viết và đăng trên mạng. - Thể hiện sự tôn trọng người khác trong giao tiếp, ứng xử trên mạng. - Đăng ảnh phù hợp lên mạng. Không đăng những hình ảnh hở hang, mang tính khiêu dâm hoặc mang tính chất bạo lực lên mạng. Kẻ xấu có thể sử dụng những bức hình đó cho những mục đích không tốt đẹp. Mạng xã hội NÊN: Sử dụng các trình duyệt web phổ biến đã được cập nhật để truy cập mạng xã hội và Internet, thường xuyên theo dõi lịch sử truy cập để phát hiện các truy cập bất thường. Chỉ kết bạn với những người thân, quen biết ở ngoài đời. Xác minh với bạn bè, người thân qua điện thoại hoặc gặp mặt trước khi kết bạn trên mạng xã hội. Thường xuyên kiểm tra cơ chế bảo vệ thông tin cá nhân của mạng xã hội đối với tài khoản của mình. Kiểm tra các thông tin của tài khoản mà bạn bè, người lạ có thể thấy khi truy cập vào tài khoản của mình. Mạng xã hội KHÔNG NÊN: Đăng tải hoặc tag ảnh cá nhân hoặc người thân trong gia đình ở góc gần, chính diện.


46

Sử dụng cơ chế tự động đăng tải ảnh trên máy điện thoại di động, cho phép gắn vị trí địa lý vào các ảnh đã chụp. Sử dụng ảnh chân dung, ảnh cá nhân làm hình đại diện trên mạng xã hội, thay vào đó, nên sử dụng ảnh hoạt hình hoặc các biểu tượng, ảnh minh hoạ khác. 6. Hướng dẫn thiết lập chế độ an toàn cho tài khoản Facebook Thiết lập chế độ riêng tư Các mục (1) Quyền riêng tư, (2) Dòng thời gian và gắn thẻ, (3) Bảo mật, (4) Quảng cáo đều chứa các tùy chỉnh liên quan tới thông tin cá nhân. Sử dụng các tùy chỉnh này để tăng cường an toàn cho tài khoản Facebook (1) Trong phần Quyền riêng tư, giới hạn người xem cho các bài viết trong tương lai tại phần “Ai có thể thấy các bài đăng sau này của bạn?”. Kiểm tra các hoạt động của tài khoản Facebook tại mục “Sử dụng nhật ký hoạt động”. Ẩn các bài viết cá nhân tại dòng thời gian hoặc thiết lập chế độ chỉ cho phép Bạn bè đọc.

(2) Click vào Dòng thời gian và gắn thẻ > “Xem với tư cách là” để thấy được những thông tin cá nhân của mình hiện thị với Bạn bè, người lạ trên Facebook như thế nào.

(3) Truy cập Bảo mật > “Địa điểm bạn đã đăng nhập” để xem xét các truy cập đối với tài khoản Facebook của mình. Khi xuất hiện các truy cập bất thường, click vào “kết thúc hoạt động” để ngăn chặn.

(4) Thiết lập “Quảng cáo với hoạt động xã hội của tôi” tại mục “Quảng cáo” về chế độ “chỉ bạn bè tôi”.


47


46

CHỈ ĐẠO BIÊN SOẠN

NGUYỄN THANH HẢICỤC TRƯỞNG CỤC AN TOÀN THÔNG TIN

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

SỔ TAY AN TOÀN THÔNG TIN CHO CÁN BỘ, CÔNG CHỨC, VIÊN CHỨC

LƯU HÀNH NỘI BỘ

In 1265 cuốn tại Công ty TNHH In và Thương mại Thái Hà, 37 Trần Quang Diệu, phường Ô Chợ Dừa, quận Đống đa, Hà Nội.

Giấy phép số 28/GP-CXBIPH do Cục Xuất bản In và Phát hành cấp

ngày 14 tháng 9 năm 2016

mục lụcfiles.ais.gov.vn/portal/attt/source_files/2017/05/26... · 2017-05-26 · e rằng tổn...

Documents