MỤC LỤC

Chương 1: Tổng quan về ATTT 4

1.1. Giới thiệu khái niệm về ATTT 4
1.2. Các yếu tố xác lập ATTT của hệ thống 4
1.2.1. Tính bí mật 5
1.2.2. Tính toàn vẹn 5
1.2.3. Tính sẵn sàng 6
1.2.4. Tính xác thực 6
1.2.5. Tính chống chối bỏ (Non-repudiation) 7
1.3. Mô hình an toàn mạng 7
1.4. Tình hình ATTT tại Việt Nam và trên thế giới. 7
1.4.1 Tại Việt Nam 7
1.4.2 Trên thế giới 11
1.5. Các hình thức tấn công mạng máy tính 15
1.5.1. Tấn công mạng sử dụng phần mềm độc hại – Malware 15
1.5.2. Tấn công giả mạo (Phishing) 16
1.5.3. Tấn công từ chối dịch vụ (Dos và DDoS) 17
1.5.4. Tấn công trung gian (Man-in-the-middle attack) 19
1.5.5. Khai thác lỗ hổng Zero-day (Zero day attack) 20
1.6. Hậu quả từ các cuộc tấn công mạng. 21
Chương 2: Các giải pháp đảm bảo ATTT 22
2.1 Vai trò của mã hoá dữ liệu trong đảm bảo ATTT 22
2.1.1 Cơ chế áp dụng mã hóa thông tin trên đường truyền 22
2.1.2 Vai trò của mật mã trong việc bảo mật thông tin trên mạng 24
2.1.3 Bả o vệ hệ tho, ng khỏ i sự xâ m nhậ p phá hoạ i từ bê n ngoà i 25
2.1.4 Lỗ hổng bảo mật và phương pháp phát hiện 27
2.2 Vai trò của ATTT trong hệ thống mạng máy tính và Internet 33
2.2.1. Vai trò của Tường lửa trong hệ thống mạng máy tính 33
 2.2.2 Bảo mật hệ thống mạng LAN 34
2.2.3 Bảo mật hệ thống mạng không dây – WLAN 38
2.2.4 Bảo mật hệ thống thư điện tử 40
2.2.5 Bảo mật hệ thống dịch vụ Internet 43
2.3 Vai trò của ATTT trong phát triển phần mềm 48
2.3.1 Lỗ hổng phần mềm 48
2.3.2 Lập trình an toàn 51
2.3.3 Xây dựng phần mềm đảm bảo ATTT 55
2.4. Cơ chế bảo vệ theo chiều sâu 55
Chương 3: Đảm bảo ATTT khi sử dụng các dịch vụ mạng 58
3.1 Chính sách riêng tư và quyền lợi người dùng 58
3.2 ATTT trong sử dụng mạng xã hội 58
3.3 ATTT trong sử dụng máy tính và mạng Internet 59
3.4 ATTT trong quản lý tài khoản cá nhân 64
3.5 ATTT trong ứng dụng di động, các hình thức tấn công 65
3.6 Phần mềm độc hại và cách phòng chống 67
3.7 Hình thức lừa đảo trên không gian mạng 72
Chương 4: Chính sách về ATTT 74
4.1 Chính sách và quy định về ATTT 74
4.1.1 Đào tạo và phát triển nguồn nhân lực ATTT 74
4.1.1 Tuyên truyền, nâng cao nhận thức và phổ biến kiến thức về an toàn thông tin
giai đoạn 2021 – 2025 75
4.2 Luật công nghệ thông tin Việt Nam 77
4.2.1 Sự cần thiết ban hành luật công nghệ thông tin năm 2006 77
4.2.2 Quan điểm xây dựng luật công nghệ thông tin 81
4.3 Luật An toàn thông tin mạng. 82
4.3.1 Phân loại thông tin 83
4.3.2 Quản lý gửi thông tin 84
4.3.3 Phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại 84
 4.3.4 Bảo đảm an toàn tài nguyên viễn thông 85
4.3.5 Ứng cứu sự cố an toàn thông tin mạng 85
4.3.6 Ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia 86
4.3.7 Trách nhiệm của cơ quan, tổ chức, cá nhân trong bảo đảm an toàn thông tin
mạng 86
4.4 Luật An ninh mạng 87
4.4.1 Ý nghĩa, tác dụng của việc ban hành Luật An ninh mạng 87
4.4.2 Điểm Nổi bật của Luật An ninh mạng 2018 90
4.5 Một số luật, quy định tương đương trên thế giới 95
4.5.1 Luật lệ về an ninh mạng của EU 95
4.5.2 Các yếu tố cấu tạo nên luật an ninh mạng trong EU 96
4.6. Tiêu chuẩn an toàn thông tin 99
4.6.1 Khái niệm tiêu chuẩn và quy chuẩn kỹ thuật 99
4.6.2 Quá trình hình thành các Tiêu chuẩn An toàn thông tin 100
4.7. Chuyển đổi số 106
4.7.1 Xu thế chuyển đổi số hiện nay 107
4.7.2 Đảm bảo ATTT trong CĐS. 110
 Chương 1: Tổng quan về ATTT

1.1. Giới thiệu khái niệm về ATTT

An toàn thông tin (ATTT) được hiểu là một hành động nhằm ngăn chặn, phòng
ngừa hoặc ngăn cản sự truy cập bất hợp pháp của cá nhân hay tập thể vào hệ thống
mạng máy tính hoặc dữ liệu mang tính chất riêng tư của cá nhân hay tổ chức nào đó.
Điều đó cũng đồng nghĩa với việc vi phạm sử dụng, chia sẻ thông tin, tiết lộ, phát tán, phá
hủy hoặc ghi lại những thông tin khi chưa được sự cho phép của chủ sở hữu. An toàn thông
tin ngày nay được coi là vấn đề đáng lưu tâm hàng đầu của xã hội, là một vấn đề ảnh hưởng
đến các ngành kinh tế, khoa học – kỹ thuật và xã hội.

Đảm bảo An toàn thông tin chính là việc bảo vệ thông tin và hệ thống thông tin nói
chung khỏi các truy cập trái phép, sử dụng, làm lộ, làm hỏng, chỉnh sửa, ghi chép không
được phép. Những khái niệm thường được sử dụng rộng rãi hiện nay như: an toàn thông
tin mạng (Information Security), an toàn máy tính (Computer Security), đảm bảo thông tin
(Information Assurance) được sử dụng hoán đổi cho nhau và có thể coi như gần nghĩa với
nhau. Tuy nhiên lại có một số khác biệt giữa chúng, sự khác nhau chính đó là cách tiếp cận
vấn đề, phương pháp thực hiện và phạm vi quan tâm của mỗi lĩnh vực. An toàn thông tin
quan tâm đến khía cạnh bí mật, toàn vẹn, sẵn sàng của dữ liệu không quan tâm đến hình
thức của dữ liệu: điện tử, bản in, hoặc các dạng khác. An toàn máy tính tập trung vào việc
đảm bảo tính sẵn sàng và hoạt động đúng đắn của hệ thống máy tính mà không quan tâm
đến thông tin được lưu trữ, xử lý bởi chúng. Đảm bảo thông tin tập trung vào lý do đảm
bảo rằng thông tin được bảo vệ và vì thế nó là lý do để thực hiện an toàn thông tin.

Vai trò của An toàn thông tin?

Từ chính phủ, quân đội, các tập đoàn, bệnh viện, cơ sở kinh doanh…đến người dùng
đều có những thông tin bí mật riêng về khách hàng, nhân viên, sản phẩm, nghiên cứu…
Hầu hết các thông tin đó hiện nay đều được thu thập, xử lý và lưu trữ bởi máy vi tính, trung
tâm dữ liệu. Dữ liệu đó cũng có thể được chuyển qua mạng để về trung tâm lưu trữ, đến
các nhánh công ty con, hoặc gửi cho bạn bè, người thân…Nếu thông tin đó lọt vào tay đối
thủ cạnh tranh thì cực kỳ nguy hiểm.

Vì thế, bảo vệ thông tin trở thành một yêu cầu không thể thiếu trong mọi hoạt động
nói chung và hoạt động điện tử nói riêng. An toàn thông tin trong thời đại số là quan trọng
hơn bao giờ hết.

1.2. Các yếu tố xác lập ATTT của hệ thống

Một hệ thống được coi là an toàn cần phải được đánh giá theo nhiều khía cạnh như:
phần cứng, phần mềm, dịch vụ cung cấp, người dùng trong hệ thống, chính sách pháp
lý…Chính vì vậy, việc đánh giá ATTT hiểu theo nghĩa rộng nhất là quá trình đánh giá mức
độ an toàn của thông tin cần được bảo vệ, mà trung tâm của nó chính là dữ liệu trong hệ
thống. Các yếu tố đảm bảo ATTT có liên quan nội bộ với nhau, thường xuyên chia sẻ
những mục đích chính của việc bảo vệ các khía cạnh tính bí mật (Confidentiality), toàn vẹn
(Integrity) và tính sẵn sàng (Availability) của thông tin. Đây là các khái niệm cơ bản, cốt
lõi của an toàn thông tin

Hình 1: Tam giác bảo mật CIA

1.2.1. Tính bí mật

Bí mật là thuật ngữ được sử dụng để tránh lộ thông tin đến những đối tượng không
được xác thực hoặc để lọt vào các hệ thống khác. Ví dụ: một giao dịch tín dụng qua Internet,
số thẻ tín dụng được gửi từ người mua hàng đến người bán, và từ người bán đến nhà cung
cấp dịch vụ thẻ tín dụng. Hệ thống sẽ cố gắng thực hiện tính bí mật bằng cách mã hóa số
thẻ trong suốt quá trình truyền tin, giới hạn nơi nó có thể xuất hiện (cơ sở dữ liệu, log file,
sao lưu (backup), in hóa đơn…) và bằng việc giới hạn truy cập những nơi mà nó được lưu
lại. Nếu một bên không được xác thực (ví dụ người dùng không có trong giao dịch,
hacker…) lấy số thẻ này bằng bất kì cách nào, thì tính bí mật không còn nữa.

1.2.2. Tính toàn vẹn

Trong an toàn thông tin, toàn vẹn có nghĩa rằng dữ liệu không thể bị chỉnh sửa mà
không bị phát hiện. Nó khác với tính toàn vẹn trong tham chiếu của cơ sở dữ liệu, mặc dù
nó có thể được xem như là một trường hợp đặc biệt của tính nhất quán như được hiểu trong
hô hình cổ điển ACID (tính nguyên tử (atomicity), tính nhất quán (consistency), tính tính
cách ly (isolation), tính lâu bền (durability) – là một tập các thuộc tính đảm bảo rằng cơ sở
dữ liệu đáng tin cậy) của xử lý giao dịch. Tính toàn vẹn bị xâm phạm khi một thông điệp
bị chỉnh sửa trong giao dịch. Hệ thống thông tin an toàn luôn cung cấp các thông điệp toàn
vẹn và bí mật.

Tính bí mật rất cần thiết (nhưng chưa đủ) để trì sự riêng tư của người có thông tin
được hệ thống lưu giữ.

1.2.3. Tính sẵn sàng

Mọi hệ thống thông tin đều phục vụ mục đích riêng của nó và thông tin phải luôn
luôn sẵn sàng khi cần thiết. Điều đó có nghĩa rằng hệ thống tính toán sử dụng để lưu trữ và
xử lý thông tin, có một hệ thống điều khiển bảo mật sử dụng để bảo vệ nó, và kênh kết nối
sử dụng để truy cập nó phải luôn hoạt động chính xác. Hệ thống có tính sẵn sàng cao hướng
đến sự sẵn sàng ở mọi thời điểm, tránh được những rủi ro cả về phần cứng, phần mềm như:
sự cố mất điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống… đảm bảo tính sẵn sàng
cũng có nghĩa là tránh được tấn công từ chối dịch vụ.

Ngoài các tính chất ở trên, có rất nhiều cuộc tranh luận về việc mở rộng tam giác
này thành nhiều yếu tố hơn. Những nguyên lý như: tính trách nhiệm (Accountability) đôi
khi được đề xuất thêm vào nguyên lý cơ bản. Thực tế đã chỉ ra rằng ví dụ như tính không
thể chối cãi (Non – Repudiation) không thể biểu diễn bởi tam giác trên, và với sự phát triển
của hệ thống máy tính như hiện nay, vấn đề pháp lý (Legality) cũng trở thành một nhân tố
rất quan trọng.

Trong năm 1992 và sửa đổi năm 2002, hướng dẫn của tổ chức OECD về bảo mật
cho các hệ thống thông tin và mạng đã để xuất 9 nguyên tắc cơ bản sau: tính nhận thức
(Awareness), tính trách nhiệm (Responsibility), tính phản hồi (Response), đạo đức (Ethics),
tính dân chủ (Democracy), đánh giá rủi ro (Risk Assessment), thiết kế bảo mật và thực thi,
quản lý bảo mật, và đánh giá lại (Reassessment). Tiếp nối từ đó, năm 2004, tổ chức NIST
đã đưa ra các luật bảo mật thông tin, trong đó đề xuất 33 nguyên tắc.

Năm 2002, Donn Parker đã đề xuất một mô hình tương đường với tam giác CIA,
được gọi là 6 nhân tố cơ bản của thông tin. Các nhân tố đo là: bí mật (confidentiality), sở
hữu (possession), toàn vẹn (integrity), xác thực (authenticity), sẵn sàng (availability) và
tiện ích (utility).

1.2.4. Tính xác thực

Trong hoạt động tính toán, kinh doanh qua mạng và an toàn thông tin, tính xác thực
là vô cùng cần thiết để đảm bảo rằng dữ liệu, giao dịch, kết nối hoặc các tài liệu (tài liệu
điện tử hoặc tài liệu cứng) đều là thật (genuine). Nó cũng quan trọng cho việc xác nhận
rằng các bên liên quan biết họ là ai trong hệ thống.

1.2.5. Tính chống chối bỏ (Non-repudiation)

Không thể chối bỏ có nghĩa rằng một bên giao dịch không thể phủ nhận việc họ đã
thực hiện giao dịch với các bên khác. Ví dụ: trong khi giao dịch mua hàng qua mạng, khi
khách hàng đã gửi số thẻ tín dụng cho bên bán, đã thanh toán thành công, thì bên bán không
thể phủ nhận việc họ đã nhận được tiền, (trừ trường hợp hệ thống không đảm bảo tính an
toàn thông tin trong giao dịch).

1.3. Mô hình an toàn mạng

1.4. Tình hình ATTT tại Việt Nam và trên thế giới.
Trong những năm gần đây, Việt Nam nổi lên như một điểm sáng của sự phát triển
công nghệ trên bản đồ thế giới, số lượng người sử dụng Internet tại Việt Nam luôn thuộc
top những quốc gia trên thế giới. Tuy nhiên, điều đó cũng dẫn tới tình hình an toàn thông
tin tại Việt Nam trở thành điểm nóng của các cuộc tấn công mạng, lây nhiễm mã độc máy
tính, phát triển các mạng botnet, tấn công APT vào các hạ tầng mạng trọng yếu như các cơ
quan nhà nước…

1.4.1 Tại Việt Nam

Tình hình An ninh mạng Việt Nam trong năm 2021: Tấn công ngày càng phức tạp
với nhiều thủ đoạn tinh vi. Tội phạm mạng đã sử dụng nhiều loại mã độc cải tiến, tập trung
nhằm vào các cơ quan tổ chức doanh nghiệp. Tại hội thảo và triển lãm quốc tế về an toàn
không gian mạng (Vietnam Security Summit 2021), các chuyên gia an ninh mạng nhận
định Việt Nam vẫn là nước có tỷ lệ nhiễm mã độc và hứng chịu những cuộc tấn công mạng
thuộc nhóm cao trên thế giới, các hoạt động vi phạm trên không gian mạng cũng có chiều
hướng gia tăng.

Tại sự kiện Summit năm 2021, ông Sam Cheng Qingjun - Giám đốc quan hệ công
chúng và các vấn đề Chính phủ của Huawei chia sẻ năm 2020 cả thế giới chứng kiến các
lỗ hổng bảo mật và các cuộc tấn công mạng đạt mức cao mới về số lượng và quy mô. Các
sự cố về mã độc tiền chuộc và rò rỉ dữ liệu liên tục xuất hiện. Theo WHO, số lượng tấn
công mạng trong năm 2020 đã tăng gấp 5 lần so với năm 2019 và theo khảo sát của Gartner,
61% các giám đốc công nghệ cho biết sẽ tăng cường đầu tư vào mạng và bảo mật thông
tin.
 Việt Nam trong những năm gần đây đang đối mặt với nhiều thách thức nguy cơ an
ninh an toàn thông tin đến từ không gian mạng. Theo Global Cybersecurity Index 2020 về
chỉ số An toàn không gian mạng toàn cầu, Việt Nam đứng thứ 25/194 quốc gia.

Dữ liệu từ Cục An ninh mạng (Bộ Công an) cho thấy thời gian qua Việt Nam chịu
nhiều đợt tấn công nhằm vào các hệ thống thông tin quốc gia, phát tán thông tin sai sự thật
để lừa đảo, chiếm đoạt tài sản. Các thiết bị dễ bị tấn công nhất thường là điện thoại di động,
IoT.

Cuối tháng 6/2021, Liên minh Viễn thông quốc tế (ITU) đã công bố Báo cáo xếp
hạng chỉ số an toàn, an ninh mạng (ATANM) toàn cầu (GCI) năm 2020. Trong đó, Việt
Nam đã tăng 25 bậc so với năm 2018, vươn lên vị trí thứ 25 trong tổng số 194 quốc gia,
vùng lãnh thổ và đứng thứ 7 trong khu vực châu Á – Thái Bình Dương và thứ 4 trong khu
vực ASEAN.

Theo đánh giá, Việt Nam đạt tổng điểm 94,59/100, với sự cải thiện điểm ở cả 5 trụ
cột: Pháp lý, Kỹ thuật, Tổ chức, Phát triển năng lực và Hợp tác. Đáng chú ý, Việt Nam đạt
điểm tuyệt đối (20/20) ở trụ cột Pháp lý và Hợp tác.

Hình 2: Biểu đồ kết quả đạt được của Việt Nam 2020 theo 5 trụ cột của GCI
 Đây là nỗ lực lớn của Việt Nam trong một chặng đường dài với quyết tâm chính trị
của Đảng, Nhà nước đối với vấn đề đảm bảo ATANM; nỗ lực của các Bộ, ngành, địa
phương triển khai bảo đảm an toàn thông tin (ATTT) theo mô hình 4 lớp; vai trò Bộ Công
an và Bộ Thông tin và Truyền thông (Bộ TT&TT) để Việt Nam có một hành lang pháp lý
về ATANM cơ bản đầy đủ; sự phát triển của các doanh nghiệp ATANM Việt Nam, vai trò
tích cực của các doanh nghiệp viễn thông, Internet, công nghệ thông tin.

Hai năm qua do ảnh hưởng từ dịch COVID-19, người dùng chuyển dần các hoạt
động lên không gian mạng trực tuyến nhiều hơn. Mỗi ngày, trung bình một người Việt
Nam trực tuyến trên internet khoảng gần 7 giờ. Thời lượng này sẽ tiếp tục tăng lên, đồng
nghĩa với nguy cơ mất an toàn an ninh mạng sẽ cao hơn. Thống kê trên thế giới cho thấy,
có 900 cuộc tấn công mạng và 5 mã độc mới sinh ra trong mỗi giây. Mỗi ngày phát hiện
thêm 40 điểm yếu lỗ hổng an ninh mạng…

Theo thống kê, trong 10 tháng đầu năm nay đã có 7.249 cuộc tấn công mạng gây ra
sự cố vào các hệ thống thông tin tại Việt Nam. Đánh giá về tình hình thực hiện Nghị quyết
17 của Chính phủ về xây dựng Chính phủ điện tử trong tháng 10, Bộ Thông tin và Truyền
thông (TT&TT) cho biết, thời gian qua, công tác tổ chức kiểm tra, đánh giá, giám sát, bảo
đảm an toàn, an ninh mạng cho các hệ thống thông tin phục vụ Chính phủ điện tử tiếp tục
được đẩy mạnh.

Trong tháng 10-2021, Trung tâm Giám sát an toàn không gian mạng quốc gia
(NCSC) thuộc Bộ TT&TT đã ghi nhận 1.093 cuộc tấn công mạng gây ra sự cố vào các hệ
thống thông tin tại Việt Nam, tăng 1,77% so với tháng 9 và tăng 42,13% so với cùng kỳ
năm ngoái.

Tuy nhiên, số lượng địa chỉ IP Việt Nam nằm trong các mạng botnet trong tháng 10
đã giảm 11,32% so với tháng 9 và giảm 26,93% so với cùng kỳ năm ngoái.

Trước đó, hệ thống của NCSC cũng ghi nhận, 9 tháng đầu năm nay, có 6.156 cuộc
tấn công mạng gây ra sự cố vào các hệ thống thông tin tại Việt Nam, tăng 30,15% so với
cùng kỳ 9 tháng đầu năm 2020. Như vậy, tính chung 10 tháng đầu năm nay, tổng số cuộc
tấn công mạng gây ra sự cố vào các hệ thống thông tin tại Việt Nam là 7.249 cuộc.

Tại hội thảo chuyên đề “An toàn thông tin mạng cho hệ thống thông tin doanh
nghiệp trong thời kỳ chuyển đổi số” mới đây, các chuyên gia cũng chỉ ra rằng, cùng với sự
gia tăng hoạt động của người dùng trên không gian mạng, trong 2 năm gần đây, đã bùng
nổ tấn công lừa đảo nhắm trực tiếp vào người dùng Internet Việt Nam, đặc biệt là những
người dùng các dịch vụ tài chính, bảo hiểm...
 Theo ghi nhận từ hệ thống Viettel Cyber Security, số lượng tên miền lừa đảo trong
năm 2021 tăng hơn nhiều so với các năm trước, trung bình khoảng 600 - 700 tên miền lừa
đảo hàng quý, nghĩa là cứ mỗi 1 ngày trung bình có 5 – 10 website lừa đảo nhắm vào người
dùng Internet Việt Nam được xây dựng.

Cũng trong năm nay, có gần 100 triệu hồ sơ dữ liệu bị khai thác, lộ lọt. Ngành chịu
ảnh hưởng lớn nhất là dịch vụ viễn thông với 23 triệu hồ sơ bị rò rỉ. Đặc biệt, hơn 100
nghìn tài khoản và mật khẩu trong hệ thống nội bộ trọng yếu của các tổ chức, doanh nghiệp
bị đưa lên không gian mạng.

Các chuyên gia cho rằng, khi thực hiện chuyển đổi số, các cơ quan, tổ chức, doanh
nghiệp trước tiên cần nhận thức rõ những rủi ro, thách thức về an toàn, bảo mật mà đơn vị
mình sẽ phải đối mặt. Cùng với đó, các tổ chức, doanh nghiệp phải thay đổi tư duy: Thay
vì coi bị tấn công là kém, bị tấn công là tội; thì cần coi bị tấn công và phát hiện sớm là tốt,
bị tấn công và kịp thời khắc phục sự cố là tốt, bị tấn công và kịp thời rút kinh nghiệm để
chia sẻ, cảnh báo cho người khác không bị tấn công một cách tương tự là tốt.

Bên cạnh đó, nhằm đảm bảo an toàn thông tin cho các hệ thống thông tin, Bộ
TT&TT sẽ tiếp tục tăng cường công tác giám sát, chủ động rà quét trên không gian mạng
Việt Nam, đánh giá, thống kê và tiếp tục đẩy mạnh tuyên truyền, cảnh báo để người dùng
biết và phòng tránh.

Thứ trưởng Bộ Thông tin và Truyền thông Nguyễn Huy Dũng cho rằng: "Đây là
những nguy cơ hiện hữu mà tất cả chúng ta phải đối mặt và điều này có thể sẽ tăng lên
theo hàm số mũ trong thời gian tới."

Đại tá Nguyễn Ngọc Cương, Phó Cục trưởng Cục An ninh mạng và phòng, chống
tội phạm sử dụng công nghệ cao (Bộ Công an) nhận định các thách thức về an ninh mạng
đang ngày càng trở nên nghiêm trọng hơn.

Trong bối cảnh dịch bệnh, nhiều hệ thống thông tin quan trọng của Việt Nam tiếp
tục trở thành mục tiêu tấn công của tin tặc. Những nhóm tội phạm này lợi dụng tình hình
dịch diễn biến phức tạp tấn công mạng vào các cơ quan chức năng bằng cách gửi tài liệu
giả mạo để phát tán mã độc hay tấn công có chủ đích APT. Trong 6 tháng đầu năm 2021,
cơ quan này đã phát hiện được 1.555 vụ tấn công vào trang/cổng thông tin điện tử có tên
miền .vn (bị chèn thông điệp của tin tặc). Trong đó, 412 trang thuộc quản lý của cơ quan
Nhà nước, một số điểm khác biệt về xu hướng tấn công mạng trong năm 2021 so với trước
là xuất hiện tình trạng địa chỉ IP của các khách hàng, nhà cung cấp dịch vụ Internet trong
nước bị nhiễm mã độc. 6 tháng đầu năm nay, Bộ Công an đã phát hiện 2.551 vụ tấn công
mạng, 5,4 triệu lượt địa chỉ IP của các cơ quan Nhà nước bị tấn công với 15 biến thể mã
độc.

Ngoài ra, trên không gian mạng, các thông tin giả, tin xấu độc liên tục được đăng
tải và chia sẻ tràn lan. Trong quý I và II/2021 khi dịch có diễn biến phức tạp, Bộ Công an
rà soát được 221 ngàn tin, bài chứa thông tin xấu, sai sự thật được đăng trên các trang thông
tin điện tử, diễn đàn, blog.

Cơ quan công an đã xử lý 328 trường hợp, khởi tố một trường hợp. Đáng chú ý, hệ
lụy của những tin giả này lớn hơn nhiều khi chúng được lan truyền nhanh chóng trên mạng
xã hội.

Bên cạnh đó, hoạt động của những đối tượng xấu lợi dụng không gian mạng để xâm
phạm trật tự, an toàn xã hội diễn ra phức tạp ở các địa phương. Tội phạm mạng thực hiện
nhiều thủ đoạn tinh vi như lập giả mạo website, trang thông tin điện tử cơ quan, doanh
nghiệp; thiết lập trạm BTS giả mạo để chặn, chuyển hướng thuê bao di động người dùng
nhằm thu thập dữ liệu…

Chỉ trong 9 tháng đầu năm 2021, Bộ Công an đã phối hợp với các địa phương khởi
tố 16 vụ án; phối hợp với cơ quan điều tra các cấp khởi tố 20 vụ án, xử phạt vi phạm hành
chính 150 đối tượng và triệu tập, răn đe hơn 300 người liên quan đến tội phạm công nghệ
cao.

Ngoài ra, tình trạng lộ lọt, mua bán thông tin, dữ liệu của người dùng cũng ghi nhận
diễn biến phức tạp, điển hình là vụ lộ lọt thông tin của 35,6 triệu khách hàng của một tập
đoàn lớn ở Việt Nam trong đó có cả các nhà cung cấp dịch vụ viễn thông, nhiều ngân hàng
và công ty bảo hiểm, bất động sản, du lịch…gây bức xúc và thu hút sự quan tâm lớn trong
nhân dân.

Theo ông Trần Minh Quảng, Giám đốc Trung tâm phân tích và chia sẻ nguy cơ an
ninh mạng (Công ty an ninh mạng Viettel), các tên miền lừa đảo trong năm 2021 đã tăng
cao hơn năm trước với khoảng 600-700 tên miền hàng quý.

Thống kê trong năm 2021, có khoảng 100 triệu lượt dữ liệu người dùng Internet, tổ
chức doanh nghiệp Việt Nam lộ lọt. Cùng với đó hơn 100 nghìn tài khoản mật khẩu rao
bán trên chợ đen.

1.4.2 Trên thế giới

Theo Báo cáo Rủi ro Toàn cầu của Diễn đàn Kinh tế Thế giới năm 2021, rủi ro mạng
tiếp tục được xếp hạng trong số các rủi ro toàn cầu. Đại dịch COVID-19 đã đẩy nhanh việc
áp dụng công nghệ, nhưng đồng thời cũng bộc lộ các lỗ hổng an ninh mạng lớn và vô cùng
nghiêm trọng.

Trong những tháng đầu năm, hàng loạt vụ tấn công mạng quy mô lớn diễn ra trên
toàn cầu, điển hình như vụ việc tin tặc Triều Tiên đã cố gắng đột nhập vào hệ thống máy
tính của công ty dược phẩm Pfizer để lấy thông tin về vắc-xin và phương pháp điều trị
COVID-19; hay sự việc tin tặc Trung Quốc đã nhắm mục tiêu vào phần mềm email doanh
nghiệp của Microsoft để đánh cắp dữ liệu từ hơn 30.000 tổ chức trên khắp thế giới;… Mới
đây nhất vào ngày 4/4/2021, Forbes cho biết số điện thoại và dữ liệu cá nhân của 533 triệu
người dùng Facebook đã bị rò rỉ. Bên cạnh đó, các cuộc tấn công gần đây chống lại FireEye
và SolarWinds nhấn mạnh mức độ nhạy cảm của các vấn đề chuỗi cung ứng và sự phụ
thuộc vào các nhà cung cấp chức năng và dịch vụ công nghệ thông tin.

Đặc biệt hơn nữa, những trào lưu mạng xã hội như “xem khuôn mặt bạn biến đổi
thế nào”, “xem bạn thay đổi ra sao trong 10 năm qua” là những “hot trend” của đầu năm
2021. Không chỉ người dùng thông thường mà những nhân vật của công chúng, có hàng
triệu người theo dõi trên mạng xã hội, cũng hưởng ứng, tham gia. Các trào lưu kiểu này
thú vị nhưng tiềm ẩn nhiều nguy cơ đối với người dùng. Bởi vì, tham gia các trào lưu trên
mạng đồng nghĩa bạn “tự nguyện” cung cấp hình ảnh, thông tin cá nhân của mình. Kẻ xấu
sẽ thu thập các dữ liệu này nhằm mục đích trục lợi, lừa đảo.

Năm 2021, công ty an ninh mạng FireEye có trụ sở tại California phát hiện ra rằng
hơn 300 sản phẩm an ninh mạng độc quyền của họ đã bị đánh cắp, thì đồng thời họ cũng
phát hiện ra một vi phạm lớn đã diễn ra trong khoảng chín tháng.

Sự vi phạm đó đã liên quan đến hơn 250 cơ quan liên bang do chính phủ Hoa Kỳ
điều hành, bao gồm Bộ Tài chính, Bộ Năng lượng và thậm chí các bộ phận của Lầu năm
góc. Nhưng vi phạm đó không bắt đầu từ FireEye mà cuộc tấn công bắt đầu khi một công
ty phần mềm quản lý công nghệ thông tin có tên SolarWinds, khiến một số khách hàng nổi
tiếng của FireEye bị xâm phạm, bao gồm các tập đoàn Fortune 500 như: Microsoft, Intel,
Deloitte và Cisco. Hiệu ứng domino này được gọi là một cuộc tấn công chuỗi cung ứng.
Tin tặc cũng theo dõi các email nội bộ của Bộ Tài chính và Thương mại Hoa Kỳ. Các quan
chức chính phủ và các chuyên gia an ninh mạng đều cho rằng cơ quan tình báo của Nga
(SVR) đều đứng sau các vụ tấn công mạng vào giữa tháng 12/2020. Các nhà điều tra vẫn
đang chắp nối các chi tiết của vụ vi phạm để phỏng đoán ý định của tin tặc.

Bên cạnh đó, thế giới cũng đã ghi nhận hàng loạt các cuộc tấng công hệ thống mạng
bằng mã độc ransomware, cũng như cảnh báo các nguy cơ có thể xảy ra trong thời gian tới.
Năm 2021 đã chứng kiến nhiều cuộc tấn công ransomware lớn liên quan đến các khoản
thanh toán tiền chuộc khổng lồ, dữ liệu bị rò rỉ và sự gián đoạn hoạt động của nhiều doanh
nghiệp lớn. Hàng nghìn doanh nghiệp, bệnh viện và tổ chức chính phủ/phi chính phủ đều
trở thành nạn nhân của ransomware.

Cuộc tấn công vào hệ thống đường ống Colonial Pipeline

Đầu năm nay, hệ thống đường ống lớn nhất cho các sản phẩm dầu tinh luyện ở Hoa
Kỳ, Colonial Pipeline Co., là đối tượng của một cuộc tấn công ransomware lớn và kéo theo
hậu quả lớn sau đó.

Cuộc tấn công vào Colonial Pipeline gây ra sự gián đoạn trong việc cung cấp xăng
và nhiên liệu máy bay trên khắp bờ biển phía đông Hoa Kỳ. Cuộc tấn công lần đầu tiên
được xác định vào ngày 7 tháng 5, đó là khi nguồn cung bị gián đoạn và công ty không thể
tiếp tục cung cấp cho đến ngày 12 tháng 5.

Vụ tấn công Colonial Pipeline được thực hiện bởi nhóm khét tiếng DarkSide, được
cho là có trụ sở tại Nga. Những kẻ tấn công đã có thể xâm nhập hệ thống thông qua mạng
ảo riêng của công ty, sử dụng tên người dùng và mật khẩu bị xâm nhập.

Kẻ tấn công đã quản lý để ngăn chặn hoạt động của công ty nạn nhân và nắm giữ
gần 100GB dữ liệu nhạy cảm và bí mật, chúng đe dọa sẽ tiết lộ công khai những dữ liệu
này trừ khi Colonial Pipeline đồng ý trả khoảng 5 triệu đô la tiền chuộc.

Cuối cùng công ty đã trả tiền chuộc, những thiệt hại đã xảy ra rõ ràng và các lỗ hổng
trong tổ chức lớn nhất và có ảnh hưởng nhất đã lộ ra.

Tấn công vào hệ thống JBS Foods

Nhà sản xuất thịt lớn nhất thế giới đã trở thành mục tiêu trong một cuộc tấn công
bằng ransomware lớn nhất thế giới vào năm 2021.

Đầu năm nay, JBS Foods USA – công ty chịu trách nhiệm sản xuất 1/4 lượng thịt
bò của Mỹ – đã buộc phải tạm dừng hoạt động tại tất cả 13 nhà máy chế biến của mình trên
khắp nước Mỹ. Cuộc tấn công đe dọa đất nước với tình trạng thiếu hụt nguồn cung nghiêm
trọng và sự gián đoạn tiềm tàng trong mạng lưới cung cấp thực phẩm, khiến các cửa hàng
tạp hóa, nông dân, nhà hàng và một số ngành công nghiệp liên quan khác gặp nguy hiểm.

Được biết, JBS Foods, với sự tham vấn của các chuyên gia CNTT và an ninh mạng
của họ, đã quyết định trả 11 triệu USD bằng Bitcoin, khiến đây trở thành một trong những
số tiền chuộc lớn nhất từng được trả. JBS Foods đưa ra quyết định này để giảm thiểu tác
động của cuộc tấn công và ngăn chặn những sự gián đoạn tiếp theo.
 Giám đốc điều hành của JBS Hoa Kỳ đã bày tỏ quan điểm của mình và giải thích
thêm về lý do đằng sau quyết định trả khoản tiền chuộc, ông nói:

“Đây là một quyết định rất khó khăn đối với công ty chúng tôi và đối với cá nhân
tôi, tuy nhiên, chúng tôi cảm thấy quyết định này phải được thực hiện để ngăn chặn mọi
rủi ro tiềm ẩn cho khách hàng của chúng tôi.”

Các cuộc điều tra đã buộc tội một nhóm tội phạm mạng có trụ sở tại Nga lấy tên là
REvil thực hiện cuộc tấn công này. Nhóm này cũng đã bị cáo buộc về một số cuộc tấn công
ransomware quy mô lớn khác trong nhiều ngành và lĩnh vực.

Tấn công mã độc vào Brenntag

Brenntag, công ty phân phối hóa chất có trụ sở tại Đức với hoạt động tại hơn 77
quốc gia, đã bị tấn công bởi một trong những cuộc tấn công Ransomware lớn nhất năm
2021. Bộ phận Bắc Mỹ của công ty đã bị DarkSide, cùng một nhóm ransomware đứng sau
vụ tấn công Colonial Pipeline, nhắm mục tiêu.

Những kẻ tấn công đã thực hiện mã hóa dữ liệu và thiết bị trên mạng bị xâm nhập
và cuối cùng đã đánh cắp khoảng 150GB dữ liệu. DarkSide tuyên bố rằng họ có thể phát
động cuộc tấn công sau khi truy cập vào mạng thông qua thông tin đăng nhập bị đánh cắp
mà nó đã mua, đây là một khía cạnh đáng báo động.

Cuối cùng, Brenntag đồng ý trả khoảng 4,4 triệu đô la tiền chuộc, sau khi thương
lượng giảm xuống từ 7,5 triệu đô la, để khôi phục hoạt động và giảm thiểu sự gián đoạn
thêm nữa.

Công ty máy tính Acer bị tấn công

Quý đầu tiên của năm 2021 là một thảm họa đối với nhiều công ty, và Acer cũng
nằm trong một số trường hợp không may mắn đó. Acer đã bị tấn công bởi REvil, cũng
chính là băng nhóm tội phạm mạng đã tấn công JBS Foods trong năm nay.

Được biết, những kẻ tấn công đã tận dụng một lỗ hổng trong máy chủ trao đổi
Microsoft của Acer để xâm phạm hệ thống bảo mật của Acer. REvil đã nắm giữ dữ liệu và
thông tin nhạy cảm, một số trong số đó cũng đã được tải lên một trang web để làm bằng
chứng cho những kẻ tấn công.

Trong khi Acer ban đầu không thừa nhận họ là mục tiêu của ransomware, REvil đã
yêu cầu Acer trả 50 triệu USD, đây là một trong những số tiền chuộc lớn nhất từng được
yêu cầu.
 Công ty phần mềm Kaseya

Công ty phần mềm có trụ sở tại Florida, Kaseya, là nạn nhân mới nhất của một cuộc
tấn công ransomware quy mô lớn. Nhóm REvil khét tiếng một lần nữa đứng đằng sau vụ
tấn công này, tuyên bố đã mã hóa hơn một triệu hệ thống của khách hàng cuối.

Giám đốc điều hành của công ty nạn nhân tuyên bố cuộc tấn công đã xâm phạm từ
800 đến 1500 doanh nghiệp trên toàn cầu. Đánh giá tác động thực sự của cuộc tấn công
thậm chí còn khó hơn vì hầu hết nạn nhân là khách hàng cuối cùng.

REvil ban đầu yêu cầu 70 triệu đô la, nhưng Kaseya tuyên bố họ “không trả tiền
chuộc để có được bộ giải mã.”

1.5. Các hình thức tấn công mạng máy tính

Với sự phát triển không ngừng của công nghệ thông tin hiện nay, những cuộc tấn
công mạng thông qua mạng Internet cũng ngày càng trở nên đa dạng hơn, quy mô rộng lớn
hơn, và cách thức triển khai cũng tinh vi hơn. Bên cạnh đó, mục tiêu nhắm đến của Hacker
không chỉ là người dùng cuối, mà còn là các công ty, doanh nghiệp và đối tượng chính là
các dữ liệu quan trọng như: các phát minh, sáng chế, tình hình kinh doanh, tài chính, các
báo cáo kinh tế…nếu doanh nghiệp không có những kiến thức liên quan đến vấn đề này,
việc các thông tin kinh doanh quan trọng bị xâm phạm chỉ là chuyện sớm muộn. Các hình
thức tấn công mạng phổ biến được ghi nhận hiện nay bao gồm:

1.5.1. Tấn công mạng sử dụng phần mềm độc hại – Malware

Tấn công sử dụng Malware là một trong những hình thức tấn công qua mạng phổ
biến nhất hiện nay. Malware bao gồm:

• Spyware (phần mềm gián điệp)

• Ransomware (mã độc tống tiền)
• Virus
• Worm (phần mềm độc hại lây lan với tốc độ nhanh)

Thông thường, Hacker sẽ tiến hành tấn công vào máy tính của người dùng hoặc hệ
thống mạng máy tính của các công ty, tổ chức thông qua các lỗ hổng bảo mật do Hacker
có được thông qua việc dò quét mạng hay các hình thức tấn công có chủ đích APT. Hoặc
lừa người dùng Click vào một đường Link hoặc Email Phishing) để cài phần mềm độc hại
tự động vào máy tính. Một khi được cài đặt thành công, Malware sẽ gây ra những hậu quả
nghiêm trọng:

• Chặn các truy cập vào hệ thống mạng và dữ liệu quan trọng (Ransomware).
 • Cài đặt thêm phần mềm độc hại khác vào máy tính người dùng.
• Đánh cắp dữ liệu (Spyware).
• Phá hoại phần cứng, phần mềm, làm hệ thống bị tê liệt, không thể hoạt động.

1.5.2. Tấn công giả mạo (Phishing)

Phishing (tấn công giả mạo) là hình thức tấn công mạng bằng giả mạo thành một
đơn vị uy tín để chiếm lòng tin và yêu cầu người dùng cung cấp thông tin cá nhân cho
chúng. Thông thường, Hacker sẽ giả mạo là ngân hàng, ví điện tử, trang giao dịch trực
tuyến hoặc các công ty thẻ tín dụng để lừa người dùng chia sẻ các thông tin cá nhân như:
tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng và các thông tin quan
trọng khác.

Phương thức tấn công này thường được thực hiện thông qua việc gửi Email và tin
nhắn. Người dùng khi mở Email và Click vào đường Link giả mạo sẽ được yêu cầu đăng
nhập. Nếu “cắn câu”, tin tặc sẽ có được thông tin cá nhân của người dùng ngay tức khắc.

Phương thức Phishing được phát hiện lần đầu tiên vào năm 1987. Thuật ngữ là sự
kết hợp của 2 từ: Fishing For Information (câu thông tin) và Phreaking (trò lừa đảo sử dụng
điện thoại của người khác không trả phí). Do sự tương đồng trong việc “câu cá” và “câu
thông tin người dùng”, nên thuật ngữ Phishing ra đời.

Các phương thức tấn công Phishing phổ biến:

a/ Giả mạo Email

Đây là hình thức Phishing khá căn bản. Tin tặc sẽ gửi Email đến người dùng dưới
danh nghĩa của một đơn vị/tổ chức uy tín nhằm dẫn dụ người dùng truy cập đến Website
giả mạo

Những Email giả mạo thường rất tinh vi và rất giống với Email chính chủ, khiến
người dùng nhầm lẫn và trở thành nạn nhân của cuộc tấn công. Dưới đây là một số cách
mà tin tặc thường ngụy trang:

• Địa chỉ người gửi (VD: Địa chỉ đúng là sales.congtyA@gmail.com thì sẽ được giả
mạo thành sale.congtyA@gmail.com)
• Thiết kế các cửa sổ Pop-up giống hệt bản gốc (cả màu sắc, Font chữ,…)
• Sử dụng kỹ thuật giả mạo đường dẫn để lừa người dùng (VD: đường dẫn là
congtyB.com nhưng khi nhấn vào thì điều hướng đến contyB.com)
• Sử dụng hình ảnh thương hiệu của các tổ chức lớn để tăng độ tin cậy.
 b/ Giả mạo Website

Giả mạo Website trong tấn công Phishing là làm giả một trang chứ không phải toàn
bộ Website. Trang được làm giả thường là trang đăng nhập để cướp thông tin của người
dùng.

Website giả thường có những đặc điểm sau:

• Thiết kế giống đến 99% so với Website gốc.

• Đường dẫn chỉ khác 1 ký tự duy nhất (VD: facebook.com và fakebook.com,
microsoft.com và mircosoft.com,…)
• Luôn có những thông điệp khuyến khích người dùng cung cấp thông tin cá nhân.

1.5.3. Tấn công từ chối dịch vụ (Dos và DDoS)

DoS (Denial of Service) là “đánh sập tạm thời” một hệ thống, máy chủ hoặc mạng
nội bộ. Để thực hiện được điều này, các Hacker thường tạo ra một lượng Traffic/Request
khổng lồ ở cùng một thời điểm, khiến cho hệ thống bị quá tải. Theo đó, người dùng sẽ
không thể truy cập vào dịch vụ trong khoảng thời gian mà cuộc tấn công DoS diễn ra.

Hình 3: Hình thức tấn công từ chối dịch vụ

Có ba loại tấn công DOS cơ bản:

• Volume-based: Sử dụng lưu lượng truy cập cao để làm tràn ngập băng thông mạng
• Protocol: Tập trung vào việc khai thác các tài nguyên máy chủ
 • Application: Tập trung vào các ứng dụng web và được xem là loại tấn công tinh vi
và nghiêm trọng nhất

Các cuộc tấn công DDoS được thực hiện với mạng các máy kết nối Internet, thường
gọi là mạng BotNet (do các máy tính bị nhiễm mã độc hình thành nên). Các mạng này bao
gồm máy tính và những thiết bị khác (chẳng hạn như thiết bị IoT) đã bị nhiễm phần mềm
độc hại, cho phép kẻ tấn công điều khiển chúng từ xa. Các thiết bị riêng lẻ này được gọi là
bot (hoặc zombie) và một nhóm bot được gọi là botnet. Khi mạng botnet đã được thiết lập,
kẻ tấn công có thể chỉ đạo một cuộc tấn công bằng cách gửi các hướng dẫn từ xa đến từng
bot.

Khi máy chủ hoặc mạng của nạn nhân bị botnet nhắm mục tiêu, mỗi bot sẽ gửi yêu
cầu đến địa chỉ IP của mục tiêu, có khả năng khiến máy chủ hoặc mạng bị quá tải, dẫn đến
việc từ chối dịch vụ đối với lưu lượng truy cập bình thường. Bởi vì mỗi bot là một thiết bị
Internet hợp pháp, việc tách lưu lượng tấn công khỏi lưu lượng truy cập thông thường sẽ
rất khó khăn.

Hình 4: Có một số sự khác biệt giữa tấn công DoS và DDoS

Triệu chứng rõ ràng nhất của cuộc tấn công DDoS là một trang web hoặc dịch vụ
đột nhiên trở nên chậm chạp hoặc không khả dụng. Nhưng vì một số nguyên nhân - lưu
lượng truy cập tăng đột biến như vậy - có thể tạo ra các vấn đề về hiệu suất tương tự, nên
thường cần phải điều tra thêm. Các công cụ phân tích lưu lượng có thể giúp bạn phát hiện
một số dấu hiệu đáng chú ý sau của cuộc tấn công DDoS:

• Lượng lưu lượng truy cập đáng ngờ bắt nguồn từ một địa chỉ IP hoặc dải IP
 • Một lượng lớn lưu lượng truy cập từ những người dùng chia sẻ một profile hành vi,
chẳng hạn như loại thiết bị, vị trí địa lý hoặc phiên bản trình duyệt web
• Sự gia tăng không giải thích được về yêu cầu đối với một trang hoặc điểm cuối
• Các mẫu lưu lượng truy cập kỳ lạ chẳng hạn như tăng đột biến vào các giờ cụ thể
trong ngày hoặc có vẻ không tự nhiên (ví dụ, tăng đột biến cứ sau 10 phút)
• Có những dấu hiệu khác, cụ thể hơn của cuộc tấn công DDoS có thể khác nhau tùy
thuộc vào loại tấn công.

1.5.4. Tấn công trung gian (Man-in-the-middle attack)

Tấn công trung gian (MitM), còn gọi là tấn công nghe lén, xảy ra khi kẻ tấn công
xâm nhập vào một giao dịch/sự giao tiếp giữa 2 đối tượng. Một khi đã chen vào thành công,
chúng có thể đánh cắp dữ liệu trong giao dịch đó.

Hình 5: Hình thức tấn công MiTM

Một số hình thức thức tấn công kiểu MiTM được ghi nhận hiện nay bao gồm:

• Sniffing: Sniffing hoặc Packet Sniffing là kỹ thuật được sử dụng để nắm bắt các gói
dữ liệu vào và ra của hệ thống. Packet Sniffing cũng tương tự với việc nghe trộm
trong điện thoại. Sniffing được xem là hợp pháp nếu được sử dụng đúng cách.
Doanh nghiệp có thể thực hiện để tăng cường bảo mật.
• Packet Injection: Kẻ tấn công sẽ đưa các gói dữ liệu độc hại vào với dữ liệu thông
thường. Bằng cách này, người dùng thậm chí không nhận thấy tệp/phần mềm độc
hại bởi chúng đến như một phần của luồng truyền thông hợp pháp. Những tập tin
này rất phổ biến trong các cuộc tấn công trung gian cũng như các cuộc tấn công từ
chối dịch vụ.
 • Gỡ rối phiên: Bạn đã từng gặp thông báo “Phiên hoạt động đã hết hạn” chưa? Nếu
đã từng thực hiện thanh toán trực tuyến hoặc điền vào biểu mẫu, hẳn bạn sẽ biết
thuật ngữ này. Khoản thời gian từ lúc bạn đăng nhập vào tài khoản ngân hàng của
bạn đến khi đăng xuất khỏi tài khoản đó được gọi là một phiên. Các phiên này là
mục tiêu của tin tặc. Bởi chúng có khả năng chứa thông tin kín đáo. Trong hầu hết
các trường hợp, một Hacker thiết lập sự hiện diện của mình trong phiên. Và cuối
cùng nắm quyền kiểm soát nó. Các cuộc tấn công này có thể được thực thi theo
nhiều cách khác nhau.
• Loại bỏ SSL: SSL Stripping hoặc SSL Downgrade Attack là một loài hiếm khi nói
đến các cuộc tấn công MiTM, nhưng cũng là một trong những nguy hiểm nhất.
Chứng chỉ SSL/TLS giữ liên lạc của chúng tôi an toàn trực tuyến thông qua mã hóa.
Trong các cuộc tấn công SSL, kẻ tấn công loại bỏ kết nối SSL/TLS và chuyển giao
thức từ HTTPS an toàn sang HTTP không an toàn.

1.5.5. Khai thác lỗ hổng Zero-day (Zero day attack)

Lỗ hổng zero-day (0-day Vulnerability) thực chất là những lỗ hổng bảo mật của
phần mềm hoặc phần cứng mà người dùng chưa phát hiện ra. Chúng tồn tại trong nhiều
môi trường khác nhau như: Website, Mobile Apps, hệ thống mạng doanh nghiệp, phần
mềm – phần cứng máy tính, thiết bị IoT, Cloud, …

Sự khác nhau giữa một lỗ hổng bảo mật thông thường và một lỗ hổng Zero-day nằm
ở chỗ: Lỗ hổng Zero-day là những lỗ hổng chưa được biết tới bởi đối tượng sở hữu hoặc
cung cấp sản phẩm chứa lỗ hổng.

Thông thường ngay sau khi phát hiện ra lỗ hổng 0-day, bên cung cấp sản phẩm sẽ
tung ra bản vá bảo mật cho lỗ hổng này để người dùng được bảo mật tốt hơn. Tuy nhiên
trên thực tế, người dùng ít khi cập nhật phiên bản mới của phần mềm ngay lập tức. Điều
đó khiến cho Zero-day được biết đến là những lỗ hổng rất nguy hiểm. Có thể gây thiệt hại
nghiêm trọng cho doanh nghiệp và người dùng. Một khi được công bố rộng rãi ra công
chúng, lỗ hổng 0-day trở thành lỗ hổng n-day.

Ngoài ra, còn rất nhiều hình thức tấn công mạng khác vẫn thường xuyên được ghi
nhận như:

• Tấn công chuỗi cung ứng

• Tấn công Email
• Tấn công vào con người
• Tấn công nội bộ tổ chức
 Mỗi hình thức tấn công đều có những đặc tính riêng. Và chúng ngày càng tiến hóa
phức tạp, tinh vi đòi hỏi các cá nhân, tổ chức phải liên tục cảnh giác & cập nhật các công
nghệ phòng chống mới.

1.6. Hậu quả từ các cuộc tấn công mạng.

Các cuộc tấn công mạng luôn để lại những hậu quả nặng nề đối với các nạn nhân
của nó, đó có thể là các cá nhân hay các công ty, tổ chức. Những số liệu thu thập thường
xuyên của VNCERT về sự cố an toàn mạng cho thấy hai đối tượng bị tấn công nhiều nhất
là các doanh nghiệp, tổ chức quy mô nhỏ và các cá nhân.

Với các tổ chức, ngoài thiệt hại về tài chính thì họ còn chịu những tổn thất về việc
hệ thống bị tấn công, khai thác, dữ liệu nhạy cảm bị đánh cắp và sử dụng vào các mục đích
bất hợp pháp, nguy hiểm hơn đó là dữ liệu về thông tin khách hàng bị rò rỉ, các thông tin
bí mật về sản phẩm, chiến lược kinh doanh…những điều này có thể ảnh hưởng tới sự tồn
vong của cả hệ thống.

Ghi nhận từ bộ phận an ninh mạng thuộc Trung tâm tư vấn và đào tạo an ninh mạng
Athena, nhiều doanh nghiệp đã thiệt hại hàng trăm ngàn USD vì bị đánh cắp dữ liệu kinh
doanh. So với năm 2014, năm 2015 mức độ tấn công an ninh mạng không hề suy giảm.
Các cuộc tấn công có chủ đích, tấn công âm thầm vào các doanh nghiệp để lấy thông tin,
làm gián điệp kinh tế diễn ra nhiều hơn. Các nhóm mục tiêu chính cho các dạng tấn công
mạng hiện nay:

- Đánh cắp dữ liệu kinh tế, chính trị bằng kiểu tấn công APT, sử dụng mã độc viết
riêng cho mục tiêu tấn công;

- Tấn công vào các tổ chức tài chính, ngân hàng để chiếm đoạt tiền, chủ yếu dùng
các phương pháp dò quét mạng, giả mạo... để xâm nhập các hệ thống quản trị chiếm quyền
điều khiển;

- Tấn công người dùng cá nhân bằng các kiểu tấn công kỹ thuật xã hội (social
engineering), mạo danh (phishing) để thu thập thông tin cho các mục đích lừa đảo, đặc biệt
lừa đảo qua các mạng xã hội có xu hướng ngày càng gia tăng.

Tại Việt Nam, các cuộc tấn công đã và sẽ rất âm thầm, không để lại dấu vết, tập
trung vào các nhóm ngành như công ty thương mại, công ty xuất nhập khẩu, công ty FDI...
vì dữ liệu của các công ty này có thể ảnh hưởng nhiều đến cộng đồng và lực lượng an ninh
mạng tại chỗ hầu như không có.

 Chương 2: Các giải pháp đảm bảo ATTT

2.1 Vai trò của mã hoá dữ liệu trong đảm bảo ATTT
2.1.1 Cơ chế áp dụng mã hóa thông tin trên đường truyền

Về cơ bản dựa trên kỹ thuật bảo mật ta có thể quy chiếu công tác bảo mật thông
tin thành hai nhóm: bảo mật thông tin dữ liệu bằng các biện pháp kỹ thuật phần cứng và
phần mềm thông qua các thuật toán bảo mật. Tuy nhiên để đảm bảo an toàn dữ liệu trên
đường truyền mạng máy tính có hiệu quả nhằm chống các khả năng xâm phạm và các rủi
ro hay sự cố có thể xảy ra trong quá trình truyền tin thì việc phòng chống và xác định
chính xác các nguy cơ có thể làm ảnh hưởng đến dữ liệu là vô cùng quan trọng. Trên thực
tế có hai hình thức gây hại chính cho dữ liệu truyền tin là hình thức chủ động ( Active) và
thụ động (passive). Hai hình thức này hướng đến:
+ Đánh cắp thông tin: Lắng nghe thông tin trên đường truyền, biết được thông tin
về người gửi và nhận nhờ vào thông tin được chứa trong gói tin truyền trên hệ thống
mạng. Hình thức này, kẻ xâm nhập có thể kiểm tra được tần số trao đổi, số lượng gói tin
truyền đi và độ dài của gói tin này. Tuy nhiên, với hành động trên, thông thường với mục
đích xem thông tin, sao chép, đánh cắp nội dung thông tin (ví dụ như mật khẩu, thông tin
về ngân hàng…) chứ không làm ảnh hưởng nguy hại về mật vật lý đối với dữ liệu hay
làm sai lệch nội dung dữ liệu.
+ Phá hoại thông tin: Thay đổi nội dung dữ liệu, chèn thêm thông tin dữ liệu, phá
hủy làm hỏng các gói tin, làm trễ thời gian truyền tin, sao chép lặp đi lặp lại dữ liệu… với
mục đích phá hỏng hay làm sai lệch nội dung thông tin.
Để bảo vệ thông tin dữ liệu trên đường truyền, ở bài báo này tôi trình bày hướng đến hai
thình thức bảo mật:
- Bảo mật hướng theo đường truyền (Link Oriented Security): Thông tin được
mã hóa để bảo vệ dựa trên đường truyền giữa hai nút và không quan tâm đến nguồn và
đích của thông tin đó. Các cặp thiết bị mật mã được đặt ở hai đầu của đường truyền. Do
đó tất cả luồng thông tin trên tất cả các đường truyền sẽ được an toàn.
 - Bảo mật dựa trên hai điểm đầu và cuối (End to End Secrity): Mã hóa đường
truyền từ máy tính nguồn đến máy tính đích. Thông tin được mã hóa ngay khi mới được
tạo ra tại máy nguồn và chỉ được giải mã khi tới máy đích. Phương pháp này làm cho dữ
liệu người dùng an toàn nhưng không chống được tấn công phân tích tình huống, vì trong
các gói tin chỉ phần dữ liệu người sử dụng được mã hóa còn các dữ liệu đầu gói (dữ liệu
điều khiển) thì không.
Như vậy, đối với hệ thống bảo mật dữ liệu nhất là những gói tin có chứa thông tin
quan trọng ví dụ như thông tin tài khoản hay mật khẩu… thì việc an toàn thông tin truyền
đi trên hệ thống mạng là vô cùng quan trọng. Ngày nay việc kết hợp giữa hai hình thức
bảo mật nhằm nâng cao tính năng của hệ thống là cần thiết. Khi đó máy tính đầu cuối lập
mã phần dữ liệu người sử dụng của gói dùng khóa lập mã đầu cuối. Cả gói tin được lập
mã dùng khóa lập mã đường truyền.
Khi đó, về mô hình hóa ta hướng đến phương thức truyền tin bảo mật End to End
và Link Oriented. Dữ liệu khi bắt đầu phát sinh một bản rõ (R – dữ liệu chưa được mã
hóa). Để truyền thông tin an toàn bản rõ cần được mã hóa trước khi truyền. Để mã dữ liệu
R cần có một khóa – K. Nếu khóa K được sinh tại nơi gửi thì nó phải được gửi thông qua
một kênh an toàn tới nơi nhận hoặc có thể một bên thứ ba sinh khóa – K và chuyển một
cách an toàn tới cả hai nơi (nơi gửi và nơi nhận). Với thông báo R và khóa mã K, thuật
toán mã E sẽ tạo ra bản mã M = EK(R). Khi dữ liệu đã được mã hóa, trước khi truyền đi,
chúng được cắt ra từng gói tin nhỏ (Packet) và truyền đi nhiều hướng khác nhau dựa vào
các topology của hệ thống mạng và lưu lượng truyền thông trên mạng.
Trong quá trình truyền tin kẻ xâm nhập có thể lắng nghe thông tin trên đường
truyền và bắt những gói tin nhằm đánh cắp thông tin. Cho nên việc chia nhỏ các gói tin
trong khi truyền cũng là một bước quan trọng làm giảm rủi ro truyền tin và mất dữ liệu
trên mạng. Các gói tin sau khi lưu thông trên mạng một khoảng thời gian t sẽ quy định về
thời gian sống của gói tin (Time to Live – TTL). Trong quá trình truyền tin có thể số
lượng gói tin đến đích không đủ nhưng dựa vào các thuật toán ta có thể khôi phục những
gói tin bị hỏng và tiến hành ghép nối các gói tin sau đó là nhiệm vụ giải mã. Tại nơi nhận
với bản mã M và khóa mã K, thuật toán dịch D sẽ tạo ra bản rõ R = DK(M). Nếu trong
trường hợp kẻ xâm nhập thu được dữ liệu ở dạng mã M nhưng không có khóa K, thì anh
ta phải cố gắng khôi phục R hoặc khóa K (có thể kẻ xâm nhập đã biết thuật toán mã E và
thuật toán giải mã D). Trong trường hợp, anh ta chỉ quan tâm đến nội dung thông báo, thì
anh ta sẽ cố khôi phục R bằng việc sinh ra một ước lượng R’ của R. Tuy nhiên thường kẻ
tấn công mong muốn tìm ra khóa K để giải mã các thông báo tiếp theo, bằng cách sinh ra
một khóa ước lượng K’ của K. Độ bảo mật của mật mã khóa bí mật là thước đo mức độ
khó khăn của việc tìm ra thông báo rõ hoặc khóa khi biết bản mã.

2.1.2 Vai trò của mật mã trong việc bảo mật thông tin trên mạng

Các hệ mật mã phải thực hiện được các vai trò sau:
- Hệ mật mã phải che dấu được nội dung của văn bản rõ (PlainText) để đảm bảo
sao cho chỉ người chủ hợp pháp của thông tin mới có quyền truy cập thông tin (Secrety),
hay nói cách khác là chống truy nhập không đúng quyền hạn.
- Tạo các yếu tố xác thực thông tin, đảm bảo thông tin lưu hành trong hệ thống
đến người nhận hợp pháp là xác thực (Authenticity).
- Tổ chức các sơ đồ chữ ký điện tử, đảm bảo không có hiện tượng giả mạo, mạo
danh để gửi thông tin trên mạng.
Ưu điểm lớn nhất của bất kỳ hệ mật mã nào đó là có thể đánh giá được độ phức tạp
tính toán mà “kẻ địch” phải giải quyết bài toán để có thể lấy được thông tin của dữ liệu
đã được mã hoá. Tuy nhiên mỗi hệ mật mã có một số ưu và nhược điểm khác nhau,
nhưng nhờ đánh giá được độ phức tạp tính toán mà ta có thể áp dụng các thuật toán mã
hoá khác nhau cho từng ứng dụng cụ thể tuỳ theo dộ yêu cầu về đọ an toàn.
Các thành phần của một hệ mật mã:
Định nghĩa: Một hệ mật là một bộ 5 (P, C, K, E, D) thoả mãn các điều kiện sau:
- P là một tập hợp hữu hạn các bản rõ (PlainText), nó được gọi là không gian bản
rõ.
- C là tập các hữu hạn các bản mã (Crypto), nó còn được gọi là không gian các
bản mã. Mỗi phần tử của C có thể nhận được bằng cách áp dụng phép mã hoá
Ek lên một phần tử của P, với k ∈ K.
 K là tập hữu hạn các khoá hay còn gọi là không gian khoá. Đối với mỗi phần tử k của
K được gọi là một khoá (Key). Số lượng của không gian khoá phải đủ lớn để “kẻ địch:
không có đủ thời gian để thử mọi khoá có thể (phương pháp vét cạn).
- Đối với mỗi k ∈ K có một quy tắc mã eK: P → C và một quy tắc giải mã tương
ứng dK ∈ D. Mỗi eK: P → C và dK: C → P là những hàm mà:
- dK (eK(x)) = x với mọi bản rõ x ∈ P.

Bản mã
Bản rõ Mã Giải Bản rõ
hóa mã

Khó
a

Hình 2.1 Mã hoá với khoá mã và khoá giải giống nhau

2.1.3 Bảo vệ hệ thống khỏi sự xâm nhập phá hoại từ bên ngoài

An toàn dữ liệu luôn là mối quan tâm hàng đầu với những người sử dụng máy
tính. Nếu không có giải pháp bảo vệ thích hợp, khi tương tác càng nhiều với mạng toàn
cầu thì khả năng bạn mất quyền kiểm soát với dữ liệu của mình càng cao.
Trước đây khi công nghệ máy tính chưa phát triển, khi nói đến vấn đề bảo mật
thông tin (Information Security), chúng ta thường hay nghĩ đến các biện pháp nhằm đảm
bảo thông tin được trao đổi hay cất giữ một cách an toàn và bí mật. chẳng hạn như:
+ Đóng dấu, ký niêm phong.
+ Dùng mật mã hóa thông điệp chỉ có người gửi và người nhận mới hiểu được
thông điệp.
+ Lưu giữ tài liệu trong két sắt có khóa, tại nơi được bảo vệ nghiêm ngặt.
Với sự phát triển mạnh mẽ của công nghệ thông tin, đặc biệt là sự phát triển của
mạng Internet, ngày càng có nhiều thông tin được lưu trữ trên máy vi tính và gửi đi trên
mạng Internet. Và do đó xuất hiện nhu cầu về an toàn bảo mật thông tin trên máy tính. Có
thể phân loại mô hình an toàn bảo mật thông tin trên máy tính theo hai hướng sau đây:
+ Bảo vệ thông tin trong quá trình truyền thông trên mạng (Network Security).
+Bảo vệ hệ thống máy tính và mạng máy tính khỏi xâm nhập phá hoại từ bên
ngoài (System Security).
Thông tin là một loại tài sản rất quan trọng cũng giống như các tài sản khác của
một doanh nghiệp. Thông tin có một giá trị đặc biệt trong hầu hết tất cả mọi hoạt động, vì
vậy thông tin cần phải được bảo vệ thích hợp. Sau đây là một số bước cơ bản để bảo vệ
thông tin của bạn:
Các bước bảo mật thông tin
Bước 1: Mã hóa dữ liệu
Ngày nay hầu hết các công việc của chúng ta thực hiện đều liên quan đến Internet:
đọc báo, mua sắm, học tập… Tất cả những hoạt động trực tuyến trên đều tiềm ẩn những
nguy cơ vể bảo mật thông tin. Một trong những giải pháp quan trọng nhất là mã hóa dữ
liệu cá nhân, mặc dù nghe về thuật ngữ “mã hóa” mỗi ngày, nhưng vì e ngại phức tạp,
chúng ta dường như chưa quan tâm đúng mức đến vấn đề này. Thật ra, bạn có thể sử
dụng dễ dàng các phần mềm mã hóa như TrueCrypt để bảo vệ dữ liệu trong máy tính và ổ
cứng gắn ngoài một cách hiệu quả. Nếu không biết mật khẩu truy cập, không ai có thể
tiếp cận dữ liệu đã được bạn mã hóa thành công.
Bước 2: Sử dụng mật khẩu mạnh
Việc mã hóa dữ liệu sẽ trở nên vô giá trị nếu kẻ xâm nhập dễ dàng lần ra mật khẩu
bảo vệ của bạn. Mật khẩu mạnh là một mật khẩu dài với sự kết hợp giữa các chữ cái, chữ
số và biểu tượng.
Bước 3: Xác minh hai bước
- Dù đã mã hóa dữ liệu và có một mật khẩu mạnh, bạn vẫn có nguy cơ bị mất mật
khẩu này khi truyền qua mạng không dây công cộng không an toàn, chẳng hạn như ở một
quán cà phê Internet. Để tự bảo vệ mình, bạn có thể sử dụng chế độ xác minh hai bước
(hay chứng thực hai lớp), có nghĩa là ngoài mật khẩu, bạn cần một thông tin khác để đăng
nhập vào wensite hay dịch vụ.
 - Google cung cấp dịch vụ 2-step verification (https://gg.gg/1250) diêu bảo mật:
ngay cả ai đó có được mật khẩu tài khoản Google của bạn, họ cũng không thể đăng nhập
vì không biết mã 6 chữ số được tạo ra ngẫu nhiên mỗi 30s gửi trực tiếp đến điện thoại của
bạn qua tin nhắn hoặc cuộc gọi thoại. Bên cạnh Google, nhiều dịch vụ phổ biến khác
cũng vận hành cơ chế bảo mật này như Facebook, LastPass, Dropbox, Microsoft, ….
Bước 4: Bảo vệ mạng
Một khía cạnh quan trọng khác trong vấn đề bảo mật là cách bạn kết nối với thế
giới mạng bên ngoài. Bạn đang sử dụng giao thức mạng nào? Bạn có thường xuyên sử
dụng mạng không dây kém an toàn tại các khách sạn, sân bay, quán cafe?
Khi cài đặt phát song wifi, bạn có thể tăng độ an toàn bằng cách thiết lập: tắt SSID
Broadcast, bật MAC Address Diltering, bật AP Isolation. Bên cạnh đó, hãy chắc chắn bạn
đã kích hoạt tính năng tường lửa trên router và máy tính nhằm ngăn chặn các ứng dựng
thực hiện giao tiếp không mong muốn thông qua cổng Internet.
Bước 5: Sử dụng phần mềm diệt antivirus
Các bước bảo mật trên có thể trở nên vô ích nếu virus hoặc malware đã xâm nhập
trái phép vào hệ thống của bạn giúp tin tặc kiểm soát máy tính của bạn từ xa hoặc chuyển
dữ liệu từ máy tính của bạn đến các máy chủ của chúng. Sử dụng các chương trình
antivirus là điều vô cùng cần thiết cho mọi máy tính. Và bạn cũng không cần mở phải trả
tiền vì đã có những cái tên miễn phí nhưng đầy mạnh mẽ như: Avira, Avast! Hay AVG…

2.1.4 Lỗ hổng bảo mật và phương pháp phát hiện

Trong an ninh mạng, lỗ hổng bảo mật chính là điểm yếu để các tội phạm mạng lợi
dụng và truy cập trái phép vào hệ thống mạng. Sau khi truy cập vào hệ thống mạng, họ có
thể gây ra những thiệt hại rất lớn mà chúng ta không thể lường trước được.

Thông thường, các lỗ hổng có thể được khai thác bằng nhiều phương pháp khác
nhau. Trong phần này sẽ chia sẻ tổng quan kiến thức về lỗ hổng bảo mật để bạn có thể
nắm tổng quan và có thể tìm hiểu sâu hơn nhằm bảo vệ hệ thống mạng của bạn.

Lỗ hổng bảo mật và những điểm yếu thường thấy trong bảo mật chính là cơ hội để
những kẻ xấu tấn công vào hệ thống tài nguyên mạng và dữ liệu của cơ quan tổ chức
hoặc cá nhân. Vậy khái niệm lỗ hổng bảo mật là gì? Làm sao để phát hiện và khắc phục
ra làm sao?

Lỗ hổng bảo mật là gì?

Lỗ hổng bảo mật (security vulnerability) là khuyết điểm trong quá trình lập trình
hoặc việc cấu hình sai hệ thống mà qua đó tạo ra sơ hở dẫn dến kẻ tấn công mạng có thể
truy cập trực tiếp dữ liệu mà bỏ qua quy trình thông thường.

Việc khai thác lỗ hổng bảo mật còn được gọi là Exploit sẽ giúp các Hacker tận
dụng lỗ hổng bảo mật để đạt được lợi ích.

Lỗ hổng bảo mật là một khái niệm rất thường thấy trong lĩnh vực an ninh mạng.
Nó được định nghĩa bằng rất nhiều kiểu lý giải khác nhau nhưng chung quy là chỉ về một
điểm yếu (kỹ thuật hoặc phi kỹ thuật) của một phần mềm, phần cứng, giao thức, hay một
hệ thống thông tin. Người ta thường nhắc đến lỗ hổng bảo mật là lỗi kỹ thuật ở phần
mềm, phần cứng chứ không ai nói đó là lỗi ở con người dù lỗi ở con người cũng được
tính là lỗ hổng. Ủy ban về Hệ thống An ninh Quốc gia của Hoa Kỳ đã xác định lỗ hổng
trong Hướng dẫn CNSS số 4009 ngày 26 tháng 4 năm 2010 thuật ngữ Bảo đảm Thông tin
Quốc gia: Vulnerability—Weakness in an information system, system security
procedures, internal controls, or implementation that could be exploited by a threat source
(tạm dịch Lỗ hổng bảo mật - sự yếu kém trong hệ thống thông tin, quy trình bảo mật hệ
thống, kiểm soát nội bộ hoặc việc triển khai có thể bị khai thác bởi nguồn đe dọa).

Sơ lược về một số lỗ hổng bảo mật

Lỗ hổng bảo mật có thể xảy ra ở tất cả các lớp bảo mật bao gồm: cơ sở hạ tầng, mạng và
ứng dụng (application). Trong bài viết này, chúng tôi chỉ có thể đề cập đến một số lỗi
thông dụng.

Lỗi bảo vệ hệ thống bằng mật khẩu

Lỗi này là lỗ hổng đầu tiên cho phép người truy cập bỏ qua hoặc giả mạo quy trình xác
thực trước khi tiến vào bên trong hệ thống (đăng nhập vào hệ thống).
 ● Mật khẩu truy cập yếu
● Lỗi đặt mật khẩu thông dụng (123456, admin, iloveyou,...).
● Lỗi đặt mật khẩu quá ngắn: kẻ tấn công có thể dùng các công cụ quét mật khẩu và
dễ dàng tìm ra mật khẩu để truy cập vào hệ thống.
● Xác thực chỉ một lớp (chỉ cần mật khẩu để đăng nhập).
● Cấp quyền truy cập không hợp lý.
● Thời gian kết thúc phiên không được cấu hình hoặc quá lâu.

Tất cả những lỗi trên đều có thể gây ảnh hưởng lớn đến việc bảo mật hệ thống mạng của
bạn.

Lỗi kết nối và quyền hạn truy cập sử dụng cơ sở dữ liệu

SQL Injection là một trong những thuật ngữ phổ biến trong giới bảo mật để tìm ra lỗ
hổng truy cập được vào một phần hoặc toàn bộ cơ sở dữ liệu. Từ đó có thể đánh cắp
thông tin hoặc tìm ra thông tin đăng nhập vào hệ thống. Nguyên nhân chính thường là do:

● Sử dụng câu lệnh SQL thuần trong lập trình. Trong quá trình này sẽ khó tránh khỏi
sai xót và dễ bị các hacker lợi dụng để xâm nhập vào cơ sở dữ liệu.
● Không phân quyền rõ ràng trong Database. Điều này dẫn đến việc chẳng may
hacker xâm nhập được vào một phần Database sẽ có thể đi qua các bảng khác để
tìm kiếm thông tin.
● Hiển thị mã lỗi trong thông báo. Hacker có thể dựa vào mã lỗi để tìm ra lỗ hổng.
● Có thể thấy, SQL Injection là một trong những lỗi rất thông dụng trong quá trình
bảo mật:
● Cực kỳ nguy hiểm: khi hacker truy cập được vào CSDL của bạn. Mọi thông tin
quan trọng được lưu trữ trên website đều sẽ bại lộ.
● Rất phổ biến và dễ thực hiện. Lỗ hổng này rất nổi tiếng, hầu như các Developer và
hacker đều biết đến lỗi này và họ còn lập trình ra công cụ để thực hiện tự động.
● Không nên chủ quan, đã từng có rất nhiều website của những đơn vị rất lớn cũng
mắc phải sai lầm từ SQL Injection.
Lỗi phần mềm, hệ điều hành

Như bạn cũng thường thấy, các phần mềm, các hệ điều hành đều không thực sự
hoàn hảo và có rất nhiều phiên bản nâng cấp để cải thiện về tính năng và độ bảo mật.
Trong quá trình xây dựng một phần mềm, một hệ thống, mặc dù được quy hoạch rất kỹ
và khoa học ngay từ đầu nhưng chắc chắn cũng sẽ không tránh khỏi những lỗ hổng mà
phải qua quá trình hoạt động mới có thể nhìn thấy.

Người quản lý

Đôi khi, việc bảo mật kỹ càng trong hệ thống cũng chưa thể hoàn hảo nhất. Đây
cũng là lỗ hổng lớn nhất của mọi hệ thống. Dù bảo mật cao đến đâu thì cũng sẽ có người
nắm giữ chìa khóa đi vào hệ thống.

Lỗ hổng bảo mật xuất hiện ở đâu

● Phần mềm
● Website
● Ứng dụng (trên web hoặc trên máy tính điện thoại)
● Hệ điều hành
● Source code, API
● Thiết bị IoT
● Hệ thống thiết bị mạng
● Cơ chế xác thực, các giao thức truyền tải, mã hóa

Kẻ xấu làm gì để khai thác lỗ hổng

Kẻ xấu sẽ kết nối với hệ thống máy tính và tùy theo từng lỗ hổng sẽ có những
phương pháp tương ứng. Chẳng hạn như lỗ hổng SQL injection cho phép kẻ tấn công lợi
dụng lỗ hổng của việc kiểm tra dữ liệu đầu vào và các thông báo lỗi do hệ quản trị cơ sở
dữ liệu trả về để inject (tiêm vào) và thực thi các câu lệnh SQL bất hợp pháp hay Cross
Site Scripting cho phép kẻ xấu chèn những đoạn script độc hại (thường là Javascript hoặc
HTML) vào website và thực thi trong trình duyệt của người dùng.
Những điểm yếu thường thấy trong bảo mật

● Coi thường bảo mật: chính vì sự coi thường này đã dẫn đến những sự thiệt hại
hàng trăm triệu đô la trên toàn thế giới vì những cuộc tấn công của hacker. Doanh
nghiệp/tổ chức nên quan tâm đến vấn đề này nhiều hơn, cập nhật xu thế bảo mật
cũng như kiểu tấn công hiện nay là gì và đầu tư vào bảo vệ hệ thống.

● Sự lơ là, không phòng bị: có thể dẫn đến hậu quả khôn lường không chỉ riêng Việt
Nam mà trên toàn thế giới, nhất là khoản phục hồi. Phải kiểm tra thường xuyên để
phòng bị và sẵn sàng đối phó với những mối đe dọa từ những công cụ phần mềm
quét bảo mật hoặc hệ thống giám sát được các nhà cung cấp uy tín khuyên dùng.

● Mở cửa cho sự gian lận: thời buổi hiện nay, những quy trình liên quan đến thông
tin cá nhân của con người thì sẽ trở thành miếng mồi ngon cho bọn lừa đảo. Nếu
không có hệ thống giám sát thích hợp tại chỗ, các quy trình kinh doanh này có thể
sẽ bị xâm phạm.

● An ninh di động/gia đình/di chuyển: bây giờ con người chúng ta có thể làm việc ở
bất kỳ nơi đâu, ở nhà hoặc ngoài đường. Điều này có nghĩa là bất kỳ phương thức
bảo mật mạng nào được triển khai trong tổ chức cũng đều phải được mở rộng ra
ngoài phạm vi của văn phòng. Các thiết bị di động và máy tính xách tay cần phải
được bảo mật và nhân viên phải được thông báo về các rủi ro và kế hoạch ứng
phó.

● Giám sát không chặt chẽ: giám sát không chặt chẽ sẽ dẫn đến hậu quả từ những
hành vi bất thường trên mạng và đến từ những nhân viên làm việc.

● Cách xử lý sự cố: những cách xử lý sự cố kém hiệu quả sẽ dẫn tới thời gian hồi
phục lâu, chi phí đội lên cao, mất niềm tin từ khách hàng.

● IoT : internet vạn vật ngày nay đang dần trở nên phổ biến trong cuộc sống thông
qua các thiết bị thông minh, kèm theo đó là những nỗi lo khi kẻ xấu lợi dụng
chúng để tấn công hệ thống tài nguyên mạng doanh nghiệp (xem thêm kiến thức
về Vulnerability).
 ● Đối tác/bên thứ ba: doanh nghiệp phải phối hợp với đối tác và bên cung cấp giải
pháp phần mềm nhằm kiểm tra rà soát tất cả, tuyệt đối không để kẻ xấu lợi dụng lỗ
hổng của đối tác để từ đó tấn công qua bên mình.

● Con người: không thể không nhắc đến yếu tố con người ở đây. Hành vi cuả con
người có thể dẫn đến bị lợi dụng và xâm phạm nếu không được giám sát. Chưa kể
ở đây, một hành động của con người có thể dẫn đến sự xâm phạm an ninh doanh
nghiệp như nhân viên có mưu đồ xấu xa đem bảo mật công ty tuồn ra ngoài hoặc
cho kẻ khác đăng nhập vào hệ thống công ty, hoặc chỉ vì thiếu kiến thức mà có
những hành động vô tình dẫn đến cái họa về sau.

Quản lý lỗ hổng bảo mật như thế nào?

Đây là hoạt động tìm, xác định và khắc phục giảm thiểu các lỗ hổng bảo mật theo chu kỳ.
Nhưng chúng ta cũng đã biết, không có một hệ thống nào là đảm bảo bảo mật tuyệt đối.
Do đó, việc lặp đi lặp lại theo chu kỳ là vô cùng quan trọng.

Các phương pháp phát hiện lỗ hổng bảo mật

Có 3 phương pháp để phát hiện tìm ra lỗ hổng bảo mật bao gồm:

- Quét lỗ hổng bảo mật.

- Kiểm tra thâm nhập.

- Thường xuyên cập nhật tin tức bảo mật và kiểm tra hệ thống của bản thân.

Phương pháp quét lỗ hổng bảo mật

Phần mềm quét lỗ hổng bảo mật được thiết kế chuyên dụng từ những chuyên gia bảo mật
để đánh giá máy tính, hệ thống mạng và các ứng dụng để tìm các lỗ hổng bảo mật đã
biết.

Phương pháp này cho phép phần mềm quét lỗi bảo mật được truy cập trực tiếp vào nơi
quét thông qua các phương thức quản trị từ xa như SSH, RDP, ... và xác thực bằng thông
tin đăng nhập. Sau khi đi vào hệ thống, phần mềm sẽ tìm kiếm toàn hệ thống để phát hiện
ra lỗ hổng và đưa ra báo cáo.

Phương pháp kiểm tra thâm nhập

Thường xuyên đọc file log dữ liệu, kiểm tra các địa chỉ IP bất thường đăng nhập
vào hệ thống của bạn. Xem các thay đổi bất thường trong hệ thống. Từ đó có thể phán
đoán dấu vết của kẻ tấn công để lại. Từ đó phát hiện ra lỗ hổng.

Google Hacking

Nghe đến Google Hacking, có nhiều người sẽ lầm tưởng về cái tên. Tuy nhiên,
Google Hacking là thuật ngữ để nói về việc dùng các công cụ tìm kiếm để thông qua đó
tìm kiếm các lỗi liên quan đến Code và URL của Website. Từ đó phát hiện ra các lỗ hổng
trong quá trình xây dựng hệ thống nhưng không chú ý.

Qua phần này có thể thấy rằng, việc những lỗ hổng bảo mật tồn tại sẽ khiến cho hệ
thống doanh nghiệp luôn ở trong tình trạng báo động đỏ, song song đó cộng với những
điểm yếu không sớm khắc phục thì kết quả sau này chỉ là hai chữ phá sản mà thôi. Doanh
nghiệp cần phải chủ động trong vấn đề này, thực hiện một cách triệt để thì mới đảm bảo
cho hoạt động kinh doanh sản xuất được ổn định lâu dài.

2.2 Vai trò của ATTT trong hệ thống mạng máy tính và Internet

2.2.1. Vai trò của Tường lửa trong hệ thống mạng máy tính

Tường lửa (Firewall) là một hệ thống an ninh mạng, có thể dựa trên phần cứng hoặc
phần mềm, sử dụng các quy tắc để kiểm soát traffic vào, ra khỏi hệ thống. Tường lửa
hoạt động như một rào chắn giữa mạng an toàn và mạng không an toàn. Nó kiểm soát các
truy cập đến nguồn lực của mạng thông qua một mô hình kiểm soát chủ động. Nghĩa là,
chỉ những traffic phù hợp với chính sách được định nghĩa trong tường lửa mới được truy
cập vào mạng, mọi traffic khác đều bị từ chối.

Vai trò của tường lửa là gì?

Tường lửa sẽ bảo vệ máy tính của bạn như thế nào? Sau đây là kiến thức lý giải thực tế
về chức năng tường lửa.

Tường lửa giúp kiểm soát luồng thông tin giữa mạng nội bộ và Internet, phát hiện và
phán đoán các hành vi truy cập nội bộ và không truy cập của hệ thống nhằm bảo mật tối
đa thông tin.

Hình 2.2 Tường lửa trong máy tính và vai trò của tường lửa
2.2.2 Bảo mật hệ thống mạng LAN

Với nhu cầu trao đổi thông tin ngày càng cao hiện nay, các cơ quan, tổ chức cần
thiết phải kết nối với mạng Internet. Ngoài tốc độ thì an toàn và bảo mật thông tin là một
trong những vấn đề quan trọng hàng đầu với hệ thống mạng của các cơ quan, doanh
nghiệp, tổ chức. Tính năng bảo mật mạng LAN cần được doanh nghiệp chú trọng.

Một số quy tắc bảo mật máy tính và hệ thống mạng LAN

– Sao lưu dữ liệu quan trọng.

– Cài và cập nhật đều đặn phần mềm diệt virus .
– Gỡ bỏ file, chương trình và dịch vụ không cần thiết.
– Cập nhật hệ điều hành.
 – Cài tường lửa và cấu hình chuẩn.
– Đóng các cổng truy cập không cần thiết.
– Đặt mật khẩu BIOS.
– Thiết lập các quy định cho GPO.
– Dùng phần mềm lọc nội dung cho HTTP, FTP và SMTP.
– Dùng phần mềm chống thư rác.

Mô hình mạng bảo mật cho hệ thống mạng LAN

Một mô hình mạng được bảo mật cao là điều cần thiết cho mỗi tổ chức để phân biệt rõ
ràng giữa các vùng mạng theo chức năng và thiết lập các chính sách an toàn thông tin
riêng cho từng vùng mạng theo yêu cầu thực tế.
Mô hình mạng bảo mật gồm các thành phần, các vùng khác nhau, các thành phần trong
mô hình mạng.

Các vùng mạng:

– Vùng mạng nội bộ (Local area network – LAN): Các thiết bị mạng, máy trạm và máy
chủ thuộc mạng nội bộ của đơn vị được đặt trong vùng mạng này.

– Vùng mạng DMZ: Vùng DMZ là một vùng mạng trung lập giữa mạng nội bộ và
mạng Internet. Đây là nơi chứa các dữ liệu cho phép người dùng từ Internet truy xuất
vào. Người dùng cần chấp nhận các rủi ro tấn công từ Internet khi truy cập vào DMZ.
Các dịch vụ thường được triển khai trong vùng DMZ là: máy chủ Web, Mail, DNS,
FTP,…

– Vùng mạng Server (Server Farm): Các máy chủ không trực tiếp (bao gồm Database
Server, LDAP Server,…) cung cấp dịch vụ cho mạng Internet sẽ được đặt tại Server
Farm.

– Vùng mạng Internet: Đây là vùng kết nối với mạng Internet toàn cầu.

Các tiêu chí khi thiết kế mô hình mạng bảo mật

 – Các máy chủ web, mail… cung cấp dịch vụ ra mạng Internet nên được đặt trong
vùng DMZ. Vùng DMZ giúp bảo vệ các máy chủ khỏi các tấn công mạng nội bộ hoặc
mất quyền kiểm soát.
Lưu ý: Trong DMZ không đặt web server, mail server hoặc các máy chủ chỉ cung cấp
dịch vụ cho nội bộ.
– Các máy chủ ứng dụng, database server, máy chủ xác thực… dành cho mạng nội bộ
nên được đặt trong vùng mạng server network. Các máy chủ cần được bảo vệ khỏi các
tấn công từ Internet và mạng nội bộ.
Ngoài ra, bạn có thể chia nhỏ vùng server network để nâng cao tính bảo mật với các hệ
thống bao gồm nhiều cụm máy chủ khác nhau hoặc thông tin yêu cầu mức bảo mật cao.
– Triển khai hệ thống phòng thủ tường lửa (firewall) và thiết bị phát hiện/phòng chống
xâm nhập (IDS/IPS) để bảo vệ hệ thống, chống tấn công và xâm nhập trái phép.
– Trước khi kết nối đến ISP, bạn nên đặt một Router ngoài cùng nhằm lọc các lưu
lượng và các gói tin không mong muốn.

Một số mô hình mạng LAN phổ biến:

- Mô hình 1: Vùng mạng Internet, Local và DMZ được thiết kế tách biệt nhau.
Người dùng có thể để firewall đặt giữa các vùng mạng. Tường lửa này có nhiệm vụ kiểm
soát luồng dữ liệu giữa các vùng mạng với nhau và bảo vệ các vùng mạng khỏi các tấn
công.

Hình 2.3 Mô hình 1

 - Mô hình 2: Một firewall được đặt giữa mạng Internet và DMZ và một firewall
giữa DMZ và local. Mạng Local cách mạng Internet bằng 2 lớp firewall.

Hình 2.4 Mô hình 2

- Mô hình 3: Firewall thứ nhất đặt giữa mạng Internet và DMZ, firewall thứ hai
đặt giữa vùng DMZ và vùng local và firewall thứ ba đặt giữa Local và Internet. Các
luồng dữ liệu giữa các vùng với nhau đều được kiểm soát bởi các firewall.

Hình 2.5 Mô hình 3

2.2.3 Bảo mật hệ thống mạng không dây – WLAN

Sự phát triển và gia tăng của các thiết bị di động như máy tính xách tay, thiết bị trợ
giúp cá nhân (PDA), không những mở rộng phạm vi hoạt động vật lý mà còn làm gia tăng
tính di động của lĩnh vực điện toán.

Cũng như vậy, mạng máy tính ngày nay không chỉ bó hẹp trong lĩnh vực kỹ thuật
mà đã vươn ra mọi lĩnh vực của cuộc sống. Điều tất yếu dễ thấy là cần có một công nghệ
thỏa mãn được cả hai nhu cầu: mạng và tính di động. Công nghệ mạng không dây được
nghiên cứu và ra đời nhằm khắc phục những hạn chế đó.

Hình 2.6 Hệ thống mạng không dây – WLAN

Công nghệ không dây hiểu theo nghĩa đơn giản nhất là công nghệ cho phép các thiết
bị giao tiếp với nhau mà không cần sử dụng đến dây dẫn. Phương tiện truyền dẫn ở đây
chính là sóng điện từ truyền qua không khí. Mạng không dây về cơ bản là mạng đóng vai
trò phương tiện vận chuyển thông tin giữa các thiết bị và mạng có dây truyền thống (mạng
xí nghiệp, Internet).
 Mạng không dây chủ yếu được phân thành 3 loại dựa vào phạm vi hoạt động của
chúng. Bao gồm mạng không dây diện rộng, mạng không dây cục bộ và mạng không dây
cá nhân. Cụ thể, mạng không dây diện rộng WWAN là mạng sử dụng các công nghệ không
dây phủ sóng diện rộng như: 2G, 3G, GPRS, CDPD, GSM, với vùng phủ sóng của công
nghệ này đạt từ vài trăm m tới vài km. Mạng không dây cá nhân WPAN, sử dụng các công
nghệ như bluetooth, sóng hồng ngoại với phạm vi phủ sóng nhỏ hơn 10m.

Phổ biến nhất và thường được sử dụng ở quy mô gia đình hoặc công sở là mạng
không dây cục bộ WLAN. Đây là mạng sử dụng các công nghệ không dây có phạm vi phủ
sóng nằm trong khoảng dưới 200m. Thực tế, nó cũng là loại mạng dễ bị tấn công nhất do
nhiều người dùng chủ quan hoặc thiếu kiến thức về việc thiết lập mã hóa, bảo mật cho kết
nối.

Giải pháp đảm bảo an toàn cho hệ thống WLAN

Một mô hình hệ thống WLAN an toàn với sự cải tiến nhằm nâng cao mức độ an
ninh của môi trường mạng cũng như cho phép xây dựng một hệ thống dựa trên chuẩn
802.11i sẵn có với những sửa đổi ít nhất. Đảm bảo an ninh cho mạng WLAN chính là đảm
bảo 4 tiêu chí: tính bí mật, tính toàn vẹn, tính xác thực và tính sẵn sàng. Do vậy, hệ thống
WLAN an toàn được đề xuất cũng nhằm đảm bảo 4 tiêu chí này.

Về mặt mã hóa và đảm bảo tính toàn vẹn dữ liệu cho mạng, với giao thức CCMP,
các phân tích và nghiên cứu cho đến nay đều chỉ ra rằng việc mã hóa và đảm bảo tính toàn
vẹn trong 802.11i sử dụng khóa có độ dài 128 bit là hiệu quả, khó có thể tấn công vào được.

Hiện chưa có rủi ro an ninh nào liên quan đến CCMP được công bố. Với lý do đó,
hệ thống WLAN an toàn sẽ sử dụng CCMP như là phương pháp duy nhất để mã hóa và
đảm bảo tính toàn vẹn cho dữ liệu mạng. Thêm vào đó, kiểu tấn công quay lui dịch vụ lợi
dụng việc hai khung tin dẫn đường và dò tìm là không được bảo vệ trong mạng WLAN.
Việc mã hóa hay kiểm tra tính toàn vẹn của các khung tin này là rất khó bởi tại thời điểm
này, giữa điểm truy cập và trạm chưa có khóa chia sẻ nào để áp dụng.
 Thực tế, WPA2 vẫn đang là tiêu chuẩn mã hóa Wi-Fi an toàn nhất hiện nay. Tiêu
chuẩn WPA2 tính đến cả lỗ hổng KRACK rất dễ bị bẻ khóa. Hiện nay tiêu chuẩn mã hóa
này không được sử dụng cho bất kỳ mục đích nào. Nếu vẫn còn sử dụng những thiết bị áp
dụng chuẩn mã hóa này thì người dùng nên thay thế để tăng cường độ bảo mật cho WLAN.

Hệ thống WLAN an toàn đề xuất những sửa đổi cần thiết để giảm thiểu rủi ro liên
quan đến kiểu tấn công DoS. Tuy nhiên, có nhiều dạng tấn công DoS có thể thực hiện được
từ tầng vật lý cho đến tầng ứng dụng nên ở đây chỉ cố gắng đạt được khả năng phòng chống
DoS ở tầng liên kết dữ liệu.

Tại Việt Nam, các hệ thống WLAN được thường được sử dụng rộng rãi tại trong hộ
gia đình, công sở, trường học, thậm chí là ở những nơi công cộng như quán cà phê, rạp
chiếu phim, bến xe, phố đi bộ...với lưu lượng kết nối dày đặc nên rất dễ phát sinh các nguy
cơ về bảo mật. Việc đảm bảo an toàn cho hệ thống không chỉ duy trì hạ tầng mạng vận
hành ổn định, mà còn giúp tránh sự cố cho người sử dụng.

2.2.4 Bảo mật hệ thống thư điện tử

Trong thời gian gần đây, thông tin điện tử đã trở thành một công cụ hữu hiệu trong
việc trao đổi thông tin, hỗ trợ việc học tập, nghiên cứu khoa học, góp phần quan trọng
trong việc nâng cao hiệu quả công việc, năng suất lao động, nâng cao nhận thức và kiến
thức của mỗi người, giảm thời gian thực hiện và chi phí hoạt động trong công việc.

Tuy nhiên bên cạnh đó xuất hiện nhiều vấn đề liên quan đến an toàn thông tin như:
- Lộ lọt các thông tin bí mật, nhạy cảm.
- Phát tán các thư giả mạo, có nội dung lừa đảo hoặc quảng cáo không phù hợp.
- Phát tán, lây lan mã độc, phần mềm quảng cáo trái phép v.v….
- Chiếm quyền sử dụng trái phép.
- Bị lợi dụng để phục vụ cho các mục đích xấu.

Các vấn đề trên đã gây ảnh hưởng xấu tới việc sử dụng thông tin điện tử trong các
hoạt động quản lý, trao đổi thông tin.
 Việc đạt được mức độ bảo mật ở mức cao hơn là hoàn toàn có thể, ngay cả với
những tài khoản thư điện tử không bảo mật. Để đạt được điều này, bạn cần tìm hiểu về
việc mã hóa với khóa công khai.

Hình 2.7 Bảo mật thư điện tử

Kỹ thuật này cho phép bạn mã hóa từng bức thư điện tử, khiến chúng không thể bị
đọc bởi bất kỳ ai ngoài những người thực sự được gửi tới. Điều tuyệt vời của việc mã
hóa với khóa công khai ở chỗ bạn không cần trao đổi bất kỳ thông tin bí mật nào với đối
tác liên lạc về việc làm sao để có thể mã hóa mọi thông tin trong tương lai.

Kỹ thuật này có thể được sử dụng với bất kỳ dịch vụ thư điện tử nào, ngay cả
những dịch vụ thiếu tính bảo mật cho đường truyền, vì nội dung từng bức thư đều đã
được mã hóa trước khi chúng rời khỏi máy tính của bạn.

Cần ghi nhớ rằng, với việc sử dụng mã hóa, bạn có thể gây sự chú ý về bản thân
mình. Loại mã hóa được sử dụng khi bạn truy cập các trang web, bao gồm cả các tài
khoản thư điện tử, thường được coi là it đáng ngờ hơn là những loại mã hóa dùng khóa
công khai được bàn luận ở đây. Trong một số trường hợp, nếu một thông tin được mã hóa
bị kiểm duyệt, hay được tải lên trên một diễn đàn công cộng, nó có thể gây trách nhiệm
cho người gửi thông tin đó mà không cần biết đến nội dung của thông tin là gì. Nhiều khi
bạn sẽ phải chọn lựa giữa mức độ bảo mật thông tin với việc tránh bị nghi ngờ.

Việc mã hóa và xác thực cho từng thư điện tử

Mã hóa dùng khóa công khai ban đầu có vẻ phức tạp, nhưng nó khá dễ hiểu sau
khi bạn nắm vững những kiến thức cơ bản, đồng thời các công cụ thực hiện nó khá dễ để
sử dụng. Chương trình quản lý thư điện tử Thunderbird có thể được sử dụng kết hợp với
một thành phần mở rộng là Enigmail để mã hóa và giải mã hóa thư một cách rất dễ dàng.

Hình 2.8 Mã hóa

VaultletSuite 2 Go, một chương trình quản lý thư điện tử có mã hóa miễn phí thậm
chí còn dễ sử dụng hơn cả Thunderbird nếu bạn sẵn sàng tin cậy công ty cung cấp công
cụ này và cho phép họ thực hiện nhiều phần việc giúp bạn.

Hình 2.9 Mã hóa thư điện tử dùng VaultletSuite 2 Go

 Việc xác thực cho thư điện tử của bạn là một phần quan trọng trong quá trình bảo
mật truyền thông của bạn. Bất kỳ ai có truy cập Internet và những công cụ thích hợp đều
có thể giả mạo bạn bằng cách gửi thư từ những tài khoản thư giả mạo có những thông tin
xác định cá nhân bạn. Mối nguy hiểm càng rõ ràng hơn khi cân nhắc vấn đề này trong vai
trò là người nhận thư. Lấy ví dụ, Hãy tưởng tượng, một mối nguy cơ có thể gây ra do một
bức thư điện tử được cho là gửi từ một đối tác tin cậy nhưng thực tế là bởi một kẻ nào đó
có mục đích phá hoại các hoạt động của bạn và tìm cách lấy những thông tin bí mật của
tổ chức bạn.

Do chúng ta không thể nhìn hay nghe thấy đối tác của mình qua thư điện tử, chúng
ta thường dựa vào địa chỉ của người gửi để xác định đối tác, điều này rất dễ khiến chúng
ta bị lừa gạt bởi những bức thư bị giả mạo. Chữ ký điện tử, một kỹ thuật cũng sử dụng mã
hóa với khóa công khai, cung cấp phương thức xác thực danh tính của một người khi gửi
thư điện tử.

2.2.5 Bảo mật hệ thống dịch vụ Internet

Trong khi công nghệ mạng và Internet mang lại nhiều cơ hội phát triển và cạnh
tranh mới cho các doanh nghiệp vừa và nhỏ (SMB) thì cũng là lúc nó làm dấy lên nhu
cầu cần phải bảo vệ hệ thống máy tính trước các đe doạ về bảo mật.

Theo một cuộc khảo sát được Viện Bảo mật máy tính CSI tiến hành năm 2003, có
tới 78% máy tính bị tấn công qua mạng Internet (năm 2000 là 59%). Ngày nay, thậm chí
cả những doanh nghiệp nhỏ nhất cũng cảm thấy họ cần phải thực hiện các hoạt động kinh
doanh trực tuyến, và kéo theo đó nhiều nhân tố cần phải đảm bảo cho mô hình này.
Tuy nhiên, theo Jim Browning, phó chủ tịch kiêm giám đốc nghiên cứu SMB của
Gartner, hầu hết các doanh nghiệp không nhìn nhận đúng mực tầm quan trọng của bảo
mật, họ thường xem nhẹ chúng trong khi đáng ra đó phải là ưu tiên hàng đầu khi tiến
hành các hoạt động trực tuyến.
Nếu không được bảo vệ đúng mực, mỗi phần của hệ thống mạng đều trở thành
mục tiêu tấn công của tin tặc, của đối thủ cạnh tranh, hay thậm chí là cả nhân viên trong
công ty. Mặc dù trong năm 2005 có tới 40% SMB thực hiện quản lý mạng bảo mật và sử
dụng Internet nhiều hơn nhưng theo thống kê của Gartner, hơn một nửa trong số họ thậm
chí không biết là mình bị tin tặc tấn công.

Những nền tảng cơ bản

Cũng như nhiều loại hình tội phạm khác, các đe doạ về mạng và tài nguyên
Internet xuất phát từ cộng đồng nhỏ. Tuy nhỏ như nhân tố này lại không ngừng lớn mạnh
bởi ít có chế tài nào kiềm chế nó một cách hiệu quả, chỉ cần một công cụ tấn công được
phát tán lên mạng là ngay lập tức rất nhiều hệ thống máy tính trở thành mục tiêu tấn công
thông qua các lỗ hổng phần mềm. Những kẻ đứng đằng sau các vụ tấn công này có thể là
tin tặc, bẻ khoá phần mềm hoặc "nội gián".

- Kiểm soát truy cập: Xác nhận danh tính và quyết định có cho phép truy cập vào
mạng hay không. Việc xác thực có thể thông qua mật khẩu hoặc các biện pháp phức tạp
khác như sử dụng thiết bị sinh trắc (quét vân tay hoặc khuôn mặt).

- Tường lửa: Giải pháp phần mềm hoặc phần cứng giúp ngăn chặn các nỗ lực xâm
nhập từ bên ngoài hoặc chỉ cho phép dữ liệu hợp pháp đi vào mạng. Ngày nay, tường lửa
được sử dụng rất phổ biến đối với hệ thống mạng doanh nghiệp.

- Quản lý định danh: Nhận dạng người dùng và trạng thái chấp nhận hiện tại, định
nghĩa và thi hành quyền truy cập tài nguyên hệ thống và mạng lưới.

- Phát hiện xâm nhập: Là khả năng của phần mềm có thể phân tích hoạt động của
mạng, phát hiện hành vi xâm nhập vào gửi thông báo cho người quản trị.

- Ngăn chặn đe doạ: Là việc liên kết nhiều công nghệ bảo mật (tường lửa, phát
hiện/bảo vệ xâm nhập) và dịch vụ mạng thông minh để giảm thiếu tác động của những đe
doạ đã biết hoặc chưa được biết đến.

- VPN (Virtual Private Network): Mạng riêng ảo cho phép máy tính có thể kết nối
bảo mật (an toàn) tới hệ thống mạng doanh nghiệp thông qua mạng Internet. Nhờ sử dụng
kết hợp thiết bị phần cứng trên mạng doanh nghiệp và phần mềm đặc biệt trên máy tính
điều khiển từ xa mà DN có thể sử dụng VPN cho các văn phòng vệ tinh, các trụ sở xa
trung tâm và thiết bị di động của nhân viên.
 * Tin tặc (hacker): Phần lớn là những người am hiểu về bảo mật và các nguyên lý
vận hành mạng Internet và máy tính. Trước đây, mục đích của tin tặc khi đột nhập vào
máy tính thường mang màu sắc phi lợi nhuận, chỉ để chứng tỏ tay nghề hay khoe "thành
tích". Ngày nay, mục đích này đã dần biến mất và thay vào đó là các động cơ lớn hơn:
tiền, thù hằn cá nhân, chính trị... Khái niệm và quan niệm về hacker cũng rất đa dạng, tuy
nhiên, có thể chia tin tặc thành 3 dạng: mũ trắng, mũ đen và mũ xám.
Hacker "mũ trắng" thường là các chuyên gia bảo mật, những người vì sự an toàn chung
của cộng đồng trong cuộc chiến chống lại hacker "mũ đen". "Mũ xám" là cụm từ mới ám
chỉ những tin tặc "nửa trắng nửa đen" (vừa chính lại vừa tà), những nhân tố có thể thay
đổi theo hoàn cảnh).
* Bẻ khoá (cracker): Cũng rất nguy hiểm và gây thiệt hại lớn đối với doanh
nghiệp. Những công việc "ưu thích" của loại người này là bẻ khoá phần mềm, sửa đổi
trang Web, đánh cắp thông tin thẻ tín dụng, phá huỷ dữ liệu

* Nội gián: Đó chính là nhân viên trong công ty, những người muốn có được
thông tin cá nhân của người khác để thoả mãn tính tò mò hoặc phục vụ cho mục đích
khác.
Những đe doạ bảo mật thường thấy là tấn công mạng, tấn công tâm lý (social
engineering), virus , sâu và phần mềm gián điệp. Những phi vụ tấn công mạng phức tạp
có động cơ chính trị hoặc tài chính thường chỉ nhắm tới một công ty hoặc hệ thống máy
tính cụ thể. Mục đích không nằm ngoài ý định sửa đổi cơ sở dữ liệu, đánh cắp tài khoản
hoặc thông tin cá nhân, cài đặt các chương trình do thám để cho phép kẻ đột nhập có thể
khởi phát các cuộc tấn công từ chính hệ thống máy tính nạn nhân.
Tấn công mạng có 3 phương thức cơ bản:
* Tấn công do thám: Là phương pháp tấn công thu thập thông tin để khởi phát
cuộc tấn công thực sự sau này vào mạng lưới.

* Tấn công truy nhập: Là phương pháp lợi dụng điểm yếu của mạng (thường là
lỗi hoặc lỗ hổng bảo mật).
 * Tấn công từ chối dịch vụ: Là phương pháp tấn công mạnh tay nhất hiện nay
bằng cách gửi một số lượng lớn truy vấn thông tin tới máy chủ, gây ra hiện tượng quá tải,
khiến máy tính không thể (hoặc khó có thể) truy cập từ bên ngoài.
Quản trị hệ thống cần phải đánh giá đúng mực mức độ của các cuộc tấn công để từ đó đề
ra biện pháp chống trả và bảo vệ hợp lý.

Virus: Là một chương trình có thể tìm kiếm các chương trình khác trên thiết bị
mạng và lây nhiễm vào chúng bằng cách copy vào đó một phiên bản của virus. Khi
những chương trình này được thực thi, virus đính kèm cũng được kích hoạt theo để bắt
đầu chu trình lây nhiễm tiếp theo. Không giống sâu, virus không thể lây nhiễm vào máy
tính mà không có sự trợ giúp nào đó (sự tương tác của người dùng).

- Sâu: Chương trình có thể tự phát tán và lây nhiễm qua mạng với tốc độ rất
nhanh.

- Trojan Horse (Ngựa Trojan): Được lấy tên từ một thành ngữ, đây là cụm từ chỉ
một chương trình nguy hiểm được che giấu trong một vỏ bọc nào đó (chẳng hạn như một
chương trình game), giúp kẻ chủ mưu có thể phát lệnh điều khiển hệ thống từ xa.

Phương pháp "social engineering" thường được sử dụng để đánh cắp thông tin
nhạy cảm của doanh nghiệp. Đây là phương pháp tấn công ít tốn sức lực nhất như lại rất
hiệu quả trong nhiều trường hợp. Đôi khi chỉ cần một cú điện thoại là kẻ tấn công có thể
lấy được thứ mình muốn, chẳng hạn như hỏi thông tin mật khẩu để nâng cấp hệ thống từ
bộ phận hỗ trợ kỹ thuật.

Virus, Trojan, sâu và các mối đe doạ khác có thể kết hợp cùng nhau để tạo ra nguy
cơ lớn đối với sự an toàn của một doanh nghiệp. Những đe doạ này thường tấn công vào
một mục tiêu định trước, được tung lên mạng và tìm kiếm lỗ hổng trong hệ thống máy
tính nạn nhân để xâm nhập. Virus và Trojan thường đòi hỏi sự tương tác của người dùng
mới có thể lây nhiễm, trong khi sâu máy tính lại không cần; chúng có khả năng tự phát
tán qua e-mail để lây nhiễm tới những hệ thống máy tính "kém an toàn" chỉ trong vài giờ,
hoặc thậm chí là vài phút. Theo thống kê của hãng bảo mật phần mềm PestPartrol, số
lượng đe doạ bảo mật đã tăng từ 27.000 (2000) lên 60.500 trong năm 2003.
* Giải pháp
Để giảm thiểu thiệt hại từ các vụ tấn công lợi dụng lỗ hổng bảo mật, doanh nghiệp
cần phải thực hiện nghiêm túc quy trình phát hiện -> giải quyết triệt để hoặc ngăn chặn
tối đa lỗ hổng. Thường bước đầu tiên cần thực hiện là thảo ra một chính sách bảo mật và
thông báo rộng rãi tới các nhân viên trong công ty. Chính sách này cần quy định rõ quyền
và nghĩa vụ từng người khi tiếp xúc với tài nguyên kỹ thuật doanh nghiệp.
Khi đã có chính sách và quy định rõ ràng, bước tiếp theo cần kết hợp các biện
pháp nghiệm vụ để giảm thiểu hoặc thậm chí xoá bỏ rất nhiều "cơn đau đầu" về bảo mật
hiện nay. Những biện pháp này có thể bao gồm việc triển khai kỹ thuật để phát hiện và
ngăn chặn các hành vi lạm dụng và phá hoại; đào tạo nhân viên và áp dụng triệt để, thông
suốt chính sách bảo mật đề ra.
* Tác động

Bảo mật Internet có thể ảnh hưởng trực tiếp tới doanh thu và tình hình kinh doanh
của doanh nghiệp. Một cuộc khảo sát của CSI và Đội chống xâm nhập máy tính FBI năm
2003 cho thấy, trong số 75% doanh nghiệp được khảo sát đều cho rằng họ phải gánh chịu
thiệt hại về tài chính từ sự cố bảo mật; 47% doanh nghiệp cho biết có thể đánh giá chính
xác thiệt hại bảo mật; và 23% cho biết thất thu khoảng 10 triệu USD mỗi năm do các
hành vi đột nhập tấn công.

Một thiệt hại khác rất khó đánh giá nhưng lại cực kỳ quan trọng đối với SMB, đó
là khoảng thời gian trục trặc về hệ thống (downtime) và thiệt hại sản phẩm do phản ứng
chậm chạm đối với sự cố bảo mật. Trong rất nhiều trường hợp, doanh nghiệp phải tạm
thời gỡ bỏ các máy chủ quan trọng, hệ thống desktop và dây chuyền liên quan tới sự cố
bảo mật. Tuy phải đối mặt với những thiệt hại tiềm tàng nhưng rất nhiều doanh nghiệp
nhỏ vẫn chưa chú trọng tới nguy cơ này.
* Một số công việc cần làm
 Đe doạ bảo mật và việc triển khai công nghệ để giảm thiểu chúng luôn có quan hệ
mật thiết với nhau. Để bảo mật thành công đòi hỏi phải có bước tiếp cận và quy trình xử
lý xuyên suốt:

- Tiến hành đánh giá định kỳ về chính sách bảo mật

- Triển khai công nghệ bảo mật để cung cấp các kết nối an toàn, ngăn chặn các
nguy cơ và quản lý việc nhận dạng, đánh giá... ở những thời điểm và bộ phận hợp lý.

- Sửa chữa và bảo vệ các điểm đầu cuối, máy chủ và desktop trước những đe doạ
đã được nhận dạng hoặc chưa được nhận dạng. Cần ý thức rằng trên thực tế không có
một công nghệ bảo mật đơn lẻ nào là hoàn hảo, mà cần kết hợp nhiều biện pháp và công
nghệ khác nhau.

Có rất nhiều bước bảo mật cơ bản không đòi hỏi nhiều tiền hoặc nỗ lực bỏ ra.
SMB có thể thực hiện cá bước đơn giản và dễ áp dụng để cải thiện môi trường bảo mật
của doanh nghiệp mình. SMB tuy có thể là mục tiêu nhỏ nhưng không phải vì thế họ ít bị
tấn công mà ngược lại doanh nghiệp loại này cần phải bảo vệ mình trước các nguy cơ
bằng cách triển khai những hoạt động ngăn chặn, thông dụng và dễ triển khai.

2.3 Vai trò của ATTT trong phát triển phần mềm
2.3.1 Lỗ hổng phần mềm

Lỗ hổng phần mềm ᴄó thể đượᴄ hiểu như là một trụᴄ trặᴄ hoặᴄ điểm уếu trong
phần mềm hoặᴄ trong hệ điều hành. Với ѕự phát triển ᴄủa ᴄáᴄ ᴄông nghệ tấn ᴄông mới,
mứᴄ độ nghiêm trọng ᴄủa lỗ hổng phần mềm đang tăng lên theo ᴄấp ѕố nhân. Tất nhiên,
tất ᴄả ᴄáᴄ hệ thống đều ẩn ᴄhứa những lỗ hổng, nhưng ᴠấn đề nằm ở ᴄhỗ liệu những lỗ
hổng nàу ᴄó bị khai tháᴄ ᴠà gâу ra những thiệt hại haу không.

Cáᴄ thảm họa an ninh mạng gâу ra bởi ᴄáᴄ lỗ hổng phần mềm thường đượᴄ giải
thíᴄh bởi ba уếu tố lý tưởng. Đó là:

- Sự tồn tại: Đó là ѕự tồn tại ᴄủa một lỗ hổng trong phần mềm.

- Sự truу ᴄập: Đó là khả năng mà tin tặᴄ ᴄó thể truу ᴄập ᴠào một lỗ hổng bảo mật.
 - Sự Khai tháᴄ: Đó là khả năng mà haᴄker ᴄó thể tận dụng ᴠà thu ᴠề lợi nhuận từ
lỗ hổng đó thông qua ᴄáᴄ ᴄông ᴄụ hoặᴄ ᴠới một ѕố kỹ thuật nhất định.

Ngàу naу, rất nhiều ᴄáᴄ tổ ᴄhứᴄ đang phải ᴄhứng kiến những lỗ hổng trong hệ
thống ᴄủa họ bị khai tháᴄ. Ví dụ, dưới đâу là bảng hiển thị 10 ѕản phẩm phần mềm hàng
đầu ᴄó nhiều lỗ hổng bảo mật nhất trong năm 2016 theo tham ᴄhiếu ᴄủa hệ thống CVSS:

Số thứ Số lỗ
Tên phần mềm Nhà phát triển
tự hổng

1 Android Google 523

2 Debian Linuх Debian 327

3 Ubuntu Linuх Ubuntu 278

4 Flaѕh Plaуer Adobe 266

5 Leap Noᴠell 260

6 Openѕuѕe Noᴠell 228

Aᴄrobat Reader
7 Adobe 277
Dᴄ

8 Aᴄrobat Dᴄ Adobe 277

9 Aᴄrobat Adobe 224

10 Linuх Kernel Linuх 217

Lỗi phần mềm

Ngaу ᴄả những phần mềm tầm trung đơn giản, ᴄhỉ phụᴄ ᴠụ một ᴠài táᴄ ᴠụ ᴄhuуên
biệt ᴄũng đã tạo thành từ một lượng lớn ᴄode. Cấu trúᴄ phần mềm đượᴄ thiết kế bởi ᴄon
người, ᴠà những dòng ᴄode trong đó ᴄũng đượᴄ ᴠiết bởi ᴄon người, ᴠì ᴠậу ᴠiệᴄ хuất hiện
lỗi là không thể tránh khỏi. Trong phần lớn trường hợp, nếu một phần mềm đượᴄ ѕản
хuất một ᴄáᴄh ᴄhuуên nghiệp – ᴄáᴄ lỗi nàу không thể ᴄó táᴄ động gì quá lớn, nhất là đến
ᴄáᴄ khía ᴄạnh ᴠề bảo mật. Cùng lắm ta ѕẽ thấу một ᴠài ᴄhứᴄ năng không hoạt động, đôi
lúᴄ phần mềm “treo” khi đang làm ᴠiệᴄ hoặᴄ làm ᴠiệᴄ ᴄhậm ᴄhạp...
 Hình 2.9 Lỗi phần mềm
Nhưng nói ᴠậу không ᴄó nghĩa là những lỗi nghiêm trọng liên quan đến bảo mật
không thể хảу ra. Nói ᴄụ thể hơn một ᴄhút, đó là những lỗi phần mềm mà người ngoài ᴄó
thể khai tháᴄ để táᴄ động thaу đổi ᴄáᴄh phần mềm ᴠận hành, đưa thêm ᴠào ᴄáᴄ đoạn mã
tự ᴠiết, хem ᴄáᴄ dữ liệu mà phần mềm quản lí... Ngoài ᴄáᴄ nguуên nhân ᴄhủ quan như ѕự
bất ᴄẩn khi ѕử dụng ᴄủa người dùng (ᴄliᴄk ᴠào đường link lạ, doᴡnload ᴄáᴄ phần mềm
độᴄ hại), ᴄáᴄ lỗi nàу là một trong những khe hở ᴄhính mà tin tặᴄ thường tập trung khai
tháᴄ để хâm nhập ᴠào ᴄáᴄ hệ thống máу móᴄ – từ ᴄáᴄ máу ᴄhủ đến ᴄáᴄ máу ᴄá nhân ᴄủa
người dùng ᴄuối. Nếu lỗ hổng nàу thuộᴄ ᴠề một phần mềm không phổ biến, ᴄhỉ phụᴄ ᴠụ
ᴠài táᴄ ᴠụ đơn giản ᴠà không ᴄó ᴠai trò quan trọng trong hệ thống, hiển nhiên hiểm họa
ᴠề bảo mật ᴠẫn ᴄó nhưng không nghiêm trọng. Nhưng hệ thống phần mềm ᴄàng phứᴄ
tạp, đồ ѕộ thì hiển nhiên ᴠiệᴄ kiểm ѕoát ѕự хuất hiện ᴄủa những lỗi nàу ᴄàng khó – bất kể
ᴄáᴄ kĩ ѕư thiết kế ᴄó trình độ ᴄao đến đâu. Và ᴄhính những phần mềm nàу lại thường
ᴄhiếm ᴠai trò ᴄhủ ᴄhốt, ᴄũng như táᴄ động đến nhiều ngóᴄ ngáᴄh ᴄủa hệ thống. Nhờ len
lỏi qua kẽ hở tạo ra bởi lỗi ᴄủa những phần mềm nàу, kẻ хấu ᴄó thể thựᴄ hiện những thaу
đổi nhất định lên máу móᴄ ᴄủa người dùng, haу nắm đượᴄ quуền điều khiển, truу ᴄập
ᴄáᴄ thông tin nhạу ᴄảm.

2.3.2 Lập trình an toàn

Bạn đã từng gặp những rắc rối khi bỏ qua những nguyên tắc về an toàn trong phát
triển ứng dụng? Phần mềm của bạn thường bị phát hiện ra các lỗ hổng an ninh sau khi
phát hành?

Thế nào là lập trình an toàn?

Có lẽ nên bắt đầu với khái niệm một hệ thống “an toàn” hay “bảo mật” (security).
Một hệ thống được coi là “an toàn” khi nó đảm bảo được ba yếu tố chính (thường được
gọi là tam giác CIA) bao gồm: Confidentiality (tuyệt mật), Integrity (toàn vẹn) và
Availability (sẵn sàng). Để hệ thống an toàn đòi hỏi rất nhiều công sức trong tất cả giai
đoạn phát triển phần mềm, trong phạm vi bài viết này tôi chỉ đề cập đến khái niệm an
toàn trong giai đoạn lập trình.

Tôi chỉ cố gắng đưa ra một số sai lầm thường gặp nhất trong việc lập trình gây ảnh
hưởng tới tính an toàn của hệ thống, đây cũng là những chỉ dẫn đơn giản giúp bạn hiểu về
một công việc cần làm để có “good code”.

Form là công cụ hay dùng nhất để client gửi dữ liệu tới server thông qua một trong
hai phương thức: GET hoặc POST. Điểm khác nhau cơ bản là GET gửi dữ liệu qua URL,
POST thì không.

Điều gì xảy ra nếu chúng ta dùng GET? Một người đứng phía sau có thể nhìn thấy
thông tin tài khoản của người dùng khi họ login như:
 Vậy tại sao chúng ta vẫn dùng GET? Vì tiện. Các lập trình viên thường có xu
hướng dùng GET khi lập trình để tiện thay đổi thông tin cho việc test, nhằm tăng năng
suất. Vấn đề là họ thường quên điều chỉnh khi release sản phẩm.

Giải pháp: Luôn sử dụng POST với những thông tin nhạy cảm, và hãy luôn nhớ
kiểm tra phương thức HTTP trong các form trước khi đóng gói sản phẩm.

Vi phạm: Tính tuyệt mật

SQL injection

Đây là lỗi kinh điển nhưng có lẽ bạn đã và vẫn đang mắc phải. Giả sử, hệ thống
cho phép đăng nhập qua username và password, tôi nghĩ đây là cách bạn đang làm:

– Nhận dữ liệu và lưu vào 2 biến, giả sử usr và pwd

– Tạo câu lệnh sql = “SELECT * FROM table WHERE username = ‘“+ usr + “’
AND password = ‘” + pwd +’“; (với table, username, password là bảng và các trường
trong DB)

– Thực thi câu lệnh, nếu (giả sử) ResultSet trả về có nhiều hơn 0 bản ghi, người
dùng được coi là nhập đúng thông tin và đăng nhập thành công.

OK? Điều gì xảy ra nếu người dùng nhập:

– usr: admin

– pwd:’ OR ‘1’ = ‘1

Khi đó, câu lệnh SQL trở thành:

SELECT * FROM table WHERE username = ‘admin’ AND password = ‘’ OR ‘1’

= ‘1’

Và thường thì sẽ có nhiều hơn 0 bản ghi (chính xác là toàn bộ bản ghi trong
bảng table) được trả về, người dùng đăng nhập thành công.

Và khi pwd là: ’ OR ‘1’ = ‘1’; UPDATE users SET password = ‘123’ WHERE
username = ‘admin’;
 Câu lệnh SQL trở thành:

SELECT * FROM table WHERE username = ‘admin’ AND password = ‘’ OR ‘1’

= ‘1’; UPDATE users SET password = ‘123’ WHERE username = ‘admin’;

Hai câu lệnh SQL được thực thi và password của tài khoản admin được đặt lại
thành ‘123’.

Lỗi này đặc biệt nghiêm trọng trong những hệ thống mã nguồn mở hoặc trên các
diễn đàn, vì tên đăng nhập của người dùng và cấu trúc DB thường được biết trước.

Giải pháp: Chắc bạn cũng thấy, SQL injection lợi dụng những ký tự đặc biệt
‘trong chuỗi giá trị nhập vào nên giải pháp đơn giản là hãy luôn loại bỏ chúng trước khi
chuyển thành câu lệnh SQL. Do đây là một lỗi phổ biến nên hầu hết ngôn ngữ hiện đại
đều cung cấp khả năng xử lý. Trong Java, khi làm việc với JDBC, thay vì dùng
Statement, hãy sử dụng PreparedStatement hoặc CallableStatement.
(http://docs.oracle.com/javase/6/docs/api/java/sql/PreparedStatement.html)

Vi phạm: Tính tuyệt mật, toàn vẹn

Exception

Ai cũng biết, và có lẽ dù có nhắc đến lỗi này cả triệu lần nữa thì chúng ta vẫn có
thể mắc phải. Đơn giản vì chúng ta thường lập trình rất nhanh để sớm đưa ra sản phẩm và
hay bỏ qua việc tung (throw) và bắt (catch) exception.

Chúng ta xây dựng một chương trình bảng tính tuyệt vời với rất nhiều chức năng
và khi người dùng nhập phép toán 1/0, toàn bộ chương trình ngừng hoạt động; tất cả dữ
liệu trước đó bị mất do không bắt exception. Các IDE ngày nay rất thông minh, nếu
chúng ta viết câu lệnh a = 1/0; Netbeans chắc chắn sẽ bắt chúng ta phải catch exception.
Vì vậy, các lập trình viên thường khá chủ quan. Nhưng IDE sẽ bất lực nếu chúng ta viết a
= b / c; với c = 0. Đôi khi cả hệ thống sụp đổ chỉ do 1 sự bất cẩn nhỏ trong lập trình.
Điều này còn nguy hại hơn nếu bạn xây dựng 1 ứng dụng web server, khi hàng ngàn
request có thể không được xử lý chỉ do lỗi của 1 request. Ứng dụng như vậy không được
coi là có khả năng chịu lỗi (failure tolerant), ảnh hưởng tới tính sẵn sàng. Nguy hiểm
hơn, một số người có thể đọc được lỗi và khai thác lỗ hổng (vulnerability) của hệ thống.

Giải pháp: Hãy luôn bắt exception với bất kỳ thao tác nào có khả năng xảy ra lỗi như:
Các phép toán (chia 0, tràn số (c = a * b với a, b có kiểu int có thể vượt ngoài khoảng
kiểu int của c là sai), phép trừ ra số âm…), đọc hay ghi dữ liệu vào file (file có thể không
tồn tại, không có quyền đọc/ghi), truyền dữ liệu qua mạng (không có kết nối…), sử dụng
object chưa được khởi tạo (null pointer exception – lỗi rất phổ biến) …

Đồng thời, hãy luôn tung exception trong các phương thức có khả năng gây lỗi do
mình tự viết.

Hãy nhớ rằng, chúng ta không đủ thời gian để kiểm thử (test) tất cả trường hợp và
thường chọn trường hợp “rất đẹp” trên những bộ dữ liệu “rất đẹp” khi chào hàng phần
mềm. Thực tế, người dùng lại luôn “ngớ ngẩn” và luôn gây lỗi, đừng để một hệ thống
hoành tráng bị sụp đổ bởi sự vô trách nhiệm nhỏ.

Vi phạm: Tính tuyệt mật, tính toàn vẹn, tính sẵn sàng.

Duyệt file

Một ứng dụng có thiết kế tốt cũng có thể hay mắc phải lỗi này. Chúng ta tạo ra
một template và hiển thị nội dung file theo ngữ cảnh người dùng. Ví dụ, khi người dùng
vào trang đăng nhập, bạn sẽ sử dụng URL: http://myweb.com?view=login.html, nhận biết
trang cần hiển thị qua parameter view, đọc file login.html và trả về client. Điều gì xảy ra
nếu người dùng nhập URL: http://myweb.com?view=../../data/document.doc? Nếu không
được phân quyền tốt, có thể bạn sẽ trả về file document.doc nằm trong thư mục data trên
ổ cứng.

Giải pháp: Phân quyền cho thư mục và thực hiện rewrite URL là cách tốt nhất, song việc
này thường được thực hiện tại bước triển khai. Và nếu bạn không chắc việc triển khai
chính xác, hãy luôn kiểm tra tính hợp lệ của các file được trả về.

Vi phạm: Tính tuyệt mật, tính toàn vẹn, tính sẵn sàng.
 Đến đây, có thể bạn đã nhận thấy ba yếu tố trong tam giác CIA nói chung không
thể cùng đạt điểm tối đa. Đơn giản vì từng yếu tố này vốn tự mâu thuẫn lẫn nhau. Ví dụ,
để tăng cường tính tuyệt mật, hệ thống ngân hàng yêu cầu chúng ta nhập mật mã (được
gửi qua SMS) mỗi khi chuyển tiền; gây ảnh hưởng tới tính sẵn sàng của hệ thống do
những người quên điện thoại sẽ không thực hiện được giao dịch. Vậy đâu là mức phù hợp
cho từng tiêu chí của hệ thống?

Trên đây chỉ là một số rất nhỏ những sai lầm có thể gặp phải trong việc lập trình
gây ảnh hưởng tới tính an toàn của hệ thống. Bạn có thể tìm hiểu thêm về những sai lầm
thường gặp khác, hoặc tôi sẽ đề cập tiếp nội dung này trong một lần thích hợp.

2.3.3 Xây dựng phần mềm đảm bảo ATTT

Việc bảo đảm an toàn thông tin phải được thực hiện thường xuyên, liên tục từ
khâu thiết kế, xây dựng, vận hành đến khi hủy bỏ; tuân thủ theo tiêu chuẩn, quy chuẩn kỹ
thuật.

Khi thiết kế, xây dựng phải bảo đảm đáp ứng các chức năng an toàn thông tin theo
tiêu chuẩn, quy chuẩn kỹ thuật.

Khi đưa vào vận hành, khai thác phải đáp ứng các yêu cầu về thiết kế, thiết lập
theo đúng quy định về bảo đảm an toàn hệ thống thông tin theo cấp độ.

2.4. Cơ chế bảo vệ theo chiều sâu

Bảo mật thông tin thường đề cập đến việc bảo vệ thông tin khỏi truy cập trái phép,
sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc xóa khỏi các mối đe dọa. Các tổ chức thường
xuyên phải đối mặt với các mối đe dọa tồn tại cả bên ngoài cũng như bên trong - có thể là
từ các quốc gia, nhà hoạt động chính trị, đối thủ cạnh tranh của công ty hoặc thậm chí là
những nhân viên bất mãn.
Bảo vệ một tổ chức khỏi những mối đe dọa này là rất khó vì nó đòi hỏi một lượng
lớn nỗ lực, sự sáng suốt và đầu tư. Người dùng không am hiểu kỹ thuật cũng khó đánh
giá cao tầm quan trọng của nó; đó là cho đến khi một vi phạm an ninh làm tê liệt hoặc
thậm chí phá hủy ngay cả tổ chức được xây dựng cẩn thận nhất. Ở mức độ như vậy, điều
quan trọng là phải hiểu sâu sắc khái niệm phòng thủ khi được giao nhiệm vụ bảo vệ một
tổ chức khỏi các mối đe dọa.
Điều quan trọng là phải hiểu rằng bảo mật luôn là "nỗ lực tốt nhất." Không có hệ
thống nào có thể an toàn 100% vì các yếu tố nằm ngoài tầm kiểm soát của nhà thiết kế có
thể tạo ra các lỗ hổng. Một ví dụ về điều này là việc sử dụng phần mềm có chứa lỗi 0
ngày - các lỗ hổng ứng dụng chưa được tiết lộ và chưa được sửa chữa có thể bị kẻ tấn
công khai thác.
Phòng thủ theo chiều sâu là nguyên tắc bổ sung an ninh theo từng lớp nhằm tăng
cường thế trận an ninh của cả một hệ thống. Nói cách khác, nếu một cuộc tấn công khiến
một cơ chế bảo mật bị lỗi, các biện pháp khác sẽ được áp dụng để răn đe hơn nữa và thậm
chí ngăn chặn một cuộc tấn công.
Các chiến lược toàn diện để áp dụng nguyên tắc phòng thủ theo chiều sâu mở rộng
ra ngoài công nghệ và rơi vào lĩnh vực vật lý. Chúng có thể ở dạng các chính sách và thủ
tục thích hợp đang được thiết lập, đào tạo và nâng cao nhận thức, an ninh vật chất và
nhân sự, cũng như các thủ tục và đánh giá rủi ro để phát hiện và ứng phó với các cuộc tấn
công kịp thời. Các biện pháp này, mặc dù có thể là rất quan trọng, nhưng chỉ là các biện
pháp vật lý để ngăn chặn những gì bề ngoài là một vấn đề bảo mật thông tin.
Mô hình bảo vệ theo chiều sâu
- Phương án an ninh nhất để sử dụng là mô hình bảo vệ theo chiều sâu.
- Phương án bảo vệ theo chiều sâu cố gắng thực hiện bảo vệ an ninh nhờ sự gia cố và
giám sát mỗi hệ thống, mỗi hệ thống sẽ là một vùng được tự bảo vệ.
- Các biện pháp bên ngoài cũng sử dụng các hệ thống bảo vệ vòng ngoài, nhưng sự an
ninh của các hệ thống bên trong không chỉ dựa hoàn toàn vào vòng bảo vệ bên ngoài.
- Phương án này là khó hơn để đảm bảo rằng tất cả các hệ thống và các người quản trị
đều là thành phần của nó.
- Tuy nhiên, với mô hình này các hệ thống bên trong có khả năng phát hiện bất kỳ sự tấn
công từ các hệ thống độc hại.
- Phương án này cũng hỗ trợ sự bảo vệ tốt hơn chống lại các kẻ tấn công bên trong. Hành
động của các kẻ tấn công bên trong cũng dễ dàng được phát hiện hơn.
Chiến lược bảo vệ theo chiều sâu

Hình 2.10 Mô hình bảo vệ theo chiều sâu

- Chiến lược bảo vệ thông tin: đảm bảo tính bí mật, tính sẵn sàng và tính toàn vẹn của dữ
liệu.
- Con người: tuyển dụng người tài, đào tạo và trọng thưởng họ.
- Công nghệ: đánh giá, thực hiện, kiểm tra và cải tiến.
- Các thao tác: bảo đảm sự cẩn trọng, phản ứng với các xâm phạm và chuẩn bị khôi phục
các dữ liệu nhạy cảm.

 Chương 3: Đảm bảo ATTT khi sử dụng các dịch vụ mạng

3.1 Chính sách riêng tư và quyền lợi người dùng

Quyền riêng tư trên Internet (tiếng Anh là Internet privacy) là quyền riêng tư cá
nhân (personal privacy) liên quan đến việc lưu trữ, hiển thị và cung cấp cho bên thứ ba
thông tin liên quan đến bản thân thông qua Internet. Quyền riêng tư trên internet là một
phần thuộc quyền riêng tư dữ liệu (data privacy). Những lo ngại về quyền riêng tư đã
được thảo luận kể từ khi bắt đầu có sự chia sẻ máy tính quy mô lớn.

Quyền riêng tư liên quan đến thông tin nhận dạng cá nhân (PII) hoặc thông tin
không thuộc thông tin nhận dạng cá nhân chẳng hạn như hành vi của khách hàng khi truy
cập trang web, hành vi mua hàng trên internet, sở thích của người dùng trên mạng xã hội,
hành vi tìm kiếm của người dùng,.... Thông tin nhận dạng cá nhân là bất kỳ thông tin nào
có thể được sử dụng để xác định một cá nhân. Ví dụ: chỉ cần hai yếu tố thông tin là tuổi
và địa chỉ có thể giúp xác định một cá nhân là ai mà không cần phải tiết lộ rõ ràng tên của
họ. Các dạng thông tin nhận dạng cá nhân (PII) khác có thể được kể đến như dữ liệu theo
dõi GPS được sử dụng trên các ứng dụng của người dùng, vì thông tin lộ trình hằng ngày
có thể đủ để nhận dạng một cá nhân.
3.2 ATTT trong sử dụng mạng xã hội
Ngày nay, với nhu cầu trao đổi, kết nối người dùng trên toàn cầu, mạng xã hội ngày
càng phổ biến và trở thành một phần không thể thiếu khi người dùng truy cập vào internet.
Theo số liệu thống kê của một công ty dẫn đầu thế giới về đo lường: trong hơn 30 triệu
người sử dụng internet tại Việt Nam, có khoảng 87,5% đã và đang sử dụng mạng xã hội,
đa số là những người trẻ tuổi 15 - 34 (71%). Việt Nam là nước có số lượng người sử dụng
dịch vụ mạng xã hội facebook tăng nhanh nhất trên thế giới.
Những trang mạng xã hội (facebook, zalo, Instagram..) đem đến rất nhiều lợi ích
cho cá nhân, đơn giản là giao lưu, kết nối bạn bè, người thân và mọi người trên khắp thế
giới. Ngoài ra mạng xã hội cũng góp phần phát triển các lĩnh vực khác như kinh doanh trực
tuyến, marketing online, quảng cáo... thúc đẩy xã hội ngày càng phát triển hơn. Một lượng
thông tin khổng lồ được tạo bởi người dùng, tương tác trực tuyến xuất hiện và đang tăng
lên nhanh chóng mỗi ngày. Tuy nhiên, mạng xã hội cũng là phương tiện để tấn công, phát
tán các nguy cơ mất an toàn, an ninh mạng nói chung như: Lừa đảo chiếm đoạt tài sản (giả
mạo người thân nhờ nạp thẻ điện thoại hoặc chuyển tiền; thông tin người dùng trúng
thưởng; giả mạo cán bộ công an, luật sư đe dọa tống tiền các nạn nhân; thông báo đến nạn
nhân về việc chuyển nhầm tiền; giả mạo người thân, bạn bè cần sự hỗ trợ về tài chính, đề
nghị vay tiền gấp); thông tin sai sự thật; xâm phạm quyền riêng tư (đăng tải những video,
hình ảnh, tin nhắn nhạy cảm lên mạng xã hội, gây ảnh hưởng đến danh dự, nhân phẩm của
người khác); phát tán mã độc đào tiền ảo (mã hóa dữ liệu cá nhân đòi tiền chuộc; chiếm
quyền truy cập máy tính; lấy cắp thông tin dữ liệu cá nhân, tài khoản ngân hàng; tấn công
có chủ đích); trò chơi/ứng dụng độc hại (tiêu tốn băng thông 3G/4G, nhận được nhiều thông
báo rác, thường xuyên bị gắn thẻ (tag) vào những bài viết không liên quan hoặc bị mất tài
khoản)...
Do đó, để sử dụng mạng xã hội an toàn, người dùng mạng xã hội cần tuân thủ một
số nguyên tắc như: chọn lọc thông tin và nắm vững những hiểu biết về pháp luật, các quy
tắc ứng xử lịch sự trên mạng xã hội; không click vào những thông tin vô bổ, độc hại thật
sự không cần thiết; chia sẻ quan điểm, không chia sẻ thông tin cá nhân (hình ảnh, sở thích,
email, số điện thoại, địa chỉ nhà riêng hoặc cơ quan, danh sách người thân); sử dụng mật
khẩu mạnh, đổi mật khẩu định kỳ và kích hoạt xác thực 2 bước để tăng cường khả năng
bảo mật cho tài khoản, gây khó khăn cho tin tặc khi cố gắng chiếm đoạt tài khoản…
3.3 ATTT trong sử dụng máy tính và mạng Internet
Hệ thống thông tin được chia thành 3 phần chính: phần cứng, phần mềm và kết nối
với mục đích giúp cho việc phân loại và áp dụng các chuẩn về an toàn thông tin dễ dàng,
thuận lợi nhất. Thông thường, thủ tục hoặc chính sách bảo mật này được thực thi để nói
với con người (quản trị, người dùng, người vận hành) rằng làm thế nào để sử dụng sản
phẩm mà vẫn đảm bảo an toàn thông tin mạng cho cá nhân và cả tổ chức.
An toàn thông tin là bảo vệ thông tin và hệ thống thông tin nói chung khỏi các truy
cập trái phép, sử dụng, làm lộ, làm hỏng, chỉnh sửa, ghi chép không được phép…
Khái niệm an toàn thông tin mạng (information security), an toàn máy tính (computer
security), đảm bảo thông tin (information assurance) được sử dụng hoán đổi cho nhau.
Những lĩnh vực này liên quan nội bộ với nhau, thường xuyên chia sẻ những mục đích chính
của việc bảo vệ các khía cạnh tính bí mật (confidentiality), toàn vẹn (integrity) và tính sẵn
sàng (availability) của thông tin; tuy nhiên, lại có một số khác biệt giữa chúng. Sự khác
nhau chính đó là cách tiếp cận vấn đề, phương pháp thực hiện và phạm vi quan tâm của
mỗi lĩnh vực. An toàn thông tin quan tâm đến khía cạnh bí mật, toàn vẹn, sẵn sàng của dữ
liệu không quan tâm đến hình thức của dữ liệu: điện tử, bản in, hoặc các dạng khác. An
toàn máy tính tập trung vào việc đảm bảo tính sẵn sàng và hoạt động đúng đắn của hệ thống
máy tính mà không quan tâm đến thông tin được lưu trữ, xử lý bởi chúng. Đảm bảo thông
tin tập trung vào lý do đảm bảo rằng thông tin được bảo vệ và vì thế nó là lý do để thực
hiện an toàn thông tin.
Vì sao cần An toàn thông tin?
Từ chính phủ, quân đội, các tập đoàn, bệnh viện, cơ sở kinh doanh… đến người
dùng đều có những thông tin bí mật riêng về khách hàng, nhân viên, sản phẩm, nghiên
cứu… Hầu hết các thông tin đó hiện nay đều được thu thập, xử lý và lưu trữ bởi máy vi
tính, trung tâm dữ liệu. Dữ liệu đó cũng có thể được chuyển qua mạng để về trung tâm lưu
trữ, đến các nhánh công ty con, hoặc gửi cho bạn bè, người thân… Nếu thông tin đó lọt
vào tay đối thủ cạnh tranh thì cực kỳ nguy hiểm.
Vì thế, bảo vệ thông tin trở thành một yêu cầu không thể thiếu trong mọi hoạt động
nói chung và hoạt động điện tử nói riêng. An toàn thông tin trong thời đại số là quan trọng
hơn bao giờ hết.
Các nguy cơ của an ninh thông tin
Nhìn từ quan điểm hacker, có vô số cách để tấn công, lấy cắp thông tin của một hệ
thống. Lỗ hổng của ứng dụng, lỗ hổng dịch vụ trực tuyến (web, mail…), lỗ hổng hệ điều
hành… Vì thế, rất khó để có thể thiết lập và duy trì bảo mật thông tin.
Rất nhiều các khai thác thành công đều bắt nguồn từ bên trong tổ chức (công ty).
Theo những thống kê của Computer Security Institute, thì khoảng 60%-80% các hành động
sử dụng sai mạng máy tính, phần mềm bắt nguồn từ bên trong các công ty. Vì thế, đào tạo
nhận thức an ninh mạng cho các thành viên của công ty, thậm chí cho người quản trị là vô
cùng quan trọng.
1. Lỗi và sự bỏ sót, cố tình bỏ qua

Nguy cơ này được xếp vào hàng nguy hiểm nhất. Khi lập trình, các cảnh báo và lỗi
do trình biên dịch đưa ra thường bị bỏ qua và nó có thể dẫn đến những sự việc không đáng
có, ví dụ như tràn bộ đệm, tràn heap. Khi người dùng vô tình (hay cố ý) sử dụng các đầu
vào không hợp lý thì chương trình sẽ xử lý sai, hoặc dẫn đến việc bị khai thác, đổ vỡ
(crash). Kỹ thuật lập trình đóng vài trò rất quan trọng trong mọi ứng dụng. Và lập trình
viên phải luôn luôn cập nhật thông tin, các lỗi bị khai thác, cách phòng chống, sử dụng
phương thức lập trình an toàn.
Một cách tốt nhất để phòng tránh là sử dụng chính sách “lease privilege” (có nghĩa
là ít quyền hạn nhất có thể). Người dùng sẽ chỉ được xử lý, truy cập đến một số vùng thông
tin nhất định.
Một chính sách khác nhất thiết phải có, đó là phải sao lưu dữ liệu thường xuyên.
2. Lừa đảo và lấy cắp thông tin

Tưởng tượng rằng có những đồng nghiệp trong công ty đi làm không phải để làm
việc, mà để lấy cắp những thông tin quan trọng của công ty. Chuyện này hoàn toàn có thể
xảy ra, đặc biệt là những công ty làm việc về quân sự, cơ quan nhà nước… Như đã thống
kê ở trên (mục 2.1 a.), rất nhiều công ty bị lộ thông tin từ bên trong. Rất khó phát hiện kẻ
tấn công từ bên trong. Việc lấy cắp có thể được thực hiện dưới nhiều hình thức: lấy cắp
văn bản in hay lấy cắp thông tin số, cung cấp thông tin nội bộ cho bên ngoài.
Cách tốt nhất để phòng tránh nguy cơ này là: phải có những chính sách bảo mật
được thiết kế tốt. Những chính sách có thể giúp người quản lý bảo mật thông tin thu thập
thông tin, từ đó điều tra và đưa ra những kết luận chính xác, nhanh chóng. Khi đã có một
chính sách tốt, người quản trị có thể sử dụng các kỹ thuật điều tra số (forensics) để truy vết
các hành động tấn công.
Ví dụ như hình thức lấy cắp thông tin số, nếu một nhân viên truy cập vào khu vực
đặt tài liệu bí mật của công ty, hệ thống sẽ ghi lại được thời gian, IP, tài liệu bị lấy, sử dụng
phần mềm gì để truy cập, phần mềm bị cài đặt trái phép… từ đó, người quản trị sẽ chứng
minh được ai đã làm việc này.
3. Hacker (Tin tặc)

Có rất nhiều cách hacker tấn công hệ thống. Mỗi kẻ tấn công đều có những thủ thuật,
công cụ, kiến thức, hiểu biết về hệ thống. Và cũng có vô số các cuốn sách, diễn đàn đăng
tải những nội dung này.
Trước tiên, hacker thu thập thông tin về hệ thống, nhiều nhất có thể. Càng nhiều
thông tin, thì khả năng thành công của việc tấn công sẽ càng lớn. Những thông tin đó có
thể là: tên ứng dụng, phiên bản ứng dụng, hệ điều hành, email quản trị… Bước tiếp theo là
quét hệ thống để tìm lỗ hổng. Các lỗ hổng này có thể gây ra bởi ứng dụng xử lý thông tin
hoặc do hệ điều hành, hoặc bất kỳ thành phần nào có liên quan. Từ đó, họ sẽ lợi dụng các
lỗ hổng tìm được, hoặc sử dụng các tài khoản mặc định nhằm chiếm quyền truy cập vào
ứng dụng. Khi đã thành công, hacker sẽ cài đặt các phần mềm, mã độc để có thể xâm nhập
vào hệ thống trong các lần sau. Bước cuối cùng là xóa vết tấn công.
Các trang mạng nổi tiếng như: The World Street Journal, The NewYork Times mới
đây đều công bố rằng mình đã bị hacker tấn công.
Để phòng tránh nguy cơ này, các ứng dụng tương tác với người dùng, dữ liệu cần
phải giấu đi những thông tin quan trọng (nếu có thể) như phiên bản, loại ứng dụng, các
thành phần kèm theo… Sử dụng các phần mềm phát hiện truy cập trái phép, rà soát hệ
thống thường xuyên xem có phần mềm lạ không, cấu hình tường lửa hợp lý, chính sách
truy cập của từng nhóm người dùng, quản lý truy cập…
4. Lây lan mã độc

Có rất nhiều loại mã độc có thể kể đến như: virus, sâu máy tính, Trojan horse, logic
bomb… Nguy cơ do chúng gây ra là hoàn toàn rõ ràng, và vô cùng phong phú. Khi đã xâm
nhập vào máy nạn nhân, mã độc có thể: mở cổng hậu (back door) để kẻ tấn công có thể
truy cập và làm mọi việc trên máy nạn nhân; ghi lại thông tin sử dụng máy tính (thao tác
bàn phím, sử dụng mạng, thông tin đăng nhập…). Đã có rất nhiều công ty bị cài đặt mã
độc. Mới đây, Facebook cũng bị một nhóm hacker tấn công do máy tính của một số nhân
viên bị cài mã độc.
 Cài mã độc vào máy tính có thể qua nhiều con đường: lỗ hổng phần mềm (điển hình
như adobe Flash, rất nhiều lỗ hổng 0-days được phát hiện, hay Java Runtime Environment
thời gian gần đây cũng liên tục đưa ra bản vá bảo mật); hệ thống đã bị hacker điều khiển;
sử dụng phần mềm crack, không có giấy phép sử dụng;
Cách tốt nhất để tránh nguy cơ này là luôn cập nhật phần mềm xử lý dữ liệu, hệ điều
hành và phần mềm an ninh mạng, diệt virus.
5. Tấn công từ chối dịch vụ

Nếu một hacker không thể cướp quyền truy cập vào một hệ thống, họ sẽ tìm cách
tấn công từ chối dịch vụ (làm hệ thống không thể phục vụ người dùng được trong một
khoảng thời gian, bằng cách truy cập đến hệ thống liên tục, số lượng lớn, có tổ chức). Có
2 kiểu tấn công từ chối dịch vụ:
● DoS (Denny of Service – tấn công từ chối dịch vụ): tấn công này có thể xảy ra với
cả ứng dụng trực tuyến và ứng dụng offline. Với ứng dụng trực tuyến, hacker sử
dụng các công cụ tấn công (tấn công Syn floods, Fin floods, Smurfs, Fraggles) trên
một máy tính để tấn công vào hệ thống, khiến nó không thể xử lý được yêu cầu,
hoặc làm nghẽn băng thông khiến người dùng khác khó mà truy cập được. Với ứng
dụng offline, hacker tạo ra những dữ liệu cực lớn, hoặc các dữ liệu xấu (làm cho
quá trình xử lý của ứng dụng bị ngưng trệ, treo)
● DDoS (Distributed Denny of Service – tấn công từ chối dịch vụ phân tán): một
hình thức cao cấp của DoS, các nguồn tấn công được điều khiển bởi một (một vài)
server của hacker (gọi là server điều khiển), cùng tấn công vào hệ thống. Loại tấn
công này khó phát hiện ra hơn cho các hệ thống phát hiện tự động, giúp hacker ẩn
mình tốt hơn.
Để chống lại nguy cơ này, hệ thống cần có nhiều server phục vụ, server phân tải, cơ
chế phát hiện tấn công DoS hiệu quả.
6. Tấn công Social engineering
 Thuật ngữ này khá phổ biến trong công nghệ thông tin và an toàn thông tin. Đây là
một kỹ thuật khai thác nhằm vào điểm yếu con người. Con người trực tiếp quản lý phần
mềm, hệ thống. Do đó, họ nắm được mọi thông tin quan trọng nhất.
3.4 ATTT trong quản lý tài khoản cá nhân
Vài năm gần đây, những vụ tấn công mạng nhằm vào tài khoản Email và các dịch
vụ Email ngày càng trở nên phổ biến hơn. Thông qua việc đột nhập vào tài khoản email,
các Hacker có thể nhanh chóng khai thác thông tin cá nhân từ tên tuổi, mạng xã hội cho
đến tài khoản ngân hàng. Để tránh được những nguy cơ đánh cắp thông tin và tấn công vào
tài khoản email của mình người dùng hoàn toàn có thể tự bảo vệ mình bằng cách thực hiện
những việc sau:
1. Đặt mật khẩu dài và khó đoán bao gồm cả số và chữ, kí hiệu đặc biệt cho tài khoản
email. Không nên dùng mật khẩu giống nhau cho nhiều tài khoản và thường xuyên thay
đổi mật khẩu.
2. Xác thực tài khoản email 2 bước và dự phòng email. Việc dự phòng email rất quan
trọng trong việc bảo mật tài khoản email và phục hồi email khi quên mật khẩu.
3. Không nhấn vào các đường link lạ, file đính kèm đang nghi ngờ, thư rác hay các
mail được nhắn từ các tài khoản không có tên miền cụ thể.
4. Hạn chế sử dụng Wifi công cộng để đăng nhập vào các tài khoản cá nhân, việc
đăng nhập email hoặc tài khoản cá nhân ở những nơi phát wifi công cộng đồng nghĩa với
việc thông tin cá nhân của người dùng rất dễ bị các hacker khai thác.
5. Hạn chế sử dụng những thiết bị công cộng như máy tính, điện thoại để truy cập
vào các tài khoản cá nhân và luôn đăng xuất hoặc sử dụng chế độ ẩn danh khi bắt buộc
phải sử dụng các thiết bị này.
6. Không cho người khác sử dụng thiết bị cá nhân có chứa nhiều thông tin quan
trọng.
7. Không cung cấp thông tin tài khoản cá nhân cho người khác.
Trên đây là những biện pháp bảo đảm an toàn thông tin cá nhân của người sử dụng
Internet. Nhưng quan trọng nhất vẫn là ý thức sử dụng của từng cá nhân bởi nếu không
cảnh giác và thận trọng thì việc lộ lọt thông tin cá nhân là điều rất dễ xảy ra.
3.5 ATTT trong ứng dụng di động, các hình thức tấn công
Trong những năm gần đây, sự phổ biến của các thiết bị di động như điện thoại
thông minh và máy tính bảng đã mang lại cho người dùng nhiều tiện lợi và khả năng dễ
dàng sử dụng kết nối Internet mọi lúc, mọi nơi. Theo báo cáo của Hiệp hội Di động Toàn
cầu (GSMA), cuối năm 2017, thế giới đã vượt qua mốc hơn 5 tỷ người sử dụng thiết bị di
động. Tuy nhiên, việc sử dụng các thiết bị di động cũng rộng phạm vi dễ bị tổn thương
trong các cuộc tấn công, bởi đây là một trong những liên kết yếu nhất trong cơ sở hạ tầng
công nghệ thông tin của hầu hết các tổ chức/doanh nghiệp (TC/DN). Việc nhận thức rõ
những mối đe dọa về an toàn đối với thiết bị di động sẽ giúp người dùng (cá nhân và tổ
chức) tìm được các biện pháp đảm bảo an ninh an toàn trong môi trường di động.
Nhận diện các mối đe dọa an toàn thiết bị di động
Thực tế cho thấy trong thời gian vừa qua, các cuộc tấn công mạng nhắm vào cá
nhân, doanh nghiệp và các tổ chức chính phủ đã gia tăng cả về tần suất và sự tinh vi. Do
đó, các mối đe dọa trên các thiết bị di động được đặc biệt quan tâm. Theo một khảo sát trên
quy mô toàn cầu về bảo mật trên các thiết bị di động do công ty nghiên cứu thị trường
Dimensional Research (Mỹ) thực hiện năm 2017 cho biết, cứ mỗi 10 công ty thì có 2 công
ty đã từng bị tấn công trên các thiết bị di động; đáng ngạc nhiên nhất là có tới 24% không
biết liệu họ có bị xâm phạm an ninh thông qua các thiết bị di động hay không.
Số lượng phần mềm độc hại tấn công vào các thiết bị di động cũng lớn hơn theo
từng ngày, từng giờ với mức độ vô cùng nguy hiểm. Ví dụ, năm 2017, một loại mã độc
mang tên CopyCat đã lây nhiễm hơn 14 triệu thiết bị Android trên toàn cầu và đã root thành
công khoảng 8 triệu thiết bị di động. Tỷ lệ thành công đạt mức 54% mà gần như không tìm
thấy đối với hầu hết các phần mềm độc hại hiện nay. Đầu năm 2018, CrossRAT là một
Trojan truy cập từ xa trên nhiều nền tảng, có thể tấn công 4 hệ điều hành phổ biến hiện nay
là Windows, Solaris, Linux, và macOS, cho phép kẻ tấn công điều khiển thiết bị từ xa như
sử dụng hệ thống tập tin, chụp màn hình, chạy các tập tin thực thi tùy ý và chiếm quyền
quản lý hệ thống. Trung tuần tháng 5 vừa qua, công ty công nghệ Securus Technologies
(Mỹ) đã rao bán dữ liệu định vị theo thời gian thực của hàng triệu người dùng. Đáng chú
ý, Securus Technologies nhận dữ liệu từ một công ty khác có tên là LocationSmart và bản
thân công ty LocationSmart cũng mua dữ liệu từ các công ty truyền thông như AT&T,
Sprint, T-Mobile và Verizon.
Theo các chuyên gia bảo mật, những vi phạm an toàn thiết bị di động sẽ còn gia
tăng trong thời gian tới, tiếp tục khiến cho những nguy cơ mất an toàn thông tin từ chính
các thiết bị di động trở nên nguy hiểm hơn. Vì thế ở góc độ người dùng, nhất là các TC/DN
cần phải nhận diện được các mối đe dọa đối với thiết bị di động để tận dụng được lợi ích
từ thiết bị di động nhưng vẫn đảm bảo vấn đề an toàn cho hoạt động của mình. Cụ thể, các
mối đe dọa trên thiết bị di động có thể được chia thành nhiều loại như các mối đe dọa từ
vật lý, mạng, hệ thống và ứng dụng.
Các mối đe dọa vật lý
Một thách thức phải đối mặt trong bảo mật di động là khi thiết bị di động bị đánh
mất hoặc bị ăn trộm. Những thiết bị di động bị lọt vào tay của tin tặc sẽ rất nguy hiểm,
chúng có thể khai thác những thông tin dữ liệu trên thiết bị. Do đó, người dùng cần phải
cất giữ thiết bị di động của mình. Ngoài ra, cần phải mã hóa và xác thực truy nhập cho thiết
bị để tránh những truy nhập trái phép.
Các mối đe dọa từ mạng
Các thiết bị di động thường sử dụng các giao thức mạng không dây phổ biến như
Wifi và Bluetooth để kết nối. Mỗi giao thức này đều có các lỗ hổng riêng và dễ bị tấn công
bằng cách sử dụng các công cụ sẵn có như Wifite hoặc Aircrack-ng Suite. Do đó, người
dùng chỉ nên kết nối với các mạng đáng tin cậy bằng cách sử dụng giao thức WPA2 hoặc
các giao thức bảo mật mạng tốt hơn.
Các mối đe dọa từ hệ thống
Các lỗ hổng trên thiết bị cũng có thể là lỗi từ nhà sản xuất. Ví dụ, bàn phím SwiftKey
trong các thiết bị Android của Samsung đã từng được tìm thấy là dễ bị tấn công nghe lén.
Tương tự, hệ điều hành iPhone của thiết bị Apple (iOS) cũng được phát hiện có tồn tại các
lỗ hổng, mà một trong số đó là "No iOS Zone"; lỗ hổng này cho phép tin tặc làm treo các
thiết bị iPhone, iPad hoặc iPod Touch bằng sóng Wifi…
Các mối đe dọa từ ứng dụng
 Tương tự như lỗ hổng hệ thống, các ứng dụng của bên thứ ba trên thiết bị di động
cũng có thể lỗi thời. Một số nhà phát triển ứng dụng không phát hành bản cập nhật phần
mềm kịp thời hoặc có thể đã giảm hỗ trợ cho các phiên bản hệ điều hành cũ hơn. Sử dụng
phần mềm đã lỗi thời làm tăng nguy cơ kẻ tấn công có thể khai thác lỗ hổng liên quan đến
phần mềm này.
Những kẻ tấn công thường sử dụng các kỹ thuật xã hội để lừa người dùng cài đặt
các ứng dụng độc hại này, có thể qua một liên kết trong tin nhắn, một siêu liên kết rút gọn
hoặc một ứng dụng đóng gói lại giả mạo một ứng dụng hợp pháp. Các ứng dụng độc hại
có thể thực hiện các hành vi độc hại khi được cài đặt trên thiết bị như lấy cắp dữ liệu, tải
xuống phần mềm độc hại hoặc thậm chí điều khiển thiết bị từ xa. Những hành vi này có
thể dẫn đến tổn thất về tài chính và các hình thức tổn thất hữu hình hoặc vô hình khác cho
cá nhân hoặc tổ chức.
3.6 Phần mềm độc hại và cách phòng chống
Phần mềm độc hại là gì?
Phần mềm độc hại là thuật ngữ dùng để chỉ phần mềm gây hại được thiết kế để
thực hiện hoạt động phá hoại hoặc các tác vụ không mong muốn đối với hệ thống máy
tính. Ví dụ về phần mềm độc hại bao gồm:
▪ Virus
▪ Sâu
▪ Trojan horse
▪ Phần mềm gián điệp
▪ Phần mềm bảo mật lậu
Virus máy tính là gì?
Virus máy tính là một chương trình phần mềm nhỏ phát tán giữa các máy tính và
can thiệp vào hoạt động của máy tính. Virus máy tính có thể phá hỏng hoặc xóa dữ liệu
trên máy tính, sử dụng một chương trình email để phát tán virus đó tới các máy tính khác
hoặc thậm chí là xóa mọi thứ trên đĩa cứng.
Virus máy tính thường phát tán do tệp đính kèm trong email hoặc qua tin nhắn tức
thời. Do vậy, bạn đừng bao giờ mở tệp đính kèm email trừ khi bạn biết ai gửi thư đó hoặc
bạn đang đợi thư email đó. Virus có thể ngụy trang ở dạng tệp đính kèm chứa ảnh cười,
thiệp chúc mừng hoặc tệp âm thanh và video. Virus máy tính cũng phát tán thông qua các
bản tải xuống trên Internet. Chúng có thể được ẩn trong phần mềm lậu hoặc trong các tệp
hoặc chương trình khác mà bạn có thể tải xuống.
Sâu là gì?
Sâu là mã máy tính phát tán thông qua tương tác của người dùng. Hầu hết các sâu
đều xuất phát từ tệp đính kèm email lây lan sang máy tính khi chúng được mở. Sâu quét
máy tính bị nhiễm để tìm tệp, chẳng hạn như sổ địa chỉ hoặc trang web tạm thời, chứa địa
chỉ email. Sâu sử dụng các địa chỉ này để gửi thư email bị nhiễm và thường giả mạo
(hoặc bắt chước) các địa chỉ Người gửi trong các thư email sau đó để các thư bị nhiễm đó
có vẻ như được gửi từ một người mà bạn biết. Sau đó, sâu tự động phát tán thông qua thư
email, mạng hoặc lỗ hỏng bảo mật trong hệ điều hành, thường áp đảo các hệ thống đó
trước khi nguyên nhân được xác định. Không phải lúc nào sâu cũng phá hoại máy tính
nhưng chúng thường gây ra các sự cố về hiệu suất và tính ổn định cho máy tính và mạng.
Trojan horse là gì?
Trojan horse là một chương trình phần mềm độc hại ẩn bên trong các chương trình
khác. Trojan horse ẩn trong một chương trình chính thống, chẳng hạn như bộ bảo vệ màn
hình, để xâm nhập vào máy tính. Sau đó, Trojan horse đưa mã vào hệ điều hành cho phép
tin tặc truy cập máy tính bị nhiễm. Thông thường, Trojan horse không tự phát tán. Chúng
được phát tán bởi vi-rút, sâu hoặc phần mềm được tải xuống.
Phần mềm gián điệp là gì?
Phần mềm gián điệp có thể cài đặt trên máy tính của bạn mà bạn không hề hay
biết. Các chương trình này có thể thay đổi cấu hình máy tính của bạn hoặc thu thập dữ
liệu quảng cáo và thông tin cá nhân. Phần mềm gián điệp có thể theo dõi thói quen tìm
kiếm trên Internet và cũng có thể chuyển hướng trình duyệt web của bạn đến một trang
web không phải là trang web mà bạn định truy cập.
Phần mềm bảo mật lậu là gì?
Chương trình phần mềm bảo mật lậu cố gắng làm cho bạn tưởng rằng máy tính
của mình bị nhiễm virus và thường nhắc bạn tải xuống hoặc mua một sản phẩm loại bỏ
virus đó. Tên của các sản phẩm này thường chứa các từ như Antivirus (Diệt virus), Shield
(Tấm chắn), Security (Bảo mật), Protection (Bảo vệ) hoặc Fixer (Trình xử lý lỗi). Điều
này làm cho chúng nghe có vẻ là các chương trình chính thống. Chúng thường chạy ngay
sau khi bạn tải chúng xuống hoặc vào lần tiếp theo máy tính của bạn khởi động. Phần
mềm bảo mật lậu có thể ngăn các ứng dụng, chẳng hạn như Internet Explorer, mở ra.
Phần mềm bảo mật lậu cũng có thể hiển thị các tệp Windows quan trọng và chính thống ở
dạng tệp lây nhiễm. Các thông báo lỗi thông thường hoặc các thông báo bật lên có thể
chứa những cụm từ như sau: Cảnh báo!; Máy tính của bạn bị nhiễm!; Máy tính này bị
nhiễm phần mềm gián điệp và phần mềm quảng cáo.

Hình 3.1 Cảnh báo! Máy tính bị nhiễm virus

Lưu ý Nếu bạn nhận được thông báo trong hộp thoại bật lên giống như cảnh báo
này, hãy nhấn ALT + F4 trên bàn phím để đóng hộp thoại. Đừng bấm vào bất kỳ mục gì
bên trong hộp thoại đó. Nếu một cảnh báo, chẳng hạn như cảnh báo ở đây, liên tục xuất
hiện khi bạn cố gắng đóng hộp thoại, đó là một chỉ báo tốt là thư độc hại.
Bạn có chắc chắn muốn dẫn hướng từ trang này không?
 Máy tính của bạn bị nhiễm! Chúng có thể gây mất dữ liệu và hỏng tệp và cần được
xử lý sớm nhất có thể. Nhấn HỦY để chặn. Quay lại Bảo mật Hệ thống và tải chương
trình này xuống để bảo vệ PC của bạn.
Nhấn OK để Tiếp tục hoặc Hủy bỏ để duy trì ở trang hiện tại.
Cách loại bỏ phần mềm độc hại chẳng hạn như virus, phần mềm gián điệp hoặc
phần mềm bảo mật lậu
Việc loại bỏ virus máy tính hoặc phần mềm gián điệp có thể khó thực hiện nếu
không có sự trợ giúp của các công cụ loại bỏ phần mềm độc hại. Một số virus máy tính
và phần mềm không mong muốn khác tự cài đặt lại sau khi các virus và phần mềm gián
điệp được phát hiện và bị loại bỏ. Rất may là bằng cách cập nhật máy tính và sử dụng các
công cụ loại bỏ phần mềm độc hại, bạn có thể giúp loại bỏ vĩnh viễn phần mềm không
mong muốn.
Để loại bỏ virus máy tính và phần mềm độc hại khác, hãy thực các bước này theo thứ tự.
1. Cài đặt các bản cập nhật mới nhất từ Microsoft Update
Lưu ý Virus máy tính có thể ngăn không cho bạn truy nhập vào website Microsoft
Update để cài đặt các bản cập nhật mới nhất. Chúng tôi khuyên bạn nên đặt dịch vụ Cập
nhật Tự động thành tự động chạy để máy tính không thiếu bất kỳ bản cập nhật quan trọng
nào.
2. Sử dụng Microsoft Safety Scanner miễn phí
Microsoft cung cấp công cụ trực tuyến miễn phí nhằm quét và giúp loại bỏ các
mối đe dọa tiềm ẩn khỏi máy tính. Để tiến hành quét, hãy truy nhập trang web Trình quét
an toàn của Microsoft.
3. Sử dụng Công cụ loại Windows độc hại
4. Loại bỏ phần mềm bảo mật giả định theo cách thủ công
Nếu không thể phát hiện hoặc loại bỏ phần mềm bảo mật giả mạo bằng cách sử
dụng Microsoft Safety Scanner hoặc công cụ loại bỏ phần mềm Windows hại.
5. Chạy Bộ bảo vệ Microsoft ngoại tuyến
 Bộ bảo vệ Microsoft ngoại tuyến là một công cụ chống phần mềm xấu giúp loại bỏ
khó khăn để loại bỏ virus bắt đầu trước khi Windows khởi động. Bắt đầu từ Windows 10,
Bộ bảo vệ Microsoft ngoại tuyến dựng sẵn.
Cách bảo vệ máy tính của bạn khỏi phần mềm độc hại
Có các tác vụ mà bạn có thể thực hiện để giúp bảo vệ máy tính của mình khỏi
phần mềm độc hại.
Bật tường lửa
Xác nhận rằng tường Windows đã được bật. Xem mục Bật hoặc tắt Tường lửa của
Bộ bảo vệ Microsoft để biết hướng dẫn về cách thực hiện việc đó trên phiên bản hiện đại
của Windows.
Giữ cho máy tính của bạn luôn cập nhật
Để biết thêm thông tin về cách đặt Cập nhật Tự động trong Windows
Không bị lừa tải xuống phần mềm xấu
Sau đây là một số mẹo có thể giúp bạn tránh tải xuống phần mềm mà bạn không
mong muốn:
▪ Chỉ tải xuống chương trình từ các site mà bạn tin cậy. Nếu bạn không chắc chắn
liệu có tin cậy một chương trình mà bạn muốn tải xuống hay không, hãy nhập tên của
chương trình đó vào công cụ tìm kiếm yêu thích của bạn để xem liệu có bất kỳ ai khác đã
báo cáo rằng chương trình đó có chứa phần mềm gián điệp hay không.
▪ Đọc tất cả cảnh báo bảo mật, thỏa thuận cấp phép và tuyên bố bảo mật đi kèm bất
kỳ phần mềm nào mà bạn tải xuống.
▪ Không bao giờ bấm "Đồng ý" hoặc "OK" để đóng cửa sổ mà bạn nghi ngờ có thể
là phần mềm gián điệp. Thay vào đó, hãy bấm vào ký hiệu "x" màu đỏ ở góc cửa sổ hoặc
nhấn Alt + F4 trên bàn phím để đóng cửa sổ.
▪ Hãy cảnh giác với các chương trình chia sẻ tệp nhạc và phim "miễn phí" thông
dụng và đảm bảo rằng bạn hiểu tất cả phần mềm được đóng gói cùng với các chương
trình đó.
▪ Hãy sử dụng tài khoản người dùng tiêu chuẩn thay vì tài khoản quản trị viên. Tài
khoản người quản trị có thể truy nhập bất kỳ thứ gì trên hệ thống và bất kỳ phần mềm độc
hại nào chạy với tài khoản người quản trị đều có thể sử dụng quyền của người quản trị để
có thể gây hại hoặc làm hỏng bất kỳ tệp nào trên hệ thống.
3.7 Hình thức lừa đảo trên không gian mạng
Thời gian qua, việc ứng dụng công nghệ thông tin, sử dụng các phần mềm chuyên
dụng để làm việc, hội họp, học tập, kinh doanh, mua sắm, giáo tiếp trực tuyến ở nước ta
đã phát triển mạnh mẽ. Lợi dụng tình hình trên, hoạt động lừa đảo trên không gian mạng
ngày càng gia tăng. Đã có rất nhiều cảnh báo về những vụ lừa đảo trên không gian mạng,
thế nhưng vẫn còn nạn nhân sập bẫy kẻ xấu, số tiền bị chiếm đoạt ngày càng nhiều...

Hình 3.2. Cảnh báo về các thủ đoạn lừa đảo trên không gian mạng
Theo thống kê của cơ quan công an, phần lớn các đối tượng lừa đảo đều đánh vào
tâm lý cả tin, hám lợi của nạn nhân vì những khoản tiền hứa hẹn và những lợi lộc có được
từ “bẫy” mà chúng đặt ra.
* Đánh vào tâm lý cả tin, hám lợi
Có thể nói, chưa khi nào các loại tội phạm công nghệ cao lại xuất hiện nhiều trên
không gian mạng như những năm gần đây. Theo cơ quan chức năng, nguyên nhân của
tình trạng này xuất phát từ việc các nền tảng số đã và đang được đưa vào sử dụng nhiều
trong các lĩnh vực.
 Lợi dụng các nền tảng số, các đối tượng tội phạm đã tìm cách chiếm đoạt tài sản
của người khác. Bên cạnh đó, một phần nguyên nhân của tình trạng này xuất phát từ ý
thức chủ quan của người dân, một số người sập bẫy kẻ phạm tội cũng chỉ vì lòng tham.

 Chương 4: Chính sách về ATTT
4.1 Chính sách và quy định về ATTT
4.1.1 Đào tạo và phát triển nguồn nhân lực ATTT
Ngày 19/02/2021, Bộ Thông tin và Truyền thông đã ban hành Quyết định số
212/QĐ-BTTT về việc Ban hành Kế hoạch triển khai thực hiện Quyết định số 21/QĐ-TTG
ngày 6/1/2021 của Thủ tướng Chính phủ phê duyệt Đề án "Đào tạo và phát triển nguồn
nhân lực an toàn thông tin giai đoạn 2021-2025" (Đề án). Quyết định số 212/QĐ-BTTT có
hiệu lực từ ngày 19/02/2021.
Quyết định 212 được ban hành nhằm tăng cường xây dựng, đào tạo, bồi dưỡng, phát
triển đội ngũ nhân lực an toàn thông tin mạng, góp phần triển khai thành công Chương
trình chuyển đổi số quốc gia, phát triển Chính phủ số, kinh tế số-xã hội số và nâng cao uy
tín, vị thế của Việt Nam trong lĩnh vực an toàn thông tin trên trường quốc tế; xác định cụ
thể các nhiệm vụ tại Quyết định số 21/QĐ-TTG ngày 6/1/2021 của Thủ tướng Chính phủ
phê duyệt Đề án; triển khai các nhiệm vụ tại Đề án đã được phê duyệt; thực hiện tốt vai trò
chủ trì, điều phối triển khai Đề án nhằm tăng số lượng và nâng cao chất lượng đội ngũ nhân
lực an toàn thông tin để hiện thực hóa tầm nhìn đưa Việt Nam trở thành cường quốc về an
toàn thông tin.
Theo kế hoạch triển khai Quyết định số 21/QĐ-TTG, Bộ Thông tin và Truyền thông
thực hiện 7 nhóm nhiệm vụ cơ bản được giao. Các nhiệm vụ này liên quan đến nhiều nội
dung như đào tạo ngắn hạn về an toàn thông tin theo nhiều hình thức cho các cơ quan, tổ
chức nhà nước, hỗ trợ các cơ quan, tổ chức Đảng, tổ chức chính trị-xã hội đào tạo, tập huấn
về an toàn thông tin khi có đề nghị từ các cơ quan, tổ chức này; đào tạo về quản lý, nghiệp
vụ và kỹ năng an toàn thông tin cho đội ngũ lãnh đạo, quản lý; cập nhật, nâng cao kỹ thuật
làm về an toàn thông tin và công nghệ thông tin theo chuẩn, khung chương trình và yêu
cầu kỹ năng an toàn thông tin do Bộ Thông tin và Truyền thông ban hành, hướng dẫn…
đào tạo 200 chuyên gia an toàn thông tin để bảo vệ cho các hệ thống thông tin của Đảng
và Nhà nước; xây dựng, ban hành quy định chuẩn kỹ năng về an toàn thông tin, tiêu chuẩn,
tiêu chí, yêu cầu chuyên môn và nghiệp vụ an toàn thông tin cho cán bộ chuyên trách…
 Đồng thời, Bộ Thông tin và Truyền thông phối hợp thực hiện các nhiệm vụ giao cho
các bộ, ngành, địa phương như đào tạo đội ngũ giảng viên, nghiên cứu viên về an toàn
thông tin ở nước ngoài, đào tạo thạc sỹ, kỹ sư, cử nhân an toàn thông tin trong nước; đào
tạo kiến thức, kỹ năng an toàn thông tin cho các tổ chức, cá nhân; triển khai đào tạo kiến
thức, kỹ năng cơ bản về an toàn thông tin trong các cơ sở giáo dục và các nhiệm vụ khác
nếu có...
Cục An toàn thông tin (Bộ thông tin và Truyền thông) là đầu mối, có trách nhiệm
theo dõi, đôn đốc các đơn vị, tổ chức, doanh nghiệp, cá nhân liên quan triển khai kế hoạch
này. Đồng thời, Cục An toàn thông tin chịu trách nhiệm xây dựng kế hoạch hàng năm, trình
lãnh đạo Bộ Thông tin và Truyền thông phê duyệt và tổ chức thực hiện.
4.1.1 Tuyên truyền, nâng cao nhận thức và phổ biến kiến thức về an toàn thông tin
giai đoạn 2021 – 2025
Ngày 23/11/2020, Thủ tướng Chính phủ ký quyết định phê duyệt Đề án “Tuyên
truyền, nâng cao nhận thức và phổ biến kiến thức về an toàn thông tin giai đoạn 2021 -
2025” nhằm trang bị cho mỗi cá nhân những kiến thức và kỹ năng cơ bản để bảo đảm an
toàn thông tin trên không gian mạng, qua đó tạo dựng một không gian mạng Việt Nam an
toàn, góp phần thúc đẩy nhanh quá trình chuyển đổi số, phát triển hạ tầng kinh tế - xã hội
số một cách bền vững.
Mục tiêu Đề án đặt ra là công tác tuyên truyền, nâng cao nhận thức và kỹ năng bảo
đảm an toàn thông tin tạo được chuyển biến mạnh mẽ trong nhận thức, ý thức chấp hành
pháp luật, góp phần nâng cao năng lực quốc gia về bảo đảm an toàn thông tin; giảm thiểu
các sự cố mất an toàn thông tin bắt nguồn từ nhận thức yếu kém của con người về các nguy
cơ mất an toàn thông tin. Thông qua Đề án, người sử dụng internet được trang bị đầy đủ
nhận thức và các kỹ năng cơ bản về bảo đảm an toàn thông tin, có thể an tâm sử dụng mạng
internet, mạng xã hội, thực hiện các thủ tục hành chính hay giao dịch điện tử trên không
gian mạng, tham gia chính quyền điện tử, góp phần xây dựng không gian mạng Việt Nam
an toàn, tích cực, hiệu quả. Đồng thời, người đứng đầu các cơ quan, tổ chức nhận thức
được vai trò, trách nhiệm bảo đảm an toàn thông tin khi triển khai ứng dụng công nghệ
thông tin trong hoạt động của cơ quan nhà nước. Đối với đối tượng học sinh, sinh viên sẽ
được trang bị đầy đủ nhận thức và kỹ năng cơ bản để khai thác an toàn, hiệu quả, lành
mạnh không gian mạng cho học tập, giải trí.
Theo nội dung Đề án, có 6 nhóm nhiệm vụ và giải pháp được đặt ra, bao gồm:
- Tuyên truyền, phổ biến nâng cao nhận thức và kỹ năng cơ bản bảo đảm an toàn
thông tin trên không gian mạng tại các cơ sở giáo dục. Trong đó, tuyên truyền, giáo dục,
hướng dẫn học sinh tương tác an toàn trên không gian mạng, hướng dẫn học sinh khả năng
tự đọc tin, phân biệt được nội dung an toàn có thể tiếp cận và loại bỏ những nội dung, thông
tin sai lệch, thông tin vi phạm pháp luật.
- Tuyên truyền, phổ biến, nâng cao nhận thức, trách nhiệm và các kỹ năng cơ bản
bảo đảm an toàn thông tin trên không gian mạng qua các phương tiện thông tin đại chúng,
truyền thông xã hội.
- Tuyên truyền, phổ biến, nâng cao nhận thức và các kỹ năng cơ bản bảo đảm an
toàn thông tin qua các hệ thống thông tin cơ sở. Giải pháp cho mục tiêu này là thực hiện
tuyên truyền theo từng điểm cung cấp dịch vụ công nghệ thông tin, dịch vụ mạng hoặc các
thiết bị công nghệ thông tin; tuyên truyền trên cơ sở truyền thanh - truyền hình cấp huyện,
hệ thống đài truyền thanh cấp xã và trên các cổng/trang thông tin điện tử, mạng nội bộ của
các cơ quan, tổ chức nhà nước.
- Tuyên truyền, phổ biến, nâng cao nhận thức và các kỹ năng cơ bản bảo đảm an
toàn thông tin qua các phương thức khác, như: Hằng năm tổ chức các đợt sự kiện tháng an
toàn thông tin, ngày an toàn thông tin Việt Nam để tăng cường hiểu biết về những mối
nguy hiểm trên không gian mạng và thực hiện các biện pháp phòng ngừa cần thiết để bảo
đảm an toàn thông tin; kết hợp với tổ chức hội nghị, hội thảo, tọa đàm trao đổi, thảo luận,
chia sẻ kinh nghiệm; thực hiện tuyên truyền thông qua hình thức nhắn tin, cảnh báo các
nguy cơ mất an toàn thông tin và các biện pháp phòng ngừa…
- Xây dựng nội dung tuyên truyền về bảo đảm an toàn thông tin cho các nhóm đối
tượng người cao tuổi và thanh thiếu niên.
- Định hướng nội dung, hoạt động và xây dựng, biên tập các tài liệu tuyên truyền
thuộc phạm vi của Đề án.
4.2 Luật công nghệ thông tin Việt Nam
Ngày 29/6/2006, tại kỳ họp 9 - Quốc hội khóa XI đã thông qua Luật Công nghệ
thông tin. Đây là một văn bản quy phạm pháp luật có giá trị pháp lý cao nhất điều chỉnh
một cách toàn diện và đầy đủ về hoạt động ứng dụng và phát triển công nghệ thông tin,
quyền và nghĩa vụ của cơ quan, tổ chức, cá nhân tham gia hoạt động ứng dụng và phát triển
công nghệ thông tin.
Luật Công nghệ thông tin là công cụ để tạo hành lang pháp lý quan trọng cho việc
thực hiện mục tiêu hình thành, phát triển xã hội thông tin, rút ngắn quá trình thực hiện công
nghiệp hoá, hiện đại hoá đất nước và trước mắt để thực thi có hiệu quả các nội dung cơ bản
của chiến lược phát triển công nghệ thông tin và truyền thông Việt Nam mà Thủ tướng
Chính phủ vừa ban hành.
Luật Công nghệ thông tin là cơ sở pháp lý quan trọng để xác định rõ trách nhiệm
quản lý nhà nước về Công nghệ thông tin của Chính phủ, các bộ, ngành và Uỷ ban nhân
dân tỉnh, thành phố trực thuộc Trung ương để bảo đảm sự phân công, phối hợp, tổ chức
thực hiện hiệu quả chiến lược phát triển Công nghệ thông tin.
Luật Công nghệ thông tincó vị trí quan trọng, quy định những điều kiện thiết yếu để
bảo đảm phát triển công nghiệp công nghệ thông tin thành một ngành kinh tế mũi nhọn,
đóng góp đáng kể và ngày càng tăng cho GDP, đồng thời đẩy mạnh ứng dụng công nghệ
thông tin trong tất cả các lĩnh vực, các ngành, các cấp, góp phần nâng cao hiệu lực, hiệu
quả quản lý, đẩy nhanh tốc độ phát triển kinh tế - xã hội. Các quy định về quản lý, cấp
phép, đăng ký được quy định ở mức tối thiểu và cần thiết nhằm tạo ra môi trường rõ ràng,
minh bạch và lành mạnh nhằm thúc đẩy các các hoạt động ứng dụng công nghệ thông tin
và phát triển công nghiệp công nghệ thông tin phù hợp với xu hướng hội nhập kinh tế quốc
tế của đất nước.
4.2.1 Sự cần thiết ban hành luật công nghệ thông tin năm 2006
Sự phát triển mạnh mẽ của công nghệ thông tin trong những thập niên cuối thế kỷ
XX đã tạo ra khả năng và cơ hội mới cho sự phát triển kinh tế- xã hội trên phạm vi toàn
cầu. Công nghệ thông tin được ứng dụng rộng rãi trong mọi lĩnh vực đã thúc đẩy tăng
trưởng kinh tế, chuyển dịch cơ cấu kinh tế và làm thay đổi căn bản cách quản lý, học tập
và làm việc của con người. Ứng dụng công nghệ thông tin trong các hoạt động quản lý nhà
nước giúp nâng cao hiệu quả hoạt động của bộ máy nhà nước.
Sự phát triển của công nghệ thông tin đã góp phần tạo ra nhiều ngành nghề mới,
thay đổi và hiện đại hóa các ngành kinh tế hiện tại. Nhiều nước trên thế giới, công nghiệp
công nghệ thông tin đã trở thành ngành kinh tế chủ đạo có tốc độ tăng trưởng hàng năm từ
20 đến 30%, tạo ra nhiều việc làm do có nhiều chính sách, biện pháp quan trọng khuyến
khích phát triển công nghiệp công nghệ thông tin và ứng dụng công nghệ thông tin trên
mọi lĩnh vực kinh tế xã hội.
Ở nước ta, công nghệ thông tin có vai trò đặc biệt quan trọng trong việc phát huy có
hiệu quả năng lực trí tuệ của người Việt Nam, thúc đẩy phát triển kinh tế, rút ngắn khoảng
cách phát triển so với các nước trong khu vực và trên thế giới, tạo điều kiện hội nhập kinh
tế quốc tế và đảm bảo quốc phòng, an ninh. Mặt khác, công nghiệp công nghệ thông tin là
ngành công nghiệp mà giá trị của sản phẩm chủ yếu là hàm lượng công nghệ và tri thức
cao sẽ là ngành công nghiệp mũi nhọn, là nhân tố quan trọng đẩy nhanh tốc độ công nghiệp
hóa, hiện đại hóa đất nước, thực hiện chiến lược "đi tắt, đón đầu" sớm đưa đất nước thoát
khỏi tình trạng kém phát triển.
Đảng và Nhà nước ta đã có nhiều Nghị quyết, văn bản chỉ đạo, định hướng cho phát
triển công nghệ thông tin của đất nước. Ngày 30/3/1991, Bộ Chính trị đã có Nghị quyết số
26/NQ-TW khẳng định công nghệ thông tin là phương tiện chủ lực để Việt Nam "đi tắt,
đón đầu" nhằm rút ngắn khoảng cách phát triển so với các nước công nghiệp tiên tiến. Ngày
4/8/1993, Chính phủ có Nghị quyết 49/CP về phát triển công nghệ thông tin đến năm 2000
nhằm thúc đẩy việc ứng dụng công nghệ thông tin vào mọi lĩnh vực sản xuất, kinh tế và
văn hoá của đất nước, trong đó “nâng cao chất lượng và hiệu quả của công tác quản lý”,
được xem là một nhiệm vụ quan trọng. Ngày 17/10/2000, Bộ Chính trị đã có Chỉ thị số 58-
CT/TW về đẩy mạnh ứng dụng và phát triển công nghệ thông tin phục vụ sự nghiệp công
nghiệp hóa, hiện đại hóa đã khẳng định “Công nghệ thông tin là một trong các động lực
quan trọng nhất của sự phát triển. Ứng dụng và phát triển công nghệ thông tin ở nước ta
nhằm góp phần giải phóng sức mạnh vật chất, trí tuệ và tinh thần của toàn dân tộc, thúc
đẩy công cuộc đổi mới, phát triển nhanh và hiện đại hoá các ngành kinh tế, tăng cường
năng lực cạnh tranh của các doanh nghiệp, hỗ trợ có hiệu quả cho quá trình chủ động hội
nhập kinh tế quốc tế, nâng cao chất lượng cuộc sống của nhân dân, đảm bảo an ninh, quốc
phòng và tạo khả năng “đi tắt, đón đầu” để thực hiện thắng lợi sự nghiệp công nghiệp hoá,
hiện đại hoá.” Văn kiện Đại hội Đại biểu Đảng toàn quốc lần thứ IX đã xác định: “Phát
huy những lợi thế của đất nước, tận dụng mọi khả năng để đạt trình độ công nghệ tiên tiến,
đặc biệt là công nghệ thông tin.... từng bước phát triển kinh tế tri thức”; và gần đây Đại hội
Đảng toàn quốc lần thứ X đã khẳng định: “phát triển công nghệ cao, nhất là công nghệ
thông tin, công nghệ sinh học và công nghệ vật liệu mới. Phát triển hệ thống thông tin quốc
gia về nhân lực và công nghệ...” (tr.99 Văn kiện Đại hội)
Thực hiện các định hướng của Đảng và Nhà nước, trong những năm qua, việc ứng
dụng và phát triển công nghệ thông tin ở nước ta đã đạt được nhiều thành tựu quan trọng.
Mạng viễn thông đã phủ rộng trên cả nước với chất lượng cao, mật độ sử dụng điện thoại
tăng nhanh (hiện đã đạt hơn 15 máy/100 dân); số lượng người sử dụng Internet là hơn 7,5
triệu đạt mật độ trên 9%. Đến nay, trên 50% các Bộ, Ngành, cơ quan thuộc Chính phủ và
80% tỉnh thành phố trực thuộc Trung ương đã có website, cung cấp thông tin về chính sách,
thủ tục hành chính, 100% các trường đại học, cao đẳng và hơn 90% các trường trung học
phổ thông đã được kết nối Internet. Công nghiệp công nghệ thông tin đã bước đầu phát
triển, tốc độ tăng trưởng trung bình hàng năm đạt 20-25%. Sản phẩm công nghệ thông tin
do các doanh nghiệp Việt Nam sản xuất đã từng bước đáp ứng nhu cầu thị trường trong
nước và bước đầu có xuất khẩu.
Tuy nhiên, sự phát triển công nghệ thông tin của Việt Nam hiện nay chưa đáp ứng
được yêu cầu xã hội và chưa khẳng định vị trí là ngành kinh tế mũi nhọn, quan trọng trong
nền kinh tế hướng đến kinh tế tri thức. Việc đầu tư cho công nghệ thông tin còn dàn trải và
kém hiệu quả. Năng lực cạnh tranh của các doanh nghiệp công nghệ thông tin của Việt
Nam còn yếu. Việc ứng dụng công nghệ thông tin trong quản lý, nhất là quản lý hành chính
của các cơ quan nhà nước còn chậm, chưa đồng bộ, hiệu quả chưa cao. Sản phẩm công
nghệ thông tin chưa có sức cạnh tranh cao, chưa thâm nhập nhiều vào thương trường thế
giới.
 Nhận thức được vị trí, vai trò quan trọng của công nghệ thông tin trong những năm
qua, Nhà nước đã ban hành một số chính sách, văn bản pháp luật về ứng dụng công nghệ
thông tin và phát triển công nghiệp công nghệ thông tin. Tuy nhiên, còn một số tồn tại sau:
Một là, chưa có văn bản quy phạm pháp luật điều chỉnh về công nghệ thông tin, đặc
biệt là ứng dụng công nghệ thông tin và phát triển công nghiệp công nghệ thông tin. Pháp
lệnh Bưu chính Viễn thông là văn bản quy phạm pháp luật có giá trị pháp lý cao nhất về
bưu chính, viễn thông có một số nội dung đề cập đến công nghệ thông tin, song mới chỉ
quy định về cơ sở hạ tầng thông tin. Do sự phát triển nhanh chóng của công nghệ thông
tin, có nhiều vấn đề phát sinh từ thực tiễn ứng dụng công nghệ thông tin và phát triển công
nghiệp công nghệ thông tin ở Việt nam còn chưa có cơ sở pháp lý điều chỉnh. Đây là một
trong những nguyên nhân khiến tổ chức, cá nhân chưa thực sự tin tưởng tham gia hoạt động
ứng dụng công nghệ thông tin, công nghiệp công nghệ thông tin. Các cơ quan nhà nước
chưa tạo ra được hành lang pháp lý đồng bộ để triển khai các hoạt động cung cấp thông
tin, thu thập ý kiến góp ý của nhân dân, cấp phép qua mạng... Các doanh nghiệp không
mạnh dạn đầu tư phát triển và cung cấp các ứng dụng trên môi trường mạng như mua bán,
kinh doanh qua mạng... Người tiêu dùng còn e ngại trong việc mua bán qua mạng do lo sợ
bị “lừa” hoặc bị “lợi dụng” trên môi trường mạng.
Hai là, những năm gần đây, việc ứng dụng công nghệ thông tin và phát triển công
nghiệp công nghệ thông tin của nước ta có những chuyển biến, tiến bộ khá nhanh theo
hướng hiện đại, góp phần tích cực vào sự phát triển kinh tế, xã hội của đất nước. Tuy vậy,
sự phát triển công nghệ thông tin của Việt Nam vẫn còn bộc lộ nhiều bất cập, chưa đáp ứng
được yêu cầu công nghiệp hóa, hiện đại hóa và chủ động hội nhập kinh tế quốc tế. Tình
hình đó phát sinh do nhiều nguyên nhân trong đó phải kể đến nguyên nhân về tổ chức thực
hiện và môi trường pháp lý: hoạt động công nghệ thông tin chưa được điều chỉnh bởi một
hệ thống các quy phạm pháp luật thống nhất, đồng bộ và tiến kịp so với sự phát triển của
công nghệ thông tin. Tuy đã có một số văn bản quy phạm pháp luật như: Pháp lệnh Bưu
chính Viễn thông ngày 25/5/2002 có một số quy định về hạ tầng công nghệ thông tin; Nghị
quyết số 07/2000/NQ-CP ngày 05/6/2000 về xây dựng và phát triển công nghiệp phần mềm
giai đoạn 2000- 2005; Quyết định số 128/2000/QĐ-TTg ngày 20/11/2000 về một số chính
sách và biện pháp khuyến khích đầu tư và phát triển công nghiệp phần mềm; Quyết định
số 112/2001/QĐ-TTg ngày 25/7/2001 phê duyệt đề án tin học hoá quản lý hành chính nhà
nước; Quyết định số 119/2005/QĐ-TTg ngày 29/7/2005 về phê duyệt đề án “Hỗ trợ doanh
nghiệp ứng dụng công nghệ thông tin phục vụ hội nhập và phát triển 2005- 2010”…song
vẫn chưa có văn bản quy phạm pháp luật ở mức cao để điều chỉnh hai lĩnh vực quan trọng
nhất là: ứng dụng công nghệ thông tin và phát triển công nghiệp công nghệ thông tin.
Ba là, gần đây Nhà nước đã ban hành một số luật như Bộ luật Dân sự, Luật Thương
mại, Luật Kế toán, Luật Giao dịch điện tử... trong đó có những quy định liên quan đến công
nghệ thông tin như thừa nhận giá trị pháp lý của thông điệp dữ liệu, thư điện tử, chứng từ
kế toán điện tử… Để bảo đảm sự tương thích và đồng bộ với các luật này, Luật Công nghệ
thông tin cần sớm được ban hành.
Với các nội dung đã phân tích ở trên, việc ban hành Luật Công nghệ thông tin là rất
cần thiết, nhằm tạo hành lang pháp lý cơ bản điều chỉnh lĩnh vực công nghệ thông tin, tạo
điều kiện thuận lợi để từng bước phát triển kinh tế tri thức, phục vụ sự nghiệp công nghiệp
hoá, hiện đại hoá đất nước, đảm bảo quốc phòng, an ninh. Mặt khác, việc ban hành Luật
Công nghệ thông tin nhằm tạo sự đồng bộ với các quy định trong các đạo luật có liên quan
đồng thời tạo khuôn khổ pháp lý phù hợp, đáp ứng yêu cầu hội nhập, thực hiện các cam
kết quốc tế với ASEAN, APEC, WTO…
4.2.2 Quan điểm xây dựng luật công nghệ thông tin
Dự án Luật được xây dựng trên cơ sở quán triệt các quan điểm chủ đạo sau:
1. Thể chế hoá quan điểm, đường lối, chủ trương của Đảng về phát triển công nghệ
thông tin, phù hợp với thực tiễn ứng dụng và phát triển công nghệ thông tin của Việt Nam
và cập nhật với trình độ phát triển của công nghệ thông tin trên thế giới.
2. Đảm bảo phù hợp với Hiến pháp; thống nhất và đồng bộ với các đạo luật liên
quan như Bộ luật Dân sự, Luật Thương mại, Luật Kế toán, Luật Giáo dục, Luật Doanh
nghiệp, Luật Báo chí...; phù hợp với luật pháp quốc tế và các điều ước quốc tế liên quan
đến công nghệ thông tin mà Việt Nam là thành viên.
3. Tạo lập và hoàn thiện hành lang pháp lý để thúc đẩy ứng dụng công nghệ thông
tin, coi ứng dụng công nghệ thông tin là một nhiệm vụ ưu tiên trong phát triển kinh tế - xã
hội, thúc đẩy quá trình cải cách hành chính, nâng cao hiệu lực, hiệu quả quản lý nhà nước,
hội nhập kinh tế quốc tế và góp phần đảm bảoquốc phòng, an ninh.
4.Quy định những điều kiện thiết yếu để đảm bảo phát triển công nghiệp công nghệ
thông tin thành một ngành kinh tế mũi nhọn, đóng góp đáng kể và ngày càng tăng
cho GDP, phục vụ sự nghiệp công nghiệp hoá, hiện đại hoá đất nước.
5. Không tạo ra rào cản cho sự phát triển: Luật Công nghệ thông tin tạo cơ sở pháp
lý để đẩy mạnh ứng dụng công nghệ thông tin và phát triển công nghiệp công nghệ thông
tin ở Việt nam. Các quy định về quản lý, cấp phép, đăng ký chỉ quy định ở mức tối thiểu
và cần thiết nhằm tạo ra môi trường rõ ràng, minh bạch và lành mạnh cho các hoạt động
ứng dụng công nghệ thông tin và phát triển công nghiệp công nghệ thông tin, theo đúng
quan điểm chỉ đạo: “năng lực quản lý phải theo kịp sự phát triển”.
6. Tích hợp, đồng bộ với các luật, pháp lệnh khác: Tích hợp, bổ sung lẫn nhau với
Luật Giao dịch điện tử đã được Quốc hội ban hành để tạo ra một môi trường pháp lý lành
mạnh, đồng bộ cho sự phát triển công nghệ thông tin Việt nam. Luật Công nghệ thông tin
không điều chỉnh các vấn đề đã có trong các luật, pháp lệnh khác.
BỐ CỤC CỦA LUẬT CÔNG NGHỆ THÔNG TIN
Luật Công nghệ thông tin gồm 6 chương, 79 điều, cụ thể như sau:
● Chương I. Những quy định chung gồm 12 Điều.
● Chương II. Ứng dụng công nghệ thông tin gồm 24 Điều và được quy định thành 4
mục.
● Chương III. Phát triển công nghệ thông tin với 16 Điều được chia thành 4 mục.
● Chương IV. Các biện pháp bảo đảm ứng dụng và phát triển công nghệ thông tin
gồm 21 Điều được chia thành 4 mục.
● Chương V. Giải quyết tranh chấp và xử lý vi phạm gồm 3 Điều.
● Chương VI. Điều khoản thi hành gồm 2 Điều.
4.3 Luật An toàn thông tin mạng.
Hiện nay, mạng Internet đã trở thành công cụ trung tâm để phát triển nền kinh tế
và xã hội của mọi quốc gia. Đối với Việt Nam, mạng internet cũng được coi là công cụ,
phương tiện quan trọng để thực hiện mục tiêu đưa Việt Nam trở thành nước công nghiệp
hóa, hiện đại hóa, phát triển mạnh trong một thế giới cạnh tranh và toàn cầu hóa.
Ngày 19-11-2015, Quốc hội khóa XIII, kỳ họp thứ 10 thông qua Luật An toàn thông
tin mạng năm 2015, Luật có hiệu lực kể từ ngày 01-7-2016, Luật bao gồm 8 chương và 54
điều quy định về hoạt động an toàn thông tin mạng, quyền, trách nhiệm của cơ quan, tổ
chức, cá nhân trong việc bảo đảm an toàn thông tin mạng; mật mã dân sự; tiêu chuẩn, quy
chuẩn kỹ thuật; kinh doanh trong lĩnh vực an toàn thông tin mạng; phát triển nguồn nhân
lực an toàn thông tin mạng; quản lý Nhà nước về an toàn thông tin mạng.

Theo Luật An toàn thông tin mạng năm 2015 quy định việc bảo vệ thông tin mạng gồm
những nội dung sau:
4.3.1 Phân loại thông tin
Cơ quan, tổ chức sở hữu thông tin phân loại thông tin theo thuộc tính bí mật để có
biện pháp bảo vệ phù hợp.
Thông tin thuộc phạm vi bí mật nhà nước được phân loại và bảo vệ theo quy định
của pháp luật về bảo vệ bí mật nhà nước. Cơ quan, tổ chức sử dụng thông tin đã phân loại
và chưa phân loại trong hoạt động thuộc lĩnh vực của mình phải có trách nhiệm xây dựng
quy định, thủ tục để xử lý thông tin; xác định nội dung và phương pháp ghi truy nhập được
phép vào thông tin đã được phân loại.
4.3.2 Quản lý gửi thông tin
Việc gửi thông tin trên mạng phải bảo đảm các yêu cầu: Không giả mạo nguồn gốc
gửi thông tin; Tuân thủ quy định của Luật và quy định khác của pháp luật có liên quan.
Tổ chức, cá nhân không được gửi thông tin mang tính thương mại vào địa chỉ điện
tử của người tiếp nhận khi chưa được người tiếp nhận đồng ý hoặc khi người tiếp nhận đã
từ chối, trừ trường hợp người tiếp nhận có nghĩa vụ phải tiếp nhận thông tin theo quy định
của pháp luật. Doanh nghiệp viễn thông, doanh nghiệp cung cấp dịch vụ ứng dụng viễn
thông và doanh nghiệp cung cấp dịch vụ công nghệ thông tin gửi thông tin có trách nhiệm
sau:
Tuân thủ quy định của pháp luật về lưu trữ thông tin, bảo vệ thông tin cá nhân, thông
tin riêng của tổ chức, cá nhân; Áp dụng biện pháp ngăn chặn, xử lý khi nhận được thông
báo của tổ chức, cá nhân về việc gửi thông tin vi phạm quy định của pháp luật;
Có phương thức để người tiếp nhận thông tin có khả năng từ chối việc tiếp nhận
thông tin; Cung cấp điều kiện kỹ thuật và nghiệp vụ cần thiết để cơ quan nhà nước có thẩm
quyền thực hiện nhiệm vụ quản lý, bảo đảm an toàn thông tin mạng khi có yêu cầu.
4.3.3 Phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại
Cơ quan, tổ chức, cá nhân có trách nhiệm thực hiện phòng ngừa, ngăn chặn phần
mềm độc hại theo hướng dẫn, yêu cầu của cơ quan nhà nước có thẩm quyền.
Chủ quản hệ thống thông tin quan trọng quốc gia triển khai hệ thống kỹ thuật nghiệp
vụ nhằm phòng ngừa, phát hiện, ngăn chặn và xử lý kịp thời phần mềm độc hại.
Doanh nghiệp cung cấp dịch vụ thư điện tử, truyền đưa, lưu trữ thông tin phải có hệ
thống lọc phần mềm độc hại trong quá trình gửi, nhận, lưu trữ thông tin trên hệ thống của
mình và báo cáo cơ quan nhà nước có thẩm quyền theo quy định của pháp luật.
Doanh nghiệp cung cấp dịch vụ Internet có biện pháp quản lý, phòng ngừa, phát
hiện, ngăn chặn phát tán phần mềm độc hại và xử lý theo yêu cầu của cơ quan nhà nước có
thẩm quyền. Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công
an và bộ, ngành có liên quan tổ chức phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm
độc hại gây ảnh hưởng đến quốc phòng, an ninh quốc gia.
4.3.4 Bảo đảm an toàn tài nguyên viễn thông
Cơ quan, tổ chức, cá nhân sử dụng tài nguyên viễn thông có trách nhiệm: Áp dụng
biện pháp quản lý và kỹ thuật để ngăn chặn mất an toàn thông tin mạng xuất phát từ tần số,
kho số, tên miền và địa chỉ Internet của mình; Phối hợp, cung cấp thông tin liên quan đến
an toàn tài nguyên viễn thông theo yêu cầu của cơ quan nhà nước có thẩm quyền.
Doanh nghiệp cung cấp dịch vụ trên Internet có trách nhiệm quản lý, phối hợp ngăn
chặn mất an toàn thông tin mạng xuất phát từ tài nguyên Internet, từ khách hàng của mình;
cung cấp đầy đủ thông tin theo yêu cầu của cơ quan nhà nước có thẩm quyền; phối hợp kết
nối, định tuyến để bảo đảm hệ thống máy chủ tên miền quốc gia Việt Nam hoạt động an
toàn, ổn định.
Bộ Thông tin và Truyền thông có trách nhiệm thực hiện bảo đảm an toàn thông tin
mạng cho hệ thống máy chủ tên miền quốc gia Việt Nam.

4.3.5 Ứng cứu sự cố an toàn thông tin mạng

Ứng cứu sự cố an toàn thông tin mạng là hoạt động nhằm xử lý, khắc phục sự cố
gây mất an toàn thông tin mạng.
Ứng cứu sự cố an toàn thông tin mạng phải tuân thủ các nguyên tắc: Kịp thời, nhanh
chóng, chính xác, đồng bộ và hiệu quả; Tuân thủ quy định của pháp luật về điều phối ứng
cứu sự cố an toàn thông tin mạng; Có sự phối hợp giữa cơ quan, tổ chức, doanh nghiệp
trong nước và nước ngoài.
Bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân cấp tỉnh, doanh
nghiệp viễn thông, chủ quản hệ thống thông tin quan trọng quốc gia phải thành lập hoặc
chỉ định bộ phận chuyên trách ứng cứu sự cố an toàn thông tin mạng.
Bộ Thông tin và Truyền thông có trách nhiệm điều phối ứng cứu sự cố an toàn
thông tin mạng trên toàn quốc; quy định chi tiết về điều phối ứng cứu sự cố an toàn thông
tin mạng.
4.3.6 Ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia
Ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia là hoạt động ứng cứu
sự cố trong tình huống thảm họa hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền
nhằm bảo đảm an toàn thông tin mạng quốc gia.
Ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia phải tuân thủ các
nguyên tắc: Tổ chức thực hiện theo phân cấp; Thực hiện tại chỗ, nhanh chóng, nghiêm
ngặt, phối hợp chặt chẽ; Áp dụng các biện pháp kỹ thuật, bảo đảm hiệu quả, khả thi.
Hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia
gồm: Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; Phương án
ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của cơ quan nhà nước, tổ chức chính
trị, tổ chức chính trị - xã hội; Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng
của địa phương; Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của doanh
nghiệp viễn thông.
Trách nhiệm bảo đảm an toàn thông tin mạng quốc gia được quy định như: Thủ
tướng Chính phủ quyết định hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông
tin mạng quốc gia; Bộ Thông tin và Truyền thông có trách nhiệm chủ trì điều phối công
tác ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc gia; Bộ, ngành, Ủy ban nhân
dân các cấp và cơ quan, tổ chức có liên quan trong phạm vi nhiệm vụ, quyền hạn của mình
có trách nhiệm phối hợp, chỉ đạo ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốc
gia; Doanh nghiệp viễn thông có trách nhiệm thực hiện biện pháp ứng cứu khẩn cấp, phối
hợp với Bộ Thông tin và Truyền thông, bộ, ngành, Ủy ban nhân dân các cấp có liên quan
để bảo đảm an toàn thông tin mạng quốc gia.

4.3.7 Trách nhiệm của cơ quan, tổ chức, cá nhân trong bảo đảm an toàn thông
tin mạng

Cơ quan, tổ chức, cá nhân tham gia hoạt động an toàn thông tin mạng có trách
nhiệm phối hợp với cơ quan nhà nước có thẩm quyền và tổ chức, cá nhân khác trong việc
bảo đảm an toàn thông tin mạng.
 Cơ quan, tổ chức, cá nhân sử dụng dịch vụ trên mạng có trách nhiệm thông báo kịp
thời cho doanh nghiệp cung cấp dịch vụ hoặc bộ phận chuyên trách ứng cứu sự cố khi phát
hiện các hành vi phá hoại hoặc sự cố an toàn thông tin mạng.
4.4 Luật An ninh mạng
4.4.1 Ý nghĩa, tác dụng của việc ban hành Luật An ninh mạng
Ngày 12/6/2018, tại Kỳ họp thứ 5 Quốc hội Khóa XIV đã thông qua Luật An ninh
mạng số 24/2018/QH14, có hiệu lực thi hành từ ngày 01/01/2019. Với 7 chương, 43 điều,
Luật An ninh mạng quy định về hoạt động bảo vệ an ninh quốc gia và bảo đảm trật tự, an
toàn xã hội trên không gian mạng; trách nhiệm của cơ qua Sự cần thiết phải ban hành Luật
An ninh mạng: Cuộc Cách mạng công nghiệp lần thứ tư đã đặt ra yêu cầu cấp thiết đối với
công tác an ninh mạng trong bảo vệ an ninh quốc gia, bảo đảm trật tự, an toàn xã hội. Việc
ban hành Luật an mạng góp phần phòng ngừa, đấu tranh làm thất bại hoạt động sử dụng
không gian mạng xâm phạm an ninh quốc gia, chống Nhà nướ, tuyên truyền phá hoại tư
tưởng, phá hoại nội bộ, phá hoại khối đại đoàn kết toàn dân tộc, kích động biểu tình, phá
rối an ninh trên không gian mạng của các thế lực thù địch, phản động; Phòng ngừa, ngăn
chặn, ứng phó, khắc phục hậu quả của các hoạt động tấn công mạng, khủng bố mạng, chiến
tranh mạng khi hoạt động tấn công mạng nhằm vào hệ thống thông tin nước ta gia tăng về
số lượng và mức độ nguy hiểm, ảnh hưởng nghiêm trọng tới chủ quyền, lợi ích, an ninh
quốc gia, trật tự, an toàn xã hội; Phòng ngừa, ngăn chặn, loại bỏ tác nhân tiến hành hoạt
động gián điệp mạng, sử dụng không gian mạng để chiếm đoạt thông tin, tài liệu bí mật
nhà nước, đặc biệt là hoạt động xâm nhập, tấn công vào hệ thống thông tin quan trọng về
an ninh quốc gia; đồng thời, hạn chế và tiến tới không còn tình trạng đăng tải bí mật nhà
nước trên mạng Internet do chủ quan hoặc thiếu kiến thức an ninh mạng. Bảo vệ hệ thống
thông tin quan trọng về an ninh quốc gia và áp dụng các biện pháp cần thiết, tương xứng.
Đây là hệ thống thông tin của các mục tiêu, cơ sở hạ tầng quan trọng quốc gia, cơ quan
chứa đựng bí mật nhà nước, nếu bị tấn công, xâm nhập, phá hoại, chiếm đoạt thông tin có
thể gây hậu quả nghiêm trọng, ảnh hưởng chủ quyền, lợi ích, an ninh quốc gia, trật tự, an
toàn xã hội, tổ chức, cá nhân có liên quan.
 Việc ban hành Luật an ninh mạng có tác dụng phòng ngừa, ứng phó với các nguy
cơ đe dọa an ninh mạng: Các nguy cơ đe dọa an ninh mạng hiện đang tồn tại là: Thông qua
không gian mạng thực hiện âm mưu “diễn biến hòa bình”, phá hoại tư tưởng, chuyển hóa
chế độ chính trị nước ta. Đối mặt với các cuộc tấn công mạng trên quy mô lớn, cường độ
cao. Mất kiểm soát về an ninh, an toàn thông tin mạng. Khắc phục tồn tại, hạn chế liên
quan bảo vệ an ninh mạng. Các quy định hiện nay về an toàn thông tin mạng chưa đủ sức
răn đe, ngăn chặn các hành vi vi phạm trên không gian mạng; chưa đáp ứng được yêu cầu
thực tiễn của công tác an ninh mạng đặt ra trong tình hình mới. Thực trạng này đã gây khó
khăn, vướng mắc trong tổ chức, triển khai các phương án bảo đảm an ninh thông tin, an
ninh mạng cũng như trong công tác phòng ngừa, đấu tranh ngăn chặn các hoạt động sử
dụng Internet để xâm phạm an ninh quốc gia, trật tự, an toàn xã hội.
Việc ban hành Luật An ninh mạng nhằm thể chế hóa đầy đủ, kịp thời chủ trương,
đường lối của Đảng về an ninh mạng quy định tại một số văn kiện, đó là: Nghị quyết số
13-NQ/TW ngày 16/01/2012 của Hội nghị Trung ương 4 Khóa XI về xây dựng hệ thống
kết cấu hạ tầng đồng bộ nhằm đưa nước ta cơ bản trở thành nước công nghiệp theo hướng
hiện đại vào năm 2020; Nghị quyết số 28-NQ/TW ngày 25/10/2013 của Hội nghị Trung
ương 8 Khóa XI về chiến lược bảo vệ Tổ quốc trong tình hình mới; Chỉ thị số 46-CT/TW
ngày 22/6/2015 của Bộ Chính trị về tăng cường sự lãnh đạo của Đảng đối với công tác bảo
đảm an ninh, trật tự trong tình hình mới; Chỉ thị số 28-CT/TW ngày 16/9/2013 của Ban Bí
thư Trung ương Đảng về tăng cường công tác bảo đảm an toàn thông tin mạng trong tình
hình mới. Cụ thể hóa quy định của Hiến pháp năm 2013 về quyền con người, quyền cơ bản
của công dân và bảo vệ Tổ quốc: Theo quy định tại khoản 2 Điều 14 của Hiến pháp năm
2013 thì quyền con người, quyền công dân chỉ có thể bị hạn chế theo quy định của luật
trong trường hợp cần thiết vì lý do quốc phòng, an ninh quốc gia, trật tự, an toàn xã hội,
đạo đức xã hội, sức khỏe của cộng đồng. Do vậy, việc ban hành Luật An ninh mạng để bảo
đảm quyền con người, quyền công dân theo quy định của Hiến pháp là cần thiết. Bên cạnh
đó, việc ban hành Luật góp phần cụ thể hóa tinh thần và nội dung mới của Hiến pháp về
bảo vệ Tổ quốc, đặc biệt là quy định “Tổ quốc Việt Nam là thiêng liêng, bất khả xâm
phạm” và “mọi hành vi chống lại độc lập, chủ quyền, thống nhất, toàn vẹn lãnh thổ, chống
lại sự nghiệp xây dựng và bảo vệ Tổ quốc đều bị nghiêm trị”. Đồng thời, tạo cơ sở pháp lý
để hội nhập quốc tế: Qua nghiên cứu cho thấy, hiện đã có nhiều quốc gia trên thế giới ban
hành các văn bản luật về an ninh mạng, điển hình như: Mỹ, Nhật Bản, Trung Quốc, Anh,
Úc, Séc, Hàn Quốc… Việc xây dựng, ban hành Luật An ninh mạng sẽ bảo đảm công tác
an ninh mạng của nước ta có sự phù hợp nhất định với thông lệ quốc tế và bảo đảm các
điều kiện hội nhập quốc tế về an ninh mạng.
Mục đích xây dựng Luật An ninh mạng: Việc xây dựng và ban hành Luật An ninh
mạng nhằm mục đích hoàn thiện cơ sở pháp lý để bảo vệ chủ quyền, lợi ích, an ninh quốc
gia, quyền và lợi ích hợp pháp của tổ chức, cá nhân tham gia hoạt động trên không gian
mạng; xây dựng môi trường không gian mạng lành mạnh; triển khai công tác an ninh mạng
trên phạm vi toàn quốc, đẩy mạnh công tác giám sát, dự báo, ứng phó và diễn tập ứng phó
sự cố an ninh mạng, bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia; đảm bảo
hiệu quả công tác quản lý nhà nước trong lĩnh vực này; nâng cao năng lực tự chủ về an
ninh mạng, hoàn thiện chính sách nghiên cứu, phát triển chiến lược, chia sẻ thông tin về an
ninh mạng. Phát huy các nguồn lực của đất nước để bảo đảm an ninh mạng, phát triển lĩnh
vực an ninh mạng đáp ứng yêu cầu phát triển kinh tế – xã hội, quốc phòng, an ninh, góp
phần nâng cao chất lượng cuộc sống của nhân dân và bảo đảm quốc phòng, an ninh.
Ý nghĩa, tác dụng của Luật An ninh mạng: Luật An ninh mạng là cơ sở pháp lý quan
trọng để bảo vệ an ninh quốc gia, xử lý đối với các hành vi vi phạm pháp luật trên không
gian mạng. Bảo vệ hệ thống thông tin quan trọng về an ninh quốc gia, được xác định trong
các lĩnh vực quan trọng đặc biệt đối với quốc gia như quân sự, an ninh, ngoại giao, cơ yếu;
trong lĩnh vực đặc thù như lưu trữ, xử lý thông tin thuộc bí mật nhà nước; phục vụ hoạt
động của các công trình quan trọng liên quan tới an ninh quốc gia, mục tiêu quan trọng về
an ninh quốc gia hoặc những hệ thống thông tin quan trọng trong các lĩnh vực năng lượng,
tài chính, ngân hàng, viễn thông, giao thông vận tải, tài nguyên và môi trường, hóa chất, y
tế, văn hóa, báo chí. Luật An ninh mạng ra đời nhằm phòng, chống tấn công mạng. Luật
An ninh mạng là văn bản Luật đầu tiên quy định khái niệm của hoạt động “Tấn công mạng”.
Đồng thời, quy định các nhóm hành vi cụ thể liên quan tới tấn công mạng; quy định cụ thể
các nhóm giải pháp cụ thể để phòng, chống tấn công mạng, quy định trách nhiệm cụ thể
của cơ quan chức năng, chủ quản hệ thống thông tin.
Như vậy, việc ban hành Luật An ninh mạng sẽ giúp Hệ thống thông tin của cơ quan,
tổ chức, cá nhân được bảo vệ trước hoạt động tấn công mạng; Các hệ thống thông tin quan
trọng về an ninh quốc gia được bảo vệ tương xứng với tầm quan trọng đối với an ninh quốc
gia, trật tự an toàn xã hội; Quyền và lợi ích hợp pháp của tổ chức, cá nhân được bảo vệ
trước các hành vi tấn công mạng. Luật An ninh mạng cũng quy định cụ thể cơ chế phối
hợp phòng, chống tấn công mạng của các bộ, ngành chức năng, xác định trách nhiệm cụ
thể của Bộ Công an, Bộ Quốc phòng, Ban Cơ yếu Chính phủ trong phòng, chống tấn công
mạng.
4.4.2 Điểm Nổi bật của Luật An ninh mạng 2018
Một số điểm nổi bật của Luật An ninh mạng 2018 gồm:
Nghiêm cấm đăng tải các thông tin sai sự thật
Theo Điều 8 của Luật này, các hành vi dưới đây sẽ bị nghiêm cấm trên môi trường
mạng:
Hành vi quy định vi phạm pháp luật về an ninh quốc gia, trật tự, an toàn xã hội được
quy định tại Điều 18.1 của Luật này;
Tổ chức, hoạt động, câu kết, xúi giục, mua chuộc, lừa gạt, lôi kéo, đào tạo, huấn
luyện người chống Nhà nước Cộng hòa Xã hội Chủ nghĩa Việt Nam;
Xuyên tạc lịch sử, phủ nhận thành tựu cách mạng, phá hoại khối đại đoàn kết toàn
dân tộc, xúc phạm tôn giáo, phân biệt đối xử về giới, phân biệt chủng tộc;
Thông tin sai sự thật gây hoang mang trong Nhân dân, gây thiệt hại cho hoạt động
kinh tế – xã hội, gây khó khăn cho hoạt động của cơ quan nhà nước hoặc người thi hành
công vụ, xâm phạm quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân khác;
Hoạt động mại dâm, tệ nạn xã hội, mua bán người; đăng tải thông tin dâm ô, đồi
trụy, tội ác; phá hoại thuần phong, mỹ tục của dân tộc, đạo đức xã hội, sức khỏe của cộng
đồng;
Xúi giục, lôi kéo, kích động người khác phạm tội.
Doanh nghiệp nước ngoài phải lưu trữ dữ liệu người dùng tại Việt Nam
Theo Điều 26.3 Luật An ninh mạng 2018 yêu cầu:
Doanh nghiệp trong nước và ngoài nước cung cấp dịch vụ trên mạng viễn thông,
mạng Internet, các dịch vụ gia tăng trên không gian mạng tại Việt Nam có hoạt động thu
thập, khai thác, phân tích, xử lý dữ liệu về thông tin cá nhân, dữ liệu về mối quan hệ của
người sử dụng dịch vụ, dữ liệu do người sử dụng dịch vụ tại Việt Nam tạo ra phải lưu trữ
dữ liệu này tại Việt Nam trong thời gian theo quy định của Chính phủ;
Đặc biệt, các doanh nghiệp nước ngoài phải đặt văn phòng đại diện hoặc chi nhánh
tại Việt Nam.
Ngừng cung cấp dịch vụ mạng khi có yêu cầu của cơ quan chức năng
Ngay khi có yêu cầu của cơ quan Bộ Thông tin và Truyền thông hoặc Lực lượng
bảo vệ an ninh mạng thuộc Bộ Công an, các doanh nghiệp trong và ngoài nước phải ngừng
cung cấp các dịch vụ gia tăng trên không gian mạng, mạng Internet và mạng viễn thông
cho các tổ chức hoặc cá nhân đã đăng tải các thông tin được quy định từ khoản 1 đến khoản
5 Điều 16 Luật này.
Doanh nghiệp phải cung cấp thông tin người dùng cho công tác điều tra
Các doanh nghiệp trong và ngoài nước cung cấp dịch vụ trên mạng viễn thông, mạng
internet, các dịch vụ gia tăng trên không gian mạng phải chịu trách nhiệm trong việc xác
thực thông tin của người dùng khi đăng ký tài khoản số, bảo mật thông tin và tài khoản của
người dùng theo quy định.
Đặc biệt, doanh nghiệp phải sẵn sàng cung cấp toàn bộ thông tin của người dùng
cho Lực lượng bảo vệ an ninh mạng thuộc Bộ Công an (khi có yêu cầu) để phục vụ cho
công tác điều tra nhằm hỗ trợ quá trình xử lý hành vi vi phạm pháp luật về an ninh mạng.
Xóa bỏ mọi thông tin vi phạm trên mạng trong vòng 24 giờ
Khi người dùng đăng tải hoặc chia sẻ những thông tin bị nghiêm cấm, các doanh
nghiệp phải ngăn chặn việc chia sẻ, xóa bỏ mọi thông tin vi phạm chậm nhất là 24 giờ –
tính từ thời điểm nhận được yêu cầu từ cơ quan Bộ Thông tin và Truyền thông hoặc Lực
lượng bảo vệ an ninh mạng thuộc Bộ Công an.
 Bên cạnh đó, doanh nghiệp cần lưu lại nhật ký người dùng trên hệ thống trong thời
gian quy định để phục vụ quá trình điều tra và xử lý hành vi vi phạm pháp luật về an ninh
mạng.
Bảo vệ trẻ em trên không gian mạng
Điều 29 Luật An ninh mạng 2018 được xem là một quy định cực kỳ nhân văn, theo
đó:
Trẻ em có quyền được bảo vệ, tiếp cận thông tin, tham gia hoạt động xã hội, vui
chơi, giải trí, giữ bí mật cá nhân, đời sống riêng tư và các quyền khác khi tham gia trên
không gian mạng;
Chủ quản hệ thống thông tin, doanh nghiệp cung cấp dịch vụ trên mạng viễn thông,
mạng Internet, các dịch vụ gia tăng trên không gian mạng có trách nhiệm kiểm soát nội
dung thông tin trên hệ thống thông tin hoặc trên dịch vụ do doanh nghiệp cung cấp để
không gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em; ngăn chặn việc chia
sẻ và xóa bỏ thông tin có nội dung gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền
trẻ em; kịp thời thông báo, phối hợp với lực lượng chuyên trách bảo vệ an ninh mạng thuộc
Bộ Công an để xử lý;
Cơ quan, tổ chức, cá nhân tham gia hoạt động trên không gian mạng có trách nhiệm
phối hợp với cơ quan có thẩm quyền trong bảo đảm quyền của trẻ em trên không gian
mạng, ngăn chặn thông tin có nội dung gây nguy hại cho trẻ em theo quy định của Luật
này và pháp luật về trẻ em;
Cơ quan, tổ chức, cha mẹ, giáo viên, người chăm sóc trẻ em và cá nhân khác liên
quan có trách nhiệm bảo đảm quyền của trẻ em, bảo vệ trẻ em khi tham gia không gian
mạng theo quy định của pháp luật về trẻ em;
Lực lượng chuyên trách bảo vệ an ninh mạng và các cơ quan chức năng có trách
nhiệm áp dụng biện pháp để phòng ngừa, phát hiện, ngăn chặn, xử lý nghiêm hành vi sử
dụng không gian mạng gây nguy hại cho trẻ em, xâm phạm đến trẻ em, quyền trẻ em.
“Nghe lén” các cuộc đàm thoại là hành vi gián điệp mạng
Theo Điều 17 Luật An ninh mạng 2018, dưới đây là các hành vi được xem là gián
điệp mạng:
 Chiếm đoạt, mua bán, thu giữ, cố ý làm lộ thông tin thuộc bí mật nhà nước, bí mật
công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư gây ảnh
hưởng đến danh dự, uy tín, nhân phẩm, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá
nhân;
Cố ý xóa, làm hư hỏng, thất lạc, thay đổi thông tin thuộc bí mật nhà nước, bí mật
công tác, bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư được
truyền đưa, lưu trữ trên không gian mạng;
Cố ý thay đổi, hủy bỏ hoặc làm vô hiệu hóa biện pháp kỹ thuật được xây dựng, áp
dụng để bảo vệ thông tin thuộc bí mật nhà nước, bí mật công tác, bí mật kinh doanh, bí mật
cá nhân, bí mật gia đình và đời sống riêng tư;
Đưa lên không gian mạng những thông tin thuộc bí mật nhà nước, bí mật công tác,
bí mật kinh doanh, bí mật cá nhân, bí mật gia đình và đời sống riêng tư trái quy định của
pháp luật;
Cố ý nghe, ghi âm, ghi hình trái phép các cuộc đàm thoại;
Hành vi khác cố ý xâm phạm bí mật nhà nước, bí mật công tác, bí mật kinh doanh,
bí mật cá nhân, bí mật gia đình và đời sống riêng tư.
Khuyến khích tổ chức và cá nhân tham gia phổ biến kiến thức an ninh mạng
Nhà nước luôn khuyến khích các cơ quan, tổ chức, cá nhân thực hiện chương trình
giáo dục thông qua các chính sách phổ biến về an ninh mạng trong phạm vi cả nước để
nâng cao nhận thức về an ninh mạng.
Đồng thời, bộ, ngành, cơ quan và các tổ chức phải triển khai các hoạt động giáo dục,
phổ cập kiến thức về an ninh mạng cho các cán bộ công chức, tổ chức và cơ quan trong
Bộ. UBND cấp tỉnh phải thực thi phổ biến kiến thức về Luật an ninh mạng 2018 cho cơ
quan, tổ chức và cá nhân của địa phương.
4.6.3 Giải đáp thắc mắc về Luật an ninh mạng 2018
Luật An ninh mạng 2018 bảo vệ quyền con người như thế nào?
Qua nghiên cứu các quy định trong Luật An ninh mạng 2018, có thể thấy Luật An
ninh mạng 2018 bảo vệ 06 quyền con người sau đây: (i) quyền sống, quyền tự do cá nhân;
(ii) quyền bình đẳng trước pháp luật và được pháp luật bảo vệ; (iii) quyền không bị can
thiệp vào đời tư, gia đình, chỗ ở hoặc thư tín; (iv) quyền không bị xâm hại danh dự hay uy
tín cá nhân; (v) quyền tự do tư tưởng, tín ngưỡng và tôn giáo của công dân; và (vi) quyền
tự do ngôn luận, tự do biểu đạt của công dân.
Người có hành vi vi phạm được quy định trong Luật An ninh mạng 2018 thì bị xử lý
như thế nào?
Theo Điều 9 Luật An ninh mạng 2018, trong trường hợp của những người vi phạm
luật an ninh mạng thì sẽ tùy theo mức độ, tính chất vi phạm mà bị xử lý theo kỷ luật, hành
chính (bồi thường nếu gây thiệt hại) hoặc bị tra cứu trách nhiệm hình sự theo quy định của
pháp luật.
Cơ quan, tổ chức, cá nhân sử dụng không gian mạng sẽ có trách nhiệm gì?
Theo Điều 42 Luật An ninh mạng 2018 thì cơ quan, tổ chức, cá nhân sử dụng không gian
mạng có trách nhiệm:
Tuân thủ quy định của pháp luật về an ninh mạng;
Kịp thời cung cấp thông tin liên quan đến bảo vệ an ninh mạng, nguy cơ đe dọa an
ninh mạng, hành vi xâm phạm an ninh mạng cho cơ quan có thẩm quyền, lực lượng bảo vệ
an ninh mạng;
Thực hiện yêu cầu và hướng dẫn của cơ quan có thẩm quyền trong bảo vệ an ninh
mạng; giúp đỡ, tạo điều kiện cho cơ quan, tổ chức và người có trách nhiệm tiến hành các
biện pháp bảo vệ an ninh mạng.
Biện pháp bảo vệ an ninh mạng bao gồm những biện pháp nào?
Theo Điều 5 Luật An ninh mạng 2018 thì các biện pháp bảo vệ an ninh mạng bao gồm
những biện pháp sau:
● Thẩm định an ninh mạng;
● Đánh giá điều kiện an ninh mạng;
● Kiểm tra an ninh mạng;
● Giám sát an ninh mạng;
● Ứng phó, khắc phục sự cố an ninh mạng;
● Đấu tranh bảo vệ an ninh mạng;
● Sử dụng mật mã để bảo vệ thông tin mạng;
 Ngăn chặn, yêu cầu tạm ngừng, ngừng cung cấp thông tin mạng; đình chỉ, tạm đình chỉ
các hoạt động thiết lập, cung cấp và sử dụng mạng viễn thông, mạng Internet, sản xuất và
sử dụng thiết bị phát, thu phát sóng vô tuyến theo quy định của pháp luật;
Yêu cầu xóa bỏ, truy cập xóa bỏ thông tin trái pháp luật hoặc thông tin sai sự thật trên
không gian mạng xâm phạm an ninh quốc gia, trật tự, an toàn xã hội, quyền và lợi ích hợp
pháp của cơ quan, tổ chức, cá nhân;
Thu thập dữ liệu điện tử liên quan đến hoạt động xâm phạm an ninh quốc gia, trật tự,
an toàn xã hội, quyền và lợi ích hợp pháp của cơ quan, tổ chức, cá nhân trên không gian
mạng;
Phong tỏa, hạn chế hoạt động của hệ thống thông tin; đình chỉ, tạm đình chỉ hoặc yêu
cầu ngừng hoạt động của hệ thống thông tin, thu hồi tên miền theo quy định của pháp luật;
Khởi tố, điều tra, truy tố, xét xử theo quy định của Bộ luật Tố tụng hình sự;
Biện pháp khác theo quy định của pháp luật về an ninh quốc gia, pháp luật về xử lý vi
phạm hành chính.
4.5 Một số luật, quy định tương đương trên thế giới
4.5.1 Luật lệ về an ninh mạng của EU
Những tiêu chuẩn về an ninh mạng đã nhận được sự quan tâm đặc biệt trong kỷ
nguyên kinh doanh được lèo lái bởi con thuyền công nghệ. Để tối đa hóa lợi nhuận của họ,
các công ty tận dụng công nghệ bằng cách vận hành phần lớn hoạt động của mình thông
qua internet. Vì có một số lượng lớn các rủi ro đòi hỏi các hoạt động liên mạng, điều quan
trọng ở đây là các hoạt động đó phải được bảo vệ thông qua các luật lệ toàn diện và bao
quát. Các luật lệ an ninh mạng hiện thời, mỗi luật lại chịu trách nhiệm cho các khía cạnh
khác nhau của hoạt động kinh doanh và thường khác biệt tùy theo khu vực hoặc quốc gia
nơi một doanh nghiệp hoạt động. Căn cứ vào sự khác biệt về mặt xã hội trong từng quốc
gia, cơ sở hạ tầng và các giá trị, một tiêu chuẩn an ninh mạng với tính bao quát không là
tối ưu cho mục đích giảm thiểu rủi ro. Trong khi tiêu chuẩn của Mỹ cung cấp một cơ sở
cho việc vận hành, EU đã tạo ra một quy định phù hợp hơn cho các doanh nghiệp hoạt
động đặc biệt trong Liên minh châu Âu. Bên cạnh đó, do Brexit, điều quan trọng cần phải
xem xét ở đây là làm thế nào để Vương Quốc Anh chọn để tuân thủ các luật lệ như vậy.
4.5.2 Các yếu tố cấu tạo nên luật an ninh mạng trong EU
Ba thành tố cấu tạo nên luật an ninh mạng trong EU bao gồm ENISA, Chỉ thị về
An ninh mạng và An ninh thông tin (NIS) và Tiêu chuẩn bảo vệ dữ liệu chung của EU
(EU GDPR).
ENISA
ENISA, Cơ quan về an ninh mạng và an ninh thông tin của Liên minh châu Âu EU,
là cơ quan quản lý mà ban đầu được thành lập bởi các Quy định (EC) số 460/2004 của
Nghị viện Châu Âu và của Hội đồng Liên minh châu Âu vào ngày 10 Tháng 3 năm 2004
với mục đích nâng cao an ninh mạng và an ninh thông tin, chỉ thị về an ninh mạng và an
ninh thông tin(NIS), sự nhận thức cho tất cả các hoạt động liên mạng bên trong EU. ENISA
hiện thời hoạt động dưới Quy định (EU) số 526/2013 để thay thế các quy định ban đầu vào
năm 2013. ENISA làm việc tích cực với tất cả các nước thành viên của Liên minh châu Âu
để cung cấp một loạt các dịch vụ. Trọng tâm của các hoạt động của họ tập trung vào ba yếu
tố chính sau:
- Khuyến nghị các nước thành viên về quá trình hành động đối với vi phạm an ninh
mạng
- Xây dựng chính sách và hỗ trợ vấn đề thực hiện cho tất cả các thành viên EU
- Hỗ trợ trực tiếp - ENISA trực tiếp làm việc với các đội nhóm hoạt động bên trong
EU
ENISA được tạo nên từ một Ban quản lý dựa vào sự hỗ trợ của Giám đốc Điều hành
và một nhóm các bên liên quan thường trực. Tuy nhiên, phần lớn các hoạt động lại được
điều hành bởi người đứng đầu các bộ phận khác nhau.
ENISA đã phát hành các ấn phẩm khác nhau bao quát tất cả các vấn đề quan trọng
liên quan đến an ninh mạng. Sáng kiến trong quá khứ và hiện tại của ENISA bao
gồm: Chiến lược đám mây EU, các tiêu chuẩn mở trong Công nghệ Truyền thông Thông
tin, Chiến lược An ninh mạng của EU và một nhóm điều phối An ninh mạng. ENISA cũng
bắt tay hợp tác với các tổ chức tiêu chuẩn quốc tế hiện thời như ISO và ITU.
Chỉ thị về An ninh mạng và An ninh thông tin (NIS)
 Vào ngày 6 tháng 7 năm 2016, Nghị viện châu Âu đưa Chỉ thị về an ninh của mạng
và hệ thống thông tin (chỉ thị NIS) thành chính sách.
Chỉ thị này có hiệu lực vào tháng 8 năm 2016 và tất cả các quốc gia thành viên của Liên
minh châu Âu được cho 21 tháng để tích hợp các luật lệ của chỉ thị này vào luật quốc gia
riêng của họ. Mục đích của Chỉ thị NIS này là tạo ra một mức độ an ninh mạng tổng thể
cao hơn trong EU. Chỉ thị này có ảnh hưởng đáng kể đến các nhà cung cấp dịch vụ kỹ thuật
số, các công nghệ xử lý tín hiệu số (DSP) và các nhà khai thác dịch vụ thiết yếu (OES). Các
nhà khai thác dịch vụ thiết yếu bao gồm bất kỳ tổ chức nào mà hoạt động của họ sẽ bị ảnh
hưởng rất nhiều trong trường hợp có lỗ hổng an ninh mạng, miễn là họ tham gia vào các
hoạt động xã hội hoặc kinh tế quan trọng. Cả DSP và OES hiện đang chịu trách nhiệm
trong việc báo cáo các sự cố an ninh cho các đội phản ứng nhanh sự cố an ninh máy tính
(CSIRTs) trong một phạm vi nhất định. Trong khi DSP không phải chịu những quy định
ngặt nghèo như các nhà khai thác dịch vụ thiết yếu, DSP không được thiết lập trong EU
nhưng vẫn hoạt động trong EU vẫn phải đối mặt với các quy định. Ngay cả khi DSP và
OES thuê ngoài việc duy trì các hệ thống thông tin của họ cho bên thứ ba, Chỉ thị NIS vẫn
bắt họ phải chịu trách nhiệm cho bất kỳ sự cố an ninh nào.
Các quốc gia thành viên của EU được yêu cầu phải tạo ra một chiến lược chỉ thị NIS
bao gồm các đội CSIRTs nói trên bên cạnh các cơ quan có thẩm quyền quốc gia (NCAs)
và các cơ quan điều phối (SPOCs). Những nguồn lực này được trao trách nhiệm xử lý vi
phạm an ninh mạng để giảm thiểu tác động của nó. Bên cạnh đó, tất cả các quốc gia thành
viên của EU được khuyến khích chia sẻ thông tin an ninh mạng.
Những yêu cầu bảo mật của Chỉ thị NIS bao gồm các biện pháp kỹ thuật quản lý rủi
ro của hành vi vi phạm an ninh mạng bằng cách phòng ngừa. Bên cạnh đó, cả DSP và OES
phải cung cấp thông tin cho phép đánh giá chuyên sâu hệ thống thông tin và chính sách
bảo mật của họ. Như đã đề cập ở trên, tất cả các sự cố quan trọng phải được thông báo cho
các đội CSIRTs. Độ nghiêm trọng của sự cố an ninh mạng được xác định bởi số lượng
người sử dụng sẽ bị ảnh hưởng bởi cuộc tấn công mạng cũng như khoảng thời gian xảy ra
các sự cố và phạm vi địa lý của vụ việc.
Tiêu chuẩn bảo vệ dữ liệu chung của EU (EU GDPR)
 Quy định chung về bảo vệ dữ liệu của EU, GDPR, ra đời vào ngay 14 tháng 4 năm
2016, tuy nhiên ngày thực thi là 25 tháng 5 năm 2018. Các quy định chung này nhằm mang
lại một tiêu chuẩn duy nhất để bảo vệ dữ liệu giữa tất cả các nước thành viên trong EU. Sự
thay đổi mà các quy định này sẽ mang lại bao gồm việc xác định lại biên giới địa lý. Quy
định không chỉ áp dụng cho các tổ chức hoạt động trong EU mà còn áp dụng cho các tổ
chức xử lý dữ liệu của bất kỳ cư dân nào của EU. Bất kể nơi nào dữ liệu được xử lý, nếu
dữ liệu của một công dân EU đang được xử lý, các tổ chức hiện tại phải tuân theo quy định
này. Tiền phạt cũng trở nên nặng hơn và tổng cộng có thể lên tới 20 triệu euro hay 4%
doanh thu hàng năm. Ngoài ra, tương tự như những quy định trước đây, tất cả các hành vi
vi phạm dữ liệu ảnh hưởng tới các quyền và sự tự do của những cá nhân cư trú tại EU phải
được công bố trong vòng 72 giờ. Ban Bảo vệ dữ liệu của EU (EDP) phải chịu trách nhiệm
về tất cả các giám sát theo quy định của GDPR.
Sự đồng thuận đóng một vai trò quan trọng trong các quy định của GDPR. Các công
ty nắm giữ dữ liệu liên quan đến công dân EU hiện thời cũng phải cung cấp cho các công
dân quyền được từ chối chia sẻ dữ liệu dễ dàng như việc người dân đồng ý chia sẻ chúng.
Ngoài ra, người dân cũng có thể hạn chế việc xử lý các dữ liệu được lưu trữ về họ; họ có
thể chọn lựa để cho phép các công ty lưu trữ dữ liệu của họ nhưng không xử lý nó, do đó,
điều này tạo ra một sự khác biệt rõ ràng. Khác với các quy định trước đây, GDPR cũng hạn
chế việc chuyển giao dữ liệu của một công dân ra bên ngoài EU hoặc cho một bên thứ ba
mà không có sự đồng ý trước của công dân đó.
Quy định dự thảo ePrivacy dự kiến sẽ được áp dụng từ ngày 25 tháng 5 năm 2018.
Những vấn đề liên quan tới Brexit
Theo dòng những sự kiện chính trị gần đây , trong đó có việc Vương quốc Anh đã
quyết định rút khỏi EU, các quy định hiện thời áp dụng đối với Vương quốc Anh chỉ bao
gồm ENISA và Chỉ thị NIS.
Tuy nhiên, hiện vẫn còn một số suy đoán cho rằng GDPR vẫn được áp dụng đối với
Vương quốc Anh do thời gian mà các quy định GDPR được thiết lập. Bất kể ngày thực thi
của GDPR là thời gian nào đi chăng nữa, bởi GDPR được ký kết và có hiệu lực trong khi
Anh vẫn là một phần của Liên minh châu Âu EU, Vương Quốc Anh vẫn phải tuân thủ
những quy định này. Thêm vào đó, không phải là một phần của GDPR cùng đồng nghĩa
với việc bỏ lỡ Anh đã bỏ lỡ những nguồn tài nguyên giá trị.
Tính cấp thiết của một nền tảng an ninh mạng toàn cầu
Chẳng phải kể từ lúc cuộc tấn công mạng lớn nhất trong lịch sử - WannaCry diễn ra
vào tháng 5 năm 2017, các quy định về an ninh mạng toàn cầu mới cần được cải thiện một
cách toàn diện. Thực tế, chúng ta đã được chứng kiến nhiều sự hợp tác toàn cầu giữa các
cơ quan thực thi pháp luật hơn bao giờ hết, tuy nhiên “lỗ đen” pháp lý, ở nhiều nơi trên thế
giới, vẫn đang hoành hành.
Trong bối cảnh này, cả luật pháp và sự hợp tác giữa châu Âu và Mỹ - một phần vô
cùng quan trọng trong vấn đề bảo vệ An ninh mạng và phòng chống tội phạm công nghệ,
có thể đóng vai trò như một tấm gương sáng để các khu vực khác trên thế giới học hỏi theo.
Quy định về an ninh mạng chủ yếu vẫn được coi là một vấn đề của hành động đơn lẻ nhà
nước - mặc dù nhiều sáng kiến được thúc đẩy bởi các tổ chức quốc tế như Diễn đàn Kinh
tế Thế giới(WEF), Liên đoàn và Hiệp hội quản lý rủi ro châu Âu (FERMA), Tổ chức Hợp
tác và Phát triển Kinh tế (OECD) hay Diễn đàn quản lý Internet (IGF).
Rất nhiều sáng kiến này là không được hệ thống hóa để soạn thảo thành luật, không
có tính ràng buộc và chỉ là các khuyến nghị đơn giản. Tuy nhiên, việc quản lý an ninh mạng
toàn cầu đang thay đổi và các mục tiêu tiềm năng của tội phạm công nghệ bắt buộc phải
giám sát quá trình phát triển của các cuộc tấn công mạng để chuẩn bị tinh thần. Vụ tấn
công tiếp theo sẽ sớm diễn ra và những người bị ảnh hưởng cần phải sẵn sàng cho những
sự kiện chấn động này.

4.6. Tiêu chuẩn an toàn thông tin

4.6.1 Khái niệm tiêu chuẩn và quy chuẩn kỹ thuật

Theo Điều 3, Chương I, Luật tiêu chuẩn và quy chuẩn kỹ thuật, khái niệm tiêu chuẩn
và quy chuẩn kỹ thuật được định nghĩa như sau:
“Tiêu chuẩn là quy định về đặc tính kỹ thuật và yêu cầu quản lý dùng làm chuẩn để
phân loại, đánh giá sản phẩm, hàng hoá, dịch vụ, quá trình, môi trường và các đối tượng
khác trong hoạt động kinh tế - xã hội nhằm nâng cao chất lượng và hiệu quả của các đối
tượng này.
Tiêu chuẩn do một tổ chức công bố dưới dạng văn bản để tự nguyện áp dụng.”
“Quy chuẩn kỹ thuật là quy định về mức giới hạn của đặc tính kỹ thuật và yêu cầu
quản lý mà sản phẩm, hàng hoá, dịch vụ, quá trình, môi trường và các đối tượng khác
trong hoạt động kinh tế - xã hội phải tuân thủ để bảo đảm an toàn, vệ sinh, sức khoẻ con
người; bảo vệ động vật, thực vật, môi trường; bảo vệ lợi ích và an ninh quốc gia, quyền
lợi của người tiêu dùng và các yêu cầu thiết yếu khác.
Quy chuẩn kỹ thuật do cơ quan nhà nước có thẩm quyền ban hành dưới dạng văn
bản để bắt buộc áp dụng.”

4.6.2 Quá trình hình thành các Tiêu chuẩn An toàn thông tin

a) Khái quát
Các tiêu chuẩn đánh giá
Các tiêu chí đánh giá ATTT dưới góc độ công nghệ ra đời sớm hơn so với các tiêu
chí về quản lý, cũng bởi vì thực tiễn luôn đi trước quản lý. Tiêu chí đầu tiên đánh giá ATTT
là TCSEC. Sau TCSEC, trong thời gian 1985 - 1995, có khoảng 30 tiêu chuẩn và tài liệu
hướng dẫn trong lĩnh vực an toàn máy tính, thường được gọi là Rainbow Series được công
bố ở Mỹ. Bộ tài liệu này đề cập đến nhiều vấn đề của an toàn máy tính, đáng kể nhất trong
số đó là Trusted Network Interpretation, với nội dung giải thích, minh họa TCSEC cho các
cấu hình mạng và mô tả, đánh giá các dịch vụ an toàn các mạng máy tính. Trong tài liệu
tiêu chuẩn này, cơ chế bảo vệ bằng mật mã lần đầu được trình bày, nhằm đảm bảo tính bí
mật và tính toàn vẹn của thông tin. Điểm mới của tài liệu chuẩn này xét theo góc độ thời
điểm là có cách tiếp cận hệ thống đối với vấn đề truy cập và sự hình thành các nguyên lý
cấu trúc hệ thống.
Sau hơn 5 năm xuất hiện TCSEC, cuối những năm 80 chính phủ Mỹ cho công bố
“Các tiêu chí Liên bang đánh giá an toàn công nghệ thông tin”. Đây là kết quả của nhiều
nghiên cứu trong thập kỷ 80 và trên cơ sở phân tích kinh nghiệm sử dụng TCSEC. Khái
niệm cốt lõi của tiêu chuẩn này là Hồ sơ bảo vệ (Proctection Profile), một trong những khái
niệm quan trọng nhất trong hệ thống các tiêu chuẩn đánh giá. Đó là tài liệu tiêu chuẩn qui
định các phương diện an toàn của sản phẩm CNTT dưới dạng các yêu cầu đối với tất cả
các giai đoạn: thiết kế, hoàn chỉnh công nghệ, chế tạo và cấp chứng nhận.
Năm 1991, bốn nước gồm Pháp, Anh, Đức, Hà Lan cùng công bố “Tiêu chí hài hòa
của các nước châu Âu”. Theo tiêu chuẩn này, tổ chức yêu cầu đánh giá và cấp chứng nhận
cho sản phẩm CNTT cần tự xây dựng muc tiêu đánh giá, mô tả các mối đe dọa tiềm ẩn về
ATTT và đề xuất các chức năng bảo vệ. Cơ quan cấp chứng nhận chỉ cần đánh giá mức độ
đạt được mục tiêu thông qua các các chức năng đã đề ra. So với TCSEC và “Các tiêu chí
liên bang” thì “Tiêu chí hài hòa của các nước châu Âu” có chức năng an toàn rộng hơn
(gồm 10 hàm chức năng an toàn, so với 5 chức năng của TCSEC), đồng thời tiêu chuẩn
này cũng đưa ra các mức an toàn khá chi tiết. Cùng thời gian này, chính phủ Canada cũng
cho công bố “Tiêu chí đánh giá sản phẩm máy tính tin cậy của Canada” (Canadian Trusted
Computer Product Evaluation Criteria).
Năm 1993, các tổ chức chính phủ của 6 nước Bắc Mỹ và châu Âu gồm Canada,
Mỹ, Anh, Đức, Hà Lan và Pháp cùng soạn thảo tiêu chuẩn “Tiêu chí chung đánh giá an
toàn công nghệ thông tin” (Common Criteria for IT security Evaluation), thường gọi là
Tiêu chí chung (Common Criteria - CC) trong khuôn khổ một dự án gọi là Dự án CC. Mục
tiêu của Dự án CC là xây dựng một tiêu chuẩn mới trên cơ sở kết hợp và phát triển ba tiêu
chuẩn “Tiêu chuẩn hài hòa của các nước Châu Âu”, “Tiêu chí đánh giá các hệ thống máy
tính tin cậy” của Canada và “Tiêu chuẩn Liên bang an toàn công nghệ thông tin”. Phương
án 1 của CC đã được ra đời vào năm 1996. Năm 1998, phương án 2 của CC ra đời với
nhiều thay đổi quan trọng so với phương án đầu tiên. CC liên tục được xem xét và hoàn
thiện, năm 1999, phương án CC 2.1 được ban hành trên cơ sở góp ý của nhóm công tác
chuyên ngành thuộc tổ chức ISO. Sáu năm sau (năm 2005), phương án CC 3.0 ra đời trên
cơ sở xem xét lại nhiều nội dung của các phương án trước đó và năm 2006 phương án CC
3.1 và được ban quản lý CC công bố như bản chính thức của CC.
Phương án 2.1 của CC đã được tổ chức ISO công bố năm 1999 thành tiêu chuẩn
quốc tế ISO/IEC15408 - 1999: Tiêu chí đánh giá an toàn công nghệ thông tin. ISO/IEC
15408:1999 được hoàn thiện, phát triển và năm 2009 được công bố thành ba phần tương
ứng với ba nội dung chính của CC là ISO/IEC 15408 - 1: 2009 - Tổng quát (các quan điểm,
khái niệm và nguyên lý), ISO/IEC 15408 - 2: 2009 - Các yêu cầu chức năng về an toàn và
ISO/IEC 15408 - 3:2009 - Các yêu cầu đảm bảo.
Tiêu chí chung CC cũng như ISO 15408 được coi là một “siêu tiêu chuẩn”, không
chỉ vì phạm vi đồ sộ mà còn vì tính tổng quát và trừu tượng không dễ áp dụng của nó. Vì
vậy, để tạo thuận lợi cho việc áp dụng CC, ISO đã ban hành một loạt tài liệu hướng dẫn
như: Hướng dẫn xây dựng Hồ sơ bảo vệ và Xây dựng nhiệm vụ an toàn, Các thủ tục đăng
ký hồ sơ bảo vệ và Phương pháp luận tổng quát đánh giá an toàn công nghệ thông tin
(CEM).
Trong các phương tiện bảo đảm ATTT, mật mã có vai trò đặc biệt. Do đó các thuật
toán và giao thức mật mã thường được công bố thành tiêu chuẩn riêng. Tuy nhiên, mật mã
được tích hợp vào các sản phẩm ATTT như những môđun - được gọi là môđun mật mã
(Cryptigraphic module). Các môđun này được thiết kế thành hai phần, phần thuật toán và
phần giao diện. Vì thế chúng có vị trí đặc biệt trong cơ cấu an toàn thông tin và cần xây
dựng các yêu cầu an toàn riêng dành cho các loại môđun này. Đáp ứng nhu cầu này, tháng
5/2001, Mỹ đã công bố tiêu chuẩn FIPS 140 - 2 “Yêu cầu an toàn đối với các môđun mật
mã” (FIPS 140 - 2: Security Requirements for Cryptographic Modules).
Về thực chất, các tiêu chuẩn đánh giá chủ yếu mô tả các khái niệm và các phương
diện quan trọng nhất của ATTT, chúng giữ vai trò đặc tả về tổ chức và cấu trúc, mô tả các
yêu cầu an toàn..., do đó cần có các tài liệu chuẩn về xây dựng các hệ thống an toàn theo
cấu trúc và các yêu cầu an toàn mà các tiêu chí đánh giá đề ra.
Các tiêu chuẩn đặc tả kỹ thuật
Các tiêu chuẩn đặc tả kỹ thuật chủ yếu được nhóm chuyên đề về công nghệ Internet
(Internet Engineeng Task Force - IETF) và các bộ phận của nhóm này soạn thảo. Đối tượng
xây dựng các tiêu chuẩn đặc tả kỹ thuật của IETF là vấn đề an toàn trên các tầng mạng.
Một số lượng đáng kể tài liệu chuẩn đã được IETF xây dựng và công bố được sử dụng rộng
rãi, nhất là IPsec, TLS và GSS- API.
IPsec cung cấp các giao thức quản lý truy cập, xác thực, bảo mật, đảm bảo tính toàn
vẹn và bảo vệ từng phần chống lại các tấn công, các giao thức quản lý khóa mật mã.
 TLS (Transport layer Security) là giao thức mật mã chuẩn lần đầu tiên được công
bố năm 1999, nhằm đảm bảo liên lạc an toàn trên internet và được cập nhật vào RFC 5246
(năm 2008) và RFC 6176 (năm 2011). TLS có cấu trúc hai mức, mức 1 là giao thức truyền
dữ liệu, mức hai là giao thức thiết lập liên lạc cho phép các bên liên lạc xác thực lẫn nhau
và lựa chọn thuật toán cũng như khóa mật mã.
Mục tiêu của GSS- API (The generic Security Services Application Program
Interface) - giao diện ứng dụng chương trình tổng quát dịch vụ ATTT - là bảo vệ liên lạc
giữa các thành phần của hệ thống được thiết kế theo cấu trúc client/server.
Trong số các tiêu chuẩn đặc tả kỹ thuật, quan trọng nhất cần kể đến các tài liệu X800
- The security architecture for open systems interconnections (Kiến trúc an toàn cho các
kết nối hệ thống mở), X.500 - The Directory: Overview of concepts, models and servicers
và X509 - The Directory: public- key and Attributute Certificate Frameworks. Tài liệu
chuẩn này cung cấp các yếu tố cơ sở hạ tầng về ATTT. Chẳng hạn X509 là tài liệu chuẩn
quan trọng nhất và sử dụng rộng rãi nhất hiện nay trong việc xây dựng cơ sở hạ tầng khóa
công khai tại nhiều quốc gia.
Dưới đây sẽ giới thiệu vắn tắt ba tiêu chuẩn đánh giá phổ biến nhất hiện nay. Đó là
Tiêu chí chung (CC), Phương pháp luận tổng quát đánh giá an toàn công nghệ thông tin
(CEM) và FIPS 140 - 2 “Các yêu cầu an toàn đối với các môđun mật mã”.
b) Tiêu chí chung đánh giá an toàn thông tin - CC (tương ứng với ISO/IEC 15408)
Đặc điểm cơ bản của Tiêu chí chung là tính bao quát về nhiều khía cạnh của ATTT.
Đối tượng đánh giá theo CC là sản phẩm và hệ thống thông tin (có thể đã ở dạng thành
phẩm hoặc đang được thiết kế) được ký hiệu là TOE (Target of Evaluation). Mỗi TOE
được xem xét trong một bối cảnh xác định được gọi là môi trường an toàn, bao gồm tất cả
những vấn đề có liên quan đến an toàn. Môi trường an toàn theo CC gồm các yếu tố sau:
môi trường pháp lý, môi trường hành chính (chính sách an toàn), môi trường vật lý (các
biện pháp bảo vệ, nhân sự với yêu cầu về tri thức, năng lực, kinh nghiệm; các qui định về
khai thác...); môi trường kỹ thuật (những tài nguyên mà TOE được sử dụng để bảo vệ).
Mục tiêu an toàn cho TOE được xây dựng trên cơ sở các giả thiết về an toàn, các
mục tiêu này nhằm đảm bảo chống lại các mối đe dọa và thực hiện đầy đủ các chính sách
về an toàn. Tùy vào mối quan hệ trực tiếp với TOE hoặc môi trường, các mục tiêu an toàn
được chia thành hai nhóm: nhóm thứ nhất là mục tiêu cho môi trường đạt được bằng các
phương tiện phi kỹ thuật. Nhóm thứ hai mang tính kỹ thuật và để đạt được chúng, CC đưa
ra một hệ thống các Yêu cầu an toàn (Security Requirements). Các yêu cầu an toàn được
chia theo cấu trúc phân cấp thành lớp (class), họ (family), thành phần (component) và phần
tử (element).
Phần lớn nội dung của CC là các yêu cầu về an toàn. Các yêu cầu này được chia làm
hai loại là: Yêu cầu chức năng (Security functional Requirements) và Yêu cầu đảm bảo
(Security Asurance Requirements). Yêu cầu chức năng liên quan đến phương diện “bảo vệ
chủ động” (active defence), chúng được gán cho các chức năng an toàn và cơ chế thực thi
các chức năng đó. Yêu cầu bảo đảm là các yêu cầu liên quan đến “bảo vệ thụ động” (passive
defence), được gán cho công nghệ và quá trình chế tạo, khai thác.
Ngoài khái niệm yêu cầu an toàn, CC được xây dựng trên ba khái niệm cơ bản sau:
hồ sơ bảo vệ (Protection Profile - PP) là một bộ các yêu cầu an toàn đối với một lớp sản
phẩm xác định; mục tiêu an toàn (Security Target - ST) là tập hợp các yêu cầu đối với một
thiết kế cụ thể mà việc thực hiện các yêu cầu đó cho phép giải quyết bài toán an toàn đặt
ra và mức đánh giá (Evaluation Asurance Level - EAL).
CC đưa ra bảy mức đánh giá đảm bảo an toàn (Evaluation Asurance Level –EAL)
theo thứ tự tự tăng dần. Mức 1 (EAL- 1) là thấp nhất, ở mức này, các mối đe dọa an toàn
không được coi là nghiêm trọng và đạt được với chi phí tối thiểu thông qua việc phân tích
các đặc tả chức năng, giao diện, tài liệu khai thác kết hợp với phép kiểm tra độc lập. Mức
7 (EAL- 7) là mức cao nhất áp dụng cho những đối tượng đánh giá được sử dụng trong
những trường hợp có rủi ro cao hoặc là những nơi mà giá trị của tài nguyên thông tin đòi
hỏi chi phí lớn.
c) Phương pháp luận đánh giá an toàn thông tin - CEM (tương ứng với ISO/IEC
18045)
CEM đưa ra mô hình đánh giá và những hoạt động cơ bản cần tiến hành khi đánh
giá độ an toàn của sản phẩm hoặc hệ thống thông tin sử dụng các tiêu chí và bằng chứng
được xác định trong CC.
 Theo mô hình của CEM, có bốn tổ chức tham gia vào quá trình đánh giá: người đặt
hàng, nhà chế tạo TOE, người đánh giá và cơ quan đánh giá. Người đặt hàng khởi động
việc đánh giá và chịu trách nhiệm cung cấp bằng chứng đánh giá (ví dụ như tài liệu thiết
kế), nhà chế tạo có nhiệm vụ đệ trình các dữ liệu phục vụ đánh giá và bằng chứng đánh giá
do người đặt hàng ủy nhiệm.
CEM chia quá trình đánh giá thành ba bài toán: bài toán đầu vào, bài toán đánh giá
và bài toán đầu ra. Bài toán đầu vào là người đánh giá làm quen với hồ sơ bảo vệ và xử lý
các bằng chứng đánh giá do người đặt hàng cung cấp; Bài toán đánh giá gồm các nội dung:
đánh giá mục tiêu an toàn, quản lý cấu hình của TOE, tài liệu cho người sử dụng về TOE,
tài liệu thiết kế, tài liệu hướng dẫn, các bài kiểm tra đánh giá, phân tích các điểm yếu. Việc
đánh giá các điểm yếu được tiến hành trong CEM theo các tiêu chí định tính và định lượng.
Do đó, CEM cung cấp một loạt các phương tiện định lượng thông qua các bảng đánh điểm
đánh giá điểm yếu.
Nói chung CEM cung cấp phương pháp luận cho tất cả các vấn đề xuất hiện trong
quá trình đánh giá nên đây là tiêu chuẩn không thể thiếu cho các tổ chức đánh giá an toàn
CNTT theo tiêu chuẩn CC.
d) Tiêu chuẩn môđun mật mã an toàn - FIPS 140 – 2
Đối với môđun mật mã, hàng loạt các mục tiêu an toàn ở mức cao được đặt ra. Ví
dụ, đảm bảo an toàn cho các hàm an toàn trong các môđun mật mã nhằm bảo vệ thông tin
chỉ được tiếp cận hạn chế, bảo vệ môđun chống lại việc sử dụng và khai thác trái phép;
ngăn ngừa việc khai thác trái phép các thành phần của môđun, các khóa mật mã và các dữ
liệu có ý nghĩa quan trọng; ngăn ngừa việc sửa đổi bất hợp pháp và phát hiện các thuật toán
mật mã; quy định việc thay thế, cài đặt khóa mật mã, các dữ liệu quan trọng và nhiều mục
tiêu khác.
Do đó, tiêu chuẩn FIPS 140 - 2 đã đặt ra các yêu cầu an toàn liên quan đến cả giai
đoạn thiết kế và giai đoạn triển khai. Các yêu cầu đó được chia thành 11 nhóm bao gồm:
đặc tả môđun mật mã; các yêu cầu đối với các cổng và giao diện môđun; vai trò, dịch vụ
và xác thực; mô hình otomat hữu hạn; an toàn vật lý cho môi trường khai thác; quản lý
khóa mật mã; tương thích điện từ trường; tự kiểm tra; đảm bảo thiết kế; chống các loại tấn
công.
FIPS140- 2 có bốn mức bảo vệ môđun mật mã (so với bảy mức của CC): Mức 1 là
yếu nhất, áp dụng một bộ tối thiểu các yêu cầu an toàn. Ví dụ, môđun mã hóa trong máy
tính cá nhân hoàn toàn thỏa mãn bộ yêu cầu này. Mức 2 đòi hỏi xác thực các nhân, sử dụng
hệ điều hành được cấp chứng nhận phù hợp với hồ sơ bảo vệ trên cơ sở của CC, với mức
đánh giá tin cậy không thấp hơn mức 2 của CC. Mức 3 đòi hỏi thêm các yêu cầu sau: tách
các cổng và giao diện nhập - xuất khóa mật mã và các dữ liệu quan trọng đối với an toàn;
xác thực nhân sự; có phương tiện phát hiện và phản ứng với các cuộc đột nhập; sử dụng hệ
điều hành được cấp chứng nhận phù hợp với các hồ sơ bảo vệ nhất định với mức đảm bảo
không thấp hơn mức 3 của CC. Mức 4 là mức cao nhất, đòi hỏi một tập hợp đầy đủ các
biện pháp bảo vệ vật lý, bao gồm cả các biện pháp chống đỡ các cuộc tấn công được trang
bị bởi các điều kiện bên ngoài; hệ điều hành phải phù hợp với mức đánh giá không thấp
hơn mức 4 của CC.
4.7. Chuyển đổi số
Chuyển đổi số đang thay đổi hoạt động sản xuất kinh doanh của mọi tổ chức, thông
qua các công nghệ mới giúp mở ra lợi thế cạnh tranh, mang lại sự hiệu quả, linh hoạt và
nâng cao trải nghiệm của khách hàng. Với tình hình các mối đe dọa về an ninh thông tin
ngày càng gia tăng, việc Chuyển đổi số sẽ không thể thành công nếu thiếu một chiến lược
bảo mật phù hợp.
Chuyển đổi số đang thay đổi hoạt động sản xuất kinh doanh của mọi tổ chức, thông qua
các công nghệ mới giúp mở ra lợi thế cạnh tranh, mang lại sự hiệu quả, linh hoạt và nâng
cao trải nghiệm của khách hàng. Với tình hình các mối đe dọa về an ninh thông tin ngày
càng gia tăng, việc Chuyển đổi số sẽ không thể thành công nếu thiếu một chiến lược bảo
mật phù hợp.

Các xu hướng công nghệ trong chuyển đổi số và các rủi ro về an toàn thông tin
Đại dịch Covid-19 bùng phát đã thúc đẩy xu hướng chuyển đổi số của các doanh nghiệp,
chuyển dịch nhiều hoạt động lên môi trường trực tuyến và kích hoạt chế độ làm việc từ xa
của các nhân viên trên nhiều loại thiết bị thuộc sở hữu cá nhân (BYOD), bao gồm máy tính
xách tay, điện thoại thông minh và máy tính bảng với các kết nối đa dạng như mạng WiFi
gia đình, WiFi công cộng, mạng 4G.
Tuy nhiên, điều này cũng làm tăng rủi ro đối với an toàn thông tin của doanh nghiệp.
Ví dụ tại Việt Nam trong năm 2020, đã phát hiện 23 phần mềm độc hại liên quan đến
COVID-19, nếu nhân viên khi làm việc từ xa kích vào những tập tin chứa mã độc này sẽ
khiến tin tặc dễ dàng chiếm được quyền điều khiển máy tính, dẫn đến nhiều nguy cơ như
truy cập trái phép vào các cuộc họp trực tuyến, lộ lọt dữ liệu, lộ thông tin đăng nhập từ xa
vào mạng của tổ chức/doanh nghiệp, nguy cơ lừa đảo qua thư điện tử hoặc website giả mạo
tăng cao.
Đối với hệ thống CNTT, việc triển khai các sáng kiến số nhanh chóng trên nền tảng
điện toán đám mây cũng như xuất hiện nhiều loại thiết bị và cảm biến kết nối các hệ thống
sản xuất với các ứng dụng CNTT đã làm gia tăng số lượng dữ liệu, ứng dụng và người
dùng của doanh nghiệp và tạo ra nhiều lỗ hổng bảo mật.
Ví dụ, các thiết bị được kết nối trong doanh nghiệp sử dụng công nghệ IoT có thể
bao gồm hệ thống HVAC, robot tự động, hệ thống chiếu sáng, bộ điều nhiệt,… giúp tăng
hiệu quả sản xuất, kinh doanh, nhưng cũng bổ sung hàng trăm thiết bị không an toàn vào
mạng nếu các nhà cung cấp thiết bị không đảm bảo cập nhật kịp thời các lỗ hổng an ninh.
Hệ thống CNTT của các doanh nghiệp Việt Nam cũng đã bị nhiều cuộc tấn công
DDoS, ransomware và các sự cố xảy ra liên quan đến các vấn đề bảo mật dữ liệu, quản trị
người dùng. Ví dụ, theo báo cáo về mã độc tống tiền (ransomware) do Virus Total và
Google thực hiện, mã độc tống tiền tại Việt Nam trong 7 tháng đầu năm 2021 đã tăng gần
200% so với cùng thời điểm năm 2020.
4.7.1 Xu thế chuyển đổi số hiện nay
Xu hướng chuyển đổi số tại Việt Nam
Tại Việt Nam, quá trình chuyển đổi số đã bắt đầu diễn ra, nhất là trong những ngành
như tài chính, giao thông, du lịch… Chính phủ và chính quyền các cấp đang nỗ lực xây
dựng Chính phủ điện tử hướng tới Chính phủ số. Hơn 30 thành phố cũng định xây dựng
Smart City với các nền tảng công nghệ mới… Hay FPT cho biết cũng đang triển khai việc
chuyển đổi số cho chính FPT với gần 36.000 con người và cam kết đạt kết quả trong vòng
12 tháng tới.
Như vậy xu hướng chuyển đổi số hiện nay đã trở thành tâm điểm trong đầu tư của
nhiều doanh nghiệp. Trong đó có một vài xu hướng chuyển đổi có thể xem xét như sau:
Điện toán đám mây – xu hướng được xem là chủ đạo trong năm 2022
Điện toán đám mây có tính năng bảo trì, lưu trữ, quản lý, xử lý, phân tích và bảo
mật dữ liệu bằng cách khai thác các máy chủ dựa trên Internet. Nhờ công nghệ này mà các
doanh nghiệp có thể dễ dàng:
● Kiểm tra và phát triển website, ứng dụng
● Phân tích, vận hành Big Data
● Lưu trữ dữ liệu website thông qua Cloud Server
● Dễ dàng chia sẻ dữ liệu thông qua các nền tảng như: Google Drive, Dropbox,
Shutterstock…
Từ đó giúp doanh nghiệp hợp lý hóa quy trình, tối ưu hóa chi phí và nâng cao trải
nghiệm cho khách hàng.
Ngoài ra công nghệ này giúp điều chỉnh theo yêu cầu của doanh nghiệp, chỉ trả tiền
cho những dịch vụ cần sử dụng. Vì vậy nên sẽ giúp doanh nghiệp tiết kiệm chi phí trong
quy trình chuyển đổi số của doanh nghiệp mình.
Cùng với đó các nhóm nhân viên có thể tiến hành cộng tác song song, cùng được
cấp quyền truy cập vào cùng một dữ từ xa giúp các doanh nghiệp dễ dàng thích ứng hơn
khi phải làm việc từ xa mùa dịch.
Xu hướng chuyển đổi số IOT (Internet vạn vật)
Trong thời đại ngày nay, cụm từ “IoT” (Internet vạn vật) không còn là một khái
niệm xa lạ. Về cơ bản, Nó đề cập đến một mạng lưới các đối tượng vật lý được tích hợp
với cảm biến, phần mềm và các công nghệ khác với mục tiêu kết nối và trao đổi dữ liệu
với các thiết bị và hệ thống qua internet.
Do có nhiều lợi ích, IoT được coi là một trong những công nghệ chuyển đổi kỹ thuật
số được nhiều doanh nghiệp Việt Nam sử dụng vào quá trình chuyển đổi số doanh nghiệp
của mình. Công nghệ này cung cấp khả năng hiển thị chi tiết, minh bạch về hàng hóa và
hoạt động của công ty. Các công ty tích hợp IoT có thể có thể quản lý chặt chẽ hơn về quá
trình vận hành của doanh nghiệp của mình. Trong khi đó, nguồn dữ liệu, thông tin chi tiết
và phân tích cụ thể thể được cung cấp bởi công nghệ IoT cho phép các doanh nghiệp đạt
được các mục tiêu chuyển đổi số chính như vận hành hiệu quả, tăng tính linh hoạt và phục
vụ khách hàng tốt hơn.
Ứng dụng Robot vào lĩnh vực sản xuất
Robotics cũng là một trong những công nghệ chuyển đổi số lớn vào năm 2021. Theo
khảo sát, có 1/4 doanh nghiệp sử dụng robot thông minh trong hoạt động của họ. Tỷ lệ này
ước tính sẽ tăng lên 1/3 trong hai năm tới, cho thấy một tương lai tươi sáng của công nghệ
này.
Việc sử dụng robot đã phát triển theo thời gian, nhiều doanh nghiệp Việt Nam đã
ứng dụng robot trong nhiều lĩnh vực như logistic, kỹ thuật, y học,… Chuyển đổi số bằng
robot sẽ cơ bản giúp các doanh nghiệp giảm chi phí, cải thiện chất lượng môi trường lao
động. Đảm bảo tính đồng nhất và chất lượng sản phẩm, giảm thiểu tối đa những sai sót
trong quá trình sản xuất. Vì vậy nên nó giúp mỗi doanh nghiệp có thể tăng tính linh hoạt
và nâng cao uy tín của thương hiệu trên thị trường.
Công nghệ Thực tế ảo VR
Công nghệ VR tạo ra một thế giới ảo do máy tính tạo ra. Công nghệ này giúp người
dùng bước vào môi trường ảo, trở thành một phần trong đó. Nó đưa tới người sử dụng trải
nghiệm hình ảnh ảo với khả năng tương tác qua những giác quan khác như thính giác, khứu
giác và xúc giác.
Công nghệ này hiện nay đã được các doanh nghiệp Việt Nam ứng dụng trong ngành
y học, du lịch, bất động sản, kỹ thuật,…
Với ngành du lịch, công nghệ này khắc phục được những khó khăn phổ biến như
không sắp xếp được thời gian, chuẩn bị nhiều hành lý hay lo ngại về chất lượng ăn ở. Chỉ
với vài thiết bị công nghệ khách hàng có thể di chuyển tới địa điểm du lịch ở khắp nơi trên
thế giới một cách nhanh chóng. Đặc biệt khi dịch bệnh diễn ra công nghệ này cũng giúp
các doanh nghiệp du lịch vực dậy, tìm ra con đường phát triển mới.
 Với những ngành kỹ thuật, kiến trúc, công nghệ này cho phép họ có được hình ảnh
trực quan để hoàn thành sản phẩm của mình, giảm thiểu sai sót.
Có thể thấy, chuyển đổi số không chỉ là một xu hướng, nó là một giải pháp, là hướng
đi chiến lược giúp các doanh nghiệp tăng tính cạnh tranh trên thị trường. Đẩy mạnh chuyển
đổi số giúp doanh nghiệp tối ưu hóa quy trình vận hành.
Trước tình hình đại dịch vẫn còn diễn biến phức tạp và kéo dài, mỗi doanh nghiệp
cần sớm vạch ra một kế hoạch chuyển đổi số đường dài để tập trung phát triển bền vững,
tăng tính cạnh tranh và tận dụng tối ưu cơ hội để phát triển, mở rộng thị trường.
4.7.2 Đảm bảo ATTT trong CĐS.
Chiến lược an toàn thông tin song hành với quá trình Chuyển đổi số
An toàn thông tin sẽ luôn là một yếu tố cần đánh giá trong quá trình lên ý tưởng,
thiết kế và thực hiện các sáng kiến số để đảm bảo quá trình Chuyển đổi số thành công và
an toàn.
Điều chỉnh các chiến lược an toàn thông tin phù hợp với mục tiêu kinh doanh
Nếu xây dựng chiến lược an toàn thông tin với các yêu cầu, quy định áp đặt cho mọi
bộ phận, đảm bảo an ninh tối đa, không có bất kì sự cố gì xảy ra, chiến lược này sẽ cứng
nhắc và nhiều lúc cản trở sự linh hoạt và phát triển trong các hoạt động sản xuất kinh doanh.
Vì vậy, chiến lược cần xem xét các yêu cầu an ninh thông tin với các mục tiêu của doanh
nghiệp và đảm bảo sự cân bằng phù hợp giữa giảm thiểu rủi ro và cho phép đổi mới kinh
doanh.
Trước tiên, giám đốc CNTT (CIO) hoặc giám đốc an ninh thông tin (CISO) cần hiểu
chiến lược kinh doanh, các mục tiêu và các mối quan tâm khác của các giám đốc ở các bộ
phận khác như bán hàng, sản xuất,… Thông qua các cuộc thảo luận, CISO có thể hiểu rõ
được các lĩnh vực cung cấp nhiều giá trị nhất cho doanh nghiệp và các rủi ro để ưu tiên
thực hiện các biện pháp bảo mật phù hợp nhất.
Ở cấp độ thấp hơn, đội ngũ bảo mật thông tin cũng phải có mối quan hệ chặt chẽ
với các nhóm kinh doanh và sản xuất để tham gia phát triển dự án ngay từ ban đầu. Ví dụ:
nếu doanh nghiệp quyết định phát triển ứng dụng dành cho thiết bị di động hoặc triển khai
nền tảng xã hội mới cho khách hàng, thì nhóm bảo mật phải biết về các kế hoạch này và
thiết kế các tính năng bảo mật vào giai đoạn phát triển.
Cân bằng giữa rủi ro bảo mật với năng suất và sự tiện lợi
Khi nói đến bảo mật, nhiều tổ chức phải đối mặt với một tình huống khó xử: mặc
dù họ muốn an toàn hơn, nhưng cũng cần phải duy trì hiệu quả. Các quy trình an toàn thông
tin có xu hướng làm nhân viên mất nhiều thời gian hơn để có thể truy cập các công cụ và
dữ liệu phục vụ công việc.
Ví dụ xác thực người dùng và xác thực đa yếu tố (MFA) là các biện pháp bảo mật
hiệu quả để ngăn chặn những kẻ tấn công truy cập trực tiếp vào các ứng dụng và dữ liệu.
Tuy nhiên, để giảm ảnh hưởng đến năng suất lao động của nhân viên, đội ngũ bảo mật có
thể áp dụng công nghệ SSO và cấu hình xác thực MFA 1 lần đối với các hệ thống không
yêu cầu mức độ bảo mật quá cao, để giúp người dùng có thể truy cập vào các ứng dụng
khác nhau chỉ với một lần xác thực duy nhất.
Để thực hiện được các biện pháp cân bằng này, doanh nghiệp cần đánh giá rủi ro và
bảo mật của hệ thống, hiểu rõ nguy cơ và thực hiện các giải pháp đối với cơ sở hạ tầng và
ứng dụng.
Xây dựng văn hóa an ninh thông tin
Con người luôn là tài sản quan trọng của tổ chức nhưng đồng thời cũng là lỗ hổng
bảo mật dễ bị tấn công nhất. Một báo cáo điều tra về vi phạm dữ liệu của Verizon cho thấy
nhân viên có quyền truy cập hợp pháp là nguyên nhân phổ biến gây ra vi phạm về an ninh
thông tin (1).
Các nhân viên này có thể bị tấn công thông qua vi-rút, các kỹ thuật tấn công mạng
xã hội hoặc do lỗi bất cẩn đã gián tiếp làm rò rỉ thông tin. Vì vậy, các doanh nghiệp cần
xây dựng văn hóa an ninh thông tin trong toàn bộ công ty để đảm bảo nhân viên không chỉ
hiểu tầm quan trọng của an ninh thông tin mà còn tích cực tham gia bảo vệ doanh nghiệp
trước các cuộc tấn công mạng.
Để triển khai, doanh nghiệp cần xây dựng nhận thức và kiến thức của người dùng
về bảo mật thông tin cho toàn bộ các cấp nhân viên, thiết lập các chính sách bảo mật rõ
ràng, có các cơ chế khen thưởng xử phạt rõ ràng đối với các sự cố an toàn thông tin.
Sử dụng dịch vụ tư vấn và vận hành an ninh thông tin
Khi doanh nghiệp thực hiện chuyển đổi số, số lượng dịch vụ, ứng dụng và dữ liệu
sẽ tăng lên nhanh chóng trong khi đội ngũ CNTT hiện tại chưa có đủ khả năng và kinh
nghiệm để thiết kế, vận hành, quản trị hệ thống và giải quyết các sự cố bảo mật có thể xảy
ra.
Vì vậy, doanh nghiệp cần lựa chọn thêm dịch vụ đánh giá an toàn thông tin và tư
vấn về quản trị, vận hành an ninh an toàn dữ liệu trong các gói tư vấn chuyển đổi số cũng
như các dịch vụ vận hành hệ thống bảo mật của các công ty an ninh thông tin chuyên nghiệp
để đảm bảo khả năng bảo mật ngay từ lúc thiết kế hệ thống và giúp phát hiện, ngăn chặn,
ứng phó các mối đe dọa an ninh thông tin có thể xảy ra khi vận hành.
Chuyển đổi số là một quá trình kết hợp giữa nhiều yếu tố, từ chiến lược, quy trình,
văn hóa, công nghệ,… mang lại những chuyển biến đột phá cho doanh nghiệp nhưng cũng
đầy thách thức và rủi ro trong khâu an ninh mạng có thể làm ảnh hưởng đến uy tín và giá
trị của doanh nghiệp.