ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC KHOA HỌC XÃ HỘI VÀ NHÂN VĂN
NGUYỄN KIM ANH PHÂN TÍCH TÁC ĐỘNG CỦA CHÍNH SÁCH KH&CN ĐỐI
VỚI SỰ PHÁT TRIỂN CÁC SẢN PHẨM AN TOÀN
VÀ BẢO MẬT CHO HỆ THỐNG THÔNG TIN ĐIỆN TỬ
TRONG TIẾN TRÌNH HỘI NHẬP QUỐC TẾ LUẬN VĂN THẠC SĨ KHOA HỌC QUẢN LÝ
Ề Hà Nội, năm 2009
1
MỤC LỤC
MỤC LỤC 1
LỜI CÁM ƠN ERROR! BOOKMARK NOT DEFINED.
DANH MỤC CÁC TỪ VIẾT TẮT 4
PHẦN MỞ ĐẦU 5
1. Lý do nghiên cứu 5
2. Tổng quan tình hình nghiên cứu 6
3. Mục tiêu nghiên cứu 8
4. Phạm vi nghiên cứu 8
5. Mẫu khảo sát 9
6. Vấn đề nghiên cứu 9
7. Giả thuyết nghiên cứu 9
8. Phương pháp chứng minh luận điểm 10
9. Kết cấu của Luận văn 11
PHẦN NỘI DUNG 13
CHƢƠNG 1. NHỮNG VẤN ĐỀ LÝ LUẬN 13
1.1. Hệ thống khái niệm có liên quan 13
1.1.1Một số khái niệm cơ bản về an toàn và bảo mật cho Hệ thống thông tin điện tử 13
1.1.2 Chính sách KH&CN 21
1.1.3 Phân tích chính sách 23
1.2 Một số điểm đặc trưng của các sản phẩm AT&BM 23
1.2.1 Sản phẩm được bán với giá rất cao 24
1.2.2Chi phí cho nội dung mang tính chất nghiệp vụ của các sản phẩm rất tốn kém 25
1.2.3 Sản phẩm đa dạng về chủng loại 26
1.2.4 Độ an toàn của các thiết bị nhập khẩu không cao 26
1.3 Chính sách KH&CN với việc phát triển sản phẩm AT&BM 27
1.4 Kết luận Chương 1 28
CHƢƠNG 2.VẤN ĐỀ AT&BM VÀ CÁC TIÊU CHÍ ĐÁNH GIÁ SẢN PHẨM
3.1.7 Nghị định số 26/2007/NĐ-CP 59
3.1.8 Nghị định số 73/2007/NĐ-CP 59
3.1.9 Các Quyết định số 19/2008/QĐ-BTTTT và 20/2008/QĐ-BTTTT 60
3.1.10 Luật Tiêu chuẩn và Quy chuẩn kỹ thuật 60
3.2 Tác động của chính sách KH&CN đối với sự phát triển sản phẩm AT&BM 62
3
3.2.1 Chính sách KH&CN làm thay đổi nhận thức về vấn đề AT&BM 62
3.2.2 Chính sách KH&CN thúc đẩy ứng dụng các sản phẩm AT&BM 67
3.2.3 Chính sách KH&CN thúc đẩy nghiên cứu, sản xuất các sản phẩm AT&BM . 78
3.2.4 Chính sách KH&CN có tác động đến quá trình phân phối các sản phẩm
AT&BM 84
3.3 Xu hướng phát triển của những lĩnh vực áp dụng các sản phẩm AT&BM 86
3.4 Đề xuất các nhóm chính sách KH&CN để phát triển các sản phẩm AT&BM đến
năm 2020 89
3.4.1 Ban hành các quy định bắt buộc về AT&BM trong các tổ chức, đặc biệt là các
cơ quan Chính phủ 89
3.4.2 Công nhận, tuân theo chuẩn CC và chuẩn bị gia nhập CCRA 90
3.4.3 Xây dựng hệ thống đầy đủ các tiêu chuẩn quốc gia và các quy chuẩn kỹ thuật về
AT&BM 92
3.4.4 Xây dựng hệ thống Hạ tầng cơ sở khóa công khai quốc gia 93
3.4.5 Một số chính sách khác: 94
3.4.5.1 Nâng cao nhận thức về AT&BM cho nhiều đối tượng khác nhau 94
3.4.5.2 Nâng cao chất lượng đào tạo về lĩnh vực AT&BM 94
3.4.5.3 Nâng cao hiệu quả phòng thí nghiệm trọng điểm an toàn thông tin 95
3.4.5.4 Chuyển giao công nghệ để có thể nhanh chóng chủ động sản xuất được một
số loại sản phẩm AT&BM quan trọng trong thời gian ngắn 95
3.5 Kết luận Chương 3 96
KẾT LUẬN 98
KHUYẾN NGHỊ 99
Certificate Consuming Participants
Quốc gia chấp thuận chứng nhận
7.
CCRA
Common Criteria Recognition Arrangement
Tổ chức thừa nhận lẫn nhau về Tiêu chí chung
8.
CNTT
Công nghệ thông tin
9.
CNTT-TT
Công nghệ thông tin và Truyền thông
10.
HTTT
Hệ thống thông tin điện tử
11.
KH&CN
Khoa học và Công nghệ
12.
PKI
Public Key Infrastructure
Hạ tầng Khoá công khai
13.
TMĐT
Thương mại điện tử
5
PHẦN MỞ ĐẦU
1. Lý do nghiên cứu
cuộc tấn công vào các HTTT có thể để lại hậu quả không khác gì một cuộc
chiến tranh thông thường mà thậm chí còn trầm trọng hơn. Tất cả các hoạt
động từ an ninh, quốc phòng đến các hoạt động trọng yếu của Quốc gia đều
gắn chặt với các HTTT. Ví dụ trên chỉ là một trong số vô vàn các cuộc tấn
công để lại hậu quả nghiêm trọng trong thời gian vừa qua. Làm thế nào để có
thể phòng chống có hiệu quả các loại phá hoại nhằm vào HTTT nói chung và
các HTTT thiết yếu của quốc gia nói riêng trở nên một nhiệm vụ cấp bách của
mọi quốc gia. Đây là một vấn đề đặt ra cho mỗi quốc gia nói chung và với
Việt nam trong thời kỳ công nghiệp hóa, hiện đại hoá nói riêng. Gắn liền với
việc giải quyết vấn đề này chính là vấn đề nghiên cứu phát triển, sản xuất và
ứng dụng các sản phẩm AT&BM.
Để phục vụ mục tiêu này, các chính sách KH&CN để phát triển các sản
phẩm AT&BM, nhất là trong giai đoạn hội nhập quốc tế hiện nay đóng một
vai trò rất quan trọng.
Việc nghiên cứu tác động của chính sách KH&CN tới sự phát triển của
lĩnh vực AT&BM nước ta và đề xuất chính sách liên quan đến lĩnh vực này sẽ
giúp cho các nhà lãnh đạo, quản lý KH&CN nhanh chóng có được các quyết
định chính xác, kịp thời để thúc đẩy phát triển lĩnh vực AT&BM ở nước ta
hội nhập quốc tế. 2. Tổng quan tình hình nghiên cứu
2.1 Ngoài nước:
Các HTTT hiện đại đã nhanh chóng thay thế các thế hệ cũ, lạc hậu và
7
trở thành huyết mạch của mỗi quốc gia. Ý thức được tầm quan trọng của việc
bảo đảm AT&BM cho các HTTT, các nước đều rất chú trọng đến việc nghiên
cứu đề ra các chính sách để phát triển, ban hành hệ thống tiêu chuẩn cho các
sản phẩm AT&BM, đặc biệt là tại các nước phát triển. Các chính sách về tiêu
sản xuất, kinh doanh, sử dụng mật mã bảo vệ thông tin trong lĩnh vực
không thuộc phạm vi bí mật nhà nước.
- Các Quyết định số 19/2008/QĐ-BTTTT và 20/2008/QĐ-BTTTT ngày
09/04/2008 của Bộ Thông tin và Truyền thông ban hành Danh mục Tiêu
chuẩn và áp dụng tiêu chuẩn về ứng dụng CNTT trong cơ quan nhà nước.
- …
Những chính sách này có thể nói là đặt nền móng cơ sở pháp lý ban
đầu cho các hoạt động AT&BM ở Việt Nam.
3. Mục tiêu nghiên cứu
- Phân tích tác động của chính sách KH&CN đối với việc phát triển các
sản phẩm AT&BM trong tiến trình hội nhập quốc tế
- Đề xuất xây dựng và hoàn thiện chính sách KH&CN đến năm 2020 để
thúc đẩy phát triển ngành công nghiệp AT&BM hội nhập quốc tế
4. Phạm vi nghiên cứu
Phạm vi nội dung:
Tác động của Chính sách KH&CN đối với sự phát triển các sản phẩm
AT&BM ở các khía cạnh: nhận thức về vấn đề AT&BM, ứng dụng, nghiên
cứu, sản xuất và phân phối sản phẩm AT&BM.
Phạm vi không gian:
Sản phẩm AT&BM cho khu vực không thuộc phạm vi bí mật nhà nước
9
Phạm vi thời gian:
- Nghiên cứu các chính sách có đến thời điểm hiện nay
- Đề xuất Chính sách KH&CN trong lĩnh vực AT&BM đến năm 2020
5. Mẫu khảo sát
- Một số Trung tâm Tin học/Trung tâm CNTT) các Bộ, ngành
+ Ban hành các quy định bắt buộc về AT&BM trong các tổ chức
+ Xây dựng hệ thống các Tiêu chuẩn quốc gia và các Quy chuẩn kỹ
thuật cụ thể trong lĩnh vực AT&BM, trong đó sử dụng và tham
chiếu CC của quốc tế nhằm hỗ trợ cho nghiên cứu, sản xuất, phân
phối và ứng dụng các sản phẩm AT&BM
+ Tiến tới gia nhập Tổ chức các nước công nhận lẫn nhau về CC
(CCRA), trong đó, xây dựng Hệ thống kiểm định/đánh giá và cấp
chứng nhận sự phù hợp cho các sản phẩm AT&BM là nội dung
quan trọng.
8. Phƣơng pháp chứng minh luận điểm
8.1 Chứng minh bằng lý thuyết:
- Phân tích những tác động của chính sách KH&CN đến sự phát triển của
ngành AT&BM
- Dự báo chính sách KH&CN đến 2020
8.2 Chứng minh bằng thực tiễn: Thu thập, phân tích, và xử lý thông tin
thông qua các phương pháp sau:
- Nghiên cứu tài liệu:
+ Nghiên cứu các văn bản quy phạm pháp luật Nhà nước đã ban hành
liên quan đến lĩnh vực AT&BM trong những năm qua
11
+ Nghiên cứu, tìm hiểu các văn bản pháp luật của nước ngoài, đặc
biệt của các nước phát triển đối với lĩnh vực này
+ So sánh tình hình trong nước và quốc tế.
- Quan sát, lấy số liệu từ thực tế: qua Bộ câu hỏi thăm dò, phỏng vấn,
khảo sát hiện trường và bằng một số kỹ thuật chuyên ngành.
9. Kết cấu của Luận văn
PHẦN I: PHẦN MỞ ĐẦU
- Kết luận Chương 3
Kết luận
Khuyến nghị
Danh mục tài liệu tham khảo
Phần Phụ lục 13
PHẦN NỘI DUNG
CHƯƠNG 1. NHỮNG VẤN ĐỀ LÝ LUẬN
1.1. Hệ thống khái niệm có liên quan
1.1.1 Một số khái niệm cơ bản về an toàn và bảo mật cho Hệ thống thông
tin điện tử
Trong lĩnh vực bảo vệ hệ thống thông tin điện tử, người ta thường nhắc
tới các thuật ngữ: an ninh thông tin, an toàn thông tin và bảo mật thông tin.
An ninh thông tin (Information security): là hoạt động đảm bảo cho
người sử dụng thông tin được quyền truy cập đến chỉ những thông tin mà
mình được quyền sử dụng [4, tr.8].
An toàn thông tin (Information safety): là hoạt động bảo đảm cho việc
sử dụng thông tin được thông suốt, không bị ngừng trệ, không có sự cố,
không bị mất mát [4, tr.8].
Bảo mật thông tin (Information Confidentiality): là hoạt động bảo
đảm cho thông tin không bị lộ ra ngoài [4, tr.10].
Ba thuật ngữ trên có thể được sử dụng không tách rời nhau mà bao
trùm lên nhau, nhiều khi một thuật ngữ hay hai thuật ngữ kết hợp với nhau
được dùng bao hàm cả ba nội dung trên. Trong Luận văn này, khái niệm An
toàn và bảo mật thông tin (AT&BM) được dùng với nghĩa cả ba nội dung.
Hệ thống quản lý.
Các dạng hiểm hoạ bao gồm: hiểm hoạ phá hoại tính tin cậy của thông
tin, hiểm hoạ phá hoại tính toàn vẹn của thông tin và các hiểm hoạ phá hoại
khả năng sẵn sàng của hệ thống:
- Hiểm hoạ lên tính tin cậy được hiểu như khái niệm “truy nhập trái
phép” để làm lộ thông tin. Chống lại các hiểm hoạ này được quan tâm nhiều
15
nhất bởi vì nó trực tiếp liên quan đến nhiệm vụ bảo vệ các bí mật quân sự và
nhà nước.
- Hiểm hoạ lên tính toàn vẹn xảy ra khi những người không có thẩm
quyền tác động lên thông tin được lưu giữ trong Hệ thống hay lên đường
truyền làm sai lệch/thay đổi nội dung thông tin. Tính toàn vẹn thông tin có thể
bị phá hoại bởi kẻ tội phạm hay là kết quả tác động khách quan từ phía môi
trường vận hành. Hiểm hoạ này đang là vấn đề thời sự nóng hổi nhất.
- Hiểm hoạ đe doạ tính sẵn sàng của HTTT phá hoại khả năng làm việc
(từ chối dịch vụ) hướng tới việc tạo tình trạng mà khi đó tài nguyên của
HTTT trở nên không thể truy nhập được hay giảm khả năng làm việc của nó.
Các dạng vi phạm AT&BM
Một số dạng vi phạm điển hình (thường được coi là các gian lận trong
HTTT) có thể liệt kê như sau:
- Truy nhập thông tin bất hợp pháp: Người dùng A gửi qua mạng cho người
dùng B một file có chứa thông tin quan trọng được bảo vệ. Người dùng C
không có quyền đọc file này nhưng lại có thể theo dõi quá trình truyền dữ
liệu và sao chép file trong khi truyền.
- Mạo danh để tạo thông tin giả, thay đổi thông tin, gian lận trong các giao
dịch: Người dùng D gửi thông báo cho người dùng E, một người dùng F
chặn bắt thông báo, thay đổi nội dung thông báo, sau đó mới chuyển tiếp cho
người dùng E với tư cách D. Người dùng E đón nhận thông báo đó như một
+ Giả mạo: Loại tấn công này nhằm đưa những thông tin giả mạo vào hệ
thống. Tấn công này liên quan đến các vấn đề xác thực thông tin. 17
- Dịch vụ AT&BM: là các dịch vụ nâng cao tính AT&BM cho các
HTTT nhằm chống lại các tấn công của tin tặc. Các dịch vụ AT&BM gồm:
+ Bảo mật: Đảm bảo thông tin trong Hệ thống chỉ được truy nhập bởi
những người có thẩm quyền. Dạng truy nhập bao gồm: in, hiển thị và
các dạng khám phá thông tin.
+ Xác thực (Chứng thực): Đảm bảo nguồn gốc và tính đúng đắn của đối
tượng cần xác thực. Để xác thực thì thường sử dụng chữ ký số.
+ Đảm bảo tính toàn vẹn: Đảm bảo rằng chỉ những đối tượng có thẩm
quyền mới có thể thay đổi các tài nguyên của HTTH. Việc thay đổi bao
gồm: ghi, thay đổi trạng thái, xóa, tạo, làm trễ hoặc gửi lại các thông tin
đã được truyền.
+ Chống chối bỏ: nhằm ngăn chặn người gửi hoặc người nhận chối bỏ
việc đã gửi thông báo và đã nhận thông báo. Như vậy, khi thông báo đã
được gửi, người nhận có thể chứng minh được ai là người đã gửi thông
báo. Tương tự, khi thông báo đã được nhận, người gửi có thể chứng
minh ai là người đã nhận thông báo.
+ Kiểm soát truy nhập: Đảm bảo việc truy nhập thông tin được kiểm soát
bởi hệ thống.
+ Sẵn sàng: Đảm bảo sự sẵn sàng phục vụ của các tài nguyên mạng đối
với người sử dụng hợp pháp.
- Kỹ thuật đảm bảo AT&BM: Các kỹ thuật được thiết kế để phát hiện,
ngăn ngừa hoặc loại bỏ tấn công. Một số kỹ thuật cơ bản ta thường gặp trong
các HTTT được thể hiện dưới dạng sau:
+ Tường lửa (Firewall): là sản phẩm sử dụng để kiểm soát luồng thông
+ …
19
Sản phẩm AT&BM là sản phẩm CNTT (bao gồm cả phần cứng và
phần mềm) sử dụng các kỹ thuật và dịch vụ AT&BM (chẳng hạn Firewall,
IDS, IPS, chứng chỉ số, PKI…) để đảm bảo an toàn và bảo mật cho Hệ thống
thông tin điện tử.
HTTT đƣợc bảo vệ
Mục đích bảo vệ HTTT hay bảo đảm AT&BM cho HTTT là chống lại
được các hiểm hoạ AT&BM.
Vì vậy, HTTT được bảo vệ là Hệ thống có các phương tiện bảo vệ phù
hợp với các chuẩn AT&BM, chống trả thành công, có hiệu quả đối với các
hiểm hoạ AT&BM, duy trì được khả năng làm việc của HTTT. Các phương
tiện bảo vệ này chính là các sản phẩm AT&BM.
Chữ ký số (Digital signature)
Chữ ký số là một giải pháp công nghệ đảm bảo tính duy nhất cho một
người khi giao dịch thông tin trên mạng, đảm bảo các thông tin cung cấp là
của người đó. Chữ ký số được dùng để đánh dấu hoặc ký lên một tài liệu điện
tử theo một quá trình tương tự như chữ ký trên giấy, nhưng được thực hiện
bằng công nghệ mật mã. Nói cách khác, nó là một “dấu vân tay„ có thể gắn
kèm lên các thông báo điện tử, nhận dạng duy nhất người gửi, bảo đảm tài
liệu này không bị thay đổi theo bất kỳ cách gì từ khi được người gửi “ký lên„
và có thể được xác minh khi cần.
Chứng chỉ số (Digital Certificate)
Chứng chỉ số là một tài liệu do Tổ chức cung cấp dịch vụ chứng thực
chữ ký số (CA) cấp, bao gồm khoá công khai (Public key) của người dùng và
các thông tin cần thiết về người dùng. Tài liệu này được ký bởi CA nhằm
tránh những thay đổi bất hợp pháp nội dung của chứng chỉ. Chứng chỉ được
21
1.1.2 Chính sách KH&CN
Trước khi đi vào tìm hiểu Chính sách KH&CN chúng ta sẽ tìm hiểu
trước khái niệm về Chính sách.
Thuật ngữ “Chính sách” (Policy) thường được sử dụng rộng rãi trên
sách báo, trên các phương tiện thông tin đại chúng và cả trong đời sống xã
hội. Chính sách là một thiết chế rất phức tạp và quan trọng của quản lý.
Có nhiều cách tiếp cận để xem xét khái niệm về chính sách: tiếp cận
chính trị học, tiếp cận xã hội học, tiếp cận tâm lý học, tiếp cận kinh tế học…
Tổng hợp từ tất cả các cách tiếp cận trên, Vũ Cao Đàm đã đưa ra định nghĩa
như sau: "Chính sách là một tập hợp biện pháp được thể chế hoá, mà một chủ
thể quyền lực, hoặc chủ thể quản lý đưa ra, trong đó tạo sự ưu đãi một nhóm
xã hội, kích thích vào động cơ hoạt động của nhóm này, định hướng hoạt
động của họ nhằm thực hiện một mục tiêu ưu tiên nào đó trong chiến lược
phát triển của một hệ thống xã hội" [1, tr. 26].
Khi nói đến chính sách, có thể hiểu đó là một tập hợp biện pháp được
thể chế hoá (dưới dạng các đạo luật, pháp lệnh, sắc lệnh; các văn bản dưới
luật như nghị định, thông tư, chỉ thị của Chính phủ; hoặc các văn bản quy
định nội bộ của các tổ chức) và phải tác động vào động cơ hoạt động của các
cá nhân và nhóm xã hội, đồng thời phải hướng động cơ các cá nhân và các
nhóm xã hội đó vào một mục tiêu nào đó của hệ thống xã hội.
Mọi chính sách đều có 2 nội dung: Mục tiêu của chính sách và phương
tiện để đạt mục tiêu.
Chính sách KH&CN là một loại hình chính sách được phân loại theo
mục tiêu tác động của chính sách. Khái niệm về chính sách KH&CN được
nhiều nhà nghiên cứu, hoạch định chính sách và các nhà quản lý đưa ra theo
nhiều quan điểm khác nhau
22
UNESCO đưa ra khái niệm: “Chính sách KH&CN là tập hợp các biện
việc xem xét chính sách từ nhiều giác độ khác nhau, để phát hiện điểm mạnh,
điểm yếu của chính sách để nhằm vào các mục đích sử dụng khác nhau [1, tr.
194].
Tuy nhiên, hiện nay nhu cầu phân tích chính sách không chỉ là của nhà
quản lý, mà còn là nhu cầu của các tổ chức kinh doanh, nhu cầu của dân chúng
và bất cứ ai quan tâm đến chính sách. Với những người là đối tượng tác động
của chính sách, thì việc phân tích sẽ giúp tìm được chỗ có lợi nhất cho công
việc, tránh những vùng cấm của chính sách có thể gây phương hại cho công
việc của đơn vị mình hoặc cá nhân mình. Với các cơ quan hoạch định chính
sách, việc phân tích chính sách sẽ giúp phát hiện những chỗ bất cập của chính
sách, có thể gây phương hại đến lợi ích của cộng đồng hoặc việc thực hiện
mục tiêu toàn xã hội để tìm biện pháp điều chỉnh.
Phân tích chính sách bao gồm nhiều nội dung: phân tích các chính sách
hiện hành (phân tích tác nhân dẫn đến chính sách, triết lý của chính sách;
phương tiện thực hiện chính sách; tác động của chính sách; các ảnh hưởng
của chính sách; phân hoá xã hội do chính sách; các xung đột xã hội do chính
sách; các phản ứng xã hội do chính sách…) và phân tích một chính sách trước
khi quyết định. 1.2 Một số điểm đặc trƣng của các sản phẩm AT&BM
Cùng với sự phát triển mạnh mẽ của CNTT&TT là sự phát triển âm
thầm nhưng mãnh liệt, đầy sức cạnh tranh của nền công nghệ chế tạo các sản
phẩm AT&BM. Mỗi một phương tiện hoặc thiết bị truyền thông, thiết bị xử lý
thông tin mới ra đời là ngay lập tức xuất hiện nhu cầu AT&BM trên các thiết
bị đó. Tuy nhiên, khác với các ngành sản xuất các sản phẩm khác, lĩnh vực
Copyright: Tài liệu đại học ©