ĐẠI HỌC QUỐC GIA HÀ NỘI
KHOA QUẢN TRỊ VÀ KINH DOANH
*** *** ***

BÙI THANH HIẾU

MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN
VÀ AN NINH MẠNG CHO KHOA QUẢN TRỊ VÀ KINH DOANH (HSB)
ĐẠI HỌC QUỐC GIA HÀ NỘI

LUẬN VĂN THẠC SĨ
QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)

Hà Nội - 2018


ĐẠI HỌC QUỐC GIA HÀ NỘI
KHOA QUẢN TRỊ VÀ KINH DOANH
*** *** ***

BÙI THANH HIẾU

MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN THÔNG TIN
VÀ AN NINH MẠNG CHO KHOA QUẢN TRỊ VÀ KINH DOANH (HSB)
ĐẠI HỌC QUỐC GIA HÀ NỘI
Chuyên ngành: Quản trị An ninh phi truyền thống
Mã số: Chƣơng trình thí điểm

LUẬN VĂN THẠC SĨ
QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)


Cuối cùng, tôi xin gửi lời cảm ơn sâu sắc tới các anh/ chị cùng lớp MNS01, MNS02 và tất
cả những ngƣời thân trong gia đình, bạn bè và đồng nghiệp tại HSB đã luôn ủng hộ tôi với tình
cảm trân thành, luôn động viên và là động lực để tôi hoàn thành tốt luận văn này.

ii


MỤC LỤC
CAM KẾT............................................................................................................................... i
LỜI CẢM ƠN ........................................................................................................................ii
MỤC LỤC ............................................................................................................................iii
BẢNG KÝ HIỆU CÁC CHỮ VIẾT TẮT ............................................................................ vi
DANH MỤC CÁC BẢNG ..................................................................................................vii
DANH MỤC CÁC HÌNH VẼ ............................................................................................viii
PHẦN MỞ ĐẦU ................................................................................................................... 1
CHƢƠNG 1: LÝ LUẬN CƠ BẢN VỀ AN NINH PHI TRUYỀN THỐNG, AN TOÀN
THÔNG TIN, AN NINH MẠNG .......................................................................................... 9
1.1 An ninh phi truyền thống ............................................................................................ 9
1.1.1 An ninh truyền thống ......................................................................................... 9
1.1.2 An ninh phi truyền thống ................................................................................... 9
1.2 An ninh mạng ............................................................................................................ 12
1.2.1 An ninh mạng .................................................................................................. 12
1.2.2 Các yếu tố được bảo vệ trong hệ thống mạng ................................................ 14
1.3 An toàn thông tin ....................................................................................................... 15
1.3.1 Các thuật ngữ trong an toàn thông tin ............................................................ 15
1.3.2 Những kỹ thuật tấn công ................................................................................. 16
1.3.3 Các giai đoạn tấn công ................................................................................... 17
1.1.4 An toàn thông tin ............................................................................................. 26
1.4 Một số hình thức tấn công điển hình gây mất ATTT, an ninh mạng ....................... 29
1.4.1 Tấn công hệ thống (System hacking) .............................................................. 29

2.2.12 Nhân lực công nghệ thông tin và ATTT tại HSB........................................... 72
2.2.13 Chính sách ATTT tại HSB ............................................................................. 73
2.2.14 Các vụ mất an toàn thông tin đã xảy ra tại HSB .......................................... 74
2.2.15 Thử nghiệm tấn công hệ thống ...................................................................... 75
CHƢƠNG 3: MỘT SỐ GIẢI PHÁP NHẰM ĐẢM BẢO AN TOÀN THÔNG TIN VÀ AN
NINH MẠNG TẠI HSB ...................................................................................................... 85
3.1 Một số giải pháp ........................................................................................................ 85
3.1.1 Nâng cao năng lực quản trị ATTT, an ninh mạng tại HSB ............................. 85
3.1.2 Sử dụng ISO 27001 trong công tác quản lý an toàn thông tin........................ 86
3.1.3 ISO 2700X trong công tác quản lý an toàn thông tin ..................................... 89
3.1.3 Sử dụng các công cụ quét lỗ hổng bảo mật để phòng ngừa ........................... 91
3.1.4 Khảo sát tính khả thi của các giải pháp.......................................................... 91
3.2 Xây dựng hệ thống ATTT theo ISO 27001 .............................................................. 92
3.2.1 Một số khái niệm trong ISO 27001 ................................................................. 95

iv


3.2.2 Thiết lập và quản lý hệ thống an toàn thông tin ............................................. 96
3.2.3 Triển khai và điều hành hệ thống an toàn thông tin ....................................... 99
3.2.4 Giám sát hệ thống an toàn thông tin ............................................................... 99
3.2.5 Duy trì và nâng cấp hệ thống quản lý ATTT ................................................. 100
3.2.6 Các yêu cầu của hệ thống tài liệu ................................................................. 101
3.2.7 Trách nhiệm của ban quản lý trong việc triển khai ISO 27001 .................... 102
3.2.8 Kiểm tra nội bộ hệ thống ATTT .................................................................... 104
3.2.9 Ban quản lý xem xét hệ thống ATTT ............................................................. 104
3.2.10 Nâng cấp hệ thống quản lý an toàn thông tin ............................................. 105
KẾT LUẬN, HẠN CHẾ CỦA LUẬN VĂN VÀ KIẾN NGHỊ ........................................ 107
1. Kết luận ..................................................................................................................... 107
2. Hạn chế...................................................................................................................... 108


An ninh truyền thống

4

ATTT

An toàn thông tin

5

Bộ TT&TT

Bộ Thông tin và Truyền thông

6

CEH

Cetified Ethical Hacker (Hacker mũ trắng)

7

ĐHQG

Đại học Quốc gia Hà Nội

8

DN


Nhà nƣớc

15

PTBV

Phát triển bền vững

16

TC

Tổ chức

17

TTĐT

Thanh toán điện tử

Khoa Quản trị và Kinh doanh – Đại học Quốc
gia Hà Nội
Hệ thống quản lý
Mạng lƣới vạn vật kết nối Internet (Internet of
Things - IoT)

vi



Hình 1.17: Tấn công Denial of Service (DoS)..................................................................... 52
Hình 1.18: Giao diện của Low Orbit Ion Cannon................................................................ 55
Hình 1.19: Một số công cụ phòng chống Ddos ................................................................... 56
Hình 1.20: Các bƣớc thực hiện tấn công APT ..................................................................... 57
Hình 1.21: Mô hình ―Phomát Thụy sỹ - Swiss Cheese‖ để chống lại APT () ..................... 60
Hình 1.22: Thông báo máy tính bị tấn công Ransomeware ................................................. 62
Hình 2.1: Sơ đồ hệ thống mạng của HSB ............................................................................ 65
Hình 2.2: Sơ đồ kết nối ISA tại HSB ................................................................................... 67
Hình 2.3: Thực hiện lệnh kiểm tra Ddos trên Centos 6-64bit Webserver của HSB ............ 74
Hình 2.4: Cài đặt Backtrack, phần mềm chuyên dụng kiểm thử hệ thống .......................... 77
Hình 2.5: Sử dụng UltraSurf ẩn IP khi thực hiện tấn công .................................................. 77
Hình 2.6: Sử dụng Nmap trên backtrack 5 để kiểm tra các port và thông tin hệ thống máy
chủ trung tâm ứng dụng CNTT – ĐHQGHN ...................................................................... 78
Hình 2.7: Xác định địa chỉ IP thực hiện tấn công bằng Backtrack 5 ................................... 78
Hình 2.8: Kết quả thực hiện tấn công lỗi ms12_020 máy chủ Trung tâm ứng dụng CNTT ....... 79
viii


Hình 2.9: Sử dụng Backtrack 5 tấn công vào lỗi ms08_067 ............................................... 80
Hình 2.10: Sử dụng Backtrack 5 tấn công bằng lệnh exploit .............................................. 80
Hình 2.11: Sử dụng Backtrack hiển thị thông đối tƣợng tấn công lỗi ms08_067 ............... 81
Hình 2.12: Dùng Backtrack thực hiện kiểm tra lỗi qua dòng lệnh ...................................... 81
Hình 2.13: Dùng Backtrack thực hiện kiểm tra thông tin hệ điều hành .............................. 82
Hình 2.14: Dùng Backtrack thực hiện chiếm quyền Administrator và thực hiện tạo thƣ mục
trên máy nạn nhân ................................................................................................................ 82
Hình 2.15: Dùng Backtrack hiển thị chuỗi md5 mật khẩu máy nạn nhân ........................... 83
Hình 2.16: Dùng hash-cracker.com dò mật khẩu ................................................................ 83
Hình 2.17: Các tools kiểm tra an toàn hệ thống và tấn công hệ thống của Kali .................. 84
Hình 3.1: Mô hình tiêu chuẩn của ISO 27001 ..................................................................... 94


hàng loạt máy tính ―chứa các thông tin quan trọng về chính trị, kinh tế, quân sự‖ ở các nƣớc
Châu Á, trong đó đáng chú ý là Việt Nam, Thái Lan, Hàn Quốc, Ấn Độ và Malaysia (1).
Những vụ tiết lộ thông tin mật đáng chú ý nhất trong thời gian qua có thể kể tới nhƣ
―Hồ sơ Panama‖, một số vụ WikiLeaks tiết lộ dữ liệu bí mật quốc gia và kinh tế nhạy cảm
và vụ Edward Snowden.

1

FireEye (2016); https://www2.fireeye.com/WEB-2015RPTAPT30.html.

1


Việt Nam trở thành một trong những quốc gia có tốc độ phát triển và ứng dụng
Internet cao nhất thế giới với khoảng 58 triệu ngƣời dùng Internet (chiếm 62,76% dân số),
đứng đầu Đông Nam Á về số lƣợng tên miền quốc gia, xếp thứ 2 khu vực Đông Nam Á,
thứ 8 khu vực Châu Á, thứ 30 thế giới về địa chỉ IPv4 (tính đến tháng 12/2016). Các thiết
bị thông minh đã trở nên phổ biến và quen thuộc, gắn liền với sinh hoạt, học tập, lao động
của hầu hết ngƣời dân, góp phần quan trọng hình thành xã hội thông tin và nền kinh tế tri
thức. Chính phủ điện tử đã đƣợc triển khai rộng khắp các địa phƣơng, làm giảm thiểu thủ
tục hành chính, nâng cao hiệu quả công tác quản lý nhà nƣớc, tạo thuận lợi cho ngƣời dân
và doanh nghiệp. Việt Nam cũng đang nỗ lực trở thành quốc gia thứ hai trong khu vực
Đông Nam Á triển khai xây dựng thành phố thông minh để tạo môi trƣờng sống tốt hơn ,
nâng cao hiệu quả phát triển kinh tế - xã hội bền vững . Internet và mạng máy tính đã giúp
cho viê ̣c trao đổ i thông tin trở nên nhanh gọn , dễ dàng. E-mail cho phép ngƣời ta nhâ ̣n hay
gửi thƣ ngay trên máy tính của mình , E-business cho phép thực hiê ̣n các giao dịch trên
mạng…(2)
Việt Nam đã và đang phải đối mặt với những khó khăn và thách thức lớn do các
nguy cơ gây mất ATTT gây ra đặc biệt liên quan tới những đơn vị làm việc trực tiếp đối
với các đối tác nƣớc ngoài, cơ quan chính phủ trọng yếu làm ảnh hƣởng nghiêm trọng đến

các nội dung về biển Đông. Hệ thống phát thanh của sân bay cũng phát đi những thông điệp
tƣơng tự. Đồng thời website của Vietnam Airlines cũng bị xâm nhập và lấy cắp dữ liệu thẻ
Bông sen vàng của 411.000 hành khách và phát tán lên mạng. (4)
Việt Nam là một trong các quốc gia đứng đầu về tỷ lệ lây nhiễm phần mềm độc hại
qua các thiết bị đa phƣơng tiện, lên tới 71,85% các thiết bị bị nhiễm phần mềm độc hại.
Năm 2016, tại Việt Nam ghi nhận 134.375 sự cố tấn công mạng của cả 3 loại hình
Phishing (lừa đảo), Malware (mã độc) và Deface (thay đổi giao diện), tăng hơn 4,2 lần so
với năm ngoái‖. Trong đó, có 10.057 sự cố Phishing, gấp hơn 1,7 lần so với năm 2015;
46.664 sự cố Malware, tăng gần 2,8 lần so với năm 2015; và 77.654 sự cố Deface, tăng tới
hơn 8,7 lần so với năm 2015. Hệ thống giám sát ANM của Bkav đã ghi nhận khoảng 400
website bị tấn công deface. Theo Bkav, có một số ngày cao điểm với số lƣợng website bị
tấn công nhiều nhƣ ngày 29 Tết có 27 website tên miền ―.vn‖ bị tấn công, trong đó có 5
trang quan trọng (.gov.vn và.edu.vn); ngày 30 Tết có 169 website tên miền ―.vn‖ bị tấn
công, trong đó có 6 site quan trọng (.gov.vn và.edu.vn); ngày mùng 2 Tết có 146
website.vn bị tấn công, trong đó có 10 site quan trọng (.gov.vn và.edu.vn).(5)
Ngoài ra, các tổ chức chƣa triển khai biện pháp bảo đảm ATTT theo quy định hoặc
theo các tiêu chuẩn trong nƣớc và quốc tế, chƣa có quy trình thao tác chuẩn để phản hồi,
xử lý khi xảy ra sự cố dẫn đến bị động trong quá trình khắc phục, đƣa hệ thống trở lại hoạt
động bình thƣờng, đồng thời còn thiếu cả về số lƣợng và chất lƣợng theo đánh giá nguồn
nhân lực ATTT.
Môi trƣờng Đại học là môi trƣờng cởi mở và tự do thông tin cho các cấp đào tạo Đại
học, Cao đẳng và hoạt động nghiên cứu, hợp tác với các Viện, các trƣờng, các tổ chức,

4

Trung tƣớng Hoàng Phƣớc Thuận - cục trƣởng Cục an ninh mạng (Bộ Công an) - tại hội thảo, triển lãm
quốc gia về An ninh mảo mật 2017 (Security World 2017); ―Bảo đảm an ninh mạng, an ninh thông tin trong
thời kỳ cách mạng công nghiệp lần thứ 4‖
5
https://mic.gov.vn/; Bộ TT&TT tại Hội nghị giao ban Quản lý nhà nƣớc tháng 4/2017

Tác phẩm an toàn thông tin và công tác phòng chống tội phạm sử dụng công nghệ
cao – Nhà xuất bản Công an Nhân dân – Đại tá PGS.TS Trần Văn Hòa.
Sách trắng thƣờng niên về Công nghệ thông tin của Bộ Thông tin và truyền thông,
nhóm những công trình nghiên cứu về ANM, đánh giá kết quả và dự đoán xu hƣớng từng
năm của các tổ chức: Nhóm nghiên cứu BKAV, CMC, VNCERT, Cục An toàn thông tin
Bộ Thông tin truyền thông…

4


Các bài phân tích, đánh giá về ANM, mất an toàn thông tin tại các website uy tín
nhƣ:

mic.gov.vn;

viettelidc.com.vn;

http://ictvietnam.vn;

http://vncert.gov.vn/;

http://actvn.edu.vn/, http://ais.gov.vn. Ngoài ra, còn có nhiều công trình nghiên cứu đăng
trên các tạp chí chuyên ngành về Công nghệ thông tin và ANM, một số luận văn về an toàn
thông tin và ANM, việc sử dụng quy trình trong việc đảm bảo an toàn thông tin nhƣ
ISO2700x đề cập về tình hình mất an toàn thông tin trong tổ chức.
Những tài liệu này đã nêu lên đƣợc các nguy cơ về mất an toàn thông tin trƣớc các
cuộc tấn công mạng, bên cạnh đó cũng đƣa ra các nguy cơ mất an toàn trong các giao dịch
điện tử, cũng nhƣ sự phát triển mạnh mẽ của các phƣơng thức tấn công, cách để ngăn
ngừa, tuy nhiên các cuộc tấn công lớn gần đây lại có những phƣơng thức hoàn toàn mới
nhƣ Ransomeware và APT, có thể nói phi truyền thống, không giống cách thức trƣớc đây.

Đại Tá PGS.TS Trần Văn Hòa; An toàn thông tin và công tác phòng chống tội phạm sử dụng công nghệ cao
– Nhà xuất bản Công an Nhân dân

5


Hệ thống máy tính lƣu giữ rất nhiều thông tin và tài nguyên cần đƣợc bảo vệ tại
HSB, những thông tin và tài nguyên này có thể là dữ liệu kế toán, thông tin nguồn nhân
lực, thông tin quản lý, nghiên cứu, sáng chế, phân phối, thông tin về tổ chức và thông tin
về các hệ thống nghiên cứu, các dự án hợp tác trong nƣớc và quốc tế, các đề tài nghiên cứu
cho các cấp các ngành, hệ thống văn bản quản lý. Đối với HSB, toàn bộ dữ liệu nhạy cảm,
quan trọng đƣợc lƣu trong một cơ sở dữ liệu và đặt tại phòng server đƣợc quản lý và sử
dụng bởi các chƣơng trình phần mềm. Các cuộc tấn công vào hệ thống có thể xuất phát từ
những đối thủ của tổ chức hoặc cá nhân. Các tấn công có thể xuất phát từ nhiều nguồn
khác nhau, cả từ bên trong cũng nhƣ bên ngoài tổ chức và hậu quả có thể rất nghiêm trọng.
- Bảo đảm tính riêng tƣ:
Các hệ thống máy tính lƣu giữ rất nhiều thông tin cá nhân của giảng viên, học viên,
ngƣời dùng tại HSB cần đƣợc giữ bí mật. Những thông tin này bao gồm: Số thẻ bảo hiểm
xã hội, số thẻ ngân hàng, số thẻ tín dụng, thông tin về gia đình, thông tin về đề tài nghiên
cứu cấp trƣờng và cấp ĐHQG của giảng viên…
Đối với các tổ chức khác nhƣ ngân hàng, công ty tài chính, đầu tƣ…, tính riêng tƣ,
bảo mật là yêu cầu rất quan trọng, đảm bảo phải an toàn khi lƣu trữ, truyền tải, truy cập…,
đặc biệt là khi chia sẻ thông tin với khách hàng. Các tổ chức này có quy định bắt buộc để
bảo đảm thông tin cá nhân đƣợc bảo mật và bắt buộc phải thực hiện những quy trình bảo
mật để bảo đảm tính riêng tƣ. Hậu quả nghiêm trọng sẽ xảy ra nếu một kẻ giả mạo truy
nhập đƣợc vào những thông tin của tổ chức, cá nhân.
Thông qua quá trình nghiên cứu, luận văn cần đánh giá mức độ an toàn dữ liệu về
thông tin học viên, giảng viên, ngƣời dùng trong HSB, đảm bảo tính bảo mật (thông tin chỉ
đƣợc phép truy cập bởi những ngƣời đƣợc cấp phép). Đảm bảo tính toàn vẹn của thông tin,
tức là thông tin chỉ đƣợc phép xóa hoặc sửa bởi những đối tƣợng đƣợc phép và phải đảm

công tác đảm bảo an toàn thông tin tại HSB và một số tổ chức khác trong giáo dục.
5. Phạm vi nghiên cứu
Tác giả nghiên cứu thực tiễn các cuộc tấn công trong thời gian từ 2013 đến 2016.
Nội dụng nghiên cứu của Luận văn là thực trạng, nguyên nhân và tác động của an
toàn thông tin trong tổ chức, đặc biệt là tổ chức giáo dục nhƣ HSB.
6. Phƣơng pháp nghiên cứu
Luận văn sử dụng phƣơng pháp định tính, kết hợp phân tích thống kê, so sánh đối
chiếu số liệu. Thu thập số liệu bằng phƣơng pháp thu thập số liệu trong các báo cáo về an
toàn thông tin, hồi cứu dữ liệu tổng hợp tình hình tấn công mạng của Cục An toàn thông
tin Bộ TTTT, VNCERT, BKAV, VNISA, Ban cơ yếu chính phủ, số liệu về an toàn thông
tin tại HSB… Kết hợp với bộ số liệu khảo sát tình hình triển khai các hoạt động an toàn
thông tin năm 2016 của các Sở Thông tin và Truyền thông các tỉnh, thành phố, các Tập
đoàn, Tổng công ty lớn, các doanh nghiệp cung cấp dịch vụ thanh toán trực tuyến. Đồng
thời, tác giả cũng sử dụng các số liệu từ phỏng vấn các chuyên gia về an toàn bảo mật

7


thông tin tại Việt Nam, phỏng vấn lãnh đạo tại đơn vị triển khai Khoa Quản trị và Kinh
doanh (HSB).
Phƣơng pháp điều tra khảo sát: Tiến hành gặp gỡ và trao đổi với Ban lãnh đạo
Khoa, trƣởng phó các phòng ban, giảng viên cơ hữu , giảng viên thỉnh giảng, cán bộ đang
công tác tại Khoa, nội dung xoay quanh các khía cạnh về thực trạng an toàn thông tin tại
HSB, các nguyên nhân liên quan (trình độ, nhận thức) đến an toàn thông tin và quan điểm
chính, các chế độ chính sách an toàn thông tin tại HSB và ĐHQGHN ảnh hƣởng đến lợi
thế cạnh tranh, uy tín, tiền bạc, danh dự uy tín của cá nhân và tổ chức.
Tổ chức nghiên cứu: Trong quá trình thực hiện đề tài này tác giả tiến hành các bƣớc
cụ thể nhƣ sau:
- Bƣớc 1: Thu thập các tài liệu có liên quan đến đề tài nghiên cứu nhƣ: các văn bản - qui
chế của nhà nƣớc có liên quan đến công tác đảm bảo ATTT, ANM, sách, báo, tạp chí, các

dân ở các nƣớc Châu Âu… trở thành các điểm nóng, ảnh hƣởng sâu sắc đến an ninh quốc
tế, an ninh quốc gia, an ninh chính trị, an ninh quân sự, an ninh kinh tế, an ninh ngoại giao.
Đây chính là cách tiếp cận truyền thống đối với vấn đề an ninh quốc gia, lấy quốc gia làm
trung tâm, chủ yếu quan tâm tới an ninh quốc gia, sự tồn tại và phát triển của một chế độ
xã hội… An ninh là sự tự do tƣơng đối không có chiến tranh kết hợp với mong đợi tƣơng
đối là không bị đánh bại bởi bất kỳ cuộc chiến tranh nào có thể xảy ra.
An ninh quốc gia = an ninh truyền thống = an ninh chính trị + an ninh quân sự = tồn
tại chế độ cai trị + chủ quyền quốc gia + lợi ích quốc gia.
Mở rộng: An ninh quốc gia = an ninh cứng = an ninh chính trị + an ninh quân sự + an
ninh kinh tế + an ninh văn hóa tƣ tƣởng.
An ninh truyền thống là an ninh quốc gia (an ninh cứng), chủ yếu sử dụng quyền lực chính
trị và vũ trang để đảm bảo an ninh (7).
1.1.2 An ninh phi truyền thống
Tƣ duy mới về an ninh quốc gia, nhiều học giả quốc tế và khu vực nhận định rằng, đa
số các quốc gia và chính phủ đang tiếp cận với tƣ duy mới về an ninh quốc gia, gồm cả an
ninh truyền thống (chủ yếu là an ninh chính trị và an ninh quân sự) và an ninh phi truyền
thống (an ninh kinh tế, văn hóa, xã hội, con ngƣời, doanh nghiệp, môi trƣờng, lƣơng thực,
năng lƣợng). Khái niệm mới xuất hiện và đang phát triển thêm nội hàm trong bối cảnh hội
nhập toàn cầu mạnh mẽ, khủng bố, dịch bệnh, thảm họa thiên nhiên, khủng hoảng kinh tế tài chính, tác động khu vực và toàn cầu.
AN NINH QUỐC GIA = PHÁT TRIỂN BỀN VỮNG QUỐC GIA + ĐỘC LẬP + CHỦ QUYỀN

AN NINH CON NGƢỜI = AN TOÀN + TỰ DO
7

Thƣợng tƣớng, TS Nguyễn Văn Hƣởng, PTS. TS Hoàng Đình Phi; Tổng quan về quản trị an ninh phi
truyền thống, 2015

9



về sắc tộc, xung đột về tôn giáo ngày càng trở nên gay gắt hơn. Thế giới trở nên phẳng hơn
và đang bƣớc sang giai đoạn hội nhập nhanh với sự phát triển nhƣ vũ bão của các công
nghệ mới, công nghệ thông tin và truyền thông, mạng Internnet, các dòng chảy thông tin,
quan điểm, ý tƣởng, đầu tƣ, thƣơng mại, du lịch, du học, văn hóa… Thế giới đang đứng

8

Thƣợng tƣớng, TS Nguyễn Văn Hƣởng, PTS. TS Hoàng Đình Phi; Tổng quan về quản trị an ninh phi
truyền thống, 2015
9
Nguyễn Bách Khoa, Hoàng Đình Phi, Tổng quan về phát triển bền vững, Khoa QTKD (HSB Hanoi School
of Business) thuộc ĐHQGHN, 2014
10
Ayoob M., Critical Security Studies: Concept & Cases, University of Minnesota Press, 1997.
11
Luật an ninh quốc gia, ban hành năm 2004, NXB Chính trị quốc gia, 2005

10


trƣớc các nguy cơ của biến đổi khí hậu, thiên tai, dịch bệnh, trong khi vẫn đang phải đối
phó với các vấn đề chính trị, kinh tế, xã hội… Tất cả các yếu tố trên đều là những thách
thức lớn đối với an ninh truyền thống và an ninh phi truyền thống, đe dọa sự tồn tại và phát
triển của cả các quốc gia lẫn loài ngƣời. Nếu không đƣợc nhận diện, phân tích nguyên nhân
và có giải pháp dài hạn hay chiến lƣợc ứng phó thì các mối nguy hiểm và tác động tiêu cực
phát sinh từ các vấn đề an ninh phi truyền thống (non-traditional security) có thể phá hủy
cả thế giới mà không cần phải dùng đến súng đạn. Ví dụ, chỉ xem xét riêng trong lĩnh vực
chính trị thì trong hai thập kỷ gần đây đa số các chính trị gia phải nhìn nhận rằng ứng phó
với tình trạng mất an ninh con ngƣời, mất an ninh lƣơng thực, mất an ninh năng lƣợng,
dịch bệnh, ô nhiễm môi trƣờng, khủng bố, tội phạm mạng, tai biến do biến đổi khí hậu… là

Cách tiếp cận lấy nhà
nƣớc làm trung tâm
Ổn định và PTBV
của nhà nƣớc, chế độ,
độc lập, chủ quyền,
thống nhất, lãnh thổ

3 Chủ thể Nhà nƣớc
chính

ĐIỂM CHUNG

Gắn với an ninh nhà nƣớc, Hai bộ phận hợp
an ninh con ngƣời và an thành

an

ninh

ninh doanh nghiệp. Cách quốc gia. Mối
tiếp cận lấy con ngƣời làm quan
trung tâm

hệ

biện

chứng
Chính phủ của



thức


Công
4 cụ

Quân đội
Công an

chính

Dân quân tự vệ

Sức mạnh & nguồn lực
Mối quan hệ biện

NN.

Sức mạnh, nguồn lực cộng chứng
đồng.

Thay đổi nhận
thức.
Phải chủ động

Sự tồn tại của Đảng Sức mạnh & nguồn lực
Tác động đa
Quốc tế khu vực NN.
Tác

đổi bƣớc vào cuộc cách mạng cuộc cách mạng công nghiệp lần thứ 04, đó là điện toán đám
mây với các trung tâm dữ liệu khổng lồ mang mọi thứ vào trong tầm tay chỉ với một thiết
bị kết nối internet (IoT).
Máy tính có phần cứng chứa dữ liệu do hệ điều hành quản lý, đa số các máy tính
nhất là các máy tính trong công ty, doanh nghiệp đƣợc nối mạng Lan và Internet. Nếu nhƣ
máy tính, hệ thống mạng không đƣợc trang bị hệ thống bảo vệ vậy chẳng khác nào chúng
12

Quản trị an ninh phi truyền thống để phát triển bền vững, PGS.TS Hoàng Đình Phi, 2015

12


ta đi khỏi căn phòng của mình mà quên khóa cửa, máy tính sẽ là mục tiêu của virus,
worms, unauthorized user… chúng có thể tấn công vào máy tính hoặc cả hệ thống của
chúng ta bất cứ lúc nào.
ANM là một trong những lĩnh vực mà hiện nay giới công nghệ thông tin đặc biệt
quan tâm. Nhu cầu trao đổi thông tin trở nên cần thiết. Mục đích của việc kết nối mạng là
làm cho mọi ngƣời có thể sử dụng chung tài nguyên mạng từ những vị trí địa lý khác nhau.
Chính vì vậy mà các tài nguyên dễ dàng bị phân tán, hiển nhiên một điều là chúng ta dễ bị
xâm phạm, gây mất mát dữ liệu cũng nhƣ các thông tin có giá trị. Kết nối càng rộng thì
càng dễ bị tấn công, đó là một quy luật tất yếu. Từ đó, vấn đề bảo vệ thông tin cũng đồng
thời xuất hiện và nhƣ thế ANM ra đời.
Ví dụ: User A gửi một tập tin cho User B trong phạm vi là nƣớc Việt Nam thì nó khác xa
so với việc User A gửi tập tin cho User C ở Mỹ. Ở trƣờng hợp đầu thì dữ liệu có thể mất
mát với phạm vi nhỏ là trong nƣớc nhƣng trƣờng hợp sau thì việc mất mát dữ liệu với
phạm vi rất rộng là cả thế giới. Một lỗ hổng trên mạng đều là mối nguy hiểm tiềm tàng. Từ
một lỗ hổng bảo mật nhỏ của hệ thống, nhƣng nếu biết khai thác và lợi dụng kỹ thuật hack
điêu luyện thì cũng có thể trở thành mối tai họa. Khi nhắc đến hacker có lẽ hầu hết chúng
ta đều liên tƣởng đến các trang web bị tấn công và thay đổi giao diện, việc sử dụng trái

ANM tiếp cận theo góc nhìn phi truyền thống:
AN NINH MẠNG = (AN TOÀN + ỔN ĐỊNH + PHÁT TRIỂN BỀN VỮNG) – (CHI
PHÍ QUẢN TRỊ RỦI RO + CHI PHÍ MẤT DO KHỦNG HOẢNG + CHI PHÍ KHẮC
PHỤC KHỦNG HOẢNG) (14)
Trong đó:
An toàn: Mọi thông tin đƣợc lƣu trữ, truyền tải mà không bị mất hoặc bị thay đổi trái
phép, đảm bảo tính bảo mật trên mạng.
Ổn định: Thông tin đƣợc lƣu chuyển an toàn không ngắt quãng đến đúng ngƣời dùng
không bị ngƣng trệ.
Phát triển bền vững: Chiến lƣợc, chính sách, luật pháp, quy hoạch đảm bảo an toàn thông
tin lƣu truyển trên hệ thống mạng.
Chi phí quản trị rủi ro: Chi phí cho việc đầu tƣ hạ tầng mạng, các thiết bị bảo mật, các hệ
thống phần mềm bảo mật, chi phí cho chi nghiên cứu các giải pháp đảm bảo ANM.
Chi phí mất do khủng khoảng: Chi phí cho việc mất an ninh mạng gây ra mất thông tin
hoặc thông tin bị sai lệch, ngƣng trệ, hoặc thất thoát, sập các thiết bị phần cứng.
Chi phí khắc phục khủng hoảng: Chi phí khắc phục các thiệt hại do hacker chiếm quyền
điều khiển hệ thống, gây nhiễu loạn thông tinh, làm mất uy tín tổ chức, hoặc thiệt hại về tài
chính của cá nhân trong tổ chức.
1.2.2 Các yếu tố được bảo vệ trong hệ thống mạng
Yếu tố đầu tiên phải nói đến là dữ liệu, những thông tin lƣu trữ trên hệ thống máy
tính cần đƣợc bảo vệ do các yêu cầu về tính bảo mật, tính toàn vẹn hay tính kịp thời.
Thông thƣờng yêu cầu về bảo mật đƣợc coi là yêu cầu quan trọng đối với thông tin lƣu trữ
14

PGS.TS Hoàng Đình Phi, tập bài giảng: Quản trị rủi ro và an ninh doanh nghiệp, HSB, 2015

14