1a.jpg
Ông Việt (ngoài cùng từ phải qua) đang trả lời chất vấn của người tham dự

Sau hội thảo, chủ đề của ông nhận được khá nhiều chất vấn, ông có thể chia sẻ thêm nhận định của mình?

Ông Phạm Văn Việt: Từ trước đến nay, tại các buổi hội thảo về An ninh thông tin (ANTT) nhiều doanh nghiệp Việt Nam chỉ quan tâm đến An ninh mạng. Hôm nay, chủ đề về An ninh CSDL được đề cập tới vì tôi muốn đưa ra những minh họa cụ thể về các lỗ hổng nguy hiểm, giúp người nghe có thêm được cái nhìn hoàn chỉnh hơn về bức tranh ANTT tại Việt Nam. Đó là an ninh mạng thật sự không đủ đảm bảo an toàn cho dữ liệu kinh doanh quan trọng của doanh nghiệp, cần thực hiện thêm an ninh CSDL nữa thì mới được bảo đảm “an toàn tương đối”.

1g.jpg
Ông Việt đang trình bày tại hội thảo IDG 2013

Theo ông, các doanh nghiệp tại Việt Nam chưa chú trọng nhiều đến An ninh CSDL, việc này có ảnh hưởng lớn đến hoạt động của họ ?

Ông Phạm Văn Việt: Theo đánh giá chủ quan của tôi thì có khoảng 99% các hệ thống CSDL Oracle tại Việt nam chưa được bảo mật đúng nghĩa. Nghĩa là các CSDL đều tồn tại các lỗ hổng bảo mật làm cho người dùng trong mạng nội bộ có thể chiếm quyền điều khiển hệ thống và lấy trộm thông tin quan trọng. Khi doanh nghiệp càng phát triển, thông tin nội bộ càng có giá trị, khi đó các vi phạm thông tin xảy ra là không thể tránh khỏi. Nghiêm trọng hơn, hoạt động kinh doanh của doanh nghiệp sẽ bị ảnh hưởng lớn nếu người dùng trong mạng nội bộ cố tình muốn gây tổn hại cho doanh nghiệp.

Với kinh nghiệm của mình, ông vui lòng chia sẻ những giải pháp cần thiết để giúp các doanh nghiệp bảo đảm ANTT kinh doanh quan trọng của mình ?

Ông Phạm Văn Việt: Thông tin kinh doanh quan trọng hiện đều được lưu trữ trong các CSDL. Vì vậy, doanh nghiệp phải trang bị ngay những giải pháp cần thiết để kịp thời phát hiện các nguy cơ mất an ninh tồn tại trong mạng nội bộ.

Một trong những giải pháp thiết yếu nhất là Giám sát CSDL (Database-IPS). Mọi hành vi truy cập dữ liệu quan trọng sẽ được theo dõi và ghi vết, trường hợp nghiêm trọng sẽ chặn những thao tác lệnh SQL nguy hiểm, tránh rủi ro và ảnh hưởng cho CSDL. Các giải pháp về kiểm soát quyền người dùng, mã hóa, xác thực có thể xem xét ứng dụng vào thời điểm thích hợp hơn. Chúng ta cần xây dựng hệ thống giải pháp phòng thủ nhiều cấp, vì vậy cần phải áp dụng đồng bộ các giải pháp trên, không được bỏ qua.

Ngoài ra, một số nhầm lẫn hiện nay là nhiều doanh nghiệp hiểu rằng chỉ cần giải pháp giám sát mạng (Network-IPS) có thể phát hiện được các nguy cơ mất an ninh. Tuy nhiên giải pháp này không thể phát hiện các truy cập lấy trộm thông tin nhạy cảm được lưu trong CSDL.

1.jpg
Bức tranh tổng thể về giải pháp bảo mật Cơ sở dữ liệu của hãng Oracle

Một lưu ý khá quan trọng riêng với lĩnh vực bảo mật là cán bộ thực hiện tư vấn và thiết kế giải pháp bảo mật cần có kiến thức vừa chuyên sâu vừa bao quát rộng để không bỏ sót các lỗ hổng nguy hiểm tồn tại trong hệ thống. Vì vậy cần lựa chọn kỹ đơn vị tư vấn, thiết kế và triển khai giải pháp.

Vậy theo ông tại Việt Nam, đơn vị nào là có khả năng để thực thi những vấn đề như ông vừa đề cập ?

Ông Phạm Văn Việt: Về hướng An ninh Cơ sở dữ liệu, theo tôi biết thì những tập đoàn CNTT lớn như FPT hoặc CMC hoặc BKAV hiện cũng chưa chú tâm vào ngách này, họ chỉ chủ trọng đến An ninh Mạng. Hiện ở Việt Nam chỉ có đơn vị của chúng tôi, công ty VietPace, là có sự đầu tư bài bản, nghiên cứu chuyên sâu và cung cấp giải pháp kiện toàn an ninh Cơ sở dữ liệu. Chúng tôi cũng là đối tác duy nhất của hãng Oracle được vinh danh đạt cấp độ "kỹ sư Oracle tinh tú toàn cầu”.

Nhấn vào đây để theo dõi bài phát biểu của ông Phạm Văn Việt

Xin cảm ơn chia sẻ của ông !