 |
| Trụ sở Bộ Tài chính tại Hà Nội |
Ông Trần Nguyên Vũ, Phó cục trưởng Cục Tin học và Thống kê tài chính (Bộ Tài chính) cho biết, ngành tài chính đã triển khai ứng dụng CNTT từ những năm 90 của thế kỷ trước. Cho đến nay, hầu hết hoạt động nghiệp vụ của các đơn vị trong ngành đều dựa trên nền tảng CNTT, mạng WAN của ngành liên thông toàn diện với mạng Internet và có kết nối với các mạng dùng riêng khác (CPnet, hệ thống ngân hàng, các đại lý…) Do đó, ngành nhận thức rõ việc đảm bảo ATBM cho hệ thống thông tin là nhiệm vụ cấp bách và cần phải được ưu tiên.
Theo ông Vũ, ngành tài chính xác định rõ vấn đề đảm bảo an ninh thông tin không chỉ thuần tuý về mặt kỹ thuật mà gắn liền với 3 yếu tố: con người; quy trình nghiệp vụ và hạ tầng kỹ thuật. Chính vì vậy, giải pháp cho an ninh thông tin chính là các biện pháp tác động lên con người, quy trình nghiệp vụ và hạ tầng kỹ thuật để thông tin đảm bảo được 3 thuộc tính bảo mật, toàn vẹn và sẵn sàng của nó. “Không những thế, việc triển khai an ninh thông tin phải là một quá trình liên tục. Bởi lẽ, hệ thống an ninh thông tin sau khi xây dựng, đi vào hoạt động phải được định kỳ đánh giá, nhằm phát hiện các điểm yếu, mối đe dọa mới để từ đó có kế hoạch nâng cấp, hoàn thiện”, ông Vũ khẳng định.
Thiếu đồng bộ, nhiều rủi ro
Ông Vũ cho biết, ngay từ năm 2002, ngành tài chính đã có đề án triển khai hệ thống an toàn thông tin được phê duyệt, bao gồm các hệ thống giám sát an ninh mạng, phòng chống xâm nhập, chống virus, hệ thống xác thực, hệ thống dự phòng với mục tiêu thiết kế tổng thể giải pháp ATBM hệ thống thông tin tài chính trong giai đoạn 2003-2007. Đến nay, ngành đã thiết lập được hệ thống Firewall (FW- tường lửa) cho 100% hệ thống mạng; thiết lập đường truyền giám sát bảo mật mức thiết bị; triển khai hệ thống sao lưu dự phòng cho các máy chủ ứng dụng và máy chủ dữ liệu; xây dựng hệ thống chứng thực điện tử (CA) trong giao dịch thanh toán điện tử KBNN; thiết lập hệ thống phòng, chống, phát hiện và kiểm tra virus.
Tuy nhiên, theo ông Vũ, mặc dù đã có đề án tổng thể, nhưng hiện nay hệ thống đảm bảo ATBM thông tin của ngành vẫn còn không ít tồn tại như: chưa có chính sách chung, bao quát những quan điểm về an ninh thông tin của ngành, chưa có tổ chức chuyên trách về ATBM thông tin, chưa có hệ thống CA để thực hiện giao dịch điện tử an toàn. Đặc biệt, hệ thống giải pháp đảm bảo ATBM thông tin vẫn chủ yếu tập trung vào các giải pháp liên quan đến công nghệ, hạ tầng kỹ thuật, coi nhẹ yếu tố con người và quy trình nghiệp vụ.
Ngay cả yếu tố hạ tầng kỹ thuật của hệ thống an ninh thông tin ngành tài chính cũng đang bộc lộ những bất cập. Cụ thể, mặc dù đã áp dụng các biện pháp bảo mật nhưng do mức độ phức tạp của hệ thống truyền thông và đa dạng về ứng dụng, cơ sở dữ liệu nên các biện pháp ATBM tuy đã áp dụng nhưng vẫn chưa đầy đủ, thiếu tính nhất quán. Các đơn vị trực thuộc ngành tài chính như: Tổng cục Thuế (TCT), Kho bạc Nhà nước (KBNN), Tổng cục Hải quan (TCHQ), Uỷ ban chứng khoán Nhà nước (UBCKNN)… hiện đang có sự đầu tư cho hạ tầng kỹ thuật đảm bảo ATBM thông tin theo kiểu “mỗi nơi một phách”. Bên cạnh đó, ngành tài chính mới chỉ có một số quy định được áp dụng trong nội bộ từng đơn vị trực thuộc ngành.
Ông Vũ khẳng định, do những tồn tại trên nên trong toàn bộ hệ thống thông tin ngành tài chính tiềm ẩn nhiều rủi ro, có nguy cơ bị tấn công cao. Đó là những điểm yếu, rủi ro liên quan đến con người, tổ chức; liên quan đến các quy trình nghiệp vụ, quản lý và liên quan công nghệ, sự phối hợp giữa con người, tổ chức. Đơn cử, hiện nay nhận thức về an ninh thông tin và tính tuân thủ các quy định còn yếu. Mỗi người của đơn vị được cấp 1 tài khoản dịch vụ (1 cặp username và password), để có thể truy cập mạng và sử dụng các dịch vụ đươc phân quyền như mail, dịch vụ tệp, khai thác CSDL, truy cập Internet… Theo quy định thì các đơn vị phải định kỳ cập nhật cho bộ phận CNTT về thay đổi nhân sự trong đơn vị mình để kịp thu hồi các tài khoản dịch vụ, nhưng rất nhiều đơn vị không tuân thủ chế độ báo cáo này. Do đó, ở nhiều cơ quan vẫn xảy ra tình trạng cán bộ của đơn vị chuyển công tác nhưng tài khoản dịch vụ không bị thu hồi và nguy cơ “rò rỉ” thông tin là rất cao.
Sẽ có trung tâm dự báo thảm hoạ của ngành
Theo Cục trưởng Cục Tin học và Thống kê Tài chính Đặng Đức Mai, đề án tổng thể về đảm bảo ATBM thông tin ngành tài chính là một trong những cơ sở pháp lý quan trọng để ngành có thể triển khai hệ thống an toàn thông tin. Trong thời gian tới, ngành tài chính sẽ chú trọng hoàn thiện hạ tầng an ninh thông tin gồm: cập nhật thiết kế an toàn bảo mật thông tin Bộ Tài chính; xây dựng hệ thống chính sách, chuẩn và quy trình về an toàn bảo mật thông tin áp dụng tại tất cả các đơn vị trong ngành tài chính; xây dựng hệ thống CA để phục vụ cho việc trao đổi dữ liệu điện tử trong ngành và với bên ngoài; xây dựng hệ thống giám sát và quản lý ATBM.
Ngoài ra, ngành tài chính sẽ xây dựng hệ thống dự phòng thảm họa an ninh thông tin cách trụ sở chính của Bộ Tài chính khoảng 30km. Trung tâm này được sử dụng trong trường hợp trung tâm Miền Bắc ngừng hoạt động, nhằm đảm bảo các yêu cầu: xây dựng kế hoạch duy trì hoạt động của ngành tài chính trong trường hợp xảy ra thảm họa, xây dựng kế hoạch phục hồi hệ thống thông tin sau khi thảm họa xảy ra; là nơi lưu trữ dữ liệu dự phòng của toàn ngành tài chính; kết nối với trung tâm Bắc với tốc độ cao, độ dự phòng lớn để đảm bảo cho toàn bộ số liệu được sao lưu thời gian thực từ các trung tâm dữ liệu về trung tâm dự phòng. Trung tâm này dự kiến được đưa vào hoạt động vào năm 2012.
3 yếu tố đảm bảo an ninh thông tin
* Tính bảo mật: đảm bảo rằng chỉ người được phép mới có thể truy cập thông tin
* Tính toàn vẹn: đảm bảo tính chính xác và đầy đủ của thông tin và các phương pháp xử lý thông tin
* Tính sẵn sàng: đảm bảo người sử dụng được phép có thể truy cập thông tin và các tài sản tương ứng khi cần 3 tính chất quan trọng này được viết tắt bằng nhóm từ tiếng Anh: C.I.A, trong đó C là Confidentiality (tính bảo mật); I là Integrity (tính toàn vẹn); và A là Availability (tính sẵn sàng).
(Theo TCVN 7562:2005, tương đương với ISO/IEC 17799:2000)
Đọc toàn bộ bài viết trên báo Bưu điện Việt
.svg){kind=icon}
