THÁCH THỨC VÀ KINH NGHIỆM BẢO ĐẢM AN TOÀN, AN …securitysummit.vn/docs/ss2/3.VNA.pdfnguyỄn nam tiẾn -phÓtrƯỞng ban cntt, tct hkvn thÁch thỨc vÀ kinh nghiỆm

NGUYÊN NAM TIÊN - PHO TRƯỞNG BAN CNTT, TCT HKVN

THÁCH THỨC VÀ KINH NGHIỆM BẢO

ĐẢM AN TOÀN, AN NINH MẠNG CHO HỆ

THỐNG THÔNG TIN QUAN TRỌNG

NỘI DUNG

PHÂN I: GIƠI THIỆU VÊ TCTHK

PHÂN II: THÁCH THỨC

PHÂN III: KINH NHIỆM

PHÂN IV: KIÊN NGHI

GIƠI THIÊU VÊ VIETNAM AIRLINES (GROUP)

GIƠI THIÊU VÊ VIETNAM AIRLINES

GIƠI THIÊU VÊ VIETNAM AIRLINES

NỘI DUNG





THỐNG KÊ CÁC SỰ KIÊN, TẤN CÔNG TƯ 1/1/2019Phân loại theo hình thức tấn công Số đợt tấn công theo loại tấn công

Thống kê sự cố theo máy tínhThống kê sự cố phát hiện theo nguôn

8.172.612.315 events

An toan, an ninh thông tin đang trở thanh một trong những thách thứccủa thời đại mới khi mọi hoạt động trở nên số hóa trên mọi lĩnh vực từchính tri, kinh tế, xã hội. Việt Nam đang phải phải đối măt với nhiêuthách thức vê AT, ANTT:

➢Tình hình tấn công số vụ tấn công mạng phát triển nhanh chóng cả vêhình thức va quy mô. Các hacker ngay cang tinh vi trong đánh cắp dữliệu từ các doanh nghiệp, cơ quan quản lý hanh chính.

➢Gia tăng hanh vi phát tán mã độc tống tiên, đòi tiên chuộc

➢Các thông tin sai trái, thù đich, gây chia rẽ xã hội được tuyêntruyên, tán phát rộng rãi...

➢Tình trạng thu thập, sử dụng trái phép dữ liệu cá nhân tại VN chưađược kiểm soát.

THÁCH THƯC CHUNG

1. Tuân thu luật pháp, quy đinh, thoa thuận.

➢ Luật pháp Việt Nam

➢ Luật pháp quốc tế.

➢ Quy đinh của các hiệp hội, tô chức quốc tê.

➢ Quy đinh, thoa thuận của liên minh, đối tác.

2. Rủi ro pháp ly

➢ Luật, quy đinh còn chông chéo, không rõ rang trong áp dụng.

➢ Tôn tại quy đinh cùng nội dung, đối tượng nhưng không côngnhận lẫn nhau.

➢ Nghi đinh, hướng dẫn còn chậm va chưa ro rang.

THÁCH THƯC CỦA VIETNAM AIRLINES

➢ Hệ thống mạng/CNTT có phạm vi rộng, nhiêu hệ thống hostingở nước ngoai.

➢ Dư liệu khách hang của nganh hang không rất lớn va phạm virộng.

➢ Tích hợp với nhiêu hang hang không, nha phân phối, nha sảnxuất …

➢ Nhận thức vê ANTT còn yếu. Đao tạo vê ANTT chưa đáp ứngyêu câu.

➢ Nhân lực vê ANTT thiếu.

➢ Chi phí vê ANTT cao.

➢ Khó lựa chọn sản phâm/dich vụ ANTT phu hợp vơi doanhnghiệp.

THÁCH THƯC CỦA VIETNAM AIRLINES

NỘI DUNG





CON NGƯƠI

CHINH SÁCH (Policy)

AN NINH MANG (CYBER

SECURITY)

DATA

ĐẢM BẢO AN TOAN, AN NINH THÔNG TIN

TRIỂN KHAI ĐẢM BẢO AT, ANTT

TỔ CHƯC

QUY CHẾ

ĐAO TAO NHẬN THƯC

RA SOÁT, MÃ ĐỘC, LỖ HÔNG

BẢO MẬT

TIỂN KHAI HÊTHỐNG CYBER

SECURITY

GIÁM SÁT 24/7

TỔ CHƯC AN TOAN, AN NINH THÔNG TIN

Tổ chức

nội bộ

Xac đinh trach nhiệmngươi đưng đâu cơquan, đơn vi về ANTT

Vai trò và trach nhiệmbộ may quan tri an ninh thông tin chuyêntrach

Bộ máy ANTT/

An ninh mạng

ANTT: Xây dựng, triểnkhai, duy trì, cai tiến va đanh gia việc thực hiệnQuy chê ANTT

An ninh mạng: Giam sat24/7, phòng chống tấncông mạng, xử lý, khắcphục sự cố ANTT

TỔ CHƯC AN NINH MANG

QUY CHẾ ANTT

Tiêu chuân ISO 27001:2013

/NIST

Luật Việt Nam

Luật quốc tế

Quy đinh, Hiệp ước, Thoathuận của Hiệp hội, đối tác…

QUY CHẾ ANTT

Tổ chức ANTT

Chính sách ANTT

Quản lý tai sản thông tin Kiểm soát truy cập

Quản lý sự phù hợp (theo PL&HĐ)

An ninh nguôn nhân lực

An ninh trong vận hanh

An ninh vật lý va môi trường

An ninh trong phát triển hệ thống CNTT

An ninh với các nha cung cấp

Tính liên tục trong SXKD

Quản lý sự cố ANTT

Mã hóa dữ liệu

An ninh trong truyên tin

QUY ĐỊNH ANTT

Tiêu chuẩn

(Base lines)

KPI

Phân cấp độ

hệ thống CNTT

Dữ liệu/thanh

Toan/khac

May trạmHĐH

KPI may trạm SLSC KPI Baseline

Cấp dộ 1Cấp độ 2Cấp độ 3

Dữ liệu mậtPCI/DSSGDPR

CSDLMạng Web

KPI May chủ

TRIỂN KHAI HÊ THỐNG CYBER SECURITY

Hệ thống

giam sat

ANTT 24/7

Bao vệ may chủ

Ứng dụng

Thiết bi

đâu cuối

Hạ tâng

Quan

lý cấu

hình

Quan lý

sự cố/tối

ưu canh

bao

Thu thập,

phân tích

ANTT từ log

(SIEM)

Tương lửa phat hiện

và ngăn chặn tấn công

tâng web (WAF)

Phòng chống

tấn công có chủ

đích (APT) may

chủ

Phòng chống

tấn công APT

Email

Quan lý

cấu hình,

điểm yếu kỹ

thuật

Quan lý lỗ

hổng bao

mật OS

Phòng

chống

virus

Quan lý thiết

bi nối mạng

theo quy

đinh (NAC)

Phòng

chống virus

trên lớp

mạng

Mạng

riêng ao

(VPN)

Dò quét

chống

xâm nhập

mạng

Tương

lửa

Bao mật

mạng

không

dây

Phòng

chống tấn

công DDOS

Phân tích

dữ liệu

lớn (Big

data)

Phòng

chống tấn

công APT

may trạm

Giam sat

24/4

(SOC)

Quan lý lỗ

hổng bao

mật

Phòng chống

virus may

chủ

AD

NỘI DUNG





KIẾN NGHỊTrong những năm qua, Nhà nước đã ban hành nhiều Luật/Nghi

đinh/thông tư về AT, ANTT, dây là cơ sở phap lý quan trọng để bao vệ

hệ thống thông tin quan trọng và an ninh quốc gia; xử lý đối với cac

hành vi vi phạm phap luật; bao vệ DN và ngươi dân, nhằm đưa nhanh

Luật và đơi sống và hỗ trợ DN phat triển.

Vietnam Airlines kiến nghi:

➢ Xây dựng chiến lược, chương trình quốc gia về đam bao AT, ANTT

đap ưng yêu câu của quốc gia, doanh nghiệp và ngươi dân.

➢ Xây dựng, thống nhất cac tiêu chí cụ thể để đanh gia công tac đam

bao AT, ANTT đối với cac DN vận hành hệ thống thông tin có anh

hưởng đến kinh tế - chính tri và an ninh – quốc phòng.

KIẾN NGHỊ (tiếp)➢ Đam bao sư bình đăng, cạnh tranh giữa doanh nghiệp nhà nước với cac

doanh nghiệp trong nước va cac doanh nghiệp nước ngoài. Hạn chế tình

trạng cac doanh nghiệp trong nước bi hạn chế cung cấp dich vụ CNTT,

trong khi cac doanh nghiệp nước ngoài hoặc tư nhân lại có quyền cung cấp

dich vụ tương tư trên thê giới và tại Việt Nam.

➢ Lập đâu mối/xây dựng quy chế phối hợp để chủ trì về an ninh, an toàn

thông tin, bao gôm ca công tac bao cao, ưng cưu sự cô an toàn, an ninh

thông tin.

➢ Xây dựng, tích hợp, chia sẻ thông tin, canh bao về lĩnh vực AT, ANTT

➢ Có chính sach đào tạo nguôn nhân lực về AT, ANTT. Tăng cương đào tạo

nhận thưc một cach sâu rộng.

➢ Phân loại thông tin đê quan lý, đặc biệt là phân loại thông tin ca nhân.

TRÂN TRỌNG CẢM ƠN !

THÁCH THỨC VÀ KINH NGHIỆM BẢO ĐẢM AN TOÀN, AN …securitysummit.vn/docs/ss2/3.VNA.pdfnguyỄn nam tiẾn -phÓtrƯỞng ban cntt, tct hkvn thÁch thỨc vÀ kinh nghiỆm

Documents