Yếu và thiếu về hạ tầng thiết bị

Theo kết quả khảo sát hệ thống An toàn thông tin tại 49 Sở ngành, UBND quận huyện thành phố Hà Nội cho thấy: gần 70% đơn vị đã sử dụng firewall cứng hoặc mềm, hầu hết chưa trang bị thiết bị phát hiện và phòng chống thâm nhập IDS, IPS; hầu hết các cơ quan nhà nước đều sử dụng phần mềm diệt virus, tuy nhiên các phần mềm diệt virus đa số là các phần mềm không có bản quyền, tự do tải về từ Internet như BKAVHome, Symantec; khoảng 40% cơ quan nhà nước có xây dựng và áp dụng chính sách an toàn thông tin của riêng đơn vị; hiện mới có 4 Sở ngành đầu tư hệ thống SAN, chưa có quận, huyện nào đầu tư phần cứng hệ thống sao lưu dự phòng và các giải pháp khôi phục dữ liệu khi có sự cố...Tổng số máy chủ trong các CQNN là 338 máy; hầu hết các máy chủ đựợc sử dụng cho dịch vụ mạng và ứng dụng chuyên ngành; hệ điều hành cho máy chủ chủ yếu là Windows Server 99%, Linux chỉ có 1% và phần lớn không có bản quyền. Đặc biệt là các cổng, trang thông tin điện tử của các cơ quan nhà nước của Thành phố có nhiều điểm yếu về an toàn thông tin, chưa được áp dụng các giải pháp đảm bảo an toàn và bảo mật thông tin phù hợp.

Chưa áp dụng chính sách, quy trình bảo mật

Hầu hết các sở, ban ngành quận huyện chưa áp dụng chính sách, qui trình đảm bảo an toàn, an ninh thông tin. 38,98% số cơ quan nhà nước xây dựng văn bản quản lý hệ thống CNTT của đơn vị trong đó có quy định về an toàn thông tin. Tuy nhiên các qui định này chưa đầy đủ. Chính sách an toàn bảo mật thông tin được quan tâm hơn ở các sở, ban ngành tuy nhiên con số các sở ban ngành có xây dựng chính sách an toàn bảo mật thông tin còn chưa quá 50% trong tổng số 20 sở, ban, ngành. Tại các đơn vị các biện pháp đảm bảo an toàn thông tin vẫn còn mang tính tự phát, chưa có hệ thống. Điều này cho thấy vấn đề an ninh mạng thông tin, quy trình bảo mật chưa được quan tâm đúng mức.

Nguồn nhân lực thiếu và yếu

Theo báo cáo thống kê hiện tại trên 90% số cơ quan hành chính nhà nước của Thành phố có cán bộ chuyên trách CNTT, trong đó 13,7% số đơn vị có bộ phận chuyên trách CNTT. Phần lớn cán bộ chuyên trách CNTT có trình độ từ cao đẳng trở lên. Tuy vậy, đội ngũ này lại thiếu kỹ năng quản lý, thiếu kiến thức và kỹ năng về quản trị, đảm bảo an toàn an ninh cho hệ thống CNTT. Bên cạnh đó, hầu hết cán bộ công chức, viên chức của các đơn vị chưa được bồi dưỡng, đào tạo nhận thức chung về an toàn thông tin; chưa được bồi dưỡng các kiến thức, kỹ năng đảm bảo an toàn thông tin cá nhân. Cán bộ phụ trách an toàn thông tin phải kiêm nhiệm nhiều nhiệm vụ nên không đủ khả năng xử lý hết các yêu cầu.

Do hệ thống an toàn thông tin trong các cơ quan nhà nước còn nhiều hạn chế, nên trong năm 2011 số vụ tấn công trên mạng và các vụ xâm nhập hệ thống công nghệ thông tin nhằm do thám, phá hoại dữ liệu, ăn cắp tài sản... và một số vụ việc mất an toàn thông tin khác gia tăng ở mức báo động về số lượng, đa dạng về hình thức, tinh vi hơn về công nghệ.

Xây dựng hàng rào an toàn thông tin: Bảo mật, toàn vẹn và sẵn sàng, đảm bảo khả năng phòng chống các cuộc tấn công

Để cho hệ thống an toàn, bảo mật hoạt động thực sự hiệu quả, các đơn vị cần xây dựng một số chính sách về an toàn thông tin như sau: xây dựng kế hoạch đảm bảo an toàn thông tin cho 3 đến 5 năm để đảm bảo chủ động trong công tác đảm bảo an toàn thông tin; nhanh chóng tiến hành kiểm tra rà soát, kiểm tra và đánh giá lỗ hổng an toàn thông tin: hệ thống mạng, máy chủ, máy trạm, cổng thông tin, thư điện tử; có biện pháp sao lưu dữ liệu dự phòng; đầu tư mua sắm, trang bị các thiết bị an toàn thông tin cơ bản: như tường lửa, anti virus và nếu có thể bố trí kinh phí thì xem x;ét việc đầu tư các thiết bị VPN, IPS, chống tấn công DDOS, antiSpam cho email, thiết bị thu thập chứng cứ (Network forensic), hệ thống giám sát mạng và an toàn mạng, quản lý nhật ký. Bố trí kinh phí thường xuyên cho việc kiểm tra đánh giá ATTT, nâng cấp và chỉnh sửa phần mềm hàng năm; khi xây dựng hệ thống mạng cần thiết kế hệ thống mạng rõ ràng, sử dụng công nghệ VLAN để phân chia các vùng mạng nội bộ, đặc biệt chú ý với các cổng thông tin, phần mềm xây dựng riêng đã sử dụng từ trên 1 năm nay; xem x;ét việc từng bước ứng dụng các tiêu chuẩn kỹ thuật trong công tác đảm bảo an toàn thông tin, trong đó có thể tham khảo tiêu chuẩn TCVN ISO/IEC 27001:2009 về hệ thống quản lý an toàn thông tin; xây dựng và ban hành quy định về bảo mật thông tin, trong đó chú ý cả các trường hợp liên quan đến việc hủy tài liệu thiết bị trước khi loại bỏ và xóa bỏ quyền truy cấp thông tin của nhân viên sau khi kết thúc nhiệm vụ liên quan; xây dựng các quy định về an toàn thông tin cho từng nhóm đối tượng khác nhau; nâng cao nhận thức và một số kỹ thuật sử dụng an toàn hệ thống CNTT, tăng cường bồi dưỡng, đào tạo, thường xuyên kiểm tra, nhắc nhở cán bộ nhân viên về sự cần thiết của bảo mật cũng như việc thực hiện các biện pháp, quy định bảo mật của đơn vị. Đào tạo chuyên ngành về an toàn thông tin và quản trị an toàn hệ thống CNTT cho cán bộ CNTT chuyên trách.