NHÓM 1

PAGE

1


ĐỀ TÀI

CÁC ĐIỂM CHÍNH NGHỊ ĐỊNH CỦA CHÍNH PHỦ VIỆT NAM VỀ VIỆC ĐẢM BẢO AN
TOÀN THÔNG TIN VÀ SYSTEMS HACKING

PAGE

2


PHẦN A: TỔNG QUAN VỀ CÁC NGHỊ ĐỊNH CỦA CHÍNH PHỦ VỀ ATTT
Điều 1: Phạm vi và đối tượng áp dụng



PAGE

Quy định này bao gồm các điều kiện tối thiểu phải tuân thủ nhằm đảm bảo an toàn thông tin trên môi
trường máy tính, mạng máy tính và các hệ thống có khả năng tiếp cận thông tin số.

3


PHẦN A: TỔNG QUAN VỀ CÁC NGHỊ ĐỊNH CỦA CHÍNH PHỦ VỀ ATTT

Điều 2. Giải thích từ ngữ



 “Đảm bảo an toàn thông tin” :là đảm bảo tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin.



“Mật khẩu phức tạp”:

─

Có tối thiểu 8 ký tự.

─

Gồm tối thiểu 3 trong số 4 loại ký tự sau: chữ cái viết hoa (A-Z), chữ cái viết thường (a-z), chữ số (0-9), các ký tự khác trên bàn phím máy tính
(~, !, …).



“Thuật toán mã hóa an toàn”: là thuật toán mã hóa theo tiêu chuẩn Việt Nam hoặc thế giới mà tại thời điểm áp dụng chưa có công bố thuật toán
đó đã bị giải hoặc nếu có khả năng giải thì thời gian giải thuật toán này dài hơn thời gian dữ liệu cần được bảo vệ dưới dạng mã hóa.

PAGE

4


PHẦN A: TỔNG QUAN VỀ CÁC NGHỊ ĐỊNH CỦA CHÍNH PHỦ VỀ ATTT

Điều 3. Nguyên tắc chung về đảm bảo ATTT



PAGE

Việc bảo đảm an toàn thông tin là yêu cầu bắt buộc các đơn vị, người dùng phải được tập huấn kiến thức chung về an toàn thông tin trên
môi trường máy tính, mạng máy tính.

5


Chương 2: QUY ĐỊNH CỤ THỂ
Điều 4. Đảm bảo an toàn mức vật lý



1. Các khu vực sau phải được kiểm soát truy cập vật lý để phòng tránh truy cập trái phép hoặc sai mục đích.



2. Người dùng sử dụng các thiết bị lưu trữ dữ liệu di động có trách nhiệm bảo vệ các thiết bị này và thông tin lưu trên thiết bị, tránh làm
mất, lộ thông tin.



3. Các thiết bị lưu trữ không sử dụng tiếp cho công việc của đơn vị (thanh lý, cho, tặng) phải được xóa nội dung bằng phần mềm hoặc
bằng thiết bị hủy dữ liệu chuyên dụng hay phá hủy vật lý.

PAGE


6


Điều 5. Đảm bảo an toàn máy tính làm việc



1. Máy tính phục vụ công việc.



2. Nghiêm cấm máy tính của cá nhân chưa cài đặt phần mềm phòng diệt virus và cập nhật mẫu phát hiện virus kết nối vào hệ thống
mạng nội bộ của đơn vị.

PAGE

7


Điều 6. Đảm bảo an toàn hệ thống mạng máy tính


 Hệ thống mạng nội bộ phải được bảo vệ bằng tường lửa đáp ứng đủ các yêu cầu ATTT.



Hệ thống mạng không dây (nếu có) phải đáp ứng các điều kiện tối thiểu ATTT:




Thiết bị phần cứng phải có chứng nhận Wi-Fi (chứng nhận của Liên minh Wi-Fi (www.wi-fi.org) cho sản phẩm đạt tiêu chuẩn
802.11).



Các điểm truy cập không dây được bảo vệ tránh bị tiếp cận trái phép.


Điều 7. Đảm bảo an toàn kết nối Internet



1. Đơn vị áp dụng các biện pháp cần thiết để đảm bảo an toàn thông tin trong hoạt động kết nối Internet của người dùng.



2.Đối với máy chủ và thiết bị công nghệ thông tin khác, chỉ thiết lập kết nối Internet cho các hệ thống cần phải có giao tiếp với Internet.



3. Nghiêm cấm máy tính dùng để soạn thảo, in ấn, lưu trữ bí mật Nhà nước kết nối vào Internet.

PAGE

9


Điều 8. Đảm bảo an toàn mức ứng dụng



1. Yêu cầu về đảm bảo an toàn thông tin phải được đưa vào tất cả các công đoạn liên quan đến ứng dụng



2. Ứng dụng do đơn vị phát triển hoặc thuê phát triển phải đáp ứng yêu cầu sau:

─

 Mã hóa thông tin nhạy cảm bằng thuật toán mã hóa an toàn.

─

Kiểm tra tính hợp lệ của dữ liệu đầu vào và đầu ra để đảm bảo dữ liệu chính xác và phù hợp.


Điều 9. Đảm bảo an toàn mức dữ liệu


Các nội dung mật, quan trọng hoặc nhạy cảm khi lưu trữ trên thiết bị di động hoặc truyền nhận trên hệ thống mạng phải được mã hóa.



Chỉ sử dụng hệ thống thư điện tử và các công cụ trao đổi thông tin do đơn vị quản lý trực tiếp, hoặc các cơ quan Nhà nước, các tổ chức
có thẩm quyền cung cấp để trao đổi thông tin, tài liệu làm việc.

PAGE

11



Điều 10. Đảm bảo an toàn trong hoạt động trao đổi thông tin



Là hoạt động giám sát an toàn hệ thống thông tin bao gồm: 



Giám sát luồng thông tin được gửi, nhận qua mạng. 



Giám sát hoạt động tại máy tính, thiết bị xử lý thông tin có kết nối mạng.



Bảo đảm độ tin cậy tính toàn vẹn và bí mật của nội dung thông tin trong việc gửi, nhận văn bản trên môi trường mạng.



Bảo đảm tính chính xác, đầy đủ, kịp thời của thông tin, văn bản được trao đổi an toàn.

PAGE

12


Điều 11. Sao lưu, dự phòng sự cố



1. Đơn vị phải có thiết bị và quy trình, nhân sự phục vụ công tác sao lưu dữ liệu phòng ngừa sự cố; định kỳ kiểm tra tác dụng của dữ
liệu sao lưu và phục hồi thử hệ thống từ dữ liệu sao lưu.



2. Đối với các hệ thống mạng và ứng dụng quan trọng phải có biện pháp dự phòng về thiết bị, phần mềm, để đảm bảo sự hoạt động liên
tục của hệ thống.

PAGE

13


Điều 12. Tài khoản công nghệ thông tin



1.Tài khoản người dùng.



2.Phương tiện xác thực tài khoản.

PAGE

14


Điều 13. Đảm bảo an toàn trong công tác quản trị hệ thống




1. Máy tính dùng để quản trị hệ thống chỉ được cài đặt các phần mềm cần thiết.



2. Thay đổi tên tài khoản và mật khẩu mặc định của quản trị hệ thống được cung cấp khi hệ thống được thiết lập.



3. Sử dụng kênh trao đổi thông tin an toàn (có mã hóa) cho truy cập quản trị hệ thống.

PAGE

15


Điều 14. Quản lý ATTT



1. Đơn vị phải phân công nhân sự quản lý an toàn thông tin
trên môi trường máy tính và mạng máy tính.



2.Phải có quy trình cụ thể về việc phát hiện, báo cáo, xử lý và
quản lý hoạt động khắc phục các sự cố liên quan đến an toàn
thông tin tại đơn vị.




3. Các hệ thống an ninh mạng phải được giám sát thường
xuyên.

16


Chương 3. MỘT SỐ QUY ĐỊNH VỀ XỬ PHẠT ATTT



Căn cứ vào Hiến pháp nước Cộng hoà xã hội chủ nghĩa Việt Nam năm 1992 đã được sửa đổi, bổ sung theo Nghị quyết số 51/2001/QH10 ngày 25
tháng 12 năm 2001 của Quốc hội khoá X, kỳ họp thứ 10.



Điều 75. Giải quyết tranh chấp về công nghệ thông tin



1. Tranh chấp về công nghệ thông tin là tranh chấp phát sinh trong hoạt động ứng dụng và phát triển công nghệ thông tin.



2. Khuyến khích các bên giải quyết tranh chấp về công nghệ thông tin thông qua hòa giải; trong trường hợp các bên không hòa giải được
thì giải quyết theo quy định của pháp luật.

PAGE


17


Chương 3. MỘT SỐ QUY ĐỊNH VỀ XỬ PHẠT ATTT



Điều 76. Hình thức giải quyết tranh chấp
về đăng ký, sử dụng tên miền quốc gia Việt Nam
“.vn”



Tranh chấp về đăng ký, sử dụng tên miền quốc gia
Việt Nam “.vn” được giải quyết theo các hình thức sau
đây:



1. Thông qua thương lượng, hòa giải.



2. Thông qua trọng tài.



3. Khởi kiện tại Tòa án.


PAGE



Điều 77. Xử lý vi phạm pháp luật về công nghệ thông tin



1. Cá nhân có hành vi vi phạm pháp luật về công nghệ thông tin thì tùy theo tính chất, mức độ vi phạm mà bị
xử lý kỷ luật, xử phạt hành chính hoặc bị truy cứu trách nhiệm hình sự, nếu gây thiệt hại thì phải bồi thường
theo quy định của pháp luật.



2. Tổ chức có hành vi vi phạm pháp luật về công nghệ thông tin thì tùy theo tính chất, mức độ vi phạm mà bị
xử phạt hành chính, đình chỉ hoạt động, nếu gây thiệt hại thì phải bồi thường theo quy định của pháp luật.

18


Chương 4.
DANH MỤC CÁC DỰ ÁN CỦA NHÀ NƯỚC VỀ ATTT

PAGE

19


PHẦN B: SYSTEM HACKING


PAGE

20


CHƯƠNG I: TỔNG QUAN VỀ SYSTEM HACKING



Tấn công hệ thống (System hacking) bao gồm những kỹ thuật lấy
username, password dựa vào phần mềm cài trên hệ thống hoặc tính
dễ cài đặt và chạy các dịch vụ từ xa của hệ điều hành window.
Nâng quyền trong hệ thống, sử dụng keyloger để lấy thông tin, xóa
những log file hệ thống.

21


CHƯƠNG I: TỔNG QUAN VỀ SYSTEM HACKING



1. Giới thiệu system hacking



System hacking bao gồm những kỹ thuật lấy username,
password dựa vào phần mềm cài trên hệ thống hoặc tính dễ
cài đặt và chạy các dịch vụ từ xa của hệ điều hành window.
Nâng quyền trong hệ thống, sử dụng keyloger để lấy thông

tin, xóa những log file hệ thống.

PAGE

22


2. Tấn công mật khẩu người dùng



PAGE

Hacker có thể dùng chương trình pwdump7 để lấy từ registry
ra username và dữ liệu băm của password dưới dạng một file
text.

23


2. Tấn công mật khẩu người dùng



Sử dụng chương trình pwdump3 khi được một user có quyền
administrator để tìm được thông tin của các user còn lại.



Hacker cũng có thể sử dụng các chương trình bắt mật khẩu

(password sniffer) khi có quá trình login và xác thực xãy ra trên
mạng.

PAGE

24


3. Công cụ


PAGE

Pwdump3, pwdump4, pvdump7, Cain, LC, LCP, SamInside. LC hay LOphtcrack có khả năng bắt mật khẩu trên đường truyền với
phương pháp chứng thực là LM và NTLM của window NT trở về trước. Kerbcrack sử dụng bắt mật khẩu với window 2000/XP có chứng
thực Kerberos.

25