Lời giới thiệu
Chúng ta đang sống trong Kỹ nguyên thông tin. Mặc dù đi sau thế giới nhưng chúng ta đã bắt đầu cảm nhận được điều đó. Công việc hàng ngày bắt buộc chúng ta phải tiếp xúc và phụ thuộc nhiều vào những phương thức thông tin hiện đại như thư tín điện tử, giao dịch trực tuyến và hội thảo từ xa v.v. Chính phủ cũng bắt đầu tiến hành chương trình chính phủ điện tử đưa các dịch vụ công lên mạng. Tốc độ tăng trưởng của kết nối Internet và sử dụng Internet cũng minh chứng cho sự phát triển thông tin hóa đến từ cá nhân trong xã hội của chúng ta. Ngay bây giờ chúng ta phải thừa nhận sự phụ thuộc ngày càng tăng của chúng ta vào một hệ thống phức tạp của những máy tính và mạng máy tính.



Chúng ta cũng nhận thức rằng thông tin trở thành một tài nguyên quí giá cho một tổ chức hay doanh nghiệp không kém gì những nguồn tài nguyên truyền thống như nhân lực, vốn v.v. Chúng ta cũng bắt đầu thiết lập các hệ thống để thu thập , kiểm soát và phân tích thông tin. Và đối với không ít tổ chức và doanh nghiệp thông tin chính là sản phẩm. Không những vậy, các tổ chức hay doanh nghiệp còn gia tăng các kết nối thông tin với nhau và với thế giới để đẩy mạnh việc trao đổi thông tin.



Không chỉ các tổ chức và doanh nghiệp hưởng lợi trong cuộc cách mạng thông tin này, mạng Internet mang lại sự kết nối thông tin giữa các tổ chức đến cá nhân và sự kết nối giữa cá nhân với cá nhân. Sự chia sẽ thông tin trên một mạng công cộng như Internet mang lại cơ hội tiếp cận thông tin một cách công bằng cho mọi người trên hành tinh này.



Chúng ta không thể phủ nhận mặt tích cực của sự phát triễn này và chắc chắn rằng cũng không bước thụt lùi. Nhưng chúng ta cũng phải nhận thức được mặt trái của vấn đề này.

Một trong những ảnh hưởng tiêu cực là sự gia tăng của những mối đe đọa mới – bảo mật thông tin. Điều này là tất yếu trong khi chúng ta gia tăng những kết nối thông tin mà không có được sự phòng vệ tương ứng. Thư tín điên tử dùng để kết nối chúng ta với hàng triệu người, nối máy tính cá nhân vào mạng Internet để kết nối với hàng triệu máy tính thì mối đe dọa cũng có thể đến từ hàng triệu kết nối đó.



Vì vậy để được hưởng được thành quả từ việc đa dạng hóa, đa chiều hóa các kết nối mà vẫn có được sự an toàn thông tin, chúng ta cần có được sự nhận thức về bảo mật thông tin.



(Sưu tầm - Nhận thức bảo mật thông tin - Mr. Nguyễn Hữu Giáp (http://vnhacker.org/home/?hoithao2003_$$$) )

Vì sao chúng ta không được an toàn?
Cũng tương tự như bạn tham gia giao thông. Sự an toàn của bạn không những phụ thuộc vào các yếu tố khách quan như luật lệ giao thông, đường xá, sự an toàn của phương tiện giao thông mà còn phụ thuộc rất lớn vào nhận thức về an toàn giao thông của chính bạn. Nhưng trước tiên ta hãy xét đến sự an toàn của hạ tầng của ngành công nghệ thông tin - tức là chiếc xe mà bạn sẽ chạy.



Sự an toàn của hạ tầng công nghệ thông tin
Ngày 23 tháng 01 năm 2003, Ngài chủ tịch kiêm kiến trúc sư trưởng của hãng phần mềm số một thế giới Bill Gates đã gởi một lá thư ngỏ mang với chủ đề “Bảo mật trong một thế giới được liên kết”


Ngài Bill Gates đã cam đoan Microsoft hướng đến xây dựng một môi trường tính toán đáng tin cậy (Trustworthy Computing environment ) và để đáp ứng được điều này tính bảo mật trong các sản phẩm mới được tăng cường một cách mạnh mẽ.



Dựa trên những thảo luận với khách hàng và nội bộ, Microsoft phải xây dựng một một bộ khung (framework) dựa trên nền tảng là sự tăng cường tính năng bảo mật cho các sản phẩm này. Bộ khung bảo mật này có bốn mục tiêu:

Bảo mật trong thiết kế: các kỹ sư của Microsoft được đào tạo tăng cường về cách viết code bảo mật. Các kỹ thuật kiểm tra mới nhằm phát hiện các lỗi bảo mật.

Microsoft còn nguyên cứu phát triễn các kiến trúc phần mềm và phần cứng mới mà sẽ tăng cường tính bảo mật dữ liệu cho hệ thống PC.



Bảo mật ở mặc định: Trong quá khứ nhiều tính năng của phần mềm được bật lên nếu người sử dụng có thể sử dụng đến. Ngày nay, Mircosoft sẽ cấu hình mặc định cho sản phẩm ở dạng đóng (locked down). Có nghĩa là chỉ những tính năng cần thiết mới được bật và các tùy chọn bảo mật sẽ là mặc định.



Bảo mật trong triễn khai: Để giúp khách hàng triễn khai và duy trì các sản phẩm một cách bảo mật, Microsoft sẽ cập nhật và phát triễn các công cụ bảo mật. Tính năng tự động cập nhật các miếng vá lỗi của hệ thống Windows giúp người dùng giữ cho hệ thống được nâng cấp kịp thời.



Thông tin bảo mật: Tăng cường trao đổi thông tin bảo mật với khách hàng.


Trích dẫn lời của ngài Bill Gates, không nhằm mục đích quảng cáo cho các sản phẩm của Microsoft mà để cho chúng ta đặt ngược lại vấn đề. Nếu những giải pháp của ngài Bill Gates giúp cho chúng ta được an toàn hơn, thì những sản phẩm hiện tại của Micorsoft (thời điểm năm 2000 trở về trước) – không có được những tính năng tăng cường bảo mật này – liệu có giúp chúng ta an toàn không?



Mở rộng vấn đề ra với phần lớn các công ty phần mềm trên thế giới – những công ty mà không có những cam kết mạnh mẽ như Microsoft (tất nhiên có những công ty không cần phải cam kết gì vì sản phẩm của họ theo hướng bảo mật đã từ lâu như IBM) – liệu sản phẩm của họ có bảo mật không?



Điều có thể khiến nhiều người kinh ngạc là phần lớn cơ sở hạ tầng cùa công nghệ thông tin được xây dựng từ rất lâu và gần như không có định hướng bảo mật. Ví dụ là hệ thống Internet được xây dựng trên bộ giao thức TCP/IP mà phần lớn giao thức truyền dữ liệu ở dạng nguyên văn (plain text). Điều này tương tự như bạn gởi thư mà không bỏ vào phong bì dán kín và được chuyền tay hết người này đến người khác. Đường truyền trong mạng cục bộ được chia sẽ cho tất cả các nốt mạng, mà trong đó tín hiệu truyền tải không được mã hóa (mạng Hub). Bất cứ người dùng tò mò nào cũng có thể dùng chương trình hay phần cứng do thám để bắt mọi tín hiệu trong mạng. Bạn sẽ không ngạc nhiên nếu một ngày một nhân viên có thể đọc vanh vách nội dung của thư tín điện tử của sếp.

Rõ ràng rằng phần lớn hạ tầng của công nghệ thông tin là không bảo mật. Một vài sản phẩm được tăng cường tính bảo mật cũng không tạo nên sự an toàn tuyệt đối cho một giải pháp áp dụng công nghệ thông tin. Vì vậy vai trò của sự nhận thức về bảo mật thông tin trở nên hết sự quan trọng, để bạn có thể lái chiếc xe cũ kĩ đầy bất trắc trên con đường thông tin hóa hiện nay. Hãy bắt đầu từ việc bạn áp dụng phần mềm trong công việc của mình.



(Sưu tầm - Nhận thức bảo mật thông tin - Mr. Nguyễn Hữu Giáp (http://vnhacker.org/home/?hoithao2003_$$$) )

Mô hình áp dụng và sản xuất phần mềm thông thường
Khi bạn là tổ chức hay doanh nghiệp có nhu cầu áp dụng công nghệ thông tin vào công việc, việc đầu tiên là bạn chọn một nhà cung cấp phần mềm tin cậy. Sau khi hai bên cùng thống nhất về những tính năng cụ thể cho phần mềm và giá cả. Công ty phần mềm chịu trách nhiệm phân tích thiết kế và làm ra sản phẩm có những tính năng đã thỏa thuận với khách hàng. Sau khi phần mềm được triễn khai và chạy ổn định trong hệ thống, bạn có thể dễ dàng kiểm tra những tính năng đã thõa thuận. Bạn tin mình đã thành công trong việc áp dụng công nghệ thông tin phải không.



Ốp! Khi bạn thỏa thuận với nhà sản xuất phần mềm, bạn không đề cập đến tính năng bảo mật vì vậy không có áp lực nào cho nhà sản xuất phần mềm phải tăng cường tính bảo mật cho sản phẩm. Một lần nữa tính bảo mật không phải là tính mặc định cho phẩn mềm, không phải bạn mua Windows rồi chắn chắn nó bảo mật khi bạn dùng kết nối Internet, duyệt Web hay trao đổi thư tín điện tử.



Ngay cả khi bạn thống nhất về một số tính năng bảo mật với nhà sản xuất thì bạn cũng không đủ khả năng kiểm tra tính “bảo mật” của những tính năng bảo mật này. Dù vậy bạn có hoàn toàn có lý do để nghi ngờ tính bảo mật của các sản phẩm phần mềm. Trở lại bài diễn văn của ngài Bill Gates, khi một hãng phần mềm lớn nhất phải thừa nhận rằng họ phải đào tạo lại cho toàn bộ 8,500 kĩ sư của họ về cách viết chương trình bảo mật. Và hiện nay hiếm có công ty phần mềm nào có chính sách rõ ràng về bảo mật cho sản phẩm họ làm ra.



Về phía công ty phần mềm, bạn dựa vào lực lượng quản lý dự án và lập trình viên để sản xuất phần mềm. Điều khó khăn là nguồn nhân lực này rất ít được đào tạo về bảo mật thông tin. Phần lớn được đào tạo với suy nghĩ làm sao hoàn thành được một chức năng nào đó của một chương trình nào đó. Trình độ bảo mật của quản lý dự án cũng là một vấn đề lớn. Ngay khi bạn có một lập trình viên có kiến thức rất tốt về bảo mật, thì anh ta cũng không giúp cho sản phẩm bảo mật thêm tí nào khi người điều hành dự án hướng theo thiết kế kém bảo mật. Cuối cùng dù các lập trình viên của bạn đủ khả năng viết code bảo mật tốt nhưng phần mềm vẫn bị lỗi tổng quát về kiến trúc, các kết nối giửa các module (do khác người viết), các lỗi liên quan tới hệ thống hay các lỗi về triển khai phần mềm trên hệ thống (do các lập trình viên thiếu kiến thức về bảo mật hệ thống).



Sai lầm của các công ty phần mềm là tin tưởng vào khả năng làm ra sản phầm bảo mật của đội ngũ lập trình viên của mình. Sự nhận thức một cách không đây đủ và nghiệp dư đôi khi còn tai hại hơn là không biết gì. Ví dụ, tôi có xem một sản phẩm viết bằng VB và kết nối với cơ sở dữ liệu MSSQL. Chương trình này đòi hỏi phải đăng nhập với username và password. Và tùy theo vai trò được cài đặt cho mỗi user sẽ có quyền khác nhau. Tuy nhiên điều bất ngờ là chương trình có một file config ở dạng nguyên văn (plain text). Bạn có thể dễ dàng đọc được username/password để đăng nhập thẳng vào trong server MSSQL từ đó bạn có thể đọc trực tiếp dữ liệu chương trình và ngay cả các password dành cho những người dùng có quyền cao hơn. Về mặt kiến trúc thì phần mềm này sai hoàn toàn. Tuy nhiên nếu không có tính năng đăng nhập thì ta chỉ dùng phần mềm này cho người dùng tin tưởng (trusted user). Nhưng vì bạn tin vào tính năng này sử dụng rộng rãi cho mọi người trong công ty thì rắc rối to.



Điều không tránh khỏi là công ty phần mềm phải được trang bị các kiến thức bảo mật chuyên nghiệp như các tổ chức bảo mật lớn mới tránh khỏi những sai sót trong các sản phẩm phần mềm.



Tóm lại với mô hình áp dụng và sản xuất phần mềm theo hướng tính năng hiện nay, phần mềm làm ra là kết tinh của sự không quan tâm đến vấn đề bảo mật (no security in mind) của khách hàng lẫn công ty phần mềm. Vì vậy việc càng ngày càng nhiều lỗi bảo mật mới là điều không thể tránh khỏi.



(Sưu tầm - Nhận thức bảo mật thông tin - Mr. Nguyễn Hữu Giáp (http://vnhacker.org/home/?hoithao2003_$$$) )

Vai trò của người làm công tác bảo mật chuyên nghiệp (security expert)
Nhưng đã đề cập ở trên, các công ty phần mềm thường sai lầm trong việc dựa vào đội ngũ lập trình viên hay quản lý dự án để làm công tác bảo mật. Không phải các công ty này không có những người thật sự giỏi. Nhưng việc không tách rời vai trò của người làm công tác bảo mật ra khỏi các vị trí lập trình viên hay quản lý dự án thể hiện sự không rõ ràng và không chuyên nghiệp trong chính sách bảo mật của công ty. Tương tự trong các công ty và tổ chức áp dụng công nghệ thông tin việc mặc nhiên xem quản trị viên hệ thống là người làm công tác bảo mật cũng thể hiện sự không rõ ràng trong chính sách bảo mật.



Ngày nay, công tác bảo mật được nâng lên thành ngành khoa học bảo mật với lượng kiến thức khổng lồ và chuyên môn hóa cao. Vì vậy bạn không thể bắt một lập trình viên bất kì hay một quản trị viên bất kỳ kiêm nhiệm công tác bảo mật được. Cũng giống như lập trình viên và quản trị viên, người làm công tác bảo mật phải học tập thường xuyên nâng cao các kiến thức bảo mật, cập nhật các thông tin về bảo mật, họach định các chiến lược bảo mật, thanh tra hệ thống, đào tạo về nhận thức bảo mật cho nhân viên và đối phó với các sự cố về bảo mật v.v. Công việc của người công tác bảo mật hoàn toàn khác biệt với lập trình viên và quản trị viên và chắc chắn là kiến thức phải rộng hơn, bao quát hơn tập trung vào vấn đề bảo mật hơn là sự vận hành của hệ thống hay code chương trình.



Mô hình áp dụng và sản xuất phần mềm hướng bảo mật
Để đạt được mục tiêu này, cả khách hàng và công ty sản xuất phần mềm phải có được sự nhận thức về bảo mật (security in mind) trong việc áp dụng và sản xuất phần mềm.



Bạn là doanh nghiệp hay công ty áp dụng công nghệ thông tin, bạn phải có sự chính sách rõ ràng trong việc bảo mật thông tin, từ đó có chính sách chọn lựa nhà cung cấp phần mềm thích hợp. Bạn cũng chủ động kết hợp với nhà cung cấp phần mềm trong việc xác định các tính năng và yêu cầu về bảo mật thích hợp với môi trường kinh doanh hay hoạt động của mình. Bạn cũng phải có biện pháp kiểm tra các tính năng bảo mật của phần mềm trước đưa vào sử dụng rộng rãi. Bạn phải kết hợp với nhà cung cấp trong việc triễn khai, bảo dưỡng và nâng cấp phần mềm kịp thời khắc phục các lỗi bảo mật v.v.

Rõ ràng bạn để làm được điều này bạn cần có một chuyên gia về bảo mật của chính bạn.



Bạn là công ty sản xuất phần mềm, bạn phải có chính sách rõ ràng trong việc phát triễn phần mềm hướng bảo mật. Bạn phải có các chương trình đào tạo cho đội ngũ lập trình viên về kiến thức bảo mật thường xuyên liên tục. Bạn phải liên tục cập nhật các kiến thức về bảo mật mới. Bạn phải đưa vấn đề bảo mật ngay từ đầu trong quá trình phát triễn phần mềm – bảo mật từ kiến trúc. Và giám sát việc thực hiện bảo mật thuờng xuyên trong quá trình code. Nâng cao trình độ bảo mật cho các kiểm tra viên (tester) v.v. Nếu bạn là nhà cung cấp giải pháp trọn gói, bạn cũng phải cung cấp giải pháp bảo mật cho khách hàng.

Rõ ràng bạn để làm được điều này bạn cần có một chuyên gia về bảo mật.



Tuy nhiên trong thực tế hiện nay, ngay cả trên thế giới cũng thiếu rất nhiều các chuyên gia bảo mật giỏi, việc tìm một chuyên gia bảo mật giỏi rất khó và tốn kém.


(Sưu tầm - Nhận thức bảo mật thông tin - Mr. Nguyễn Hữu Giáp (http://vnhacker.org/home/?hoithao2003_$$$) )

Vai trò của các công ty bảo mật chuyên nghiệp
Các công ty bảo mật chuyên nghiệp là giải pháp cho việc khan hiếm chuyên gia về bảo mật hiện nay. Các công ty này tập trung được một đội ngũ chuyên gia giỏi có đủ khả năng cung cấp các dịch vụ về giải pháp bảo mật cho cả các tổ chức , công ty kinh doanh và cả các công ty phần mềm.



Nhận thức về bảo mật thông tin
Trong cơ sở hạ tầng công nghệ thông tin không theo hướng bảo mật, thì những kết nối đều mang lại những mối đe dọa đến sự an toàn của thông tin của bạn. Điều này không có nghĩa là bạn không đi trên con đường này nữa mà bạn chỉ cần phải nâng cao nhận thức của mình mà thôi.



Nhận thức sai lầm đầu tiên là “bảo mật” là cái bạn có thể mua được. Bạn mua phần mềm và bạn nghĩ rằng nó đồng nghĩa với sự an toàn được ghi trên tài liệu của phần mềm đó – với suy nghĩ này nhiều người triễn khai Windows 2k mà quên nâng cấp bản vá lỗi. Bạn mua một thiết bị bức tường lữa (firewall) đắt tiền và bạn nghĩ nó là bức tường lữa thì hẵn nó phải giúp bạn thoát khỏi âu lo bị tấn công – bạn quên rằng firewall cũng chỉ chống lại một số kiểu tấn công nhất định chưa kể nếu bạn thiết lập sai thì nó cũng không tác dụng gì. Vì vậy chỉ có nhận thức và nhận thức đúng đắn mới thật sự bảo vệ được bạn mà thôi.



Nhận thức sai lầm thứ hai là “bảo mật” là trách nhiệm của một vài người. Bạn thuê một chuyên gia giỏi và bạn yên tâm rằng hệ thống của mình đã được an toàn. Độ an toàn của hệ thống là ở mặt xích yếu nhất. Nếu bất cứ ai, bất cứ bộ phận nào có liên quan có tham gia vào hệ thống thông tin thì người đó bộ phận đó điều có trách nhiệm đến sự bảo mật của hệ thống. Nếu một nhân viên để lộ password thì người quản lý hệ thống cũng không kiểm soát nổi. Vì vậy nhận thức về bảo mật thông tin phải được truyền đạt cho mọi thành viên trong hệ thống.



(Sưu tầm - Nhận thức bảo mật thông tin - Mr. Nguyễn Hữu Giáp (http://vnhacker.org/home/?hoithao2003_$$$) )

Chính sách về bảo mật
Đối với doanh nghiệp hay tổ chức dù lớn hay nhỏ nếu bạn có nhu cầu bảo mật nguồn tài nguyên thông tin của mình, bạn phải có một cam kết bằng văn bản về bảo mật thông tin. Đó là chính sách về bảo mật (security policy). Chính sách về bào mật được xây dựng bởi chuyên gia bảo mật và cấp lãnh đạo. Bao gồm các phát biểu về các mục tiêu , các trách nhiệm và chi tiết những hoạt động cho phép, không cho phép.



Chính sách về bảo mật chỉ rằng cấp lãnh đạo mong muốn mọi người tập trung vào vấn đề bảo mật thông tin. Đồng thời vạch ra chiến lược bảo mật thích hợp. Việc bảo mật không đồng nghĩa với việc giảm năng động kém hiệu quả trong làm việc hay gia tăng chi phí. Chính sách về bảo mật tốt phải cân bằng và phù hợp với hoạt động của công ty hay tổ chức.



Kết luận
Nhận thức đúng về bảo mật thông tin là điều quan trọng đầu tiên để bạn có thể trở nên an toàn hơn trong một thế giới được kết nối. Có được nhận thức đúng bạn sẽ không quá thờ ơ để trở thành nạn nhân cho những vụ tấn công thông tin và bạn cũng không quá sợ hãi những mối nguy hiểm mà từ chối những lợi ích mà cuộc cách mạng thông tin đem lại.



Đối với các doanh nghiệp hay tổ chức theo hướng thông tin hóa các họat động mà khi đó việc bảo mật thông tin trở nên quan trọng. Việc đầu tiên bạn nên suy nghĩ tới là nâng cao nhận thức , phát triển nguồn nhân lực về bảo mật , những chính sách và chiến lược về bảo mật hơn là phung phí tiền vô ích để mua các sản phẩm bảo mật đắt tiền. Đối với các công ty phần mềm, bạn cần phải có sự cam kết rõ ràng về chính sách bảo mật. Nếu những lời cam kết mạnh mẽ của ngài Bill Gates không phải là biểu hiện của sự chuyển biến của nền công nghệ thông tin thì ít ra cũng là sự chuyển biến trong nhận thức theo hướng bảo mật.



Bảo mật thông tin sẽ là sự thúc đẩy to lớn cho việc thông tin hóa tất cả các hoạt động kinh doanh và xã hội. Nó là nền móng vững chắc cho việc áp dụng chính phủ điện tử và thương mại điện tử. Và bước đầu tiên chính là nhận thức về bảo mật thông tin.



(Sưu tầm - Nhận thức bảo mật thông tin - Mr. Nguyễn Hữu Giáp (http://vnhacker.org/home/?hoithao2003_$$$) )

Theo mình lĩnh vực security ở Vietnam rất khó ngoi dậy vào thời điểm này vì các điểm sau :

* Vietnam chưa có e-commerce củng như việc sử dụng e-money rộng rãi. Tại Mỹ, theo kinh nghiệm
đi làm consultant của mình, phần lớn các công ty quan tâm đến lĩnh vực security là nhung công ty về
e-commerce, nhà băng và các công ty chuyên về lĩnh vực financial. Tại Vietnam, số người sử dụng
credit card cung nhu online banking cũng không nhiếu nên họ nghĩ theo quan điểm "không có gì để
mất". Theo mình nếu có, thị trường của các công ty security sẽ rất nhỏ và chỉ hạn hẹp trong mộ số
công ty về financial.

* Nhận thức về security chưa được cao và chưa có big incident. "Big incident" theo ý mình đó là
chưa có một thiệt hại nghiêm trọng nào gây ra vì yếu về bảo mật. Mình chỉ thấy ở VN nói nhiếu về
hack và lấy password vao Internet của người khác, cái backdoor vào cai ISP, DNS hijacking...
tuy nhiên lại không có những chuyện như ngân hàng bị hack và chuyển tiền đi chổ khác, tài liệu
mật của công ty bị publish... Vì chưa có big incident nên các công ty cũng khong nhận thức được
việc thiếu bảo mật sẽ có hậu quả như thế nào. O My, nguoi ta để ý đến security vì co những người như
Kevin Mitnick, Dark Tangent cũng như là phương tiện truyền thông quảng bá về nhận thức security.

* Tại Vietnam chưa có luật để bắt các cong ty phải tập trung về security. Tai California, các
công ty về seucurity đã thành công lobby cho bộ luật mới về security được thông qua. Luật này bắt
buộc các cong ty có lưu trữ info của khách hàng phải thong báo cho khách hàng biết trong trường hợp
database của cong ty bị hacked (http://www.theregister.co.uk/content/55/31509.html). Tại Vietnam
khong co những luật như vậy nên các cong ty cũng không cần lo lắng gì cho việc thong tin khách hàng bị
tiết lộ ra ngòai, "từ từ rồi sửa cũng được". Thậm chí tại Mỹ mặc dù cũng có luật nhưng vẫn có một số công
ty phớt lờ. Mình có kinh nghiệm với công ty process credit card CCBill
(http://www.securitytracker.com/alerts/2003/Jul/1007100.html) mình đã thông báo cho công ty về lỗi ở
trong CGI script của họ tuy nhiên mình khong nhận được reply gì hết, nhưng CCBill lại âm tham thay đổi
cai script ở các client server một cách lặng lẽ. Tại My việc một cong ty bị phát hiện có lỗi ve security rất
là nguy hiểm cho danh tiếng của cong ty. Đáng tiếc ở Vietnam thì khong được như vậy.

Chỉ một chút ý kiến góp ý.

Thân,

Trihuynh

Theo tui thì lĩnh vực liên quan đến cụm từ hacker (chứ không phải security) ở VN giai đoạn này có thể phát triễn rất mạnh mẽ được nhờ vào 3 yếu tố sau:

- Ăn theo film The Matrix
- Mang tính thời trang (mà dân VN thì rất là thích thời trang và đánh bóng tên tuổi)
- E-Chip magazine

achxi@

Mình không biết Mr Nguyen Huu Giap la ai cũng như là bài viết này là một bài thuyết trình hay
là một bài báo, tuy nhiên nếu tựa đề bài là "nhận thức bảo mật" thì mình thấy nó hơi lạc đề
vì sau khi đọc xong mình không thấy mình nhận thức ra được điều gì hết. Vì theo mình nghĩ để
kêu gọi mọi người nhận thức về security thì phần quan trọng nhất phải nói về thiệt hại
nếu không nhận thức về nó. Một ví dụ cụ thể mình tìm thấy trong bài viết đó là việc lính đọc email của xếp tuy nhiên ví dụ đó không bật dậy được sự nguy hiểm. Theo mình, phải dùng những trường hợp củ thể và ảnh hưởng của nó trong việc thành công của một cong ty, uy tín cũng như khả năng sụp đổ (nếu công ty về software bị mất source code) bằng những trường hợp cụ thể
xảy ra ở Vietnam.

Mình chỉ có một điều buồn cười là Mr Giap noi ve Trustworthy Computing Push của Bill Gate
va coi đó không phải là một hành động "quảng cáo". Theo cuột kiểm nghiệm của Cenzic, (http://www.cenzic.com/)
Windows 2000 được ship cho khách hàng với 63,000 lổi. Windows XP, Microsoft chôm code
của opensource software Stackguard để ngăn ngừa Buffer Overflow (http://news.com.com/2100-1001-860328.html)
và chỉ trong vòng 1 tuần sau khi Windows XP được release, eEye tìm được một lỗi về buffer overflow trong UPNP service của XP. Theo mình Trustworthy Computing Pust là một hành động quảng cáo hòan tòan.

Chỉ vài lời bàn chơi. Mình hòan tòan không có ý gì.

Thân,
Trihuynh

Bài đó là của tôi, tuy nhiên nó là bài nháp chưa chặt chẽ lắm, hi vọng bài đọc ở hội thảo sẽ chặc chẽ hơn vì dược sự góp ý của các bạn.

Vì theo mình nghĩ để
kêu gọi mọi người nhận thức về security thì phần quan trọng nhất phải nói về thiệt hại
nếu không nhận thức về nó. Một ví dụ cụ thể mình tìm thấy trong bài viết đó là việc lính đọc email của xếp tuy nhiên ví dụ đó không bật dậy được sự nguy hiểm. Theo mình, phải dùng những trường hợp củ thể và ảnh hưởng của nó trong việc thành công của một cong ty, uy tín cũng như khả năng sụp đổ (nếu công ty về software bị mất source code) bằng những trường hợp cụ thể
xảy ra ở Vietnam.
Tôi không thích đem những nguy hiểm ra để "hù dọa" :yes: mọi người về bảo mật thông tin. Tôi muốn tiếp cận theo huớng khác, làm nổi bật tầm quan trọng của thông tin + những đe dọa đến với thông tin => bạn nhận thức được mình phải bảo mật thông tin. Điều đó không có có nghĩa là bạn hiểu dược phải làm gì mà ít ra bạn hiểu đuợc bạn phải làm điều đó (hi vọng là thế)


Mình chỉ có một điều buồn cười là Mr Giap noi ve Trustworthy Computing Push của Bill Gate
va coi đó không phải là một hành động "quảng cáo". Theo cuột kiểm nghiệm của Cenzic, (http://www.cenzic.com/)
Windows 2000 được ship cho khách hàng với 63,000 lổi. Windows XP, Microsoft chôm code
của opensource software Stackguard để ngăn ngừa Buffer Overflow (http://news.com.com/2100-1001-860328.html)
và chỉ trong vòng 1 tuần sau khi Windows XP được release, eEye tìm được một lỗi về buffer overflow trong UPNP service của XP. Theo mình Trustworthy Computing Pust là một hành động quảng cáo hòan tòan.
Có lẽ bạn đọc không kĩ nên mới hiểu sai ý tôi. Tôi nói rằng tôi trích lời billgate không phải là quảng cáo cho Mircosoft còn chuyện Billgate có quảng cáo hay không thì là chuyện của ông ấy, tôi không có ý kiến. Nhưng tôi muốn góp ý bạn 1 điều, nhiều người hay trích trích Mircosoft đó không phải là ý hay, nếu mình giỏi hơn thì cứ việc chỉ trích - tôi thì thấy Microsoft vẫn có nhiều thứ đáng học hỏi ngay cả trong lĩnh vực bảo mật.


Theo tui thì lĩnh vực liên quan đến cụm từ hacker (chứ không phải security) ở VN giai đoạn này có thể phát triễn rất mạnh mẽ được nhờ vào 3 yếu tố sau:

- Ăn theo film The Matrix
- Mang tính thời trang (mà dân VN thì rất là thích thời trang và đánh bóng tên tuổi)
- E-Chip magazine

heheh nếu đánh bóng tên tuổi thì phải khoe chiến công chứ. Tôi muốn viết một bài nói về thực chất của secuirty, tôi củng không phóng đại khả năng của hacker, cũng không kiu gào mua sắm các phần cứng phần mềm đắc tiền. Còn Matrix 2 thì tôi chưa xem. Về tính thời trang thì thật tình có những sức ép để tôi viết những bài mang tính hình sự 1 tí, nhưng tôi vẩn muốn giử nguyên tính chất như vậy. Và bài viết này không thiên về phòng chống hacker và nói về cách thức bảo mật không phải chống hacker mà chống tất cả những nguyên nhân gây ảnh hưởng để thông tin bao gồm hacker, virus, insider và cả thiên tai nửa v.v

Mục đích chính bài này là
1. Nhấn mạnh tầm quan trọng của bảo mật thông tin trong bối cảnh Việt nam tiến lên thông tin hóa toàn bộ các hoạt động kinh tế xã hội
2. Nếu ra sai sót trong nền CNTT hướng tinh năng và kiu gọi chuyển sang nền CNTT hướng bảo mật.
3. Nêu bật vai trò của người làm công tác secuirty chuyên nghiệp trong nền CNTT hướng bảo mật
4. Định hướng phát triển bảo mật trong các doanh nghiệp và tổ chức -> trước tiên phải bắt đầu từ nhận thức chứ không phải từ mua sắm máy móc phần mềm.
5. Kiu gọi mọi người bắt đầu suy nghĩ đến bảo mật thông tin vì nó là 1 trong những nhân tố giúp phát triển e-Commerce, e-Business, vả e-Goverment.
Tất nhiên tham vọng thì hơi nhiều, nhưng tôi tin rằng đây không phải là bài viết cuối cùng về đề tài "kiu gọi nhân thức về security ở việt nam" :yes: :yes:

Chỉ nói đùa một chút thôi, chứ các bạn trẻ có tâm huyết làm được gì thì dô - dô - dô cứ làm, với lại mấy câu chọt ngang hông của tui :-P không hề có ý nói về bài viết của bạn ba đô :-)

Tại mấy nay trong phòng có một ông già đọc e-chip online có mấy bài viết "thâm nhập thế giới hacker VN gì gì đó" nghe mắc cười không chịu được thôi ... thiết nghĩ cơm bình dân thì rẽ, nhiều màu mà không có ngon :-P. Nhưng có nó thì dân lao động cũng đỡ đói ... ;-)

achxi@

heheh tui cung dau co`n tre~ hehe tui cung rat tuc mi`nh ve nhung "huyen thoai" ve hacker do', ne^n hi vong se giup duoc moi nguoi (nhung nguoi chua biet tho^i, co`n anh em o day thi` khong dam mu'a ri`u qua mat tho)

Theo toi nhan xet o vietnam mi`nh thi truong bao mat ga^`n nhu khong co', cai chinh la` nhan thuc cua ca'c to chuc va doanh nghiep chua noi den van de bao mat thong tin ma` ngay ca? qua?n ly thông tin va ung dung cong nghe thong tin co`n thieu va` sai le^ch kha' nhieu. So doanh nghiep co' chuc danh CIO (chief information officer) co`n rat hiem dieu na`y chung to? muc do ap dung cong nghe thong tin co`n ke'm. Mot so anh em co' kha nang buoc ra thanh lap cac cong ty bao mat deu khong thanh cong lam hay song lay lat bang nghe kha'c nhu web, implement system v.v.

Vay chung ta ngo^`i khong trong cho su thay doi u? Tôi nghi co' dip chung ta cu noi , noi nhieu nua cho toi khi moi nguoi nhan thuc duoc khi do' thi` CNTT va` bao mat se phat trien va` anh em ta se co' viec la`m co' su phat trien ... tham chi nh em o nuoc ngoai co' the ve mo cong ty v.v.