• Thứ Tư, 29/04/2009 06:54 (GMT+7)

    Kiểm định phần mềm an toàn thông tin

    Kiểm định chất lượng phần mềm (PM) về ATTT là một công việc còn khá mới mẻ tại Việt Nam. Ngày 23/3 tại Hà Nội, phòng thí nghiệm ATTT (VISL) lần đầu tiên đã công bố chất lượng các PM diệt virus, mã độc hại phổ biến trên thị trường. Tạp chí TGVT-sêri B đã trao đổi với TSKH Nguyễn Khắc Việt, quyền giám đốc VISL, xung quanh vấn đề này.

    Thưa ông, việc kiểm định chất lượng các PM ATTT là khái niệm còn khá mới mẻ tại Việt Nam. Xin ông nói rõ hơn về công việc này ?

    Phòng thí nghiệm trọng điểm ATTT (VISL) là cơ quan quản lý nhà nước được Chính Phủ giao chức năng kiểm định các sản phẩm ATTT, công bố kết quả kiểm định các PM diệt virus, mã độc hại đang được sử dụng phổ biến tại Việt Nam. Ngoài ra, VISL còn có đặc thù là cơ quan thuộc bộ Quốc Phòng nên ngoài chức năng kiểm định các PM ATTT phổ biến còn nghiên cứu, kiểm định các sản phẩm ATTT cho bộ Quốc Phòng. Hoạt động của VISL tuân thủ theo các quy định về nghiên cứu khoa học của bộ Khoa học Công Nghệ và bộ Quốc Phòng. Đây là một lĩnh vực còn khá mới mẻ nhưng hết sức cần thiết nhằm góp phần định hướng cho người dùng trong nước cũng như giúp cơ quan quản lý nhà nước có những kết quả khảo sát, nghiên cứu, kiểm định khoa học nhất.

    Hiện nay, các nhà sản xuất thường tự công bố tiêu chuẩn chất lượng và tự chịu trách nhiệm về chất lượng sản phẩm đã công bố. Vậy tại sao cần phải kiểm định chất lượng các PM diệt virus, thưa ông ?

    Tôi có thể lấy một hình ảnh rất thực tiễn để so sánh: PM diệt virus cần thiết cho máy tính chẳng khác nào người ốm cần kháng sinh để chống lại bệnh tật. Đối với các loại kháng sinh, mặc dù các nhà sản xuất đã công bố tiêu chuẩn chất lượng nhưng cơ quan quản lý nhà nước vẫn thường xuyên kiểm định để đảm bảo chắc chắn các sản phẩm đó an toàn. Các PM diệt virus máy tính cũng có vai trò rất quan trọng trong việc bảo vệ ATTT và việc kiểm định, công bố chất lượng là hết sức cần thiết. Công việc này vẫn được tiến hành thường xuyên trên thế giới.

    Việc kiểm định chất lượng các sản phẩm ATTT được tiến hành như thế nào, thưa ông ?

    Các nước tiên tiến trên thế giới đã xây dựng được các tiêu chí, các chuẩn tương đối hoàn thiện trong lĩnh vực này. Chúng ta đang ở giai đoạn tìm tòi một mô hình phát triển cho Việt Nam để kịp tiếp cận với trình độ của các nước tiên tiến. Phương pháp luận và tiêu chí đánh giá của chúng tôi hoàn toàn tuân thủ theo các chuẩn mà các tổ chức có uy tín trên thế giới như VB, WildList, AV-Test... đang thực hiện.

    VISL với chức năng nhiệm vụ được giao đã bắt đầu triển khai việc kiểm định một số PM về ATTT trong và ngoài nước đang được sử dụng tại Việt Nam. Đây cũng là động lực thúc đẩy các công ty hoàn thiện sản phẩm của mình, qua đó tạo một môi trường cạnh tranh lành mạnh trong lĩnh vực này. Trong năm 2009, chúng tôi dự kiến sẽ công bố các kết quả kiểm định về một số sản phẩm phòng chống virus và mã độc hại theo định kỳ hàng quý hoặc nửa năm và sẽ có các đợt kiểm định theo yêu cầu của nhà sản xuất.

    Kiểm định chất lượng PM ATTT tại VISL

    Ông đánh giá như thế nào về kết quả kiểm định chất lượng các sản phẩm ATTT lần đầu tiên được công bố ?

    Trong đợt kiểm định đầu tiên này, VISL đã tổ chức đánh giá 5 PM diệt virus là: G-Data, CMC IS, Avira AV, BitDefender AV và AVG. Đây là những PM đang được sử dụng phổ biến trên thị trường Việt Nam, trong đó CMC IS là sản phẩm diệt virus do công ty CMC InfoSec của Việt Nam phát triển, 4 sản phẩm còn lại là những PM diệt virus của nước ngoài.
    Trong 5 sản phẩm thử nghiệm, G-Data AV dẫn đầu với 98,52% mẫu virus được phát hiện và thời gian quét là 19 phút 51 giây. Các vị trí tiếp theo lần lượt là CMC IS: 97,86% virus được phát hiện, Avira AV: 96,48%, BitDefender: 92,91% và AVG: 80,15%.

    Theo kế hoạch, VISL sẽ tiến hành kiểm định với một danh mục lớn hơn các PM đang được sử dụng tại Việt Nam và “đóng dấu chất lượng” cho các sản phẩm đạt được tiêu chuẩn đề ra.

    Một trong những điểm “nhạy cảm” nhất trong tất cả các cuộc thử nghiệm PM diệt virus là tính phổ biến và khách quan khi lấy mẫu, VISL đã xử lý vấn đề này như thế nào ?

    Yếu tố quan trọng nhất để có một kết quả đánh giá chính xác và khách quan là danh mục các mẫu virus, mã độc hại dùng để kiểm định. VISL sau khi nghiên cứu các phương pháp kiểm định phổ biến trên thế giới đã đầu tư nhiều công sức để có một danh mục hơn 60 nghìn mẫu virus đang hiện diện trên môi trường thực tế.

    Trong danh sách mẫu này, chúng tôi có 13,23% virus dạng backdoor, 21,38% trojan, gần 9% worm, 5,83% malware, hơn 42% virus file, 5,14% virus macro và hơn 3% các loại khác. Tỷ lệ này được chúng tôi lựa chọn dựa trên xu hướng phát tán virus năm 2008 chủ yếu là virus file (trên 80%). Thời gian gần đây cũng gia tăng các loại virus MSDos. Các PM đưa vào test được cài đặt theo đúng hướng dẫn của nhà sản xuất trên môi trường phần cứng và PM đồng nhất và cùng thử nghiệm với danh sách mẫu virus, mã độc giống nhau.

    Xin trân trọng cảm ơn ông !

    Đức Minh (thực hiện)

    ID: B0904_64