• Thứ Ba, 07/02/2006 09:58 (GMT+7)

    Thiết kế an ninh mạng cần chuyên nghiệp

    Tạp chí TGVT seri B đã có cuộc phỏng vấn nhanh với ông Nguyễn Tử Quảng, trung tâm An Ninh Mạng (BKIS) về ANM tại Việt Nam 2005 cũng như dự báo cho năm tới.

     
        Ông Nguyễn Tử Quảng
    Ông đánh giá như thế nào về nhận thức người dùng đối với an ninh mạng (ANM) trong năm qua?

    Nhận thức của cả người dân lẫn các quản trị mạng đều đã được nâng cao rõ rệt, tuy nhiên như thế không có nghĩa là các MT và các hệ thống mạng đã được đảm bảo an ninh.

    Mọi người đã ý thức được nhưng hiện hầu hết chưa có các biện pháp đề phòng và tất nhiên rất ít nơi có chính sách ANM.

    Như vậy phương pháp phòng chống hiệu quả nhất là gì?

    ANM bao gồm rất nhiều vấn đề và cơ bản nó là cả 1 hệ thống bao gồm cả công nghệ, ý thức, các chính sách... vì thế khó có thể nói ngắn gọn là dùng phương pháp gì, vì phương pháp thường là nói đến các giải pháp công nghệ cụ thể. Thực tế, firewall hay IDS... không thể giải quyết được vấn đề, chúng chỉ là 1 công cụ trong chuỗi mắt xích thôi.

    Trong năm qua BKIS đã đến nhiều cơ quan quan trọng để khảo sát, tư vấn về ANM. Qua đó nhận thấy: Hầu hết các hệ thống đều chưa được quan tâm đến vấn đề an ninh ngay từ khâu thiết kế, chưa nói đến các vấn đề khác như chính sách hay công nghệ cao cấp. BKIS đã phải tư vấn cho họ quy hoạch lại toàn bộ hệ thống từ thiết kế mạng (gồm cả các vấn đề an ninh về hạ tầng) đến thiết kế an ninh cho ứng dụng, thiết lập sơ đồ hệ thống, chính sách an ninh... Kết quả, họ có được 1 hệ thống hiện đại, an toàn mà gần như không phải mua thêm thiết bị hay phần mềm gì sau đó.

    Như vậy phương pháp đảm bảo ANM hiệu quả không phải ở thiết bị hay giải pháp công nghệ mà ở khâu thiết kế hệ thống. Với các hệ thống trên, để đảm bảo ANM cần phải quy hoạch và thiết kế lại. Thực trạng hiện nay ở hầu hết các cơ quan đều có đầy đủ trang thiết bị nhưng thiếu bản thiết kế chuẩn, thiếu chính sách.
    Vấn đề mấu chốt là nhận thức về cách làm. Tôi cho rằng mọi người đã nhận thức được sự cần thiết của ANM nhưng còn lúng túng trong giải quyết do thiếu sự tư vấn độc lập và chuyên nghiệp

    Đó cũng là lí do khiến nhiều công ty làm dịch vụ ANM đã ra đời trong năm qua phải không, thưa ông?

    Cá nhân tôi thấy vẫn có nhiều công ty chưa chứng tỏ được sự chuyên nghiệp, phần lớn chạy theo giải pháp của một hãng bán thiết bị nào đó (làm đại lý và kiêm tư vấn ANM) chứ chưa phải tư vấn độc lập.

    Liệu có mô hình tham khảo nào về ANM cho mỗi cơ quan, tổ chức không?

    Tham khảo thì có, nhưng vẫn cần sự tư vấn chuyên nghiệp. Hiện nay nước Anh đã có chuẩn an toàn thông tin BS 7799 và tổ chức ISO quốc tế đang xây dựng chuẩn ISO 17799. Nhưng để các đơn vị tự triển khai là không thể vì nó đòi hỏi kinh nghiệm không chỉ về công nghệ mà cả về vấn đề chính sách và quản lý trong ANM

    Ông dự báo gì về tình hình ANM trong năm tới?

    Chắc chắn sẽ rất phức tạp với các vụ tấn công mới, các lỗ hổng bảo mật xuất hiện thường xuyên. Tuy nhiên, sẽ có những hacker bị xử lý theo pháp luật để làm gương cũng như để khởi đầu cho việc đưa vấn đề ANM vào khuôn khổ pháp luật. Thị trường đào tạo ANM cũng sẽ rất sôi động. Theo tôi, đã đến lúc phải đi vào thực chất vấn đề ANM. Trước đây chúng ta chỉ nói đến vấn đề cần thiết nâng cao ý thức, còn nay phải đề cập đến sự chuyên nghiệp trong phòng chống, tức là cần có đơn vị tư vấn chuyên nghiệp giúp đỡ.

    Tường Vy (thực hiện)

    ID: B0602_11