nhỮng thÁch thỨc vỀ an ninh thÔng tin trong xÂy dỰng vÀ triỂn khai chÍnh phỦ...

Võ Thái Lâm |W: www.lactien.com | E: [email protected] | M: 0903 83 93 90

NHỮNG THÁCH THỨC VỀ AN NINH THÔNG TIN TRONG XÂY DỰNG VÀ TRIỂN KHAI CHÍNH PHỦ ĐIỆN TỬ

Tóm tắt Chính phủ là thành phần duy nhất cung cấp các dịch vụ hành chính công cho người dân và cho các

doanh nghiệp. Các công dân điện tử sử dụng các dịch vụ của chính phủ điện tử và họ hy vọng rằng các dữ

liệu trao đổi của mình luôn được đảm bảo an toàn một cách tuyệt đối. Chính điều này đã gây ra một áp

lực cho những người quản lý hạ tầng trong các dịch vụ của chính phủ điện tử.

Không như các dịch vụ khác, các máy chủ chạy các ứng dụng chính phủ điện tử sẽ chứa toàn bộ

các thông tin nhạy cảm về người dân và doanh nghiệp, kể cả các bí mật nhà nước mà nếu bị lộ - lọt ra

ngoài, điều đó sẽ gây nên những hậu quả vô cùng lớn.

Trong bài trình bày này chúng tôi sẽ chỉ ra những thách thức về mặt an toàn an ninh thông tin với

việc xây dựng chính phủ điện tử, bao gồm cả những thách thức về mặt kỹ thuật lẫn những thách thức phi

kỹ thuật và cố gắng đưa ra những giải pháp cho các thách thức này.

Bài trình bày có sử dụng tư liệu của các hãng bảo mật nổi tiếng trên thế giới, các nghiên cứu về

an ninh thông tin trong chính phủ điện tử ở các nước đang phát triển, các nghiên cứu của STC-eGOV –

một hiệp hội kỹ thuật đặc biệt chuyên về chính phủ điện tử, báo cáo của Đại học Stockholm – Thụy Điển

về mô hình đảm bảo An ninh thông tin cho các chính phủ điện tử và trường hợp của Tanzania.

1. Khái niệm chính phủ điện tử tại Việt Nam

1.1. Khái niệm

Chính phủ điện tử là chính phủ ứng dụng công nghệ thông tin và truyền thông nhằm tăng hiệu

quả hoạt động của các cơ quan chính phủ, phục vụ người dân và doanh nghiệp tốt hơn.

1.2. Người dân là trung tâm

Trong quá trình phát triển chính phủ điện tử, lấy người dân làm trung tâm là một định hướng cho

phát triển. Khái niệm đó được hiểu như sau:

Thông tin người dân cung cấp cho một cơ quan chính phủ sẽ được đưa đến và có giá trị tại các cơ

quan khác của chính phủ;

Các cơ quan chính phủ lấy người dân làm trung tâm chính trong toàn bộ các nỗ lực cung cấp thông

tin, dịch vụ công của chính phủ;

Người dân ngày càng được tham gia nhiều hơn vào quá trình quản lý của chính phủ, ra quyết định

của các cơ quan chính phủ, và giám sát các hoạt động của chính phủ.

1.3. Các quan hệ tương tác trong chính phủ điện tử

Việc cung cấp thông tin, dịch vụ trực tuyến, các quan hệ tương tác của chính phủ điện tử được

xác định trong mô hình chính phủ điện tử dựa trên các quan hệ giữa các cơ quan chính phủ, người dân,

doanh nghiệp, các cán bộ, công chức, viên chức, bao gồm các quan hệ sau:

http://www.lactien.com/

mailto:[email protected]


Chính phủ và người dân (G2C);

Chính phủ và các doanh nghiệp (G2B);

Giữa các cơ quan chính quyền các cấp với nhau và trong các cơ quan chính phủ (G2G); giữa các

cơ quan chính phủ với các cán bộ, công chức, viên chức (G2E). Quan hệ G2G và G2E thường được

gọi chung là G2G.

Đôi khi người ta cũng xác định rõ cả chiều của quan hệ tương tác, như trong quan hệ giữa chính

phủ và người dân, thì có quan hệ chính phủ với người dân (G2C) và quan hệ giữa người dân và

chính phủ (C2G). Tương tự như vậy có quan hệ giữa chính phủ và doanh nghiệp (G2B) và giữa

doanh nghiệp với chính phủ (B2G)

1.4. Mô hình thành phần

2. An ninh thông tin trong chính phủ điện tử Chính phủ điện tử là nơi cung cấp khả năng truy cập vào các dịch vụ của chính phủ bất cứ nơi nào

và bất cứ lúc nào từ hệ thống mạng Internet. Khu vực công đang ngày càng phụ thuộc vào công nghệ

thông tin và truyền thông để cung cấp thông tin và dịch vụ cho các đối tượng khác nhau. Nhưng sự phát

triển của chính phủ điện tử cũng dẫn đến những tác động an ninh ngoài ý muốn và khả năng dễ bị tổn

thương từ những hoạt động trên không giang mạng với tần suất ngày càng cao.

Để đối mặt với những thách thức này, chính phủ trên khắp thế giới phải phát triển các chiến lược

an ninh mạng hiệu quả. Một trong những vấn đề quan trọng và phát triển trong tương lai gần của chính




phủ điện tử là sự an toàn của cơ sở hạ tầng thông tin và các ứng dụng chạy trên các cơ sở hạ tầng đó. Sự

tin cậy (Trust) đóng một vai trò quan trọng để tăng hiệu quả và tần suất các giao dịch giữa người dân,

doanh nghiệp và các tổ chức của chính phủ. Kiểm soát chặt chẽ an ninh thông tin, đặc biệt là an ninh dữ

liệu là một trong những yếu tốt quan trọng quyết định sự thành công của một nền chính phủ điện tử.

Dịch vụ Chính phủ điện tử có mức độ khác nhau về độ nhạy cảm của dữ liệu nên thông thường

được xác thực qua nhiều lớp và nhiều phương thức khác nhau. Do đó hệ thống an ninh chính phủ điện tử

sẽ phải đáp ứng các yêu cầu sau: nên cung cấp nhiều phương pháp xác thực, ủy quyền, phát hành chứng

chỉ, thu hồi, kiểm toán, bảo mật, giải quyết xung đột, trách nhiệm giải trình, tính sẵn có, sự riêng tư, tính

toàn vẹn của thông tin, tính ẩn danh, khả năng mở rộng, đăng nhập một cửa…

Dưới đây là các đặc tính về an ninh mà các nền tảng chính phủ điện tử phải đáp ứng được:

Tính toàn vẹn của dữ liệu: các thông tin lưu trữ phải có khả năng không thể sửa đổi.

Tính bí mật: thông tin phải được cung cấp cho đúng người và không thể có chuyện cung cấp cho

những người không có thẩm quyền được xem.

Tính sẵn sàng: luôn đáp ứng các yêu cầu từ nhiều thành phần khác nhau.

Mặc dù còn nhiều mô hình khác nói rõ thêm như mô hình của Donn Paker đưa ra năm 2002 bao

gồm cả tính không thoái thác, hiệu suất, hiệu quả, chính xác… tuy nhiên tựu chung lại vẫn nằm trong 3

đặc tính cơ bản ở trên.

3. Các mối đe dọa về ANTT với chính phủ điện tử

3.1. Nghe lén dữ liệu (Sniffer) Việc theo dõi các dữ liệu được lưu chuyển trong hệ thống mạng có thể giúp cho người quản trị

nắm được tình hình hệ thống mạng mình đang kiểm soát. Tuy nhiên nó cũng có thể được sử dụng bởi

những “kẻ không có chức năng” này và từ đó có thể dẫn đến việc mất an toàn trong các giao dịch và kể cả

mất dữ liệu.

Sniffer thường được sử dụng vào 2 mục đích khác biệt nhau. Nó có thể là một công cụ giúp cho

các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình. Cũng như theo hướng tiêu cực nó có thể

là một chương trình được cài vài một hệ thống mạng máy tính với mục đích đánh hơi, nghe nén các thông

tin trên đoạn mạng này...Dưới đây là một số tính năng của Sniffer được sử dụng theo cả hướng tích cực

và tiêu cực :

- Tự động chụp các tên người sử dụng (Username) và mật khẩu không được mã hoá (Clear Text

Password). Tính năng này thường được các Hacker sử dụng để tấn công hệ thống của bạn.

- Chuyển đổi dữ liệu trên đường truyền để những quản trị viên có thể đọc và hiểu được ý nghĩa của

những dữ liệu đó.

- Bằng cách nhìn vào lưu lượng của hệ thống cho phép các quản trị viên có thể phân tích những lỗi

đang mắc phải trên hệ thống lưu lượng của mạng. Ví dụ như : Tại sao gói tin từ máy A không thể

gửi được sang máy B...

- Một số Sniffer tân tiến còn có thêm tính năng tự động phát hiện và cảnh báo các cuộc tấn công

đang được thực hiện vào hệ thống mạng mà nó đang hoạt động (Intrusion Detecte Service).

- Ghi lại thông tin về các gói dữ liệu, các phiên truyền…Tương tự như hộp đen của máy bay, giúp

các quản trị viên có thể xem lại thông tin về các gói dữ liệu, các phiên truyền sau sự cố…Phục vụ

cho công việc phân tích, khắc phục các sự cố trên hệ thống mạng.




3.2. Do thám (Probe) Là hành động do thám trên một hệ thống nhằm xác định các đặc tính cơ bản của hệ thống như

các ứng dụng đang chạy, hệ điều hành đang sử dụng… Các công cụ thường sử dụng như nmap, ipsweep,

portsweep..

3.3. Mã độc Là cụm từ chung chỉ các chương trình, các đoạn mã được thực thi trên các máy tính nhằm các

mục đích đánh cắp thông tin, phá hủy thông tin, cho phép truy cập trái phép từ xa… Mã độc bao gồm cả

virus, trojan và worm..

3.4. Tấn công vào hậ tầng Internet Các cuộc tấn công này thường ít xảy ra nhưng khi bị có thể làm ảnh hưởng trên diện rộng. Đó là

những cuộc tấn công vào các máy chủ DNS, các hệ thống lưu trữ lớn, tấn công vào các nhà cung cấp dịch

vụ mạng.. Các cuộc tấn công này sẽ gây ảnh hưởng trên diện rộng và ảnh hưởng đến các hoạt động hàng

ngày của các dịch vụ chính phủ điện tử.

3.5. Tấn công từ chối dịch vụ Đây có lẽ là một dạng tấn công đáng sợ nhất đối với hầu hết các dịch vụ trên Internet. Kẻ tấn công

có thể làm hết tài nguyên của nạn nhân (RAM, CPU, Băng thông…) và làm cho các dịch vụ không thể truy

cập được. Ở Việt Nam cũng vừa mới xảy ra hàng loạt các vụ tấn công lớn nhằm vào các trang báo điện tử.

Nếu các cuộc tấn công này nhằm vào hàng loạt các dịch vụ công của các cơ quan nhà nước thì hậu

quả thật đáng lo ngại.

3.6. Tấn công từ xa Là kiểu tấn công từ xa bằng cách gửi các gói tin đến hệ thống máy chủ và xác định các lỗ hổng

cũng như các điểm yếu của các hệ thống máy tính này và tấn công vào đó. Kẻ tấn công có thể sử dụng

hoặc tạo một tài khoản trên máy của nạn nhân và truy cập vào các hệ thống dữ liệu không được phép.

3.7. Leo thang đặc quyền Loại hình tấn công này được bắt đầu với việc kẻ tấn công sử dụng một tài khoản bình thường (

ví dụ tạo ra một “công dân giả”), sau đó sử dụng các lỗ hổng của hệ thống hoặc của ứng dụng để làm sao

cho tài khoản của mình có quyền như một admin và truy cập vào các tài nguyên không được phép.

3.8. Tấn công vào điểm yếu của các framework Đây là một lỗi khá phổ biến với các ứng dụng chính phủ điện tử ở Việt Nam, đặc biệt là các cổng

thông tin điện tử, các trang thông tin điện tử, các phần mềm tác nghiệp sử dụng các framework có sẵn..

Mặc dù về phương thức nó sẽ là một trong các kỹ thuật tấn công ở trên nhưng vì tính chất đặc biệt nên

chúng tôi liệt kê nó ra thành một loại hình riêng.

Khi doanh nghiệp cung cấp các ứng dụng cho CPĐT dựa trên một framework, một CMS hay một

Portal có sẵn nếu không thường xuyên cập nhật các lỗ hổng mới nhất của các nền tảng này thì những kẻ

tấn công sau khi tìm ra được phiên bản và framework sẽ dễ dàng tấn công vào các hệ thống vì các lỗi này

hầu như được công bố rộng rãi và liên tục. Điều này cũng đúng với các hệ điều hành máy chủ và máy trạm

khi không được thường xuyên nâng cấp các bản vá.




3.9. Xu hướng sử dụng các thiết bị di động Xu hướng này bao gồm cả việc sử dụng nhiều thiết bị khác nhau để cùng đăng nhập và làm việc

trên một hệ thống. Điều này gây ra những điểm yếu chết người khi mất mát thiết bị và bị lợi dụng tấn

công hoặc khi các thiết bị di động cài đặt các ứng dụng chưa rõ nguồn gốc và trở thành miếng mồi ngon

cho các kẻ tấn công lợi dụng.

3.10. Sự bùng nổ của mạng xã hội Người dùng có thể dễ dàng chia sẻ các thông tin bí mật lên Internet, thậm chí chia sẻ một cách

công khai (Public). Ngoài ra social engineering cũng là một kỹ thuật đang được sử dụng khá nhiều bởi

các hacker.

4. Tăng cường an ninh cho chính phủ điện tử từ góc độ phi kỹ thuật

4.1. Chính sách về ANTT Chính sách về ANTT là điểm rất quan trọng trong việc đảm bảo ANTT cho các hệ thống. Các chính

sách phải được đảm bảo tuân thủ bởi một cơ chế thực thi hiệu quả và đủ mạnh. Các chính sách thông

thường bao gồm:

Định nghĩa về người dùng và các quyền

Các hướng dẫn về cách phản ứng với các sự kiện khác nhau

Mô tả về môi trường vận hành, triết lý được sử dụng khi thực thi chính sách, các vấn đề pháp lý…

Phân tích các rủi ro, các tài sản và những vấn đề tác động đến các tài sản này cũng như chi phí khi

mất tài sản…

Các hướng dẫn cho người quản trị để quản trị hệ thống

4.2. Các best practice Là những hướng dẫn, những tiêu chuẩn hay thậm chí là những lời khuyên nên được áp dụng

hàng ngày để đảm bảo an ninh cho các hệ thống. Dưới đây là một số những practice tốt cho các hoạt

động quản trị an ninh hàng ngày:

Mật khẩu khó đoán và ngẫu nhiên càng tốt.

Sử dụng các công cụ an toàn khi xây dựng các hệ thống phần mềm

Thường xuyên cập nhật và vá các lỗ hổng phần mềm bằng các bản vá..

…

4.3. Các thủ tục Là các bước bắt buộc phải làm để đảm bảo an ninh cho các hệ thống dựa trên các chính sách về

an ninh thông tin. Các thủ tục như việc cấu hình, giám sát, thủ tục kết nối từ xa hay khi đi công tác, thủ

tục tạo các tài khoản mới, sử dụng mã hóa…

5. Tăng cường ANTT từ góc độ kỹ thuật và công nghệ

5.1. Công nghệ vận hành Thật không may là người quản trị hệ thống luôn phải đối mặt với hai nhiệm vụ đối lập nhau, đó là

vừa làm sao cho đơn giản và tiện ích với những người sử dụng thông thường và người sử dụng hợp pháp

nhưng lại vừa phải bảo vệ hệ thống trước các cuộc tấn công của những kẻ lạ mặt. Các hệ thống chính phủ

điện tử phải được chuẩn bị và triển khai các công nghệ dành cho cá nhân và công nghệ vận hành




(Operational Technology1) hằm phát hiện và xử lý ngay những giao dịch bất thường cũng như không đáng

tin cậy.

5.2. OTP Kẻ tấn công thường sử dụng nhiều cách thức khác nhau để lấy thông tin tài khoản và mật khẩu

của nạn nhân như nghe lén hoặc lừa bằng cách nào đó. Để đảm bảo an toàn cho các tài khoản, đặc biệt là

các tài khoản quản trị, quản lý… thì các hệ thống và các ứng dụng CPĐT nên sử dụng các giải pháp OTP

(One-time password). OTP có thể là các token hoặc các ứng dụng được cài lên các máy xác định từ trước

hoặc qua SMS.

5.3. Mã hóa thông tin Các thông tin truyền đi mà chưa được mã hóa sẽ rất nguy hiểm và có khả năng cao bị nghe lén, bị

đánh cắp. Có rất nhiều cách hiện nay để đảm bảo các tin tức gửi đi phải được mã hóa bằng một phương

thức nào đó và bất kể loại dữ liệu nào cũng có thể mã hóa, kể cả hình ảnh. Tính xác thực của dữ liệu cũng

có thể được bảo vệ bằng cách tương tự. Khi cần ta có thể gửi email cho đồng nghiệp bằng cách mã hóa

dữ liệu và cả chữ ký số. Khi người nhận nhận được một thông điệp, họ sẽ sử dụng một chìa khóa để mở

thông điệp và xác minh chữ ký điện tử của người gửi nhẳm đảm bảo dữ liệu gửi đi có nguồn gốc từ người

gửi và thông điệp vẫn đảm bảo tính toàn vẹn của nó như ban đầu.

5.4. Tường lửa và các thiết bị an ninh tích hợp Một firewall là một tập hợp các ứng dụng được cài đặt lên một thiết bị hoặc một server nhằm bảo

vệ cho người dùng và hệ thống mạng nội bộ khỏi các tác nhân bên ngoài. Gần đây các hãng bảo mật trong

và ngoài nước đã cho ra đời các thiết bị an ninh tích hợp là các UTM (Unified Threat Management) bao

gồm Firewall và các chức năng khác như Content Filtering, Load Balancer & Failover, QoS, VPN, IDS/IPS…

5.5. Các công cụ giám sát Xây dựng các hệ thống giám sát an ninh là một phương pháp phòng ngừa rủi ro khá hữu hiệu. Có

rất nhiều các hệ thống giám sát khá mạnh ( và cả miễn phí) để đáp ứng nhu cầu của các đơn vị. Tuy nhiên,

việc xây dựng hệ thống giám sát và giám sát lại phụ thuộc vào nhu cầu và chiến lược của từng đơn vị.

5.6. Kiểm thử, đánh giá các hệ thống định kỳ Các phương pháp tấn công ngày càng nhiều và càng tinh vi hơn, đòi hỏi người quản trị phải làm

đối mặt với một loạt những nguy cơ mất an toàn dữ liệu. Một trong những phương án khả thi nhất là

thường xuyên kiểm thử (Pennetration Testing) và đánh giá (Auditing) các hệ thống bao gồm từ cơ sở dữ

liệu, ứng dụng web, server, máy trạm, hệ thống wireless, chính sách An ninh thông tin… để tìm ra các điểm

yếu và khắc phục ngay khi chưa bị tấn công.

5.7. Chống thất thoát dữ liệu Theo thống kê của Synmatec, dữ liệu bị rò rỉ nhiều nhất từ các tổ chức chính phủ vẫn là thông tin

cá nhân, thông tin thẻ tín dụng, mật khẩu và tài khoản ở các ngân hàng – các dịch vụ trực tuyến, email…

Ngoài ra đối với các cơ quan chính phủ nó còn là các tài liệu bí mật và chỉ lưu hành nội bộ hoặc một số đối

tượng được xem. Các giải pháp DLP ( Data Leak Prevention) có thể đảm bảo những tài liệu xác định luôn

chỉ có thể lưu hành trong nội bộ, không thể gửi đính kèm file ra ngoài, kể cả khi chuyển sang dạng file ảnh

hay bất cứ định dạng nào khác.

1 Operational Technology là một thuật ngữ mới, nhằm chỉ các phần cứng, phần mềm có khả năng phát hiện những thay đổi về trạng thái và điều chỉnh chúng (khi cần) của các thiết bị có kết nối Internet.




6. Quy trình thiết kế và triển khai ANTT cho chính phủ điện tử Đánh giá các rủi ro

Xây dựng quy trình và chính sách

Đào tạo nhận thức

Triển khai các vấn đề kỹ thuật

Giám sát và phản hồi

Đánh giá mức độ tuân thủ

An ninh thông tin của một tổ chức nói chung và an ninh thông tin cho chính phủ điện tử nó là

một quá trình hình thành chứ không phải là một giải pháp dạng “Plug-and-play”. Hình vẽ dưới đây mô tả

cách tiếp cận khi thiết kế một chiến lược đảm bảo an ninh thông tin cho chính phủ điện tử.

6.1. Yêu cầu về ANTT hay đánh giá rủi ro Mỗi tổ chức đều có những rủi ro riêng và vấn đề của các tổ chức là xác định các rủi ro có thể xảy

ra và mức độ chấp nhận các rủi ro đó. Việc chấp nhận rủi ro tới đâu sẽ quyết định các yêu cầu về ANTT.

6.2. Quy trình – thủ tục và chính sách Từ yêu cầu về ANTT, có thể bắt tay vào xây dựng các quy trình, thủ tục và chính sách thể hiện

các yêu cầu đó. Nội dung bao gồm các kỳ vọng về ANTT, các hành động cụ thể khi có những sự kiện hay

sự cố xảy ra, các khả năng bị tấn công và cách đối phó…

6.3. Đào tạo nhận thức Trong tất cả các yếu tố để đảm bảo ANTT, yếu tố con người luôn là khâu trọng yếu. Nếu bản thân

đội ngũ vận hành có nhận thức tốt thì sẽ giảm thiểu rất nhiều nguy cơ mất an ninh và ngược lại. Đối với

các tỉnh khi thực hiện chiến lược chính phủ điện tử, nên có nguồn ngân sách đủ cho việc đào tạo nhận

thức cho toàn bộ đội ngũ vận hành.

6.4. Triển khai các giải pháp kỹ thuật Công nghệ bảo mật đang ngày một nhiều và giá thành không phải thấp, nhất là từ các hãng

nước ngoài. Việc đảm bảo ANTT như đã nói ở trên, nó phải bắt nguồn từ việc xác định các rủi ro có thể

xảy ra và khả năng chấp nhận các rủi ro đó, từ đó mới áp dụng các công nghệ và kỹ thuật tương ứng.

Từ quan điểm của chúng tôi, kỹ thuật chỉ là công cụ, quan trọng nhất vẫn là người vận hành nên

chúng. Đối với một số giải pháp kỹ thuật, chúng tôi tin rằng các giải pháp nguồn mở và các giải pháp

Đánh giá rủi ro/Yêu cầu an ninh thông tin

Xây dựng quy trình, thủ tục và chính sách.

Đào tạo nhận thức

Triển khai các giải pháp và sản phẩm kỹ thuật

Giám sát và phản hồi

Đánh giá sự tuân thủ




trong nước vẫn mang tính an toàn cao hơn so với các giải pháp nhập khẩu, đặc biệt là an ninh thông tin

cho chính phủ điện tử, một lĩnh vực cực kỳ nhạy cảm.

6.5. Giám sát và phản hồi Để triển khai một chương trình an ninh thông tin, nhất là ở cấp độ một tỉnh trở lên, điều chắc

chắn không chỉ đào tạo, triển khai các hệ thống công nghệ là đủ mà còn việc giám sát việc thực thi và

phản hồi lại độ hiệu quả của các chương trình đang áp dụng. Một chương trình an ninh hiệu quả bao

gồm cả việc giám sát các sự cố an ninh xảy ra và xử lý chúng. Nếu bất kỳ tổ chức hay đơn vị nào bỏ qua

những vi phạm về an ninh, khả năng thất bại và mất an ninh trong những sự cố tiếp theo là rất cao.

6.6. Đo lường sự tuân thủ Phải đảm bảo rằng các chương trình ANTT đang được áp dụng phải theo một chuẩn hay một

khuôn mẫu nào đó. Ngày nay có rất nhiều các chuẩn được các tổ chức trên thế giới phát triển và là những

best practice cho các đơn vị áp dụng. Các tổ chức và các đơn vị sẽ phải chứng tỏ cho công dân và doanh

nghiệp thấy rằng các thông tin giao dịch luôn được an toàn và trong tương lai, nếu có những phát hiện về

những lỗ hổng mới thì họ cũng đủ khả năng xử lý một cách chính xác nhất.

7. Kết luận An ninh thông tin luôn là vấn đề quan trọng hàng đầu trong các sáng kiến về chính phủ điện tử.

Trong trường hợp ở Việt Nam, chúng ta nhận thấy rằng không phải mọi đơn vị đều đã nhận thức được

một cách đúng đắn vai trò quan trọng của nó. Rất nhiều ứng dụng cho chính phủ điện tử chưa hề được

kiểm nghiệm một cách chặt chẽ về an ninh thông tin nhưng vẫn được đưa ra áp dụng rộng rãi. Mặt khác,

trong phần lớn các trường hợp các đơn vị ra quyết định triển khai các chương trình ANTT chỉ dựa trên việc

mua sắm ồ ạt các giải pháp, thiết bị của các hãng nước ngoài mà không để ý tới các khía cạnh khác.

Trong khuôn khổ báo cáo, chúng tôi chỉ có mong muốn chỉ ra những thách thức và cả những giải

pháp và cách tiếp cận để các đơn vị có thể áp dụng trong tình huống thực tế của mình.

Trong tương lai, chúng tôi hy vọng rằng mình có đủ thời gian và nguồn lực để tiếp tục nghiên cứu

các mô hình đánh giá mức độ an ninh của một mô hình chính phủ điện tử ở các cấp khác nhau, từ cấp

huyện, sở ban ngành, cấp tỉnh đến cả nước.

Tp. Hồ Chí Minh ngày 22/8/2013.

Võ Thái Lâm.



nhỮng thÁch thỨc vỀ an ninh thÔng tin trong xÂy dỰng vÀ triỂn khai chÍnh phỦ...

Documents