Hội thảo Hợp tác Phát triển CNTT-TT Việt Nam lần thứ 17 sẽ diễn ra tại khách sạn Xanh thành phố Huế từ ngày 29 đến 31/8/2013. Hội thảo do Bộ Thông tin và Truyền thông, UBND tỉnh Thừa Thiên Huế, Hội Tin học Việt Nam và Hội Tin học thành phố Hồ Chí Minh đồng tổ chức với chủ đề “Xây dựng hạ tầng CNTT-TT đồng bộ từ Trung ương đến địa phương tạo động lực phát triển kinh tế - xã hội” http://ict2013.thuathienhue.gov.vn/

1. Võ Thái Lâm |W: www.lactien.com | E: vothailam@lactien.com | M: 0903 83 93 90
NHỮNG THÁCH THỨC VỀ AN NINH THÔNG TIN TRONG XÂY
DỰNG VÀ TRIỂN KHAI CHÍNH PHỦ ĐIỆN TỬ
Tóm tắt
Chính phủ là thành phần duy nhất cung cấp các dịch vụ hành chính công cho người dân và cho các
doanh nghiệp. Các công dân điện tử sử dụng các dịch vụ của chính phủ điện tử và họ hy vọng rằng các dữ
liệu trao đổi của mình luôn được đảm bảo an toàn một cách tuyệt đối. Chính điều này đã gây ra một áp
lực cho những người quản lý hạ tầng trong các dịch vụ của chính phủ điện tử.
Không như các dịch vụ khác, các máy chủ chạy các ứng dụng chính phủ điện tử sẽ chứa toàn bộ
các thông tin nhạy cảm về người dân và doanh nghiệp, kể cả các bí mật nhà nước mà nếu bị lộ - lọt ra
ngoài, điều đó sẽ gây nên những hậu quả vô cùng lớn.
Trong bài trình bày này chúng tôi sẽ chỉ ra những thách thức về mặt an toàn an ninh thông tin với
việc xây dựng chính phủ điện tử, bao gồm cả những thách thức về mặt kỹ thuật lẫn những thách thức phi
kỹ thuật và cố gắng đưa ra những giải pháp cho các thách thức này.
Bài trình bày có sử dụng tư liệu của các hãng bảo mật nổi tiếng trên thế giới, các nghiên cứu về
an ninh thông tin trong chính phủ điện tử ở các nước đang phát triển, các nghiên cứu của STC-eGOV –
một hiệp hội kỹ thuật đặc biệt chuyên về chính phủ điện tử, báo cáo của Đại học Stockholm – Thụy Điển
về mô hình đảm bảo An ninh thông tin cho các chính phủ điện tử và trường hợp của Tanzania.
1. Khái niệm chính phủ điện tử tại Việt Nam
1.1. Khái niệm
Chính phủ điện tử là chính phủ ứng dụng công nghệ thông tin và truyền thông nhằm tăng hiệu
quả hoạt động của các cơ quan chính phủ, phục vụ người dân và doanh nghiệp tốt hơn.
1.2. Người dân là trung tâm
Trong quá trình phát triển chính phủ điện tử, lấy người dân làm trung tâm là một định hướng cho
phát triển. Khái niệm đó được hiểu như sau:
 Thông tin người dân cung cấp cho một cơ quan chính phủ sẽ được đưa đến và có giá trị tại các cơ
quan khác của chính phủ;
 Các cơ quan chính phủ lấy người dân làm trung tâm chính trong toàn bộ các nỗ lực cung cấp thông
tin, dịch vụ công của chính phủ;
 Người dân ngày càng được tham gia nhiều hơn vào quá trình quản lý của chính phủ, ra quyết định
của các cơ quan chính phủ, và giám sát các hoạt động của chính phủ.
1.3. Các quan hệ tương tác trong chính phủ điện tử
Việc cung cấp thông tin, dịch vụ trực tuyến, các quan hệ tương tác của chính phủ điện tử được
xác định trong mô hình chính phủ điện tử dựa trên các quan hệ giữa các cơ quan chính phủ, người dân,
doanh nghiệp, các cán bộ, công chức, viên chức, bao gồm các quan hệ sau:

2. Võ Thái Lâm |W: www.lactien.com | E: vothailam@lactien.com | M: 0903 83 93 90
 Chính phủ và người dân (G2C);
 Chính phủ và các doanh nghiệp (G2B);
 Giữa các cơ quan chính quyền các cấp với nhau và trong các cơ quan chính phủ (G2G); giữa các
cơ quan chính phủ với các cán bộ, công chức, viên chức (G2E). Quan hệ G2G và G2E thường được
gọi chung là G2G.
 Đôi khi người ta cũng xác định rõ cả chiều của quan hệ tương tác, như trong quan hệ giữa chính
phủ và người dân, thì có quan hệ chính phủ với người dân (G2C) và quan hệ giữa người dân và
chính phủ (C2G). Tương tự như vậy có quan hệ giữa chính phủ và doanh nghiệp (G2B) và giữa
doanh nghiệp với chính phủ (B2G)
1.4. Mô hình thành phần
2. An ninh thông tin trong chính phủ điện tử
Chính phủ điện tử là nơi cung cấp khả năng truy cập vào các dịch vụ của chính phủ bất cứ nơi nào
và bất cứ lúc nào từ hệ thống mạng Internet. Khu vực công đang ngày càng phụ thuộc vào công nghệ
thông tin và truyền thông để cung cấp thông tin và dịch vụ cho các đối tượng khác nhau. Nhưng sự phát
triển của chính phủ điện tử cũng dẫn đến những tác động an ninh ngoài ý muốn và khả năng dễ bị tổn
thương từ những hoạt động trên không giang mạng với tần suất ngày càng cao.
Để đối mặt với những thách thức này, chính phủ trên khắp thế giới phải phát triển các chiến lược
an ninh mạng hiệu quả. Một trong những vấn đề quan trọng và phát triển trong tương lai gần của chính

3. Võ Thái Lâm |W: www.lactien.com | E: vothailam@lactien.com | M: 0903 83 93 90
phủ điện tử là sự an toàn của cơ sở hạ tầng thông tin và các ứng dụng chạy trên các cơ sở hạ tầng đó. Sự
tin cậy (Trust) đóng một vai trò quan trọng để tăng hiệu quả và tần suất các giao dịch giữa người dân,
doanh nghiệp và các tổ chức của chính phủ. Kiểm soát chặt chẽ an ninh thông tin, đặc biệt là an ninh dữ
liệu là một trong những yếu tốt quan trọng quyết định sự thành công của một nền chính phủ điện tử.
Dịch vụ Chính phủ điện tử có mức độ khác nhau về độ nhạy cảm của dữ liệu nên thông thường
được xác thực qua nhiều lớp và nhiều phương thức khác nhau. Do đó hệ thống an ninh chính phủ điện tử
sẽ phải đáp ứng các yêu cầu sau: nên cung cấp nhiều phương pháp xác thực, ủy quyền, phát hành chứng
chỉ, thu hồi, kiểm toán, bảo mật, giải quyết xung đột, trách nhiệm giải trình, tính sẵn có, sự riêng tư, tính
toàn vẹn của thông tin, tính ẩn danh, khả năng mở rộng, đăng nhập một cửa…
Dưới đây là các đặc tính về an ninh mà các nền tảng chính phủ điện tử phải đáp ứng được:
 Tính toàn vẹn của dữ liệu: các thông tin lưu trữ phải có khả năng không thể sửa đổi.
 Tính bí mật: thông tin phải được cung cấp cho đúng người và không thể có chuyện cung cấp cho
những người không có thẩm quyền được xem.
 Tính sẵn sàng: luôn đáp ứng các yêu cầu từ nhiều thành phần khác nhau.
Mặc dù còn nhiều mô hình khác nói rõ thêm như mô hình của Donn Paker đưa ra năm 2002 bao
gồm cả tính không thoái thác, hiệu suất, hiệu quả, chính xác… tuy nhiên tựu chung lại vẫn nằm trong 3
đặc tính cơ bản ở trên.
3. Các mối đe dọa về ANTT với chính phủ điện tử
3.1. Nghe lén dữ liệu (Sniffer)
Việc theo dõi các dữ liệu được lưu chuyển trong hệ thống mạng có thể giúp cho người quản trị
nắm được tình hình hệ thống mạng mình đang kiểm soát. Tuy nhiên nó cũng có thể được sử dụng bởi
những “kẻ không có chức năng” này và từ đó có thể dẫn đến việc mất an toàn trong các giao dịch và kể cả
mất dữ liệu.
Sniffer thường được sử dụng vào 2 mục đích khác biệt nhau. Nó có thể là một công cụ giúp cho
các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình. Cũng như theo hướng tiêu cực nó có thể
là một chương trình được cài vài một hệ thống mạng máy tính với mục đích đánh hơi, nghe nén các thông
tin trên đoạn mạng này...Dưới đây là một số tính năng của Sniffer được sử dụng theo cả hướng tích cực
và tiêu cực :
- Tự động chụp các tên người sử dụng (Username) và mật khẩu không được mã hoá (Clear Text
Password). Tính năng này thường được các Hacker sử dụng để tấn công hệ thống của bạn.
- Chuyển đổi dữ liệu trên đường truyền để những quản trị viên có thể đọc và hiểu được ý nghĩa của
những dữ liệu đó.
- Bằng cách nhìn vào lưu lượng của hệ thống cho phép các quản trị viên có thể phân tích những lỗi
đang mắc phải trên hệ thống lưu lượng của mạng. Ví dụ như : Tại sao gói tin từ máy A không thể
gửi được sang máy B...
- Một số Sniffer tân tiến còn có thêm tính năng tự động phát hiện và cảnh báo các cuộc tấn công
đang được thực hiện vào hệ thống mạng mà nó đang hoạt động (Intrusion Detecte Service).
- Ghi lại thông tin về các gói dữ liệu, các phiên truyền…Tương tự như hộp đen của máy bay, giúp
các quản trị viên có thể xem lại thông tin về các gói dữ liệu, các phiên truyền sau sự cố…Phục vụ
cho công việc phân tích, khắc phục các sự cố trên hệ thống mạng.

4. Võ Thái Lâm |W: www.lactien.com | E: vothailam@lactien.com | M: 0903 83 93 90
3.2. Do thám (Probe)
Là hành động do thám trên một hệ thống nhằm xác định các đặc tính cơ bản của hệ thống như
các ứng dụng đang chạy, hệ điều hành đang sử dụng… Các công cụ thường sử dụng như nmap, ipsweep,
portsweep..
3.3. Mã độc
Là cụm từ chung chỉ các chương trình, các đoạn mã được thực thi trên các máy tính nhằm các
mục đích đánh cắp thông tin, phá hủy thông tin, cho phép truy cập trái phép từ xa… Mã độc bao gồm cả
virus, trojan và worm..
3.4. Tấn công vào hậ tầng Internet
Các cuộc tấn công này thường ít xảy ra nhưng khi bị có thể làm ảnh hưởng trên diện rộng. Đó là
những cuộc tấn công vào các máy chủ DNS, các hệ thống lưu trữ lớn, tấn công vào các nhà cung cấp dịch
vụ mạng.. Các cuộc tấn công này sẽ gây ảnh hưởng trên diện rộng và ảnh hưởng đến các hoạt động hàng
ngày của các dịch vụ chính phủ điện tử.
3.5. Tấn công từ chối dịch vụ
Đây có lẽ là một dạng tấn công đáng sợ nhất đối với hầu hết các dịch vụ trên Internet. Kẻ tấn công
có thể làm hết tài nguyên của nạn nhân (RAM, CPU, Băng thông…) và làm cho các dịch vụ không thể truy
cập được. Ở Việt Nam cũng vừa mới xảy ra hàng loạt các vụ tấn công lớn nhằm vào các trang báo điện tử.
Nếu các cuộc tấn công này nhằm vào hàng loạt các dịch vụ công của các cơ quan nhà nước thì hậu
quả thật đáng lo ngại.
3.6. Tấn công từ xa
Là kiểu tấn công từ xa bằng cách gửi các gói tin đến hệ thống máy chủ và xác định các lỗ hổng
cũng như các điểm yếu của các hệ thống máy tính này và tấn công vào đó. Kẻ tấn công có thể sử dụng
hoặc tạo một tài khoản trên máy của nạn nhân và truy cập vào các hệ thống dữ liệu không được phép.
3.7. Leo thang đặc quyền
Loại hình tấn công này được bắt đầu với việc kẻ tấn công sử dụng một tài khoản bình thường (
ví dụ tạo ra một “công dân giả”), sau đó sử dụng các lỗ hổng của hệ thống hoặc của ứng dụng để làm sao
cho tài khoản của mình có quyền như một admin và truy cập vào các tài nguyên không được phép.
3.8. Tấn công vào điểm yếu của các framework
Đây là một lỗi khá phổ biến với các ứng dụng chính phủ điện tử ở Việt Nam, đặc biệt là các cổng
thông tin điện tử, các trang thông tin điện tử, các phần mềm tác nghiệp sử dụng các framework có sẵn..
Mặc dù về phương thức nó sẽ là một trong các kỹ thuật tấn công ở trên nhưng vì tính chất đặc biệt nên
chúng tôi liệt kê nó ra thành một loại hình riêng.
Khi doanh nghiệp cung cấp các ứng dụng cho CPĐT dựa trên một framework, một CMS hay một
Portal có sẵn nếu không thường xuyên cập nhật các lỗ hổng mới nhất của các nền tảng này thì những kẻ
tấn công sau khi tìm ra được phiên bản và framework sẽ dễ dàng tấn công vào các hệ thống vì các lỗi này
hầu như được công bố rộng rãi và liên tục. Điều này cũng đúng với các hệ điều hành máy chủ và máy trạm
khi không được thường xuyên nâng cấp các bản vá.

5. Võ Thái Lâm |W: www.lactien.com | E: vothailam@lactien.com | M: 0903 83 93 90
3.9. Xu hướng sử dụng các thiết bị di động
Xu hướng này bao gồm cả việc sử dụng nhiều thiết bị khác nhau để cùng đăng nhập và làm việc
trên một hệ thống. Điều này gây ra những điểm yếu chết người khi mất mát thiết bị và bị lợi dụng tấn
công hoặc khi các thiết bị di động cài đặt các ứng dụng chưa rõ nguồn gốc và trở thành miếng mồi ngon
cho các kẻ tấn công lợi dụng.
3.10. Sự bùng nổ của mạng xã hội
Người dùng có thể dễ dàng chia sẻ các thông tin bí mật lên Internet, thậm chí chia sẻ một cách
công khai (Public). Ngoài ra social engineering cũng là một kỹ thuật đang được sử dụng khá nhiều bởi
các hacker.
4. Tăng cường an ninh cho chính phủ điện tử từ góc độ phi kỹ thuật
4.1. Chính sách về ANTT
Chính sách về ANTT là điểm rất quan trọng trong việc đảm bảo ANTT cho các hệ thống. Các chính
sách phải được đảm bảo tuân thủ bởi một cơ chế thực thi hiệu quả và đủ mạnh. Các chính sách thông
thường bao gồm:
 Định nghĩa về người dùng và các quyền
 Các hướng dẫn về cách phản ứng với các sự kiện khác nhau
 Mô tả về môi trường vận hành, triết lý được sử dụng khi thực thi chính sách, các vấn đề pháp lý…
 Phân tích các rủi ro, các tài sản và những vấn đề tác động đến các tài sản này cũng như chi phí khi
mất tài sản…
 Các hướng dẫn cho người quản trị để quản trị hệ thống
4.2. Các best practice
Là những hướng dẫn, những tiêu chuẩn hay thậm chí là những lời khuyên nên được áp dụng
hàng ngày để đảm bảo an ninh cho các hệ thống. Dưới đây là một số những practice tốt cho các hoạt
động quản trị an ninh hàng ngày:
 Mật khẩu khó đoán và ngẫu nhiên càng tốt.
 Sử dụng các công cụ an toàn khi xây dựng các hệ thống phần mềm
 Thường xuyên cập nhật và vá các lỗ hổng phần mềm bằng các bản vá..
 …
4.3. Các thủ tục
Là các bước bắt buộc phải làm để đảm bảo an ninh cho các hệ thống dựa trên các chính sách về
an ninh thông tin. Các thủ tục như việc cấu hình, giám sát, thủ tục kết nối từ xa hay khi đi công tác, thủ
tục tạo các tài khoản mới, sử dụng mã hóa…
5. Tăng cường ANTT từ góc độ kỹ thuật và công nghệ
5.1. Công nghệ vận hành
Thật không may là người quản trị hệ thống luôn phải đối mặt với hai nhiệm vụ đối lập nhau, đó là
vừa làm sao cho đơn giản và tiện ích với những người sử dụng thông thường và người sử dụng hợp pháp
nhưng lại vừa phải bảo vệ hệ thống trước các cuộc tấn công của những kẻ lạ mặt. Các hệ thống chính phủ
điện tử phải được chuẩn bị và triển khai các công nghệ dành cho cá nhân và công nghệ vận hành

6. Võ Thái Lâm |W: www.lactien.com | E: vothailam@lactien.com | M: 0903 83 93 90
(Operational Technology1
) hằm phát hiện và xử lý ngay những giao dịch bất thường cũng như không đáng
tin cậy.
5.2. OTP
Kẻ tấn công thường sử dụng nhiều cách thức khác nhau để lấy thông tin tài khoản và mật khẩu
của nạn nhân như nghe lén hoặc lừa bằng cách nào đó. Để đảm bảo an toàn cho các tài khoản, đặc biệt là
các tài khoản quản trị, quản lý… thì các hệ thống và các ứng dụng CPĐT nên sử dụng các giải pháp OTP
(One-time password). OTP có thể là các token hoặc các ứng dụng được cài lên các máy xác định từ trước
hoặc qua SMS.
5.3. Mã hóa thông tin
Các thông tin truyền đi mà chưa được mã hóa sẽ rất nguy hiểm và có khả năng cao bị nghe lén, bị
đánh cắp. Có rất nhiều cách hiện nay để đảm bảo các tin tức gửi đi phải được mã hóa bằng một phương
thức nào đó và bất kể loại dữ liệu nào cũng có thể mã hóa, kể cả hình ảnh. Tính xác thực của dữ liệu cũng
có thể được bảo vệ bằng cách tương tự. Khi cần ta có thể gửi email cho đồng nghiệp bằng cách mã hóa
dữ liệu và cả chữ ký số. Khi người nhận nhận được một thông điệp, họ sẽ sử dụng một chìa khóa để mở
thông điệp và xác minh chữ ký điện tử của người gửi nhẳm đảm bảo dữ liệu gửi đi có nguồn gốc từ người
gửi và thông điệp vẫn đảm bảo tính toàn vẹn của nó như ban đầu.
5.4. Tường lửa và các thiết bị an ninh tích hợp
Một firewall là một tập hợp các ứng dụng được cài đặt lên một thiết bị hoặc một server nhằm bảo
vệ cho người dùng và hệ thống mạng nội bộ khỏi các tác nhân bên ngoài. Gần đây các hãng bảo mật trong
và ngoài nước đã cho ra đời các thiết bị an ninh tích hợp là các UTM (Unified Threat Management) bao
gồm Firewall và các chức năng khác như Content Filtering, Load Balancer & Failover, QoS, VPN, IDS/IPS…
5.5. Các công cụ giám sát
Xây dựng các hệ thống giám sát an ninh là một phương pháp phòng ngừa rủi ro khá hữu hiệu. Có
rất nhiều các hệ thống giám sát khá mạnh ( và cả miễn phí) để đáp ứng nhu cầu của các đơn vị. Tuy nhiên,
việc xây dựng hệ thống giám sát và giám sát lại phụ thuộc vào nhu cầu và chiến lược của từng đơn vị.
5.6. Kiểm thử, đánh giá các hệ thống định kỳ
Các phương pháp tấn công ngày càng nhiều và càng tinh vi hơn, đòi hỏi người quản trị phải làm
đối mặt với một loạt những nguy cơ mất an toàn dữ liệu. Một trong những phương án khả thi nhất là
thường xuyên kiểm thử (Pennetration Testing) và đánh giá (Auditing) các hệ thống bao gồm từ cơ sở dữ
liệu, ứng dụng web, server, máy trạm, hệ thống wireless, chính sách An ninh thông tin… để tìm ra các điểm
yếu và khắc phục ngay khi chưa bị tấn công.
5.7. Chống thất thoát dữ liệu
Theo thống kê của Synmatec, dữ liệu bị rò rỉ nhiều nhất từ các tổ chức chính phủ vẫn là thông tin
cá nhân, thông tin thẻ tín dụng, mật khẩu và tài khoản ở các ngân hàng – các dịch vụ trực tuyến, email…
Ngoài ra đối với các cơ quan chính phủ nó còn là các tài liệu bí mật và chỉ lưu hành nội bộ hoặc một số đối
tượng được xem. Các giải pháp DLP ( Data Leak Prevention) có thể đảm bảo những tài liệu xác định luôn
chỉ có thể lưu hành trong nội bộ, không thể gửi đính kèm file ra ngoài, kể cả khi chuyển sang dạng file ảnh
hay bất cứ định dạng nào khác.
1
Operational Technology là một thuật ngữ mới, nhằm chỉ các phần cứng, phần mềm có khả năng phát hiện những
thay đổi về trạng thái và điều chỉnh chúng (khi cần) của các thiết bị có kết nối Internet.

7. Võ Thái Lâm |W: www.lactien.com | E: vothailam@lactien.com | M: 0903 83 93 90
6. Quy trình thiết kế và triển khai ANTT cho chính phủ điện tử
 Đánh giá các rủi ro
 Xây dựng quy trình và chính sách
 Đào tạo nhận thức
 Triển khai các vấn đề kỹ thuật
 Giám sát và phản hồi
 Đánh giá mức độ tuân thủ
An ninh thông tin của một tổ chức nói chung và an ninh thông tin cho chính phủ điện tử nó là
một quá trình hình thành chứ không phải là một giải pháp dạng “Plug-and-play”. Hình vẽ dưới đây mô tả
cách tiếp cận khi thiết kế một chiến lược đảm bảo an ninh thông tin cho chính phủ điện tử.
6.1. Yêu cầu về ANTT hay đánh giá rủi ro
Mỗi tổ chức đều có những rủi ro riêng và vấn đề của các tổ chức là xác định các rủi ro có thể xảy
ra và mức độ chấp nhận các rủi ro đó. Việc chấp nhận rủi ro tới đâu sẽ quyết định các yêu cầu về ANTT.
6.2. Quy trình – thủ tục và chính sách
Từ yêu cầu về ANTT, có thể bắt tay vào xây dựng các quy trình, thủ tục và chính sách thể hiện
các yêu cầu đó. Nội dung bao gồm các kỳ vọng về ANTT, các hành động cụ thể khi có những sự kiện hay
sự cố xảy ra, các khả năng bị tấn công và cách đối phó…
6.3. Đào tạo nhận thức
Trong tất cả các yếu tố để đảm bảo ANTT, yếu tố con người luôn là khâu trọng yếu. Nếu bản thân
đội ngũ vận hành có nhận thức tốt thì sẽ giảm thiểu rất nhiều nguy cơ mất an ninh và ngược lại. Đối với
các tỉnh khi thực hiện chiến lược chính phủ điện tử, nên có nguồn ngân sách đủ cho việc đào tạo nhận
thức cho toàn bộ đội ngũ vận hành.
6.4. Triển khai các giải pháp kỹ thuật
Công nghệ bảo mật đang ngày một nhiều và giá thành không phải thấp, nhất là từ các hãng
nước ngoài. Việc đảm bảo ANTT như đã nói ở trên, nó phải bắt nguồn từ việc xác định các rủi ro có thể
xảy ra và khả năng chấp nhận các rủi ro đó, từ đó mới áp dụng các công nghệ và kỹ thuật tương ứng.
Từ quan điểm của chúng tôi, kỹ thuật chỉ là công cụ, quan trọng nhất vẫn là người vận hành nên
chúng. Đối với một số giải pháp kỹ thuật, chúng tôi tin rằng các giải pháp nguồn mở và các giải pháp
Đánh giá rủi ro/Yêu cầu an ninh thông tin
Xây dựng quy trình, thủ tục và chính sách.
Đào tạo nhận thức
Triển khai các giải pháp và sản phẩm kỹ thuật
Giám sát và phản hồi
Đánh giá sự tuân thủ

8. Võ Thái Lâm |W: www.lactien.com | E: vothailam@lactien.com | M: 0903 83 93 90
trong nước vẫn mang tính an toàn cao hơn so với các giải pháp nhập khẩu, đặc biệt là an ninh thông tin
cho chính phủ điện tử, một lĩnh vực cực kỳ nhạy cảm.
6.5. Giám sát và phản hồi
Để triển khai một chương trình an ninh thông tin, nhất là ở cấp độ một tỉnh trở lên, điều chắc
chắn không chỉ đào tạo, triển khai các hệ thống công nghệ là đủ mà còn việc giám sát việc thực thi và
phản hồi lại độ hiệu quả của các chương trình đang áp dụng. Một chương trình an ninh hiệu quả bao
gồm cả việc giám sát các sự cố an ninh xảy ra và xử lý chúng. Nếu bất kỳ tổ chức hay đơn vị nào bỏ qua
những vi phạm về an ninh, khả năng thất bại và mất an ninh trong những sự cố tiếp theo là rất cao.
6.6. Đo lường sự tuân thủ
Phải đảm bảo rằng các chương trình ANTT đang được áp dụng phải theo một chuẩn hay một
khuôn mẫu nào đó. Ngày nay có rất nhiều các chuẩn được các tổ chức trên thế giới phát triển và là những
best practice cho các đơn vị áp dụng. Các tổ chức và các đơn vị sẽ phải chứng tỏ cho công dân và doanh
nghiệp thấy rằng các thông tin giao dịch luôn được an toàn và trong tương lai, nếu có những phát hiện về
những lỗ hổng mới thì họ cũng đủ khả năng xử lý một cách chính xác nhất.
7. Kết luận
An ninh thông tin luôn là vấn đề quan trọng hàng đầu trong các sáng kiến về chính phủ điện tử.
Trong trường hợp ở Việt Nam, chúng ta nhận thấy rằng không phải mọi đơn vị đều đã nhận thức được
một cách đúng đắn vai trò quan trọng của nó. Rất nhiều ứng dụng cho chính phủ điện tử chưa hề được
kiểm nghiệm một cách chặt chẽ về an ninh thông tin nhưng vẫn được đưa ra áp dụng rộng rãi. Mặt khác,
trong phần lớn các trường hợp các đơn vị ra quyết định triển khai các chương trình ANTT chỉ dựa trên việc
mua sắm ồ ạt các giải pháp, thiết bị của các hãng nước ngoài mà không để ý tới các khía cạnh khác.
Trong khuôn khổ báo cáo, chúng tôi chỉ có mong muốn chỉ ra những thách thức và cả những giải
pháp và cách tiếp cận để các đơn vị có thể áp dụng trong tình huống thực tế của mình.
Trong tương lai, chúng tôi hy vọng rằng mình có đủ thời gian và nguồn lực để tiếp tục nghiên cứu
các mô hình đánh giá mức độ an ninh của một mô hình chính phủ điện tử ở các cấp khác nhau, từ cấp
huyện, sở ban ngành, cấp tỉnh đến cả nước.
Tp. Hồ Chí Minh ngày 22/8/2013.
Võ Thái Lâm.