Mới đây, Trung tâm Ứng cứu Khẩn cấp Máy tính Việt Nam VNCERT thuộc Bộ TT&TT đã đưa ra lấy ý kiến về dự thảo Thông tư “Quy định hoạt động giám sát và cảnh báo an toàn thông tin mạng”. Trong dự thảo Thông tư có nêu rõ 2 phương thức để giám sát an toàn thông tin mạng, đó là phương thức giám sát trực tiếp hoặc phương thức giám sát gián tiếp.

zb1-phuong-thuc-giam-sat-an-toan-mang-truc-tiep-gian-tiep-thong-tu.jpg

Theo đó, giám sát trực tiếp là hoạt động giám sát được tiến hành bằng cách đặt các thiết bị chuyên dụng phân tích luồng dữ liệu hoặc thu nhận trực tiếp thông tin hệ thống được giám sát sau đó tổng hợp, đồng bộ, phân tích nhằm phát hiện ra các tấn công, sự cố an toàn mạng.

Tiến hành giám sát trực tiếp thường cần tiến hành các hoạt động thu thập các thông tin an toàn mạng (information security event) bằng các kỹ thuật khác nhau như quan trắc an toàn thông tin trên đường truyền mạng/luồng; thông tin (là các gói tin thuộc lớp mạng) tại các cổng kết nối Internet; thu thập nhật ký (log file) đã được lưu lại, cảnh báo an toàn thông tin mạng phản ánh hoạt động các ứng dụng, hệ thống thông tin, thiết bị an toàn thông tin.

Giám sát trực tiếp cũng yêu cầu tổng hợp, đồng bộ, xác minh và xử lý các thông tin an toàn mạng để phát hiện ra các tấn công, sự cố an toàn mạng hoặc loại bỏ các thông tin không chính xác.

Trong khi đó giám sát gián tiếp là hoạt động giám sát thực hiện các kỹ thuật thu thập thông tin, kiểm tra từ xa đối tượng cần giám sát để phát hiện tình trạng hoạt động, khả năng đáp ứng và kết hợp với một số yếu tố khác để nhận định nhằm phát hiện ra các nguy cơ, sự cố hoặc tấn công mạng.

Giám sát gián tiếp được tiến hành bằng cách như thu thập thông tin về nguy cơ, sự cố gây mất an toàn mạng liên quan đến đối tượng giám sát từ các nguồn thông tin khác; đồng thời bằng cách kiểm tra, rà soát từ xa các đối tượng được giám sát để đánh giá tình trạng, phát hiện các điểm yếu, nguy cơ có khả năng bị khai thác, tấn công, gây hại.

Bên cạnh đó, dự thảo Thông tư cũng quy định về mô hình giám sát an toàn thông tin mạng quốc gia. Theo đó Trung tâm giám sát an toàn mạng quốc gia được Trung tâm VNCERT tổ chức triển khai và vận hành để thực hiện công tác hỗ trợ giám sát an toàn thông tin mạng trên toàn quốc. Trung tâm giám sát an toàn mạng quốc gia bao gồm hệ thống giám sát trung tâm và hệ thống quan trắc cơ sở.

Hệ thống giám sát trung tâm là hệ thống được sử dụng để thực hiện việc thu thập, theo dõi, phát hiện, nhận định, xử lý, báo cáo, thu thập chứng cứ về các sự cố, các dấu hiệu tấn công, các nguy cơ gây mất an toàn mạng dựa trên các dữ liệu,thông tin trạng thái được thu thập bởi giám sát trực tiếp thông qua các hệ thống quan trắc cơ sở hoặc giám sát gián tiếp, đồng thời thực hiện việc lưu trữ các dữ liệu thu thập được dưới dạng sự kiện và quản lý tập trung các hệ thống quan trắc cơ sở. Hệ thống này được VNCERT chịu trách nhiệm xây dựng, thiết lập, quản lý và vận hành.

Về hệ thống quan trắc cơ sở, đó là tập hợp các thiết bị, phần mềm có khả năng cung cấp thông tin nhật ký, trạng thái, cảnh báo cho Hệ thống giám sát trung tâm phục vụ cho việc phát hiện các sự cố, điểm yếu, nguy cơ, lỗ hổng an toàn thông tin mạng.

Hệ thống quan trắc cơ sở sẽ được cung cấp các điều kiện kỹ thuật và vị trí đặt phù hợp cho việc hoạt động, thu thập dữ liệu từ đối tượng giám sát theo hướng dẫn của Trung tâm VNCERT; do cơ quan chủ quản của các đối tượng giám sát hoặc VNCERT xây dựng, thiết lập, quản lý và vận hành; đồng thời được kết nối vào Hệ thống giám sát trung tâm để chia sẻ và cung cấp các thông tin giám sát.

Thông tư “Quy định hoạt động giám sát và cảnh báo an toàn thông tin mạng” quy định về hoạt động giám sát và cảnh báo an toàn thông tin mạng (an toàn mạng) cho dịch vụ cổng thông tin điện tử và các dịch vụ công trực tuyến phục vụ cho Chính phủ điện tử tại các Bộ, ngành, tỉnh và thành phố trực thuộc Trung ương; về các điều kiện để nâng cao năng lực giám sát, phát hiện và cảnh báo an toàn mạng trên toàn quốc.

Trong dự thảo Thông tư nêu rõ một số nguyên tắc giám sát an toàn mạng là đảm bảo được thực hiện thường xuyên, liên tục 24 giờ trong ngày và 7 ngày trong tuần. Bên cạnh đó cần chủ động phòng ngừa, kịp thời phát hiện, ngăn chặn sự cố an toàn mạng; đảm bảo sự ổn định, bí mật thông tin của đối tượng giám sát.

Một nguyên tắc nữa là cần có sự điều phối, kết hợp chặt chẽ, hiệu quả giữa giám sát quốc gia (do hệ thống giám sát quốc gia thực hiện) và giám sát cơ sở (do hệ thống giám sát cơ sở thực hiện); phải từng bước xây dựng khả năng liên thông giữa hệ thống xử lý quốc gia và hệ thống xử lý cơ sở, giữa điểm giám sát, hệ thống quan trắc cơ sở và hệ thống giám sát.

Và chắc chắn hoạt động giám sát phải tuân thủ đúng quy trình, quy định tại thông tư này và các quy định pháp luật có liên quan.

VNCERT thông báo văn bản góp ý sẽ được gửi về trụ sở của Trung tâm ở Tòa nhà Cục tần số Vô tuyến điện, số 115 Trần Duy Hưng (Cầu Giấy, Hà Nội), hoặc số điện thoại: 024.3640.4423 hoặc địa chỉ email [email protected].