Giáo trình Những kiến thức cơ bản về công nghệ thông tin và truyền thông cho lãnh đạo trong cơ quan Nhà nước - Phần 6: An toàn, an ninh thông tin và mạng lưới

Nội dung text: Giáo trình Những kiến thức cơ bản về công nghệ thông tin và truyền thông cho lãnh đạo trong cơ quan Nhà nước - Phần 6: An toàn, an ninh thông tin và mạng lưới

1. 7. Vòng đời của chính sách An ninh thông tin . . . 125 7.1 Thu thập thông tin và phân tích kẽ hở 126 7.2 Xây dựng chính sách An ninh thông tin 129 7.3 Thực hiện/ thực thi chinh sách 142 7.4 Xem xét lại và đánh giá chinh sách An ninh thông tin . 148 Phụ lục . 149 Tài liệu đọc thêm 149 Các lưu ý đối với giảng viên 151 Về KISA 153 Danh mục các hình Hình 1. 4R trong An ninh thông tin 18 Hình 2. Mối tương quan giữa rủi ro và tài sản thông tin 19 Hình 3. Các phương pháp quản lý rủi ro 20 Hình 4. Hiện trạng thư rác 33 Hình 5. Mô hình phòng thủ theo chiều sâu DID 38 Hình 6. Hành động mang tính dài hạn của ENISA 50 Hình 7. Dòng tiêu chuẩn ISO/IEC 27001 66 Hình 8. Mô hình quy trình Plan-Do-Check-Act được áp dụng cho các quy trình ISMS 69 Hình 9. CAP và CCP 78 Hình 10. Quy trình hoạch định an ninh đầu vào/ đầu ra 79 Hình 11. Quy trình chứng nhận BS7799 80 Hình 12. Chứng nhận ISMS ở Nhật Bản 81 Hình 13. Chứng nhận ISMS của KISA 82 Hình 14. Mô hình nhóm an ninh 103 Hình 15. Mô hình CSIRT phân tán nội bộ 104 Hình 16. Mô hình CSIRT tập trung nội bộ 105 Hình 17. Mô hình CSIRT kết hợp 106 Hình 18. Mô hình CSIRT điều phối 107 Hình 19. Vòng đời của chính sách An ninh thông tin 126 Hình 20. Ví dụ về cấu trúc hệ thống và mạng lưới 128 Hình 21. Hình mẫu của tổ chức An ninh thông tin quốc gia 131 Hình 22. Khuôn khổ An ninh thông tin 135 Hình 23. Các lĩnh vực công tác trong việc thực thi chính sách An ninh thông tin 142 Học phần 6 An toàn, an ninh thông tin và mạng lưới 11
2. Danh mục các bảng Bảng 1. Sự so sánh thông tin với các tài sản hữu hình 16 Bảng 2. Các tiêu chuẩn liên quan và phạm vi của an ninh thông tin 21 Bảng 3. Thống kê từ tội phạm mạng năm 2007 35 Bảng 4. Các vai trò và kế hoạch của mỗi loại dựa trên Chiến lược quốc gia thứ nhất về An ninh thông tin 56 Bảng 5. Các tiêu chuẩn so sánh trong ISO/IEC27001 69 Bảng 6. Số lượng cơ quan chứng nhận theo quốc gia 71 Bảng 7. Thành phần kết cấu của lớp trong SFR 74 Bảng 8. Thành phần kết cấu của lớp trong SACs 75 Bảng 9. Chứng nhận ISMS của một số quốc gia khác 83 Bảng 10. Quy trình PIA 97 Bảng 11. Các ví dụ về PIA 98 Bảng 12. Các dịch vụ CSIRT 116 Bảng 13. Danh sách các cơ quan CSIRT quốc gia 122 Bảng 14. Các bộ luật liên quan đến an ninh thông tin của Nhật Bản 138 Bảng 15. Các bộ luật liên quan đến an ninh thông tin của EU 139 Bảng 16. Các bộ luật liên quan đến an ninh thông tin của Mỹ 140 Bảng 17. Ngân sách bảo vệ thông tin của Nhật và Mỹ 140 Bảng 18. Ví dụ về cộng tác trong việc phát triển chính sách an ninh thông tin 143 Bảng 19. Ví dụ về hợp tác trong việc quản lý và bảo vệ cơ sở hạ tầng thông tin, truyền thông 144 Bảng 20. Ví dụ về hợp tác trong việc đối phó sự cố an ninh thông tin 144 Bảng 21. Ví dụ về hợp tác trong việc ngăn ngừa sự cố và vi phạm đến an ninh thông 145 Bảng 22. tin Ví dụ về hợp tác trong bảo vệ bí mật riêng tư 146 12 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
3. Danh mục từ viết tắt APCERT Asia-Pacific Computer Emergency Response Team APCICT Asian and Pacific Training Centre for Information and Communication Technology for Development APEC Asia-Pacific Economic Cooperation BPM Baseline Protection Manual BSI British Standards Institution BSI Bundesamt fűr Sicherheit in der Informationstechnik, Germany CAP Certificate Authorizing Participant CC Common Criteria CCP Certificate Consuming Participant CCRA Common Criteria Recognition Arrangement CECC Council of Europe Convention on Cybercrime CERT Computer Emergency Response Team CERT/CC Computer Emergency Response Team Coordination Center CIIP Critical Information Infrastructure Protection CISA Certified Information Systems Auditor CISO Chief Information Security Officer CISSP Certified Information Systems Security Professional CM Configuration Management CSEA Cyber Security Enhancement Act CSIRT Computer Security Incident Response Team DID Defense-In-Depth DNS Domain Name Server DoS Denial-of-Service ECPA Electronic Communications Privacy Act EGC European Government Computer Emergency Response Team ENISA European Network and Information Security Agency ERM Enterprise Risk Management ESCAP Economic and Social Commission for Asia and the Pacific ESM Enterprise Security Management EU European Union FEMA Federal Emergency Management Agency FIRST Forum of Incident Response and Security Teams FISMA Federal Information Security Management Act FOI Freedom of Information GCA Global Cybersecurity Agenda HTTP Hypertext Transfer Protocol ICT Information and Communication Technology ICTD Information and Communication Technology for Development IDS Intrusion Detection System IGF Internet Governance Forum IM Instant-Messaging IPS Intrusion Prevention System ISACA Information Systems Audit and Control Association ISMS Information Security Management System ISO/IEC International Organization for Standardization and International Electrotechnical Commission ISP Internet Service Provider ISP/NSP Internet and Network Service Provider IT Information Technology ITU International Telecommunication Union ITU-D International Telecommunication Union Development Sector ITU-R International Telecommunication Union Radiocommunication Sector ITU-T International Telecommunication Union Standardization Sector KISA Korea Information Security Agency MIC Ministry of Information and Communication, Republic of Korea Học phần 6 An toàn, an ninh thông tin và mạng lưới 13
4. NIS Network and Information Security NISC National Information Security Center, Japan NIST National Institute of Standards and Technology, USA OECD Organisation for Economic Co-operation and Development OMB Office of Management and Budget, USA OTP One-Time Passwords PC Personal Computer PP Protection Profile PSG Permanent Stakeholders Group RFID Radio Frequency Identification SAC Security Assurance Component SFR Security Functional Requirement SME Small and Medium Enterprise ST Security Target TEL Telecommunication and Information Working Group TOE Target of Evaluation TSF TOE Security Functions UK United Kingdom UN United Nations US United States USA United States of America WPISP Working Party on information Security and Privacy WSIS World Summit on the Information Society 14 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
5. 1. NHU CẦU VỀ AN NINH THÔNG TIN Phần này nhằm mục đích: • Giải thích khái niệm thông tin và an ninh thông tin; • Mô tả những tiêu chuẩn được áp dụng cho các hoạt động an ninh thông tin. Cuộc sống con người ngày nay phụ thuộc nhiều vào công nghệ thông tin và truyền thông (ICT). Điều này khiến cho các cá nhân, tổ chức và các quốc gia dễ bị tấn công qua các hệ thống thông tin, như các hình thức hacking (thâm nhập trái phép), cyberterrorism (khủng bố mạng), cybercrime (tội phạm mạng) cũng như các hình thức tương tự. Một số cá nhân và tổ chức được trang bị để có thể đối phó với các cuộc tấn công như vậy. Chính phủ có vai trò quan trọng trong công tác đảm bảo an ninh thông tin thông qua việc mở rộng cơ sở hạ tầng thông tin – truyền thông và thiết lập các hệ thống bảo vệ chống lại những nguy cơ đối với an ninh thông tin. 1.1 Các khái niệm cơ bản trong An ninh thông tin "Thông tin" là gì? Thông thường, thông tin được định nghĩa là kết quả của hoạt động trí óc; đó là sản phẩm vô hình, được truyền tải qua các phương tiện truyền thông. Trong lĩnh vực ICT, thông tin là kết quả của quá trình xử lý, thao tác và tổ chức dữ liệu, có thể đơn giản như việc thu thập số liệu thực tế. Trong phạm vi của An ninh thông tin, thông tin được định nghĩa như một “tài sản”, có giá trị do đó nên được bảo vệ. Học phần này sẽ sử dụng định nghĩa về thông tin và an ninh thông tin theo tiêu chuẩn ISO/IEC 27001. Ngày nay, giá trị của thông tin phản ánh sự chuyển đổi từ một xã hội nông nghiệp sang xã hội công nghiệp và cuối cùng là xã hội hướng thông tin (information-oriented society). Trong xã hội nông nghiệp, đất đai là tài sản quan trọng nhất và quốc gia nào có sản lượng lương thực nhiều nhất sẽ chiếm được lợi thế cạnh tranh. Trong xã hội công nghiệp, với sức mạnh tư bản, như có được các nguồn dự trữ dầu mỏ là nhân tố chủ chốt của khả năng cạnh tranh. Trong xã hội hướng thông tin và tri thức, thông tin là tài sản quan trọng nhất và năng lực thu thập, phân tích và sử dụng thông tin là lợi thế cạnh tranh cho bất kỳ quốc gia nào. Học phần 6 An toàn, an ninh thông tin và mạng lưới 15
6. Với viễn cảnh chuyển đổi từ giá trị tài sản hữu hình sang giá trị tài sản thông tin, có một sự đồng thuận cao đó là thông tin cần được bảo vệ. Bản thân thông tin có giá trị cao hơn phương tiện lưu trữ chúng. Bảng 1 sẽ đối chiếu thông tin với các tài sản hữu hình. Bảng 1. Sự so sánh thông tin với các tài sản hữu hình Đặc điểm Tài sản thông tin Tài sản hữu hình Hình thái – Sự duy Không có hình dạng vật lý và Có hình dạng vật lý trì có thể linh hoạt Giá trị - Tính biến đổi Có giá trị cao hơn khi được xử Tổng giá trị là sự tổng hợp các lý và phối hợp giá trị thành phần Sự chia sẻ Không giới hạn việc tái sản Việc tái sản xuất là không thể; xuất các tài sản thông tin và khi tái sản xuất, giá trị của tài mọi người có thể chia sẻ giá trị sản sẽ bị giảm đi Phương tiện truyền Cần được phát tán thông qua Có thể phân phát một cách thông – Tính phụ các phương tiện truyền thông độc lập (nhờ hình thái vật lý thuộc của tài sản) Như chúng ta thấy ở bảng 1, tài sản thông tin về cơ bản khác với tài sản hữu hình. Chính vì vậy, thông tin có thể bị tấn công bởi những loại hình rủi ro khác. Các mối hiểm họa đối với tài sản thông tin Khi giá trị của tài sản thông tin nâng lên, nhu cầu kiểm soát cũng như truy nhập thông tin giữa con người với nhau gia tăng. Các nhóm hình thành và sử dụng thông tin với nhiều mục tiêu khác nhau, và một số cố gắng để giành được thông tin bằng bất kỳ cách thức nào. Nó bao gồm thâm nhập trái phép (hacking), đánh cắp (piracy) và phá hủy các hệ thống thông tin thông qua virus máy tính và các hình thức khác. Những hiểm họa đi kèm với quá trình tin học hóa được thảo luận trong phần 2 của học phần này. Mặt trái của môi trường hướng thông tin bao gồm các vấn đề sau: Gia tăng những hành vi ứng xử trái với quy tắc nảy sinh từ tình trạng nặc danh – ICT có thể được sử dụng để duy trì tình trạng nặc danh, tạo điều kiện dễ dàng cho các cá nhân dàn xếp những hành vi phạm tội và ứng xử trái quy tắc, bao gồm cả việc chiếm dụng thông tin một cách bất hợp pháp. 16 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
7. Xung đột quyền kiểm soát và sở hữu thông tin – Sự phức tạp về quyền kiểm soát và sở hữu thông tin ngày một tăng lên cùng với việc mở rộng quá trình tin học hóa. Ví dụ như khi chính phủ nỗ lực xây dựng một cơ sở dữ liệu người dân dưới mô hình chính phủ điện tử, một số bộ phận có phàn nàn về khả năng xâm phạm bí mật đời tư từ việc phơi bày các thông tin cá nhân cho người khác. Khoảng cách thông tin và mức độ giàu có giữa các tầng lớp, quốc gia – Kích thước của vật chứa đựng tài sản thông tin có thể biểu thị sự giàu có trong xã hội hướng thông tin/tri thức. Các quốc gia phát triển có khả năng sản xuất ra thông tin và kiếm lợi từ việc bán thông tin như các sản phẩm hàng hóa. Ngược lại, các nước nghèo thông tin, có nhu cầu đầu tư lớn chỉ có thể truy cập thông tin. Tình trạng phơi bày thông tin tăng lên bắt nguồn từ các hệ thống mạng tiên tiến – Xã hội hướng thông tin/tri thức là một xã hội mạng lưới. Cả thế giới được kết nối như một hệ thống mạng duy nhất, điều này có nghĩa là sự yếu kém của một phần nào đó trong mạng lưới sẽ tác động xấu đến các phần còn lại. An ninh thông tin là gì? Đáp lại những cố gắng giành lấy thông tin một cách bất hợp pháp, con người đang nỗ lực để ngăn chặn tội phạm liên quan đến thông tin hoặc giảm thiểu thiệt hại do tội phạm gây ra. Điều này được gọi là an ninh thông tin. Diễn đạt một cách đơn giản, an ninh thông tin là việc nhận biết giá trị của thông tin và bảo vệ nó. 4R trong an ninh thông tin Bộ 4R trong an ninh thông tin đó là Right Information (thông tin đúng), Right People (con người đúng), Right Time (thời gian đúng) và Right Form (định dạng đúng). Kiểm soát toàn bộ 4R này là cách thức tốt nhất để kiểm soát và duy trì giá trị của thông tin. Học phần 6 An toàn, an ninh thông tin và mạng lưới 17
8. Hình 1. 4Rs trong An ninh thông tin Duy trì sự đúng đắn và tính Chỉ sẵn sàng đối với đầy đủ của thông tin những ai được cấp quyền Giá trị thông tin Cung cấp thông tin theo Truy cập và sử dụng theo một định dạng chuẩn nhu cầu “Right Information” thể hiện sự đúng đắn và tính chất đầy đủ của thông tin, đảm bảo tính toàn vẹn của thông tin. “Right People” có nghĩa là thông tin chỉ sẵn sàng đối với những người được cấp quyền, đảm bảo tính bí mật của thông tin. “Right Time” thể hiện khả năng có thể truy cập và tính khả dụng của thông tin theo yêu cầu của thực thể có thẩm quyền. Điều này đảm bảo tính sẵn sàng của thông tin. “Right Form” thể hiện việc cung cấp thông tin theo một định dạng chuẩn. Để bảo đảm an ninh thông tin, mô hình 4R phải được áp dụng một cách đúng đắn. Điều này có nghĩa là tính bí mật, tính toàn vẹn và tính sẵn sàng cần được giám sát trong quá trình quản lý thông tin. An ninh thông tin cũng yêu cầu sự am hiểu rõ ràng về giá trị của tài sản thông tin, cũng như khả năng bị xâm phạm và những mối đe dọa tương ứng. Vấn đề này được biết đến như công tác quản lý rủi ro. Hình 2 thể hiện sự tương quan giữa tài sản thông tin và rủi ro. 18 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
9. Hình 2. Mối tương quan giữa rủi ro và tài sản thông tin Khai thác Mối đe dọa Khả năng bị tấn công Bảo vệ Tăng lên Khai thác chống lại Tăng lên Giảm đi Quản lý Rủi ro Tài sản Đòi hỏi Có Tăng lên Đưa ra bởi Yêu cầu Giá trị tài sản an ninh Rủi ro được xác định thông qua giá trị tài sản, các mối đe dọa và khả năng bị xâm phạm. Công thức như sau: Rủi ro = (Giá trị tài sản, Các mối đe dọa, Khả năng bị xâm phạm) Rủi ro tỉ lệ thuận với giá trị tài sản, các mối đe dọa và khả năng bị xâm phạm. Do đó, rủi ro có thể bị tăng lên hay giảm đi thông qua việc thay đổi quy mô giá trị tài sản, các mối đe dọa và khả năng bị xâm phạm. Điều này có thể thực hiện thông qua công tác quản lý rủi ro. Các phương pháp quản lý rủi ro bao gồm: Thu hẹp rủi ro (giảm nhẹ rủi ro) – Phương pháp này được thực hiện khi khả năng xảy ra của các mối đe dọa/khả năng bị xâm hại cao nhưng tác động của chúng thấp. Nó đòi hỏi sự am hiểu các mối đe dọa và khả năng bị xâm phạm là gì, thay đổi hay giảm thiểu chúng, và việc triển khai một biện pháp đối phó. Tuy vậy, việc thu hẹp rủi ro không làm giảm giá trị của rủi ro tới mức ‘0’. Học phần 6 An toàn, an ninh thông tin và mạng lưới 19
10. Chấp nhận rủi ro – Phương pháp này được thực hiện khi khả năng xảy ra của các mối đe dọa/khả năng bị xâm hại thấp và ảnh hưởng của chúng có vẻ thấp hoặc có thể chấp nhận được. Di chuyển rủi ro – Nếu rủi ro ở mức quá cao hoặc tổ chức không có khả năng chuẩn bị các giải pháp kiểm soát cần thiết thì rủi ro có thể được di chuyển ra bên ngoài tổ chức. Một ví dụ đó là áp dụng một chính sách bảo hiểm. Tránh xa rủi ro – Nếu các mối đe doa và khả năng bị xâm phạm có khả năng cao xảy ra và tác động của chúng cũng ở mức rất cao thì phương pháp tốt nhất là tránh xa rủi ro, ví dụ như bằng cách thuê ngoài đội ngũ cũng như trang thiết bị xử lý dữ liệu. Hình 3 là một biểu đồ minh họa cho bốn phương pháp quản lý rủi ro. Trong hình này, góc phân tư số ‘1’ là Thu hẹp rủi ro, góc phần tư số ‘2’ là Chấp nhận rủi ro, góc phần tư số ‘3’ là Di chuyển rủi ro, và góc phần tư số ‘4’ là Tránh xa rủi ro. Hình 3. Các phương pháp quản lý rủi ro Cao 1 4 Khả năng của các mối đe dọa/Khả năng bị xâm phạm 2 3 Thấp Tác động Cao Nhân tố chính trong việc xem xét lựa chọn phương pháp quản lý rủi ro thích hợp đó là mối quan hệ chi phi – hiệu quả. Công tác phân tích chi phí – hiệu quả nên được tiến hành trước khi thiết lập các phương án thu hẹp rủi ro, chấp nhận rủi ro, di chuyển rủi ro hay tránh xa rủi ro. 20 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước
11. 1.2 Các tiêu chuẩn cho hoạt động an ninh thông tin Các hoạt động an ninh thông tin không thể thực hiện một cách hiệu quả mà thiếu một kế hoạch vật chất và kỹ thuật cũng như quản trị một cách đồng bộ. Nhiều tổ chức có những tiêu chuẩn khuyến nghị cho các hoạt động an ninh thông tin. Tiêu biểu là các yêu cầu an ninh thông tin của Ủy ban Kỹ thuật chung (ISO/IEC) giữa Tổ chức Tiêu chuẩn hóa Quốc tế (International Organization for Standardization - ISO) và Hội đồng Kỹ thuật điện Quốc tế (International Electrotechnical Commission - IEC); các tiêu chuẩn đánh giá CISA (Certified Information Systems Auditor) và CISSP (Certified Information Systems Security Professional) của Hiệp hội Điều hành và Kiểm toán hệ thống thông tin ISACA (Information Systems Audit and Control Association). Các tiêu chuẩn này khuyến nghị cho các hoạt động an ninh thông tin đồng nhất, như xây dựng một chính sách an ninh thông tin, xây dựng và điều hành một tổ chức an ninh thông tin, quản lý nguồn nhân lực, quản lý an ninh các yếu tố vật chất, quản lý an ninh các yếu tố kỹ thuật, quản lý hoạt động kinh doanh liên tục và kiểm toán hệ thống. Bảng 2 liệt kê các tiêu chuẩn liên quan tới lĩnh vực an ninh thông tin. Bảng 2. Các tiêu chuẩn liên quan và phạm vi của An ninh thông tin Phạm vi an ISO/IEC 27001 CISA CISSP ninh thông tin • Chính sách • Quản trị IT • Thực tiễn quản lý an an ninh ninh • Mô hình và kiến trúc an ninh • Tổ chức về an • Quản trị IT ninh thông tin Quản trị • Quản lý tài sản • Bảo vệ tài sản • Thực tiễn quản lý an điều hành thông tin ninh • An ninh nguồn nhân lực • Quản lý các tình • Khôi phục các • Lập kế hoạch khôi huống bất ngờ liên thảm họa và tính phục thảm họa và lập quan tới an ninh liên tục của công kế hoạch duy trì tính thông tin việc kinh doanh liên tục của công việc kinh doanh Học phần 6 An toàn, an ninh thông tin và mạng lưới 21
12. • Quản lý tính liên • Khôi phục các • Lập kế hoạch khôi tục trong công việc thảm họa và tính phục thảm họa và lập kinh doanh liên tục của công kế hoạch duy trì tính việc kinh doanh liên tục của công việc kinh doanh • Sự tuân thủ • Quá trình kiểm • Luật lệ, công tác điều toán hệ thống tra và các nội quy thông tin • An ninh môi • An ninh các yếu tố Các yếu tố trường và các yếu vật chất vật chất tổ vật chất • Quản lý điều hành • Quản lý vòng đời • Công nghệ mã hóa và truyền thông cơ sở hạ tầng và • An ninh mạng lưới và các hệ thống truyền thông • An ninh điều hành Các yếu tố kỹ thuật • Quản trị truy nhập • Bảo trì và phát • Hỗ trợ và giao triển, thu nhận các phát dịch vụ IT hệ thống thông tin Tiêu chuẩn ISO/IEC270011 tập trung vào an ninh quản trị. Cụ thể, nó nhấn mạnh công tác kiểm toán hoạt động và tài liệu như hành vi quản trị và việc giám sát các quy tắc cũng như chính sách/định hướng. Tiếp đó, việc xác nhận và các biện pháp đối phó được yêu cầu đưa ra bởi nhà quản trị. Do vậy, ISO/IEC27001 cố gắng xác định những điểm yếu trong trang thiết bị, các hệ thống an ninh và những yếu tố tương tự trong một đường lối quản trị. Ngược lại, không có đề cập nào về an ninh các yếu tổ vật chất và nguồn nhân lực trong CISA2. CISA tập trung vào các hoạt động kiểm toán và quản trị hệ thống thông tin. Theo đó, vai trò của kiểm toán viên và hiệu quả của quá trình kiểm toán được xem là rất quan trọng. CISSP3 thì chủ yếu tập trung vào an ninh các yếu tố kỹ thuật. Nó nhấn mạnh công tác sắp xếp và điều hành trang thiết bị như các hệ thống máy tính và máy chủ. 1 ISO, “ISO/IEC27001:2005,” csnumber =42103. 2 Xem ISACA, “Standards for Information Systems Auditing,” CISA_Certification&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=16&ContentID=19566. 3 Xem (ISC)², “CISSP® - Certified Information Systems Security Professional,” 22 Những kiến thức cơ bản về Công nghệ thông tin và Truyền thông cho Lãnh đạo trong cơ quan Nhà nước