Thực trạng hệ thống giám sát an ninh thông tin và ứng phó, khắc phục sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam

Phần mở đầu i. Sự cần thiết Thế giới hội nhập và toàn cầu hóa hiện nay đang được phát triển trên nền tảng cốt lõi là các kết nối mạng Internet và chia sẻ dữ liệu điện tử. Mọi hoạt động kinh tế, chính trị, ngoại giao, văn hóa tinh thần, quân sự ngày nay có những bước đột phá lớn, đạt được hiệu quả vượt bậc trong quá trình thực hiện, nhờ các thao tác xử lý tự động trên hệ thống kết nối mạng máy tính với tốc độ tính theo đơn vị một phần nhiều triệu giây. Theo đánh giá của nhiều tổ chức ATTT uy tín trên thế giới, hiện nay toàn cầu đang đối diện với hàng loạt nguy cơ mới xuất hiện và phổ biến nhanh chóng. Số lượng lỗ hổng bảo mật, mã độc, mạng máy tính ma (botnet) được phát hiện ngày càng nhiều, tạo điều kiện cho tội phạm mạng tiến hành những chiến dịch tấn công kiểu mới, cực kỳ tinh vi và nguy hiểm so với trước đây. Thay vì thực hiện những cuộc tấn công nhanh, nhiều loại mã độc có khả năng ngủ đông, dò xét, chiếm quyền trong thời gian dài, rình thời điểm sơ hở nhất của đối tượng để tiến hành các cuộc tổng tấn công. Hãng bảo mật Symantec đánh giá thiệt hại do mất ATTT trên toàn cầu ước tính hơn 1.000 tỷ USD mỗi năm. Tin tặc không chỉ gây thiệt hại về kinh tế, mà còn gây ra những xung đột chính trị, ngoại giao. Chúng hoạt động rất tinh vi, thực hiện những chiến dịch quy mô lớn, và có thể phần đông trong số đó được hỗ trợ từ các Chính phủ. Các cuộc tấn công mạng xảy ra liên tiếp, tần suất tấn công phá hoại ngày càng lớn; tấn công có chủ đích ngày càng nhiều; phương thức tấn công, phá hoại ngày càng tinh vi, từ nhiều nguồn, trong nước, nước ngoài; các loại mã độc, phần mềm độc hại, mạng máy tính ma, lỗ hổng bảo mật v.v... ngày càng phức tạp. Vì vậy, nhóm nghiên cứu đã lựa chọn chuyên đề “Thực trạng hệ thống giám sát an ninh thông tin và ứng phó, khắc phục sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam” làm chuyên đề nghiên cứu. Chuyên đề này là một nhánh nghiên cứu của Đề tài “ Xây dựng hệ thống quy trình ứng cứu khẩn cấp sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam” do ông Lê Vũ Toàn làm chủ nhiệm. ii. Mục tiêu nghiên cứu • Mục tiêu chung: Phân tích thực trạng hệ thống giám sát an toàn thông tin và ứng phó, khắc phục sự cố đem đến cái nhìn tổng quát hệ thống giám sát an toàn thông tin ngành BHXH Việt Nam. • Mục tiêu cụ thể: - Những quy định về hệ thống giám sát an toàn thông tin - Phân tích tổng quan thực trạng giám sát an toàn thông tin của Ngành Bảo hiểm xã hội Việt Nam. - Các giải pháp, kiến nghị, đề xuất về hạ tầng thiết bị CNTT để đảm bảo ứng cứu khẩn cấp sự cố an toàn thông tin iii. Đối tượng và phạm vi nghiên cứu • Đối tượng nghiên cứu: Hệ thống giám sát an toàn thông tin của Bảo hiểm xã hội Việt Nam • Phạm vi nghiên cứu: iv. Cách tiếp cận và phương pháp nghiên cứu • Phương pháp nghiên cứu: Phương pháp mô tả, tổng quan tài liệu, tổng hợp phân tích tài liệu v. Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện được • Những đóng góp mới của chuyên đề - Phân tích tổng quan thực trạng giám sát an toàn thông tin của Ngành Bảo hiểm xã hội Việt Nam. - Các giải pháp, kiến nghị, đề xuất về hạ tầng thiết bị CNTT để đảm bảo ứng cứu khẩn cấp sự cố an toàn thông tin • Những vấn đề mà chuyên đề chưa thực hiện được - Phân tích chi tiết hệ thống theo dõi tập trung an toàn thông tin ngành Bảo hiểm xã hội vi. Kết cấu chuyên đề Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương, cụ thể như sau: Chương 1. Quy định về hệ thống giám sát an ninh thông tin và ứng phó, khắc phục sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam Chương 2. Thực trạng hệ thống giám sát an ninh thông tin và ứng phó, khắc phục sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam Chương 3. Một số kiến nghị, đề xuất về hệ thống giám sát an ninh thông tin và ứng phó, khắc phục sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam

CHUYÊN ĐỀThực trạng hệ thống giám sát an ninh thông tin và ứng phó, khắc phục sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam

Người thực hiện: Nguyễn Duy Hưng

Đề tài:

XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ

AN TOÀN THÔNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS Lê Vũ Toàn

Hà Nội - 2022

CHUYÊN ĐỀThực trạng hệ thống giám sát an ninh thông tin và ứng phó, khắc phục sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam

Đề tài:

XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ

AN TOÀN THÔNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS Lê Vũ Toàn

Hà Nội - 2022

Phần mở đầu 1

v Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện

Chương 1 Quy định về hệ thống giám sát an ninh thông tin và ứng phó, khắc phục sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam 4

1.1.1 Chỉ thị số 14/CT-TTg của Thủ tướng Chính phủ về việc tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng

1.1.2 Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ và Thông tư 03/2017/TT-BTTTT ngày ngày 24/04/2017 về việc quy định chi tiết và hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ 41.1.2 Công văn số 1552/BTTTT-CATTT về việc Đôn đốc tổ chức triển khai bảo đảm an toàn thông tin cho hệ thống thông tin theo mô hình “4

2.1.1 Nguồn nhân lực 82.1.1.1 Ban Chỉ đạo Chuyển đổi số ngành BHXH Việt Nam 82.1.1.2 Trung tâm vận hành hệ thống thông tin (ISOC) 9

2.1.1.3 Các đơn vị trong hệ thống BHXH Việt Nam 11

2.1.2.2 Công tác giám sát hệ thống máy chủ, lưu trữ 132.1.2.3 Công tác giám sát hệ thống an toàn thông tin 15

2.2.1 Hiện trạng thực thi bảo đảm an toàn thông tin cho hệ thống thông

2.2.1.1 Xây dựng hồ sơ cấp độ và triển khai phương án bảo đảm an

2.2.1.2 Kiểm tra, đánh giá an toàn thông tin 222.2.1.3 Xây dựng phương án ứng cứu an toàn thông tin mạng 262.2.1.4 Tình hình lây nhiễm và xử lý, bóc gỡ mã độc và tấn công

2.2.1.5 Tình hình xây dựng và triển khai kế hoạch dự phòng, sao lưu

dữ liệu, bảo đảm hoạt động liên tục của cơ quan, tổ chức; sẵn sàng khôi phục hoạt động bình thường của hệ thống sau khi gặp sự cố mất

2.2.1.6 Hiện trạng đào tạo, tập huấn, diễn tập về an toàn thông tin

Tiểu kết Chương 2 36 Chương 3 Một số kiến nghị, đề xuất về hệ thống giám sát an ninh thông tin và ứng phó, khắc phục sự cố an toàn thông tin ngành Bảo hiểm xã hội

1 An toàn thông tin ATTT

Phần mở đầu

i Sự cần thiết

Thế giới hội nhập và toàn cầu hóa hiện nay đang được phát triển trênnền tảng cốt lõi là các kết nối mạng Internet và chia sẻ dữ liệu điện tử Mọihoạt động kinh tế, chính trị, ngoại giao, văn hóa tinh thần, quân sự ngày nay

có những bước đột phá lớn, đạt được hiệu quả vượt bậc trong quá trình thựchiện, nhờ các thao tác xử lý tự động trên hệ thống kết nối mạng máy tính vớitốc độ tính theo đơn vị một phần nhiều triệu giây

Theo đánh giá của nhiều tổ chức ATTT uy tín trên thế giới, hiện naytoàn cầu đang đối diện với hàng loạt nguy cơ mới xuất hiện và phổ biếnnhanh chóng Số lượng lỗ hổng bảo mật, mã độc, mạng máy tính ma (botnet)được phát hiện ngày càng nhiều, tạo điều kiện cho tội phạm mạng tiến hànhnhững chiến dịch tấn công kiểu mới, cực kỳ tinh vi và nguy hiểm so với trướcđây Thay vì thực hiện những cuộc tấn công nhanh, nhiều loại mã độc có khảnăng ngủ đông, dò xét, chiếm quyền trong thời gian dài, rình thời điểm sơ hởnhất của đối tượng để tiến hành các cuộc tổng tấn công Hãng bảo mậtSymantec đánh giá thiệt hại do mất ATTT trên toàn cầu ước tính hơn 1.000 tỷUSD mỗi năm

Tin tặc không chỉ gây thiệt hại về kinh tế, mà còn gây ra những xungđột chính trị, ngoại giao Chúng hoạt động rất tinh vi, thực hiện những chiếndịch quy mô lớn, và có thể phần đông trong số đó được hỗ trợ từ các Chínhphủ Các cuộc tấn công mạng xảy ra liên tiếp, tần suất tấn công phá hoại ngàycàng lớn; tấn công có chủ đích ngày càng nhiều; phương thức tấn công, pháhoại ngày càng tinh vi, từ nhiều nguồn, trong nước, nước ngoài; các loại mãđộc, phần mềm độc hại, mạng máy tính ma, lỗ hổng bảo mật v.v ngày càngphức tạp

Vì vậy, nhóm nghiên cứu đã lựa chọn chuyên đề “Thực trạng hệ thống giám sát an ninh thông tin và ứng phó, khắc phục sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam” làm chuyên đề nghiên cứu.

Chuyên đề này là một nhánh nghiên cứu của Đề tài “ Xây dựng hệthống quy trình ứng cứu khẩn cấp sự cố an toàn thông tin ngành Bảo hiểm xãhội Việt Nam” do ông Lê Vũ Toàn làm chủ nhiệm.

ii Mục tiêu nghiên cứu

 Mục tiêu chung: Phân tích thực trạng hệ thống giám sát an toàn thôngtin và ứng phó, khắc phục sự cố đem đến cái nhìn tổng quát hệ thốnggiám sát an toàn thông tin ngành BHXH Việt Nam

 Mục tiêu cụ thể:

- Những quy định về hệ thống giám sát an toàn thông tin

- Phân tích tổng quan thực trạng giám sát an toàn thông tin của Ngành Bảohiểm xã hội Việt Nam

- Các giải pháp, kiến nghị, đề xuất về hạ tầng thiết bị CNTT để đảm bảoứng cứu khẩn cấp sự cố an toàn thông tin

iii Đối tượng và phạm vi nghiên cứu

 Đối tượng nghiên cứu: Hệ thống giám sát an toàn thông tin của Bảohiểm xã hội Việt Nam

 Phạm vi nghiên cứu:

iv Cách tiếp cận và phương pháp nghiên cứu

 Phương pháp nghiên cứu: Phương pháp mô tả, tổng quan tài liệu, tổnghợp phân tích tài liệu

v Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện được

 Những đóng góp mới của chuyên đề

- Phân tích tổng quan thực trạng giám sát an toàn thông tin của Ngành Bảohiểm xã hội Việt Nam

- Các giải pháp, kiến nghị, đề xuất về hạ tầng thiết bị CNTT để đảm bảoứng cứu khẩn cấp sự cố an toàn thông tin

 Những vấn đề mà chuyên đề chưa thực hiện được

- Phân tích chi tiết hệ thống theo dõi tập trung an toàn thông tin ngành Bảohiểm xã hội

vi Kết cấu chuyên đề

Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương,cụ thể như sau:

Chương 1 Quy định về hệ thống giám sát an ninh thông tin và ứng phó,khắc phục sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam

Chương 2 Thực trạng hệ thống giám sát an ninh thông tin và ứng phó,khắc phục sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam

Chương 3 Một số kiến nghị, đề xuất về hệ thống giám sát an ninhthông tin và ứng phó, khắc phục sự cố an toàn thông tin ngành Bảo hiểm xãhội Việt Nam

Chương 1 Quy định về hệ thống giám sát an ninh thông tin và ứng phó, khắc phục sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam

1.1 Các văn bản quy định

1.1.1 Chỉ thị số 14/CT-TTg của Thủ tướng Chính phủ về việc tăng cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam.

Chỉ thị số 14/CT-TTg đã nêu rõ tại Khoản c Điều 1:

Đối với công tác giám sát, ứng cứu sự cố an toàn thông tin mạng, bảo

vệ hệ thống thông tin thuộc quyền quản lý: Tự thực hiện giám sát, ứng cứu sự

cố an toàn thông tin mạng, bảo vệ hệ thống thông tin thuộc quyền quản lýhoặc lựa chọn tổ chức, doanh nghiệp có đủ năng lực để thực hiện; thông báothông tin đầu mối thực hiện giám sát, ứng cứu sự cố an toàn thông tin mạng

về Bộ Thông tin và Truyền thông để tổng hợp trước ngày 31 tháng 12 năm

2019 và khi có sự thay đổi về thông tin đầu mối; kết nối, chia sẻ thông tin vớiTrung tâm Giám sát an toàn không gian mạng quốc gia trực thuộc Cục Antoàn thông tin, Bộ Thông tin và Truyền thông;

1.1.2 Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm an toàn hệ thống thông tin theo cấp độ và Thông tư 03/2017/TT-BTTTT ngày ngày 24/04/2017 về việc quy định chi tiết và hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ

Thực hiện đánh giá Chỉ số sẵn sàng ứng dụng công nghệ thông tin củaNgành hàng năm theo qui định của Bộ Thông tin và Truyền thông Trung tâmCNTT đã rà soát và trình BHXH Việt Nam ban hành Quyết định số 1954/QĐ-BHXH ngày 8/11/2019 ngày của Tổng Giám đốc BHXH Việt Nam về việcphê duyệt cáp độ an toàn hệ thống thông tin và ban hành Quyết định Quyếđịnh số 1337/QĐ-CNTT ngày 08/11/2019 của Giám đốc Trung tâm CNTT vềviệc về việc phê duyệt cấp độ an toàn hệ thống thông tin

1.1.2 Công văn số 1552/BTTTT-CATTT về việc Đôn đốc tổ chức triển khai bảo đảm an toàn thông tin cho hệ thống thông tin theo mô hình “4 lớp”

Bộ Thông tin và Truyền thông đề nghị các Bộ, cơ quan ngang Bộ, cơquan thuộc Chính phủ; các Ủy ban nhân dân tỉnh, thành phố trực thuộc Trungương tổ chức triển khai bảo đảm an toàn thông tin (ATTT) cho hệ thống thôngtin thuộc phạm vi quản lý theo mô hình “4 lớp”: (1) Lực lượng tại chỗ, (2) Tổchức hoặc thuê doanh nghiệp giám sát, bảo vệ chuyên nghiệp, (3) Tổ chứchoặc thuê doanh nghiệp độc lập kiểm tra, đánh giá định kỳ, (4) Kết nối, chia

sẻ thông tin với hệ thống giám sát quốc gia, cụ thể:

- “Lớp 1” Lực lượng tại chỗ:

Chỉ định, kiện toàn đầu mối đơn vị chuyên trách về ATTT mạng để làmtốt công tác tham mưu, tổ chức thực thi và kiểm tra, đôn đốc thực hiện cácquy định của pháp luật về bảo đảm an toàn, an ninh mạng

- “Lớp 2” Tổ chức hoặc thuê doanh nghiệp giám sát, bảo vệ chuyênnghiệp:

Tự thực hiện giám sát, ứng cứu sự cố ATTT mạng, bảo vệ hệ thốngthông tin thuộc quyền quản lý hoặc lựa chọn/thuê tổ chức, doanh nghiệp có đủnăng lực để thực hiện cung cấp dịch vụ giám sát, ứng cứu sự cố, bảo vệ ATTTmạng

- “Lớp 3” Tổ chức hoặc thuê doanh nghiệp độc lập kiểm tra, đánh giáđịnh kỳ

Lựa chọn/thuê tổ chức, doanh nghiệp độc lập với tổ chức, doanh nghiệpgiám sát, bảo vệ để định kỳ kiểm tra, đánh giá ATTT mạng đối với hệ thốngthông tin cấp độ 3 trở lên thuộc quyền quản lý hoặc kiểm tra, đánh giá độtxuất khi có yêu cầu theo quy định của pháp luật;

Đối với các hệ thống thông tin cấp độ 3 và cấp độ 4, định kỳ hàng nămthực hiện kiểm tra, đánh giá và báo cáo Bộ Thông tin và Truyền thông trướcngày 14 tháng 12 để tổng hợp, báo cáo Thủ tướng Chính phủ;

Đối với hệ thống thông tin quan trọng quốc gia (cấp độ 5), định kỳ 06tháng một lần thực hiện kiểm tra, đánh giá và báo cáo Bộ Thông tin và Truyềnthông trước ngày 14 tháng 6 và ngày 14 tháng 12 hàng năm để tổng hợp, báocáo Thủ tướng Chính phủ.

- “Lớp 4” Kết nối, chia sẻ thông tin với hệ thống giám sát quốc giaKết nối, chia sẻ thông tin giám sát an toàn thông tin với Trung tâmGiám sát an toàn không gian mạng quốc gia trực thuộc Cục An toàn thông tin,

Bộ Thông tin và Truyền thông; và cung cấp các dải địa chỉ IP Public của các

hệ thống thông tin trong cơ quan, tổ chức nhà nước thuộc phạm vi quản lý

1.1.3 Công văn số 2973/BTTTT-CATTT về việc hướng dẫn triển khai hoạt động giám sát an toàn thông tin trong cơ quan, tổ chức Nhà nước

Tại tài liệu hướng dẫn đi kèm công văn 2973/BTTTT-CATTT đã cóhướng dẫn:

- Hướng dẫn triển khai hoạt động giám sát

o Phương án triển khai giám sát

o Triển khai phương án giám sát theo hình thức đầu tư

o Triển khai phương án giám sát theo hình thức thuê dịch vụ

- Thiết lập và quản lý vận hành hệ thống giám sát:

o Đối tượng, phạm vi giám sát

o Hệ thống quản lý tập trung

o Thiết lập hệ thống

o Quản lý, vận hành hệ thống

o Mô hình tham khảo về giám sát an toàn thông tin cấp tỉnh

- Kết nối chia sẻ thông tin với Trung tâm giám sát an toàn không gian mạng Quốc gia

o Nguyên tắc kết nối và chia sẻ thông tin

toàn thông tin cho những hệ thống quan trọng trong bối cảnh các cuộc tấncông mạng ngày càng nhiều và phức tạp.

Chương 2 Thực trạng hệ thống giám sát an toàn thông tin và ứng phó, khắc phục sự cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam

2.1 Các thành phần trong hệ thống giám sát an toàn thông tin và ứng phó sự cố

2.1.1 Nguồn nhân lực

2.1.1.1 Ban Chỉ đạo Chuyển đổi số ngành BHXH Việt Nam

BHXH Việt Nam đã thành lập Ban Chỉ đạo ứng dụng CNTT do TổngGiám đốc làm Trưởng ban, giao 01 Phó Tổng Giám đốc làm Phó Trưởng banthường trực phụ trách chỉ đạo và điều hành về hoạt động ứng dụng Công nghệthông tin và đảm bảo an toàn thông tin toàn Ngành

Trung tâm CNTT là đơn vị đầu mối chịu trách nhiệm về an toàn thôngtin mạng, trực tiếp thực hiện công tác đảm bảo an toàn thông tin mạng toànNgành là Phòng Quản lý Hạ tầng và An ninh thông tin của Trung tâm CNTT.Tại BHXH các tỉnh, thành phố, Giám đốc hoặc Phó giám đốc phụ tráchCNTT là người chịu trách nhiệm trực tiếp chỉ đạo công tác đảm bảo về antoàn thông tin mạng; phòng CNTT chịu trách nhiệm đảm bảo công tác an toànthông tin tại đơn vị, báo cáo Trung tâm CNTT khi có sự cố nằm ngoài phạm

vi kiểm soát để hỗ trợ giải quyết

BHXH Việt Nam có 01 Phó Tổng Giám đốc phụ trách chỉ đạo và điềuhành về hoạt động ứng dụng CNTT toàn Ngành Phó Tổng Giám đốc phụtrách CNTT đóng vai trò:

- Chỉ đạo xây dựng thể chế, chính sách đến chiến lược phát triển hệthống CNTT, nguồn nhân lực CNTT

- Chỉ đạo, điều phối hoàn thiện mô hình tổng thể về kiến trúc Chính phủcủa Ngành, thực hiện kết nối liên thông tới các Bộ, Ngành để hoànthiện mô hình kiến trúc chính phủ điện tử Việt Nam

- Chỉ đạo, tổ chức thực hiện các chương trình ứng dụng CNTT, tránhchồng chéo, trùng lắp Nâng cao vai trò, năng lực của cơ quan chuyêntrách CNTT của Ngành

- Đôn đốc, điều phối triển khai các hệ thống CNTT quan trọng củaNgành, đảm bảo tính liên thông đồng bộ giữa các hệ thống CNTT theo

mô hình kiến trúc tổng thể hệ thống CNTT của Ngành

Trong Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 của Bảo hiểm xã hộiViệt Nam đã quy định Ban Chỉ đạo chuyển đổi số là Ban Chỉ đạo ứng cứukhẩn cấp sự cố ATTT mạng

2.1.1.2 Trung tâm vận hành hệ thống thông tin (ISOC)

BHXH Việt Nam đã đầu tư xây dựng Trung tâm điều hành hệ thốngCNTT ngành BHXH đồng thời thuê nhân sự trực Trung tâm điều hành từ đơnvị cung cấp dịch vụ có chất lượng cao (Công ty TNHH MTV Ứng dụng Kỹthuật và Sản xuất TECAPRO) nhằm chuyên nghiệp hóa, tập trung hóa côngtác giám sát, quản trị và vận hành các hệ thống ứng dụng CNTT, đảm bảo antoàn cho các hệ thống thông tin, giúp các hệ thống thông tin của ngành BHXHhoạt động liên tục 24/7, giảm thiểu tối đa nguy cơ đe dọa mất an toàn thôngtin, thời gian gián đoạn hoạt động nghiệp vụ do vấn đề kỹ thuật; Nâng cao khảnăng quản trị, vận hành, giám sát và khắc phục sự cố kịp thời cho toàn bộ hệthống CNTT ngành BHXH

Trung tâm quản lý điều hành hệ thống CNTT ngành BHXH đã đượcCông ty TNHH chứng nhận DAS Việt Nam đánh giá và trao chứng nhận hệthống quản lý an toàn thông tin theo tiêu chuẩn ISO 27001:2013 từ tháng12/2019

Việc thuê dịch vụ quản trị, vận hành các hệ thống CNTT Ngành BHXH

đã giúp Ngành BHXH nắm bắt nhanh chóng tình trạng hoạt động của các ứngdụng, dịch vụ, các thành phần hạ tầng hệ thống CNTT, khắc phục các sự cốkịp thời, nâng cao tính sẵn sàng và hiệu suất hoạt động của hệ thống CNTT,các dịch vụ, ứng dụng phục vụ hiệu quả cho hoạt động nghiệp vụ của Ngành.Trong suốt quá trình thuê dịch vụ, các hệ thống CNTT của Ngành luôn đượctheo dõi sát sao, kịp thời phát hiện, cảnh báo và xử lý các lỗi phát sinh của hệthống góp phần giúp hệ thống ứng dụng CNTT toàn Ngành hoạt động liên tục24/7 đáp ứng 100% nhu cầu phục vụ người dân và đơn vị sử dụng lao động

Hiện nay Ngành BHXH vẫn đang tiếp tục mở rộng phạm vi của các hệthống CNTT, xây dựng kế hoạch triển khai công tác chuyển đổi số của Ngànhtheo Quyết định số 942/QĐ-TTg của Thủ tướng Chính phủ phê duyệt Chiếnlược phát triển Chính phủ điện tử hướng tới Chính phủ số giai đoạn 2021-

2025, định hướng đến năm 2030 triển khai thêm các giải pháp đảm bảo antoàn bảo mật và các hệ thống ứng dụng nghiệp vụ quan trọng khác do vậyviệc bố trí số lượng cán bộ làm việc theo ca hiện tại về cơ bản cũng đã đápứng yêu cầu về thực hiện quản trị, vận hành cho các hệ thống CNTT toànNgành.

Nội dung các hạng mục mà trung tâm vận hành hệ thống thông tin thựchiện

1 Các hệ thống ứng dụng nghiệp vụ Ngành

2.1.1.2 Trung tâm Công nghệ thông tin

Trung tâm CNTT là đơn vị chuyên trách về ứng cứu sự cố an ttoanfthông tin mạng của BHXH Việt Nam Trung tâm CNTT chịu trách nhiệmquản lý, tổ chức và triển khai các chương trình, các hoạt động bảo đảm antoàn thông tin trong toàn Ngành

Hàng năm, BHXH Việt Nam tổ chức bồi dưỡng kiến thức và CNTT chotoàn thể cán bộ, công chức, viên chức người lao động của toàn Ngành theo lộtrình kế hoạch đào tạo nguồn nhân lực:

- Khóa bồi dưỡng ATTT trong toàn Ngành nhằm bồi dưỡng nâng caonhận thức và trách nhiệm bảo đảm ATTT cho toàn thể cán bộ, côngchức, viên chức và người lao động của BHXH Việt Nam; Nâng cao

năng lực, kiến thức và kỹ năng kỹ thuật của cán bộ chuyên trách và bánchuyên trách về ATTT nhằm phục vụ cho công tác bảo đảm ATTT củaBHXH Việt Nam, góp phần bảo đảm ATTT cho hoạt động của các cơquan, đơn vị.

- Bồi dưỡng kiến thức, kỹ năng lập trình cho cán bộ của Trung tâm Côngnghệ thông tin theo các chuẩn công nghệ mới Hình thức tổ chức theocác khóa học có chứng chỉ quốc tế do các tổ chức đào tạo trong nước có

2.1.1.3 Các đơn vị trong hệ thống BHXH Việt Nam

Hiện các đơn vị trong hệ thống BHXH Việt Nam đều có viên chứcchuyên trách về an toàn thông tin, cụ thể 459 cán bộ (Trưởng phòng, Phóphòng và Chuyên viên các phòng trực thuộc Trung tâm CNTT; Phòng CNTTtrực thuộc Văn phòng BHXH Việt Nam và BHXH các Tỉnh/TP) Những cán

bộ làm công tác quản trị mạng từ TW đến cấp tỉnh đều được đào tạo hàngnăm về quản trị mạng Những cán bộ này có thể đảm nhận việc vận hành hệthống hiện tại

Huyện/Tỉnh/TW được kết nối qua kênh truyền riêng của Ngành để truy cậpvào được các hệ thống nghiệp vụ tại TTDL Ngành.

Để triển khai được mạng WAN toàn Ngành này BHXH Việt Nam đãtrang bị rất nhiều các thiết bị mạng tại địa phương cũng như tại các TTDLNgành phục vụ cho kết nối mạng này

Ngoài ra BHXH cũng đã và đang cung cấp các dịch vụ về BHXH điện

tử cho các đơn vị đối tác IVAN (14 đơn vị) qua các kênh riêng nhằm đảm bảotính ổn định và bảo mật dữ liệu trên đường truyền; không những thế BHXHcũng như đang triển khai nhiều kết nối đến các đơn vị, bộ ban ngành khácnhư: Các ngân hàng, VNPost, Kiểm toán Nhà Nước, Bộ Quốc Phòng, Bộ Kếhoạch và Đầu tư, Bộ y tế, Tổng cục Thuế,…

Các công tác phối hợp giữa Trung tâm Công nghệ thông tin, Trung tâmvận hành hệ thống thông tin (ISOC) và quản trị mạng BHXH cấp Tỉnh/Thànhphố và Quận/Huyện và các đơn vị trực thuộc BHXH:

- Giám sát, vận hành, xử lý sự cố các thiết bị mạng được BHXH ViệtNam trang bị

- Nâng cấp phần mềm, cài đặt bản vá cho các thiết bị mạng theo khuyếnnghị của hãng và phù hợp với hoạt động của hệ thống

- Phân tích lỗi, tìm và đề xuất các giải pháp xử lý triệt để đặc biệt là cáclỗi lặp lại nhiều lần, lỗi xảy ra trên diện rộng

- Giám sát, vận hành, xử lý sự cố đường truyền mạng WAN kết nối từTTDL Ngành; TTDL dự phòng tới BHXH các Tỉnh/Thành phố vàQuận/Huyện Phối hợp với đơn vị cung cấp dịch vụ mạng WAN,INTERNET xử lý sự cố mạng WAN khi xảy ra sự cố

- Phối hợp với đơn vị cung cấp dịch vụ mạng INTERNET, WAN ngành,các đơn vị Đối tác như IVAN, BANK, CPNET, các Bộ ban ngành cókết nối với TTDL ngành, TTDL dự phòng để xử lý sự cố mạng nếu có

- Định kỳ sao lưu cấu hình, chính sách hiện tại của các thiết bị mạng tạiTTDL Ngành; TTDL dự phòng, BHXH cấp Tỉnh/Thành phố vàQuận/Huyện

- Ghi nhật ký công việc thực hiện, nhật ký sự cố và báo cáo tổng hợpđịnh kỳ hàng tháng

- Xây dựng tài liệu hướng dẫn khắc phục lỗi

- Đánh giá hệ thống định kỳ và lập báo cáo đánh giá, đề xuất phương ánthay đổi, nâng cấp hệ thống.

2.1.2.2 Công tác giám sát hệ thống máy chủ, lưu trữ

Hệ thống máy chủ được đặt tại TTDL Ngành, bao gồm các máy chủCSDL và các máy chủ ứng dụng Trong đó:

- Các máy chủ CSDL: Được chạy trên máy chủ vật lý để đảm bảo hiệunăng hoạt động của các hệ thống phần mềm ứng dụng

- Các máy chủ ứng dụng: Được chạy trên các máy chủ ảo hóa trên nềntảng công nghệ điện toán đám mây cho phép người quản trị dễ dàng vàlinh hoạt trong việc cấp phát tài nguyên phù hợp cho từng hệ thốngphần mềm ứng dụng

Các máy chủ ứng dụng của BHXH Việt Nam đã được trang bị đa sốđều được ảo hóa nhằm tối ưu tài nguyên máy chủ vật lý cũng như tận dụngcác ưu điểm khác của công nghệ điện toán đám mây, hiện tại BHXH sử dụngcông nghệ ảo hóa của hãng VMWare Tuy nhiên đối với các thành phần cơ sở

dữ liệu của các hệ thống nghiệp vụ Ngành đều được triển khai trên các máychủ vật lý

Các hệ thống nghiệp vụ Ngành triển khai đa dạng các hệ điều hành cácmiddleware khác nhau tuy nhiên đối với hệ điều hành thì tiêu biểu vẫn Linux

và Windows Server

Hệ thống lưu trữ và sao lưu dữ liệu của BHXH Việt Nam bao gồm:

- Thiết bị lưu trữ chính: Thiết bị lưu trữ mạng SAN, lưu trữ toàn bộCSDL của các ứng dụng nghiệp vụ của Ngành (Hệ thống thu và quản lý

sổ thẻ; Hệ thống giám định; Hệ thống kế toán; Hệ thống quản lý chínhsách; )

- Các thiết bị lưu trữ thứ cấp: Lưu trữ dữ liệu các hệ thống nghiệp vụ có

dữ liệu phát sinh lớn nhưng ít quan trọng như dữ liệu hệ thống số hóahồ sơ đối tượng hưởng chính sách; hệ thống email; hệ thống QLVB

- Thiết bị ảo hóa lưu trữ: Ảo hóa và quản lý tập trung các hệ thống lưutrữ của Ngành

- Thiết bị lưu trữ dự phòng: Lữu trữ toàn bộ bản sao dữ liệu của các hệthống nghiệp vụ

- Thiết bị lưu trữ băng từ: Sao lưu các dữ liệu từ hệ thống lưu trữ dựphòng sang băng từ

Các công tác phối hợp vận hành hệ thống máy chủ, lưu trữ:

- Giám sát, vận hành, xử lý sự cố khi có hoạt động bất thường của thiếtbị máy chủ

- Cấp phát tài nguyên, cài đặt máy, lưu trữ chủ theo yêu cầu khi triểnkhai các hệ thống dịch vụ mới

- Nâng cấp, cài đặt bản vá hệ điều hành cho các máy chủ ảo hoá(Windows/Linux) theo khuyến nghị của hãng (phiên bản còn đượchãng hỗ trợ bản vá) và phù hợp với hoạt động của hệ thống

- Quản trị, theo dõi tình trạng hoạt động, hiệu năng hoạt động của từngcụm máy chủ dịch vụ cung cấp cho các ứng dụng nghiệp vụ Điều phốitài nguyên máy chủ phù hợp với nhu cầu sử dụng của từng hệ thống

- Quản trị, theo dõi tình trạng hoạt động, hiệu năng hoạt động của từngphân vùng lưu trữ được cung cấp cho các ứng dụng nghiệp vụ

- Giám sát mức độ tăng trưởng tài nguyên được cấp cho từng hệ thống,

có cảnh báo kịp thời khi dữ liệu đạt tới các ngưỡng

- Mở rộng dung lượng phân vùng lưu trữ của các ứng dụng nghiệp vụ khiphân vùng lưu trữ đạt tới ngưỡng cảnh báo

- Điều phối tài nguyên lưu trữ (ổ SSD; ổ SAS; ổ SATA) đảm bảo hiệunăng đọc/ghi phù hợp với nhu cầu sử dụng của từng hệ thống

- Thu hồi các máy chủ, phân vùng không còn sử dụng đến trên các hệthống ứng dụng nghiệp vụ

- Định kỳ thực hiện sao lưu dữ liệu quan trọng của các hệ thống ứngdụng nghiệp vụ sang thiết bị lưu trữ dự phòng và thiết bị lưu trữ băng

từ theo lịch phân bố cho phù hợp với hoạt động của từng hệ thống

- Ghi nhật ký công việc, nhật ký sự cố và báo cáo tổng hợp định kỳ hàngtháng

- Phân tích lỗi, tìm và đề xuất các giải pháp xử lý triệt để lỗi, đặc biệt làcác lỗi lặp lại nhiều lần, lỗi xảy ra trên diện rộng

- Phối hợp với các bộ phận liên quan triển khai các phương thức giám sáthiệu quả đối với các hệ thống ứng dụng, nghiệp vụ để phát hiện sớmcác sự cố phát sinh trong quá trình vận hành

- Xây dựng tài liệu hướng dẫn khắc phục lỗi

- Đánh giá hệ thống định kỳ và lập báo cáo đánh giá, đề xuất phương ánthay đổi, nâng cấp hệ thống.

2.1.2.3 Công tác giám sát hệ thống an toàn thông tin

Trong kế hoạch ứng dụng CNTT giai đoạn 2016-2020, BHXH ViệtNam đã xác định xây dựng một chiến lược an ninh bảo mật đa lớp chung chotoàn ngành, theo đó từng bước xây dựng nên một hệ thống an ninh bảo mậttoàn diện và hiện đại theo kiến trúc tổng thể:

Dựa trên kiến trúc trên, trong các năm qua, BHXH Việt Nam đã khôngngừng xây dựng, bổ sung từng lớp bảo mật cho các hệ thống CNTT trọng yếucủa Ngành

Danh mục các thiết bị an toàn thông tin đã được trang bị tại Trung tâm

dữ liệu, Trung tâm dữ liệu dự phòng:

Trung tâm Dữ liệu Mục đích sử dụng Số lượng

JUNIPER SRX3400

Tường lửa lớp hai cho cáctruy cập nội bộ giữa các phânvùng

2

Palo Alto 3050 Tường lửa lớp một cho các

truy cập bên ngoài cho một số

2

phân vùng mạng.

CheckPoint 4600-NGTP

Tường lửa lớp một cho cáctruy cập bên ngoài, đóng vàitrò gateway firewall

2

Protector 2006 Phòng chống tấn công DdoS 2Palo Alto 5250 Tường lửa cho các truy cậpvào phân vùng lõi 2Cisco Firepower 4110 Phát hiện, ngăn chặn các kếtnối trái phép 2FireEye NX7400 Phòng chống tấn công ATPcho các ứng dụng web. 1FireEye CM7400 Quản lý các thiết bị ATP 1FireEye EX3400 Phòng chống tấn công ATPcho hệ thống thư điện tử. 1Imperva X6510 Giám sát và bảo mật cho cácmáy chủ CSDL. 2Imperva M160 Quản lý tập trung các thiết bịgiám sát CSDL 1Barracuda Spam Firewall

6600 Appliance Thu thập thông tin, dữ liệu 1SafeNet Luna SA 7000 Lưu các cặp key và thực hiệnký số 2HSM payment Vectera

Thiết bị PKI Utimaco Thiết bị lưu khóa bí mật 2PKI Appliance by

Palo Alto Networks PA- Tường lửa cho các truy cập 1

5020 vào phân vùng lõi

1

FireEye NX7400 Phòng chống tấn công ATPcho các ứng dụng web. 1

Imperva X6510 Giám sát và bảo mật cho cácmáy chủ CSDL. 1

Trang bị cho các máy

chủ, máy trạm Mục đích sử dụng

Phần mềm phát hiện

những cuộc tấn công chưa

được biết đến (EDR)

Theo dõi, phát hiện và ngănchặn những tiến trình, kết nốinghi ngờ là mã độc

Ngoài các trang thiết bị chuyên dụng về an ninh bảo mật đã đượcBHXH Việt Nam trang bị nhằm nâng cao, đảm bảo an toàn bảo mật cho dữliệu, các hệ thống nghiệp vụ Ngành tại các TTDL chính và TTDL dự phòngnhư đã được trình bầy ở trên thì BHXH cũng đã trang bị nhiều các phần mềmquản lý, giám sát, phân tích và xử lý các vấn đề liên quan đến an ninh bảo mậtvới nhiều mức nhiều lớp khác nhau từ lớp mạng lớp ứng dụng lớp CSDL chođến lớp đầu cuối

Các công tác phối hợp vận hành hệ thống đảm bảo an toàn thông tin:

- Khắc phục lỗi phát sinh, lỗi theo cảnh báo, yêu cầu nhận được liênquan đến tình trạng sức khỏe, hiệu năng hoạt động của hạ tầng kỹ thuật

hệ thống an ninh thông tin trên toàn Ngành

- Phân tích lỗi, tìm và đề xuất các giải pháp xử lý triệt để lỗi, đặc biệt làcác lỗi lặp lại nhiều lần, lỗi xảy ra trên diện rộng

- Triển khai, khai thác, sử dụng hệ thống bảo đảm an toàn thông tin trựctiếp tại trụ sở của đơn vị theo chính sách chung toàn Ngành

- Nâng cấp phần mềm, cài đặt bản vá cho các thiết bị, phần mềm an ninhbảo mật trên toàn Ngành theo khuyến nghị của hãng và phù hợp vớihoạt động của hệ thống

- Thực hiện tối ưu các thông số kỹ thuật của thiết bị, phần mềm an ninhbảo mật phù hợp với hoạt động của hệ thống tại BHXH tỉnh, huyện vàcác đơn vị trực thuộc BHXH theo khuyến nghị của hãng và các tổ chứcchuyên trách.

- Xây dựng môi trường phục vụ kiểm thử an toàn thông tin của các hệthống ứng dụng nghiệp vụ Báo cáo và thực hiện phối hợp xử lý lỗhổng bảo mật của hệ thống ứng dụng nghiệp vụ theo kết quả kiểm thử

an ninh bảo mật

- Tổng hợp thông tin về tình hình mã độc (hàng ngày), tín nhiệm mạng(hàng tuần) từ các đơn vị giám sát ATTT chuyên trách theo yêu cầu củachủ đầu tư để thông báo cho các đơn vị BHXH

- Ngăn chặn các địa chỉ mã độc theo khuyến cáo của các đơn vị chuyêntrách về an ninh bảo mật của Việt Nam kết nối tới hệ thống BHXHhoặc từ BHXH kết nối đến các địa chỉ mã độc Phối hợp các đơn vị xử

lý sự cố ATTT tại các đơn vị trực thuộc BHXH Việt Nam

- Định kỳ sao lưu cấu hình, chính sách hiện tại của các thiết bị an ninhthông tin trên toàn Ngành

- Ghi nhật ký công việc, nhật ký sự cố và báo cáo tổng hợp định kỳ

2.2 Các hoạt động ứng cứu sự cố ATTT

2.2.1 Hiện trạng thực thi bảo đảm an toàn thông tin cho hệ thống thông tin

2.2.1.1 Xây dựng hồ sơ cấp độ và triển khai phương án bảo đảm an toànthông tin theo cấp độ

Thực hiện đánh giá Chỉ số sẵn sàng ứng dụng công nghệ thông tin củaNgành hàng năm theo qui định của Bộ Thông tin và Truyền thông Trung tâmCNTT đã rà soát và trình BHXH Việt Nam ban hành Quyết định số 1954/QĐ-BHXH ngày 8/11/2019 ngày của Tổng Giám đốc BHXH Việt Nam về việcphê duyệt cáp độ an toàn hệ thống thông tin và ban hành Quyết định số1337/QĐ-CNTT ngày 08/11/2019 của Giám đốc Trung tâm CNTT về việc vềviệc phê duyệt cấp độ an toàn hệ thống thông tin

1 Hệ thống quản lý văn bản điều 2 Quyết định số