Phần mở đầu i. Sự cần thiết Hệ thống mạng tại Trung tâm dữ liệu Ngành BHXH Việt Nam đảm bảo kết nối, khả năng xử lý, chuyển mạch các lưu lượng mạng cho các hệ thống phần mềm, CSDL nghiệp vụ phục vụ việc tuy cập khai thác thông tin từ nội bộ (qua mạng WAN/Internet) và các tổ chức kết nối bên ngoài Bộ, Ban, Ngành (qua mạng TSLCD), các tổ chức cung cấp dịch IVAN, các ngân hàng (qua kênh truyền kết nối riêng), truy cập người dân, doanh nghiệp, các cơ sở khám chữa bệnh đăng ký Khám chữa bệnh BHYT (qua mạng Internet). Sự cố hệ thống mạng là việc hệ thống mạng bị tấn công hoặc bị lỗi gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật hoặc tính khả dụng của hệ thống thông tin. Sự cố mạng nghiêm trọng được định nghĩa là sự cố làm dừng, mất khả năng truy cập của một hoặc nhiều hệ thống thông tin từ cấp độ 02 trở lên. Việc xây dựng quy trình ứng cứu sự cố hệ thống mạng giúp thống nhất về mặt quy trình ứng cứu, điều phối xử lý sự cố; Xác định, phân loại, khắc phục nhanh chóng, hiệu quả đảm bảo hệ thống thông tin được khôi phục đảm bảo các đặc tính an toàn thông tin (tính nguyên vẹn, tính bảo mật và khả dụng) ii. Mục tiêu nghiên cứu • Mục tiêu chung: Xác định các loại sự cố hệ thống mạng, phân loại mức độ nghiêm trọng tác động đối với hệ thống thông tin tại Trung tâm dữ liệu từ đó xây dựng những quy trình ứng cứu sự cố cụ thể. • Mục tiêu cụ thể: - Nghiên cứu, xây dựng quy trình chung ứng cứu sự cố hệ thống mạng tại Trung tâm dữ liệu Ngành BHXH. - Nghiên cứu, xây dựng quy trình ứng cứu sự cố thiết bị mạng tại Trung tâm dữ liệu Ngành BHXH. - Nghiên cứu, xây dựng quy trình ứng cứu sự cố kênh truyền kết nối mạng tại Trung tâm dữ liệu Ngành BHXH. iii. Đối tượng và phạm vi nghiên cứu • Đối tượng nghiên cứu: Các văn bản quy phạm pháp luật liên quan đến an ninh thông tin mạng, Hướng dẫn quản lý, vận hành, đảm bảo an toàn thông tin hệ thống mạng; Các khái niệm sự cố hệ thống mạng, cách phát hiện, phân loại mức độ và xử lý sự cố tại Trung tâm dữ liệu Ngành BHXH. • Phạm vi nghiên cứu: Hệ thống mạng tại Trung tâm dữ liệu Ngành BHXH Việt Nam iv. Cách tiếp cận và phương pháp nghiên cứu • Cách tiếp cận: Qua quá trình quản lý, vận hành, giám sát Trung tâm dữ liệu Ngành BHXH Việt Nam đã tổng hợp, thống kê theo các loại sự cố nghiêm trọng của hệ thống mạng có thể xảy ra, đã xảy ra; Các biện pháp, phương án khắc phục xử lý sự cố. Ngoài ra, nghiên cứu tìm hiểu các văn bản quy phạm pháp luật của Thủ tướng Chính phủ, Bộ Thông tin và Truyền thông, BHXH Việt Nam để xây dựng và hoàn thiện quy trình ứng cứu, điều phối xử lý sự cố. • Phương pháp nghiên cứu: Tổng hợp, thống kê, phân tích nguyên nhân sự cố, đưa ra phương án xử lý, hoàn thiện thành quy trình. v. Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện được • Những đóng góp mới của chuyên đề - Xây dựng một quy trình chung cho việc ứng cứu, điều phối sự cố nghiêm trọng tại Trung tâm dữ liệu Ngành BHXH Việt Nam - Xây dựng 02 quy trình ứng cứu sự cố nghiêm trọng bao gồm sự cố liên quan đến thiết bị mạng và đường truyền kết nối tại TTDL Ngành • Những vấn đề mà chuyên đề chưa thực hiện được - Chuyên đề còn chưa xây dựng được quy trình ứng cứu sự cố liệt kê được hết các lỗi, nguyên nhân chi tiết có thể xảy ra gây ra sự cố nghiêm trọng đối với hệ thống tại TTDL Ngành. vi. Kết cấu chuyên đề Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương, cụ thể như sau: Chương 1. Một số vấn đề về sự cố hệ thống mạng nghiêm trọng tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệ thống mạng nghiêm trọng tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam Chương 3. Xây dựng quy trình ứng cứu sự cố hệ thống mạng nghiêm trọng tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Trang 1CHUYÊN ĐỀXây dựng quy trình ứng cứu sự cố hệ thống mạng nghiêm trọng tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Người thực hiện: Nguyễn Duy Hưng
Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TOÀN THÔNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM
Chủ nhiệm: KS Lê Vũ Toàn
Hà Nội - 2022
Trang 2CHUYÊN ĐỀXây dựng quy trình ứng cứu sự cố hệ thống mạng nghiêm trọng tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TOÀN THÔNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM
Chủ nhiệm: KS Lê Vũ Toàn
Hà Nội - 2022
Trang 3Danh mục các bảng
Danh mục hình ảnh
v Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện
Chương 1 Sự cố hệ thống mạng nghiêm trọng tại Trung tâm dữ liệu
1.1 Đặc điểm Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam 41.1.1 Các thiết bị mạng và an ninh bảo mật tại Trung tâm dữ liệu Ngành
1.1.2 Các kênh truyền kết nối tại Trung tâm dữ liệu Ngành 71.1.3 Mô hình giải pháp đảm bảo an toàn thông tin cho hệ thống mạng
101.2 Các sự cố hệ thống mạng nghiêm trọng tại Trung tâm dữ liệu ngành
1.2.1 Các sự cố liên quan đến thiết bị mạng và an ninh bảo mật 13
1.2.3 Các sự cố liên quán đến lỗi quản trị, vận hành hệ thống 14
Chương 2 Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệ thống mạng nghiêm trọng tại Trung tâm dữ liệu ngành Bảo hiểm xã hội
Trang 4đảm an toàn hệ thống thông tin theo cấp độ 172.1.2 Thông tư 03/2017/TT-BTTTT ngày ngày 24/04/2017 về việc quy định chi tiết và hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của chính phủ về bảo đảm an toàn hệ thống thông tin
2.1.3 Quyết định 05/2017/QĐ-TTg ngày 16/03/2017 ban hành Quy định
về hệ thống phương án ứng cứu khẩn cấp bảo đảm An toàn thông tin
2.1.4 Thông tư số 20/2017/TT-BTTTT ngày 12/09/2017 về việc quy định điều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc 182.1.5 Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 về việc ứng phó sự
cố bảo đảm an toàn thông tin mạng trong ngành BHXH Việt Nam 182.1.6 Quyết định 836/QĐ-BHXH ngày 29/06/2018 về việc Ban hành quyđịnh thiết kế hệ thống hạ tầng thông tin ngành Bảo hiểm xã hội 182.1.7 Công văn số 273/BTTT-CBĐTW ngày 31/01/2020 về việc hướng dẫn mô hình tham chiếu về kết nối mạng cho bộ, ngành, địa phương 182.2 Hiệu quả trong quá trình ứng cứu khẩn cấp sự cố an toàn thông tin 192.2.1 Xác định đối tượng áp dụng các quy trình ứng cứu sự cố hệ thống
Trang 53.1.3 Nguyên tắc trong tiếp nhận, phát hiện, phân loại và xử lý ban đầu
3.2.2 Xác minh, phân tích, đánh giá và phân loại sự cố 273.2.3 Lựa chọn phương án và triệu tập các thành viên của bộ phận
3.2.6 Đánh giá kết quả triển khai phương án ứng cứu khẩn cấp bảo
Trang 61 An toàn thông tin ATTT
12
Trang 7BẢNG 1: BẢNG DANH SÁCH THIẾT BỊ MẠNG TẠI TRUNG TÂM DỮ LIỆU NGÀNH
4
BẢNG 2: DANH SÁCH CÁC PHẦN MỀM, ỨNG DỤNG CHẠY QUA WAN 7
Trang 8HÌNH 1: MÔ HÌNH ĐẢM BẢO ATTT TỔNG THỂ NGÀNH BHXH 11
Trang 9Phần mở đầu
i Sự cần thiết
Hệ thống mạng tại Trung tâm dữ liệu Ngành BHXH Việt Nam đảm bảokết nối, khả năng xử lý, chuyển mạch các lưu lượng mạng cho các hệ thốngphần mềm, CSDL nghiệp vụ phục vụ việc tuy cập khai thác thông tin từ nội
bộ (qua mạng WAN/Internet) và các tổ chức kết nối bên ngoài Bộ, Ban, Ngành (qua mạng TSLCD), các tổ chức cung cấp dịch IVAN, các ngân hàng (qua kênh truyền kết nối riêng), truy cập người dân, doanh nghiệp, các cơ sở khám chữa bệnh đăng ký Khám chữa bệnh BHYT (qua mạng Internet) Sự cố
hệ thống mạng là việc hệ thống mạng bị tấn công hoặc bị lỗi gây nguy hại,ảnh hưởng tới tính nguyên vẹn, tính bảo mật hoặc tính khả dụng của hệ thốngthông tin Sự cố mạng nghiêm trọng được định nghĩa là sự cố làm dừng, mấtkhả năng truy cập của một hoặc nhiều hệ thống thông tin từ cấp độ 02 trở lên.Việc xây dựng quy trình ứng cứu sự cố hệ thống mạng giúp thống nhất
về mặt quy trình ứng cứu, điều phối xử lý sự cố; Xác định, phân loại, khắcphục nhanh chóng, hiệu quả đảm bảo hệ thống thông tin được khôi phục đảmbảo các đặc tính an toàn thông tin (tính nguyên vẹn, tính bảo mật và khảdụng)
ii Mục tiêu nghiên cứu
Mục tiêu chung: Xác định các loại sự cố hệ thống mạng, phân loại mức
độ nghiêm trọng tác động đối với hệ thống thông tin tại Trung tâm dữliệu từ đó xây dựng những quy trình ứng cứu sự cố cụ thể
Mục tiêu cụ thể:
- Nghiên cứu, xây dựng quy trình chung ứng cứu sự cố hệ thống mạng tạiTrung tâm dữ liệu Ngành BHXH
- Nghiên cứu, xây dựng quy trình ứng cứu sự cố thiết bị mạng tại Trungtâm dữ liệu Ngành BHXH
Trang 10- Nghiên cứu, xây dựng quy trình ứng cứu sự cố kênh truyền kết nối mạngtại Trung tâm dữ liệu Ngành BHXH.
iii Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu: Các văn bản quy phạm pháp luật liên quan đến
an ninh thông tin mạng, Hướng dẫn quản lý, vận hành, đảm bảo an toànthông tin hệ thống mạng; Các khái niệm sự cố hệ thống mạng, cáchphát hiện, phân loại mức độ và xử lý sự cố tại Trung tâm dữ liệu NgànhBHXH
Phạm vi nghiên cứu: Hệ thống mạng tại Trung tâm dữ liệu NgànhBHXH Việt Nam
iv Cách tiếp cận và phương pháp nghiên cứu
Cách tiếp cận: Qua quá trình quản lý, vận hành, giám sát Trung tâm dữliệu Ngành BHXH Việt Nam đã tổng hợp, thống kê theo các loại sự cốnghiêm trọng của hệ thống mạng có thể xảy ra, đã xảy ra; Các biệnpháp, phương án khắc phục xử lý sự cố Ngoài ra, nghiên cứu tìm hiểucác văn bản quy phạm pháp luật của Thủ tướng Chính phủ, Bộ Thôngtin và Truyền thông, BHXH Việt Nam để xây dựng và hoàn thiện quytrình ứng cứu, điều phối xử lý sự cố
Phương pháp nghiên cứu: Tổng hợp, thống kê, phân tích nguyên nhân
sự cố, đưa ra phương án xử lý, hoàn thiện thành quy trình
v Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện được
Những đóng góp mới của chuyên đề
- Xây dựng một quy trình chung cho việc ứng cứu, điều phối sự cố nghiêmtrọng tại Trung tâm dữ liệu Ngành BHXH Việt Nam
- Xây dựng 02 quy trình ứng cứu sự cố nghiêm trọng bao gồm sự cố liênquan đến thiết bị mạng và đường truyền kết nối tại TTDL Ngành
Những vấn đề mà chuyên đề chưa thực hiện được
Trang 11- Chuyên đề còn chưa xây dựng được quy trình ứng cứu sự cố liệt kê đượchết các lỗi, nguyên nhân chi tiết có thể xảy ra gây ra sự cố nghiêm trọngđối với hệ thống tại TTDL Ngành.
vi Kết cấu chuyên đề
Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương,cụ thể như sau:
Chương 1 Một số vấn đề về sự cố hệ thống mạng nghiêm trọng tạiTrung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Chương 2 Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệthống mạng nghiêm trọng tại Trung tâm dữ liệu ngành Bảo hiểm xã hội ViệtNam
Chương 3 Xây dựng quy trình ứng cứu sự cố hệ thống mạng nghiêmtrọng tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Trang 12Chương 1 Sự cố hệ thống mạng nghiêm trọng tại Trung tâm dữ liệu
ngành Bảo hiểm xã hội Việt Nam 1.1 Đặc điểm Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
1.1.1 Các thiết bị mạng và an ninh bảo mật tại Trung tâm dữ liệu Ngành BHXH Việt nam
TTDL chính được đầu tư xây dựng từ năm 2015 nhằm đáp ứng nhu cầutriển khai và quản lý tập trung các hệ thống ứng dụng CNTT của Ngành.TTDL đang sử dụng dịch vụ thuê chỗ đặt máy chủ tại TTDL Viettel IDC,Khu Công nghệ cao Hòa Lạc với các tiêu chuẩn đạt chất lượng toàn cầu, cùngnhiều điều kiện về cơ sở vật chất, công tác vận hành, an ninh và quản lý chấtlượng
TTDL chính về cơ bản đã được trang bị đầy đủ các phân hệ phần cứngchuyên dụng như thiết bị mạng (chuyển mạch lõi, chuyển mạch phân phối/truy cập và chuyển mạch cho vùng quản trị; định tuyến Internet và WAN; cânbằng tải ứng dụng và cân bằng tải đường truyền), thiết bị an ninh bảo mật(tường lửa lớp lõi, tường lửa lớp biên, thiết bị bảo mật, phòng chống thư rác,thiết bị phòng chống tấn công từ chối dịch vụ DDOS, thiết bị bảo mật chuyêndụng cho CSDL, phần mềm rò quét lỗ hổng bảo mật và tối ưu chính sách anninh bảo mật); thiết bị lưu trữ và sao lưu dữ liệu; thiết bị máy chủ và ảo hóa.Cụ thể các trang thiết bị mạng và an ninh bảo mật như sau:
Bảng 1: Bảng danh sách thiết bị mạng tại Trung tâm dữ liệu Ngành
Thiết bị mạng và an ninh bảo mật
1 Cân bằng tải đường truyền - Cân bằng tải các đường truyền Internettheo các cơ chế Loadbalacing Roudbin…
2 Cân bằng tải ứng dụng - Chia đều tải và load outbound từ các serverDMZ ra Internet
3 Định tuyến WAN - Định tuyến tìm đường đi ngắn nhất trong hệ thống mạng WAN
để thực hiện tối ưu lưu lượng mạng, tăng tốc
Trang 13đường truyền WAN
- Cân bằng tải đường truyền WAN liên tỉnh
- Đảm bảo tính dự phòng, kiểm tra lỗi tựđộng chuyển kết nối khi có lỗi trên 01 kênhtruyền
- Giám sát và điều hướng lưu lượng ứng dụng theo các đường khác nhau
6 Chuyển mạch lõi
- Phục vụ kết nối giữa các vùng với nhau
- Điều hướng traffic giữa các vung với bên ngoài và ngược lại
7 Chuyển mạch phân phối10G
- Phục vụ kết nối các thiết bị vùng lõi
- Kết nối thiết bị chuyển mạch lõi với các thiết bị chuyển mạch truy cập
8 Chuyển mạch phân phối1G
- Phục vụ kết nối các kênh truyền kết nối vớimạng TSLCD, mạng WAN, mạng Internet,mạng kết nối riêng kết nối với ngân hàng,đơn vị cung cấp dịch vụ IVAN…
9 Chuyển mạch truy cập - Phục vụ kết nối cổng quản trị các thiết bị mạng, máy chủ, bảo mật.
B Thiết bị an ninh bảo mật
- Ngăn chặn các tấn công từ mạng WAN
- Quản lý, thiết lập các chính sách kiểm soáttruy cập mạng WAN
- Phân tích, đánh giá lưu lượng trên đườngtruyền WAN
2 Tường lửa biên Internet
- Ngăn chặn các tấn công trên mạng Internet
- Quản lý, thiết lập các chính sách kiểm soáttruy cập mạng Internet
- Phân tích, đánh giá lưu lượng trên đườngtruyền Internet
3 Tường lửa lõi
- Ngăn chặn các tấn công giữa các vùngmạng lõi
- Quản lý, thiết lập các chính sách kiểm soáttruy cập vùng mạng lõi
- Phân tích, đánh giá lưu lượng trong mạng lõi
4 Tường lửa cơ sở dữ liệu - Giám sát, báo cáo một cách độc lập về các
hành động, thao tác chi tiết của người dùng/ứng dụng và người quản trị trên hệ thốngCSDL/dữ liệu
Trang 14- Ngăn chặn các hành động trái phép vào dữ liệu và bảo vệ dữ liệu nhạy cảm, giúp nâng cao an ninh dữ liệu cũng như tuân thủ các tiêu chuẩn về ATTT (PCI DSS)
5 Tường lửa Email
- Hệ thống có khả năng chống và lọc spam;
- Có khả năng phát hiện các thư spam theo các tiêu chí được cấu hình bởi người quản trị
và cập nhật các mẫu spam định kỳ
6 Kiểm soát truy cập WAN
- Kiểm soát việc truy cập vào hệ thốngmạng, ngăn chặn truy cập bất hợp pháp từcác máy tính lạ, máy khách, thiết bị lạ hoặccác máy chưa tuân thủ chính sách bảo mật tổchức đặt ra tới hệ thống mạng tổ chức
- Tính năng này của giải pháp NAC thực sự chuyên sâu hơn so với các thiết bị bảo mật như Firewall, IPS, APT
- Phát hiện và phòng, chống tấn công từ chốidịch vụ DoS/DDoS đã biết và tấn công zero-day nhằm bảo đảm tính khả dụng của hệ thống, ứng dụng và dịch vụ
- Theo dõi các hoạt động bất thường đối với
hệ thống để ngăn chặn kịp thời
- Xác định nguồn tác động vào hệ thống và cách thức, các hoạt động xâm nhập xảy ra ở
vị trí nào trong cấu trúc mạng
9 Phòng chống tấn công APT
- Cung cấp khả năng hiển thị và bảo vệ mạngchống lại các cuộc tấn công mạng tinh vi, có chủ đích hướng đến các nạn nhân cụ thể thường gây tổn thất lớn
10 Phân tích truy vết
- Điều tra, tìm vết các sự cố an toàn thông tin
- Xác định nguyên nhân, đối tượng và phương án xử lý sự cố
- Quản lý và theo dõi các tiến trình xử lý sự cố
Các trang thiết bị mạng và thiết bị bảo mật thường gắn với nhau để đảmbảo an toàn sẵn sàng cho hạ tầng phục vụ cho các ứng dụng, phần mềm và sở
dữ liệu nghiệp vụ Ngành Các hệ thống này được trang bị tối thiếu 02 thiết bị
để đảm bảo tính dự phòng và khả dụng của hạ tầng mạng khi có 01 thiết bịmạng bị sự cố Các hệ thống mạng và bảo mật hiện tại đã được quản lý giám
Trang 15sát tập trung bởi hệ thống giám sát PRTG và HP Node Giám sát về hiệu năngthiết bị, lưu lượng traffic qua các cổng kết nối và sự cố ra đối với từng thiết bị(quá tải, hết dung lượng ổ cứng, bị rà quét mật khẩu, bị tắt cổng )
1.1.2 Các kênh truyền kết nối tại Trung tâm dữ liệu Ngành
Trong thời gian sử dụng dịch vụ đường truyền, Trung tâm CNTT tổ chứcgiám sát, theo dõi chất lượng kênh truyền, định kỳ 06 tháng/1lần phối hợp vớiđơn vị cung cấp tổ chức đo kiểm, đánh giá chất lượng kênh truyền (được ghinhận với các thông số: băng thông, độ trễ, tỷ lệ mất gói, độ khả dụng, thờigian khắc phục)
Chất lượng kênh truyền đã đáp ứng yêu cầu cho các hệ thống thông tincủa Ngành trong quá trình sử dụng, cụ thể:
Đường truyền Internet leased line (04 đường truyền tại TTDL chính, 02đường truyền tại TTDL dự phòng) đáp ứng việc cung cấp dịch vụ công trựctuyến để phục vụ người dân, doanh nghiệp thực hiện giao dịch điện tử với cơquan BHXH trên cổng Thông tin điện tử, cổng Dịch vụ công ngành BHXHViệt Nam, cổng Tiếp nhận dữ liệu Giám định BHYT và ứng dụng BHXH số(VssID) Đáp ứng theo Nghị định số 166/2016/NĐ-CP ngày 24/12/2016 quyđịnh về giao dịch điện tử trong lĩnh vực BHXH, BHYT và bảo hiểm thấtnghiệp
Tiêu chuẩn đường truyền Internet Lease Line được đảm bảo như sau:
- Băng thông: trong nước ≥ 900Mpbs / đường truyền, quốc tế ≥ 1Mbps /đường truyền (Có khả năng mở rộng khi có yêu cầu) Tốc độ download bằngtốc độ upload
- Địa chỉ IP kết nối: ≥ 64 IP tĩnh (IPv4) / đường truyền
- Độ trễ: trong nước ≤ 40 m
- Giao diện kết nối: 01 SFP ≥ 1Gbps
- Loại kết nối: Cáp quang
- Các đường truyền của các đơn vị cung cấp dịch vụ khác nhau đảm bảophục vụ đồng đều cho người dân và doanh nghiệp từ hầu hết các đơn vị cungcấp Internet lớn ở Việt Nam
Đường truyền WAN gom (02 đường truyền tại tại TTDL chính, 02đường truyền tại TTDL dự phòng) đáp ứng việc tham gia khai thác, sử dụngcác phần mềm nghiệp vụ của Ngành từ BHXH Việt Nam, BHXH tỉnh/Tp vàBHXH cấp quận/huyện qua hệ thống WAN Ngành, cụ thể:
Bảng 2: Danh sách các phần mềm, ứng dụng chạy qua WAN
Trang 16T
dụng
Trang 171 Phần mềm Thẩm
định quyết toán
BHXH VN, BHXH tỉnh/tp
2 Phần mềm Quản lý
hoạt động thanh
tra, kiểm tra
Phục vụ hoạt động nội bộ của Ngành BHXH Việt Nam liên quanđến việc thanh tra - kiểm tra tiếp công dân của Ngành
BHXH VN, BHXH tỉnh/tp
khen thưởng
Phục vụ hoạt động nội bộ cho cán
bộ phụ trách công tác thi đua khenthưởng của ngành
BHXH VN, BHXH tỉnh/tp
4 Hệ thống giám
định BHYT
Phục vụ công tác giám định BHYT của ngành BHXH Việt Nam
BHXH VN, BHXH tỉnh/tp
BHXH VN, BHXH tỉnh/tpBHXH huyện
BHXH VN, BHXH tỉnh/tpBHXH huyện
11 Phần mềm Quản lý
nhân sự
Phục vụ quản lý hồ sơ cán bộ, báocáo thống kê, tra cứu thông tin cánbộ
BHXH VN, BHXH tỉnh/tpBHXH huyện
BHXH VN, BHXH tỉnh/tpBHXH huyện
BHXH VN, BHXH tỉnh/tpBHXH huyện
14 Hệ thống Quản lý Phục vụ việc quản lý, cập nhật BHXH VN,
Trang 18thiết bị thông tin trang thiết bị CNTT BHXH tỉnh/tp
BHXH huyện
15 Hệ thống giám sát Phụ vụ Lãnh đạo BHXH tỉnh/tp,
Lãnh đạo phòng Giám định giám sát
BHXH VN, BHXH tỉnh/tp
16 Hệ thống CMS Phục vụ quản trị, cập nhật thông
tin hệ thống Website của BHXH tỉnh/tp
18 Hệ thống Single
Sign On, User
Phục vụ quản lý, đăng nhập đồng
bộ các phần mềm nghiệp vụ
Ngành, Quản lý tài khoản người dùng
BHXH VN, BHXH tỉnh/tpBHXH huyện
tp
BHXH VN, BHXH tỉnh/tpBHXH huyện
3 Hệ thống Quản lý
bản vá Patch
Manager
Phục vụ quản lý và cập nhật bản
vá cho máy chủ và máy trạm
BHXH VN, BHXH tỉnh/tpBHXH huyện
5 Hệ thống Antivirus Phục vụ phòng chống mã độc tại
máy chủ và máy trạm
BHXH VN, BHXH tỉnh/tpBHXH huyện
6 Hệ thống Quản lý
AD, DNS
Phục vụ quản lý máy trạm, phần quyền người dùng và phân giải tên miền trong WAN
BHXH VN, BHXH tỉnh/tpBHXH huyệnTiêu chuẩn đáp ứng của kênh truyền WAN gom:
Tiêu chuẩn của kênh truyền kết nối:
- Băng thông: ≥ 1.610Mbps / đường truyền Tốc độ download bằng tốc
độ upload
- Độ trễ: ≤ 40ms
Trang 19- Giao diện kết nối: SFP ≥ 10Gbps
- Loại kết nối: Cáp quang
- 02 đường truyền của 02 đơn vị cung cấp dịch vụ khác nhau
Kênh truyền kết nối đồng bộ giữa Trung tâm dữ liệu chính và Trung tâm
dữ liệu dự phòng đã đáp ứng yêu cầu cho sao lưu, phục hồi dữ liệu các hệthống thông tin của Ngành khi trung tâm dữ liệu chính có sự cố cần phảichuyển hướng kết nối sang trung tâm dữ liệu dự phòng
Tiêu chuẩn của kênh truyền kết nối:
- Băng thông: ≥ 10Gpbs / đường truyền Tốc độ download bằng tốc độupload
- Độ trễ: ≤ 40ms
- Giao diện kết nối: 02 SFP ≥ 10Gbps
- Loại kết nối: Cáp quang
- 02 đường truyền của 02 đơn vị cung cấp dịch vụ khác nhau
Ngoài ra tất cả các kênh truyền đều phải đảm bảo chất lượng dịch vụchung như sau:
- Băng thông: ≥ 99 %
- Tỉ lệ mất gói tin: ≤ 0,1%
- Độ khả dụng: ≥ 99.9%
- Triển khai bằng hạ tầng cáp quang, có đường dự phòng
- Linh hoạt trong việc thay đổi tốc độ, di chuyển địa chỉ lắp đặt
- Thời gian khắc phục sự cố: Trong vòng 30 phút kể từ khi tiếp nhậnthông tin với việc mất tín hiệu và trong vòng 02 giờ đối với việc đứt cáp
Khi kênh truyền xảy ra sự cố hệ thống giám sát PRTG sẽ ngay lập tứcthông báo trên màn hình giám sát sự cố mất kết nối hoặc các sự cố không đảmbảo vệ độ trễ và tỉ lệ mất gói
1.1.3 Mô hình giải pháp đảm bảo an toàn thông tin cho hệ thống mạng
Việc bảo đảm an toàn thông tin phục vụ phát triển CPĐT phải thống nhất,đồng bộ các hệ thống thành phần trong mô hình Các hệ thống thành phần cầnbảo đảm an toàn thông tin phục vụ CPĐT bao gồm các thành phần sau:
(1) Cổng Thông tin điện tử;
(2) Cổng Dịch vụ công/Hệ thống thông tin một cửa điện tử;
Trang 20(3) Hệ thống Quản lý văn bản và điều hành;
(4) Hệ thống thông tin báo cáo;
(5) Nền tảng chia sẻ, tích hợp dùng chung (LGSP);
(6) Các hệ thống cơ sở dữ liệu phục vụ phát triển CPĐT;
(7) Các hệ thống thông tin khác phục vụ phát triển CPĐT;
(8) Trung tâm điều hành an toàn, an ninh mạng (SOC)
Hình 1: Mô hình đảm bảo ATTT tổng thể ngành BHXH
Căn cứ Chỉ thị số 14/CT-TTg của Thủ tướng Chính phủ về việc tăngcường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng củaViệt Nam;
Thực hiện công văn số 1552/BTTTT-CATTT ngày 28/04/2020 của BộThông tin và Truyền thông về việc đôn đốc tổ chức triển khai đảm bảo antoàn thông tin cho hệ thống thông tin theo mô hình “4 lớp”, Trung tâm Côngnghệ thông tin (CNTT) – Bảo hiểm xã hội (BHXH) Việt Nam hoàn thành
Trang 21việc triển khai bảo đảm an toàn thông tin (ATTT) cho hệ thống thông tinngành BHXH theo mô hình “4 lớp”, cụ thể như sau:
1 “Lớp 1” Lực lượng tại chỗ
BHXH Việt Nam đã ban hành Kế hoạch số 3280/KH-BHXH ngày29/8/2018 về việc Ứng phó sự cố bảo đảm an toàn thông tin mạng trongngành BHXH Việt Nam quy định Đơn vị chuyên trách về ứng cứu sự cốATTT mạng ngành BHXH là Trung tâm CNTT thuộc BHXH Việt Nam.Trung tâm CNTT có đầu mối là Phòng Quản lý Hạ tầng và An ninh thông tinthực hiện các công tác tham mưu, kiểm tra, đôn đốc thực hiện các quy địnhcủa pháp luật về bảo đảm an toàn, an ninh mạng trong ngành BHXH
2 “Lớp 2” Thuê doanh nghiệp giám sát, bảo vệ ATTT mạng
BHXH Việt Nam đã tổ chức thuê dịch vụ CNTT “Thuê dịch vụ quản trị,vận hành và hỗ trợ kỹ thuật các hệ thống thông tin của BHXH Việt Nam” đểthuê doanh nghiệp cung cấp dịch vụ quản trị, vận hành, giám sát, ứng cứu sự
cố, bảo vệ ATTT mạng cho các hệ thống thông tin ngành BHXH
3 “Lớp 3” Thuê doanh nghiệp độc lập kiểm tra, đánh giá định kỳ
BHXH Việt Nam đã tổ chức thuê dịch vụ CNTT:
“Thuê dịch vụ đánh giá mức độ sẵn sàng của hệ thống thông tin ngànhBảo hiểm xã hội” để thuê doanh nghiệp cung cấp dịch vụ kiểm tra, đánh giáđịnh kỳ độ lập cho các hệ thống thông tin ngành BHXH Đơn vị là Cục Antoàn thông tin
“Thuê dịch vụ Kiểm tra đánh giá ATTT hệ thống thông tin ngành Bảohiểm xã hội” Đơn vị là Trung tâm Ứng cứu khẩn cấp không gian mạng ViệtNam (VNCERT/CC)
4 “Lớp 4” Kết nối, chia sẻ thông tin với hệ thống giám sát quốc giaTrung tâm CNTT đã gửi email tới ais@mic.gov.vn, cung dải địa chỉ IPPublic, tên miền của các hệ thống thông tin ngành BHXH cung cấp các dịchvụ ra bên ngoài cũng như có giao tiếp với mạng internet cho Trung tâm Giám