Phần mở đầu i. Sự cần thiết Hệ thống mạng tại Trung tâm dữ liệu Ngành BHXH Việt Nam đảm bảo kết nối, khả năng xử lý, chuyển mạch các lưu lượng mạng cho các hệ thống phần mềm, CSDL nghiệp vụ phục vụ việc tuy cập khai thác thông tin từ nội bộ (qua mạng WAN/Internet) và các tổ chức kết nối bên ngoài Bộ, Ban, Ngành (qua mạng TSLCD), các tổ chức cung cấp dịch IVAN, các ngân hàng (qua kênh truyền kết nối riêng), truy cập người dân, doanh nghiệp, các cơ sở khám chữa bệnh đăng ký Khám chữa bệnh BHYT (qua mạng Internet). Sự cố hệ thống mạng là việc hệ thống mạng bị tấn công hoặc bị lỗi gây nguy hại, ảnh hưởng tới tính nguyên vẹn, tính bảo mật hoặc tính khả dụng của hệ thống thông tin. Sự cố mạng thông thường được định nghĩa là sự cố có nguy cơ làm dừng, mất khả năng truy cập của một hệ thống thông tin. Việc xây dựng quy trình ứng cứu sự cố hệ thống mạng giúp thống nhất về mặt quy trình ứng cứu, điều phối xử lý sự cố; Xác định, phân loại, khắc phục nhanh chóng, hiệu quả đảm bảo hệ thống thông tin được khôi phục đảm bảo các đặc tính an toàn thông tin (tính nguyên vẹn, tính bảo mật và khả dụng) ii. Mục tiêu nghiên cứu • Mục tiêu chung: Xác định các loại sự cố hệ thống mạng, phân loại mức độ thông thường tác động đối với hệ thống thông tin tại Trung tâm dữ liệu từ đó xây dựng những quy trình ứng cứu sự cố cụ thể. • Mục tiêu cụ thể - Nghiên cứu, xây dựng quy trình chung ứng cứu sự cố hệ thống mạng tại Trung tâm dữ liệu Ngành BHXH. - Nghiên cứu, xây dựng quy trình ứng cứu sự cố thiết bị mạng tại Trung tâm dữ liệu Ngành BHXH. - Nghiên cứu, xây dựng quy trình ứng cứu sự cố kênh truyền kết nối mạng tại Trung tâm dữ liệu Ngành BHXH. iii. Đối tượng và phạm vi nghiên cứu • Đối tượng nghiên cứu: Các văn bản quy phạm pháp luật liên quan đến an ninh thông tin mạng, Hướng dẫn quản lý, vận hành, đảm bảo an toàn thông tin hệ thống mạng; Các khái niệm sự cố hệ thống mạng, cách phát hiện, phân loại mức độ và xử lý sự cố tại Trung tâm dữ liệu Ngành BHXH. • Phạm vi nghiên cứu: Hệ thống mạng tại Trung tâm dữ liệu Ngành BHXH Việt Nam. iv. Cách tiếp cận và phương pháp nghiên cứu • Cách tiếp cận: Qua quá trình quản lý, vận hành, giám sát Trung tâm dữ liệu Ngành BHXH Việt Nam đã tổng hợp, thống kê theo các loại sự cố thông thường của hệ thống mạng có thể xảy ra, đã xảy ra; Các biện pháp, phương án khắc phục xử lý sự cố. Ngoài ra, nghiên cứu tìm hiểu các văn bản quy phạm pháp luật của Thủ tướng Chính phủ, Bộ Thông tin và Truyền thông, BHXH Việt Nam để xây dựng và hoàn thiện quy trình ứng cứu, điều phối xử lý sự cố. • Phương pháp nghiên cứu: Tổng hợp, thống kê, phân tích nguyên nhân sự cố, đưa ra phương án xử lý, hoàn thiện thành quy trình. v. Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện được • Những đóng góp mới của chuyên đề - Xây dựng một quy trình chung cho việc ứng cứu, điều phối sự cố thông thường tại Trung tâm dữ liệu Ngành BHXH Việt Nam - Xây dựng 02 quy trình ứng cứu sự cố thông thường bao gồm sự cố liên quan đến thiết bị mạng và đường truyền kết nối tại TTDL Ngành • Những vấn đề mà chuyên đề chưa thực hiện được - Chuyên đề còn chưa xây dựng được quy trình ứng cứu sự cố liệt kê được hết các lỗi, nguyên nhân chi tiết có thể xảy ra gây ra sự cố thông thường đối với hệ thống tại TTDL Ngành. vi. Kết cấu chuyên đề Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương, cụ thể như sau: Chương 1. Một số vấn đề về sự cố hệ thống mạng thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệ thống mạng thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam Chương 3. Xây dựng quy trình ứng cứu sự cố hệ thống mạng thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Trang 1BẢO HIỂM XÃ HỘI VIỆT NAM
- -CHUYÊN ĐỀXây dựng quy trình ứng cứu sự cố hệ thống mạng thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Người thực hiện: Nguyễn Tuấn Minh
Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TOÀN THÔNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM
Chủ nhiệm: KS Lê Vũ Toàn
Hà Nội - 2022
Trang 2BẢO HIỂM XÃ HỘI VIỆT NAM
- -CHUYÊN ĐỀXây dựng quy trình ứng cứu sự cố hệ thống mạng thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TOÀN THÔNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM
Chủ nhiệm: KS Lê Vũ Toàn
Hà Nội - 2022
Trang 3v Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện
Chương 1 Sự cố hệ thống mạng thông thường tại Trung tâm dữ liệu
1.1 Đặc điểm Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam 41.1.1 Các thiết bị mạng và an ninh bảo mật tại Trung tâm dữ liệu Ngành
1.1.3 Mô hình giải pháp đảm bảo an toàn thông tin cho hệ thống mạng 101.2 Các sự cố hệ thống mạng thông thường tại Trung tâm dữ liệu ngành Bảo
1.2.1 Các sự cố liên quan đến thiết bị mạng và an ninh bảo mật 12
1.2.3 Các sự cố liên quán đến lỗi quản trị, vận hành hệ thống 14
2.1.2 Thông tư 03/2017/TT-BTTTT ngày ngày 24/04/2017 về việc quyđịnh chi tiết và hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP
Trang 4ngày 01/7/2016 của chính phủ về bảo đảm an toàn hệ thống thông tin theo
2.1.3 Quyết định 05/2017/QĐ-TTg ngày 16/03/2017 ban hành Quy định
về hệ thống phương án ứng cứu khẩn cấp bảo đảm An toàn thông tin
2.1.4 Thông tư số 20/2017/TT-BTTTT ngày 12/09/2017 về việc quy địnhđiều phối, ứng cứu sự cố an toàn thông tin mạng trên toàn quốc 172.1.5 Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 về việc ứng phó sự
cố bảo đảm an toàn thông tin mạng trong ngành BHXH Việt Nam 172.1.6 Quyết định 836/QĐ-BHXH ngày 29/06/2018 về việc Ban hành quyđịnh thiết kế hệ thống hạ tầng thông tin ngành Bảo hiểm xã hội 172.1.7 Công văn số 273/BTTT-CBĐTW ngày 31/01/2020 về việc hướngdẫn mô hình tham chiếu về kết nối mạng cho bộ, ngành, địa phương 172.2 Hiệu quả trong quá trình ứng cứu khẩn cấp sự cố an toàn thông tin 182.1.1 Xác định đối tượng áp dụng các quy trình ứng cứu sự cố hệ thống
3.1.3 Nguyên tắc trong tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự
Trang 5Danh mục từ viết tắt
9
10
Trang 6Danh mục các bảng
BẢNG 1: DANH MỤC BẢNG THIẾT BỊ TẠI TRUNG TÂM DỮ LIỆU NGÀNH 4
BẢNG 2: DANH MỤC CÁC PHẦN MÊM TRUY CẬP QUA WAN 7
Danh mục hình ảnh
HÌNH 1: MÔ HÌNH ĐẢM BẢO ATTT TỔNG THỂ NGÀNH BHXH 11
Trang 7Phần mở đầu
i Sự cần thiết
Hệ thống mạng tại Trung tâm dữ liệu Ngành BHXH Việt Nam đảm bảo kếtnối, khả năng xử lý, chuyển mạch các lưu lượng mạng cho các hệ thống phần
mềm, CSDL nghiệp vụ phục vụ việc tuy cập khai thác thông tin từ nội bộ (qua
mạng WAN/Internet) và các tổ chức kết nối bên ngoài Bộ, Ban, Ngành (qua mạng TSLCD), các tổ chức cung cấp dịch IVAN, các ngân hàng (qua kênh truyền kết nối riêng), truy cập người dân, doanh nghiệp, các cơ sở khám chữa
bệnh đăng ký Khám chữa bệnh BHYT (qua mạng Internet) Sự cố hệ thống
mạng là việc hệ thống mạng bị tấn công hoặc bị lỗi gây nguy hại, ảnh hưởng tớitính nguyên vẹn, tính bảo mật hoặc tính khả dụng của hệ thống thông tin Sự cốmạng thông thường được định nghĩa là sự cố có nguy cơ làm dừng, mất khảnăng truy cập của một hệ thống thông tin
Việc xây dựng quy trình ứng cứu sự cố hệ thống mạng giúp thống nhất vềmặt quy trình ứng cứu, điều phối xử lý sự cố; Xác định, phân loại, khắc phụcnhanh chóng, hiệu quả đảm bảo hệ thống thông tin được khôi phục đảm bảo cácđặc tính an toàn thông tin (tính nguyên vẹn, tính bảo mật và khả dụng)
ii Mục tiêu nghiên cứu
Mục tiêu chung: Xác định các loại sự cố hệ thống mạng, phân loại mức độthông thường tác động đối với hệ thống thông tin tại Trung tâm dữ liệu từ
đó xây dựng những quy trình ứng cứu sự cố cụ thể
Mục tiêu cụ thể
- Nghiên cứu, xây dựng quy trình chung ứng cứu sự cố hệ thống mạng tạiTrung tâm dữ liệu Ngành BHXH
- Nghiên cứu, xây dựng quy trình ứng cứu sự cố thiết bị mạng tại Trung tâm
dữ liệu Ngành BHXH
- Nghiên cứu, xây dựng quy trình ứng cứu sự cố kênh truyền kết nối mạng tạiTrung tâm dữ liệu Ngành BHXH
iii Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu: Các văn bản quy phạm pháp luật liên quan đến anninh thông tin mạng, Hướng dẫn quản lý, vận hành, đảm bảo an toàn
1
Trang 8thông tin hệ thống mạng; Các khái niệm sự cố hệ thống mạng, cách pháthiện, phân loại mức độ và xử lý sự cố tại Trung tâm dữ liệu NgànhBHXH.
Phạm vi nghiên cứu: Hệ thống mạng tại Trung tâm dữ liệu Ngành BHXHViệt Nam
iv Cách tiếp cận và phương pháp nghiên cứu
Cách tiếp cận: Qua quá trình quản lý, vận hành, giám sát Trung tâm dữliệu Ngành BHXH Việt Nam đã tổng hợp, thống kê theo các loại sự cốthông thường của hệ thống mạng có thể xảy ra, đã xảy ra; Các biện pháp,phương án khắc phục xử lý sự cố Ngoài ra, nghiên cứu tìm hiểu các vănbản quy phạm pháp luật của Thủ tướng Chính phủ, Bộ Thông tin vàTruyền thông, BHXH Việt Nam để xây dựng và hoàn thiện quy trình ứngcứu, điều phối xử lý sự cố
Phương pháp nghiên cứu: Tổng hợp, thống kê, phân tích nguyên nhân sự
cố, đưa ra phương án xử lý, hoàn thiện thành quy trình
v Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện được
Những đóng góp mới của chuyên đề
- Xây dựng một quy trình chung cho việc ứng cứu, điều phối sự cố thôngthường tại Trung tâm dữ liệu Ngành BHXH Việt Nam
- Xây dựng 02 quy trình ứng cứu sự cố thông thường bao gồm sự cố liênquan đến thiết bị mạng và đường truyền kết nối tại TTDL Ngành
Những vấn đề mà chuyên đề chưa thực hiện được
- Chuyên đề còn chưa xây dựng được quy trình ứng cứu sự cố liệt kê đượchết các lỗi, nguyên nhân chi tiết có thể xảy ra gây ra sự cố thông thường đốivới hệ thống tại TTDL Ngành
vi Kết cấu chuyên đề
Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương, cụthể như sau:
2
Trang 9Chương 1 Một số vấn đề về sự cố hệ thống mạng thông thường tại Trungtâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Chương 2 Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệthống mạng thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội ViệtNam
Chương 3 Xây dựng quy trình ứng cứu sự cố hệ thống mạng thôngthường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
3
Trang 10Chương 1 Sự cố hệ thống mạng thông thường tại Trung tâm dữ liệu ngành
Bảo hiểm xã hội Việt Nam 1.1 Đặc điểm Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
1.1.1 Các thiết bị mạng và an ninh bảo mật tại Trung tâm dữ liệu Ngành BHXH Việt nam
TTDL chính được đầu tư xây dựng từ năm 2015 nhằm đáp ứng nhu cầutriển khai và quản lý tập trung các hệ thống ứng dụng CNTT của Ngành TTDLđang sử dụng dịch vụ thuê chỗ đặt máy chủ tại TTDL Viettel IDC, Khu Côngnghệ cao Hòa Lạc với các tiêu chuẩn đạt chất lượng toàn cầu, cùng nhiều điềukiện về cơ sở vật chất, công tác vận hành, an ninh và quản lý chất lượng
TTDL chính về cơ bản đã được trang bị đầy đủ các phân hệ phần cứngchuyên dụng như thiết bị mạng (chuyển mạch lõi, chuyển mạch phân phối/ truycập và chuyển mạch cho vùng quản trị; định tuyến Internet và WAN; cân bằngtải ứng dụng và cân bằng tải đường truyền), thiết bị an ninh bảo mật (tường lửalớp lõi, tường lửa lớp biên, thiết bị bảo mật, phòng chống thư rác, thiết bị phòngchống tấn công từ chối dịch vụ DDOS, thiết bị bảo mật chuyên dụng cho CSDL,phần mềm rò quét lỗ hổng bảo mật và tối ưu chính sách an ninh bảo mật); thiết
bị lưu trữ và sao lưu dữ liệu; thiết bị máy chủ và ảo hóa
Cụ thể các trang thiết bị mạng và an ninh bảo mật như sau:
Bảng 1: Danh mục bảng thiết bị tại Trung tâm dữ liệu Ngành
Thiết bị mạng và an ninh bảo mật
1 Cân bằng tải đường truyền - Cân bằng tải các đường truyền Internettheo các cơ chế Loadbalacing Roudbin…
2 Cân bằng tải ứng dụng - Chia đều tải và load outbound từ các serverDMZ ra Internet
3 Định tuyến WAN - Định tuyến tìm đường đi ngắn nhất trong hệ thống mạng WAN
- Ứng dụng các công nghệ, kỹ thuật hiện đại
để thực hiện tối ưu lưu lượng mạng, tăng tốcđường truyền WAN
- Đảm bảo tính dự phòng, kiểm tra lỗi tựđộng chuyển kết nối khi có lỗi trên 01 kênh
Trang 11- Giám sát và điều hướng lưu lượng ứng dụng theo các đường khác nhau
6 Chuyển mạch lõi
- Phục vụ kết nối giữa các vùng với nhau
- Điều hướng traffic giữa các vung với bên ngoài và ngược lại
7 Chuyển mạch phân phối10G
- Phục vụ kết nối các thiết bị vùng lõi
- Kết nối thiết bị chuyển mạch lõi với các thiết bị chuyển mạch truy cập
8 Chuyển mạch phân phối1G
- Phục vụ kết nối các kênh truyền kết nối vớimạng TSLCD, mạng WAN, mạng Internet,mạng kết nối riêng kết nối với ngân hàng,đơn vị cung cấp dịch vụ IVAN…
9 Chuyển mạch truy cập - Phục vụ kết nối cổng quản trị các thiết bị mạng, máy chủ, bảo mật.
B Thiết bị an ninh bảo mật
1
- Quản lý, thiết lập các chính sách kiểm soáttruy cập mạng WAN
- Phân tích, đánh giá lưu lượng trên đườngtruyền WAN
2
Tường lửa biên Internet - Ngăn chặn các tấn công trên mạng Internet
- Quản lý, thiết lập các chính sách kiểm soáttruy cập mạng Internet
- Phân tích, đánh giá lưu lượng trên đườngtruyền Internet
3 Tường lửa lõi
- Ngăn chặn các tấn công giữa các vùngmạng lõi
- Quản lý, thiết lập các chính sách kiểm soáttruy cập vùng mạng lõi
- Phân tích, đánh giá lưu lượng trong mạng lõi
4 Tường lửa cơ sở dữ liệu
- Giám sát, báo cáo một cách độc lập về cáchành động, thao tác chi tiết của người dùng/ứng dụng và người quản trị trên hệ thốngCSDL/dữ liệu
- Ngăn chặn các hành động trái phép vào dữ liệu và bảo vệ dữ liệu nhạy cảm, giúp nâng cao an ninh dữ liệu cũng như tuân thủ các tiêu chuẩn về ATTT (PCI DSS)
5 Tường lửa Email - Hệ thống có khả năng chống và lọc spam;
- Có khả năng phát hiện các thư spam theo các tiêu chí được cấu hình bởi người quản trị
Trang 12và cập nhật các mẫu spam định kỳ
6 Kiểm soát truy cập WAN
- Kiểm soát việc truy cập vào hệ thốngmạng, ngăn chặn truy cập bất hợp pháp từcác máy tính lạ, máy khách, thiết bị lạ hoặccác máy chưa tuân thủ chính sách bảo mật tổchức đặt ra tới hệ thống mạng tổ chức
- Tính năng này của giải pháp NAC thực sự chuyên sâu hơn so với các thiết bị bảo mật như Firewall, IPS, APT
- Phát hiện và phòng, chống tấn công từ chốidịch vụ DoS/DDoS đã biết và tấn công zero-day nhằm bảo đảm tính khả dụng của hệ thống, ứng dụng và dịch vụ
- Theo dõi các hoạt động bất thường đối với
hệ thống để ngăn chặn kịp thời
- Xác định nguồn tác động vào hệ thống và cách thức, các hoạt động xâm nhập xảy ra ở
vị trí nào trong cấu trúc mạng
9 Phòng chống tấn công APT
- Cung cấp khả năng hiển thị và bảo vệ mạngchống lại các cuộc tấn công mạng tinh vi, có chủ đích hướng đến các nạn nhân cụ thể thường gây tổn thất lớn
10 Phân tích truy vết
- Điều tra, tìm vết các sự cố an toàn thông tin
- Xác định nguyên nhân, đối tượng và phương án xử lý sự cố
- Quản lý và theo dõi các tiến trình xử lý sự cố
Các trang thiết bị mạng và thiết bị bảo mật thường gắn với nhau để đảmbảo an toàn sẵn sàng cho hạ tầng phục vụ cho các ứng dụng, phần mềm và sở dữliệu nghiệp vụ Ngành Các hệ thống này được trang bị tối thiếu 02 thiết bị đểđảm bảo tính dự phòng và khả dụng của hạ tầng mạng khi có 01 thiết bị mạng bị
sự cố Các hệ thống mạng và bảo mật hiện tại đã được quản lý giám sát tập trungbởi hệ thống giám sát PRTG và HP Node Giám sát về hiệu năng thiết bị, lưulượng traffic qua các cổng kết nối và sự cố ra đối với từng thiết bị (quá tải, hếtdung lượng ổ cứng, bị rà quét mật khẩu, bị tắt cổng )
1.1.2 Các kênh truyền kết nối tại Trung tâm dữ liệu Ngành
Trong thời gian sử dụng dịch vụ đường truyền, Trung tâm CNTT tổ chứcgiám sát, theo dõi chất lượng kênh truyền, định kỳ 06 tháng/1lần phối hợp vớiđơn vị cung cấp tổ chức đo kiểm, đánh giá chất lượng kênh truyền (được ghi
Trang 13nhận với các thông số: băng thông, độ trễ, tỷ lệ mất gói, độ khả dụng, thời giankhắc phục).
Chất lượng kênh truyền đã đáp ứng yêu cầu cho các hệ thống thông tin củaNgành trong quá trình sử dụng, cụ thể:
Đường truyền Internet leased line (04 đường truyền tại TTDL chính, 02đường truyền tại TTDL dự phòng) đáp ứng việc cung cấp dịch vụ công trựctuyến để phục vụ người dân, doanh nghiệp thực hiện giao dịch điện tử với cơquan BHXH trên cổng Thông tin điện tử, cổng Dịch vụ công ngành BHXH ViệtNam, cổng Tiếp nhận dữ liệu Giám định BHYT và ứng dụng BHXH số (VssID).Đáp ứng theo Nghị định số 166/2016/NĐ-CP ngày 24/12/2016 quy định về giaodịch điện tử trong lĩnh vực BHXH, BHYT và bảo hiểm thất nghiệp
Tiêu chuẩn đường truyền Internet Lease Line được đảm bảo như sau:
- Băng thông: trong nước ≥ 900Mpbs / đường truyền, quốc tế ≥ 1Mbps /đường truyền (Có khả năng mở rộng khi có yêu cầu) Tốc độ download bằng tốc
độ upload
- Địa chỉ IP kết nối: ≥ 64 IP tĩnh (IPv4) / đường truyền
- Độ trễ: trong nước ≤ 40 m
- Giao diện kết nối: 01 SFP ≥ 1Gbps
- Loại kết nối: Cáp quang
- Các đường truyền của các đơn vị cung cấp dịch vụ khác nhau đảm bảophục vụ đồng đều cho người dân và doanh nghiệp từ hầu hết các đơn vị cungcấp Internet lớn ở Việt Nam
Đường truyền WAN gom (02 đường truyền tại tại TTDL chính, 02 đườngtruyền tại TTDL dự phòng) đáp ứng việc tham gia khai thác, sử dụng các phầnmềm nghiệp vụ của Ngành từ BHXH Việt Nam, BHXH tỉnh/Tp và BHXH cấpquận/huyện qua hệ thống WAN Ngành, cụ thể:
Bảng 2: Danh mục các phần mêm truy cập qua WAN
2 Phần mềm Quản lý
hoạt động thanh
tra, kiểm tra
Phục vụ hoạt động nội bộ của Ngành BHXH Việt Nam liên quanđến việc thanh tra - kiểm tra tiếp công dân của Ngành
BHXH VN, BHXH tỉnh/tp
khen thưởng
Phục vụ hoạt động nội bộ cho cán
bộ phụ trách công tác thi đua khenthưởng của ngành
BHXH VN, BHXH tỉnh/tp
Trang 14BHXH VN, BHXH tỉnh/tpBHXH huyện
BHXH VN, BHXH tỉnh/tpBHXH huyện
11 Phần mềm Quản lý
nhân sự
Phục vụ quản lý hồ sơ cán bộ, báocáo thống kê, tra cứu thông tin cánbộ
BHXH VN, BHXH tỉnh/tpBHXH huyện
BHXH VN, BHXH tỉnh/tpBHXH huyện
BHXH VN, BHXH tỉnh/tpBHXH huyện
15 Hệ thống giám sát Phụ vụ Lãnh đạo BHXH tỉnh/tp,
Lãnh đạo phòng Giám định giám sát
BHXH VN, BHXH tỉnh/tp
16 Hệ thống CMS Phục vụ quản trị, cập nhật thông
tin hệ thống Website của BHXH tỉnh/tp
18 Hệ thống Single
Sign On, User
Phục vụ quản lý, đăng nhập đồng
bộ các phần mềm nghiệp vụ
BHXH VN, BHXH tỉnh/tp
Trang 15Ngành, Quản lý tài khoản người dùng
tp
BHXH VN, BHXH tỉnh/tpBHXH huyện
3 Hệ thống Quản lý
bản vá Patch
Manager
Phục vụ quản lý và cập nhật bản
vá cho máy chủ và máy trạm
BHXH VN, BHXH tỉnh/tpBHXH huyện
5 Hệ thống Antivirus Phục vụ phòng chống mã độc tại
máy chủ và máy trạm
BHXH VN, BHXH tỉnh/tpBHXH huyện
6 Hệ thống Quản lý
AD, DNS
Phục vụ quản lý máy trạm, phần quyền người dùng và phân giải tên miền trong WAN
BHXH VN, BHXH tỉnh/tpBHXH huyệnTiêu chuẩn đáp ứng của kênh truyền WAN gom:
Tiêu chuẩn của kênh truyền kết nối:
- Băng thông: ≥ 1.610Mbps / đường truyền Tốc độ download bằng tốc độupload
- Độ trễ: ≤ 40ms
- Giao diện kết nối: SFP ≥ 10Gbps
- Loại kết nối: Cáp quang
- 02 đường truyền của 02 đơn vị cung cấp dịch vụ khác nhau
Kênh truyền kết nối đồng bộ giữa Trung tâm dữ liệu chính và Trung tâm
dữ liệu dự phòng đã đáp ứng yêu cầu cho sao lưu, phục hồi dữ liệu các hệ thốngthông tin của Ngành khi trung tâm dữ liệu chính có sự cố cần phải chuyểnhướng kết nối sang trung tâm dữ liệu dự phòng
Tiêu chuẩn của kênh truyền kết nối:
- Băng thông: ≥ 10Gpbs / đường truyền Tốc độ download bằng tốc độupload
- Độ trễ: ≤ 40ms
- Giao diện kết nối: 02 SFP ≥ 10Gbps
Trang 16- Loại kết nối: Cáp quang.
- 02 đường truyền của 02 đơn vị cung cấp dịch vụ khác nhau
Ngoài ra tất cả các kênh truyền đều phải đảm bảo chất lượng dịch vụ chungnhư sau:
- Băng thông: ≥ 99 %
- Tỉ lệ mất gói tin: ≤ 0,1%
- Độ khả dụng: ≥ 99.9%
- Triển khai bằng hạ tầng cáp quang, có đường dự phòng
- Linh hoạt trong việc thay đổi tốc độ, di chuyển địa chỉ lắp đặt
- Thời gian khắc phục sự cố: Trong vòng 30 phút kể từ khi tiếp nhận thôngtin với việc mất tín hiệu và trong vòng 02 giờ đối với việc đứt cáp
Khi kênh truyền xảy ra sự cố hệ thống giám sát PRTG sẽ ngay lập tứcthông báo trên màn hình giám sát sự cố mất kết nối hoặc các sự cố không đảmbảo vệ độ trễ và tỉ lệ mất gói
1.1.3 Mô hình giải pháp đảm bảo an toàn thông tin cho hệ thống mạng
Việc bảo đảm an toàn thông tin phục vụ phát triển CPĐT phải thống nhất,đồng bộ các hệ thống thành phần trong mô hình Các hệ thống thành phần cần bảođảm an toàn thông tin phục vụ CPĐT bao gồm các thành phần sau:
(1) Cổng Thông tin điện tử;
(2) Cổng Dịch vụ công/Hệ thống thông tin một cửa điện tử;
(3) Hệ thống Quản lý văn bản và điều hành;
(4) Hệ thống thông tin báo cáo;
(5) Nền tảng chia sẻ, tích hợp dùng chung (LGSP);
(6) Các hệ thống cơ sở dữ liệu phục vụ phát triển CPĐT;
(7) Các hệ thống thông tin khác phục vụ phát triển CPĐT;
(8) Trung tâm điều hành an toàn, an ninh mạng (SOC)
Trang 17Hình 1: Mô hình đảm bảo ATTT tổng thể ngành BHXH
Căn cứ Chỉ thị số 14/CT-TTg của Thủ tướng Chính phủ về việc tăng cườngbảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam;Thực hiện công văn số 1552/BTTTT-CATTT ngày 28/04/2020 của BộThông tin và Truyền thông về việc đôn đốc tổ chức triển khai đảm bảo an toànthông tin cho hệ thống thông tin theo mô hình “4 lớp”, Trung tâm Công nghệthông tin (CNTT) – Bảo hiểm xã hội (BHXH) Việt Nam hoàn thành việc triểnkhai bảo đảm an toàn thông tin (ATTT) cho hệ thống thông tin ngành BHXHtheo mô hình “4 lớp”, cụ thể như sau:
1 “Lớp 1” Lực lượng tại chỗ
BHXH Việt Nam đã ban hành Kế hoạch số 3280/KH-BHXH ngày29/8/2018 về việc Ứng phó sự cố bảo đảm an toàn thông tin mạng trong ngànhBHXH Việt Nam quy định Đơn vị chuyên trách về ứng cứu sự cố ATTT mạngngành BHXH là Trung tâm CNTT thuộc BHXH Việt Nam Trung tâm CNTT cóđầu mối là Phòng Quản lý Hạ tầng và An ninh thông tin thực hiện các công táctham mưu, kiểm tra, đôn đốc thực hiện các quy định của pháp luật về bảo đảm
an toàn, an ninh mạng trong ngành BHXH
Trang 182 “Lớp 2” Thuê doanh nghiệp giám sát, bảo vệ ATTT mạng
BHXH Việt Nam đã tổ chức thuê dịch vụ CNTT “Thuê dịch vụ quản trị,vận hành và hỗ trợ kỹ thuật các hệ thống thông tin của BHXH Việt Nam” đểthuê doanh nghiệp cung cấp dịch vụ quản trị, vận hành, giám sát, ứng cứu sự cố,bảo vệ ATTT mạng cho các hệ thống thông tin ngành BHXH
3 “Lớp 3” Thuê doanh nghiệp độc lập kiểm tra, đánh giá định kỳ
BHXH Việt Nam đã tổ chức thuê dịch vụ CNTT:
“Thuê dịch vụ đánh giá mức độ sẵn sàng của hệ thống thông tin ngành Bảohiểm xã hội” để thuê doanh nghiệp cung cấp dịch vụ kiểm tra, đánh giá định kỳ
độ lập cho các hệ thống thông tin ngành BHXH Đơn vị là Cục An toàn thôngtin
“Thuê dịch vụ Kiểm tra đánh giá ATTT hệ thống thông tin ngành Bảo hiểm
xã hội” Đơn vị là Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam(VNCERT/CC)
4 “Lớp 4” Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia
Trung tâm CNTT đã gửi email tới ais@mic.gov.vn, cung dải địa chỉ IPPublic, tên miền của các hệ thống thông tin ngành BHXH cung cấp các dịch vụ
ra bên ngoài cũng như có giao tiếp với mạng internet cho Trung tâm Giám sát antoàn thông tin mạng quốc gia (NCSC), đồng thời phối hợp thực hiện và hoànthành kết nối, chia sẻ thông tin giám sát an toàn thông tin, bảo đảm kịp thời,đúng yêu cầu kỹ thuật và thời gian quy định
1.2 Các sự cố hệ thống mạng thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
1.2.1 Các sự cố liên quan đến thiết bị mạng và an ninh bảo mật
a Định nghĩa: Là sự cố do lỗi của thiết bị phần cứng, phần mềm, cấu hình.Một số loại sự cố cụ thể:
- Sự cố nguồn điện: Bao gồm mất điện/UPS, lỗi nguồn điện Đa số thiết bịtại TTDL đều được trang bị nhiều hơn 02 nguồn để đảm bảo dự phòng và thaythế nóng nguồn điện
Trang 19- Sự cố thiết bị bị hỏng, lỗi không hoạt động được: Thiết bị trong quá trìnhsử dụng có thể vì một nguyên nhân nào đó bị lỗi một số linh kiện hoặc lỗi hệđiều hành, lỗi cả thiết bị… cần phải được kịp thời phát hiện và khắc phục (trướcmắt phải chuyển điều hướng sang thiết bị còn lại, liên hệ với các bên để kiểm tra
và bảo hành sửa chữa thiết bị bị lỗi, hỏng)
- Sự cố thiết bị bị quá tải: Trong quá trình hoạt động có thể thiết bị bị quátải về năng lực xử lý về lưu lượng, số lượng phiên kết nối, băng thông kết nối,
số lượng log, event bị quá tải đầy ổ cứng có thể làm treo thiết bị, không lưuđược log, event ảnh hưởng đến tính khả dụng của hệ thống
- Sự cố lổi cổng kết nối: Kết nối dây mạng giữa các thiết bị có thể xảy ratình trạng lỏng, chập chờn, không ổn định ảnh hưởng đến ứng dụng dịch vụ kếtnối đến
b Cách phát hiện, xác minh sự cố: Các sự cố do lỗi của thiết bị phần cứng,phần mềm, cấu hình được phát hiện, xác minh qua hệ thống giám sát PRTGhoặc vào trực tiếp thiết bị do đơn vị vận hành tại Trung tâm điều hành hệ thốngthông tin Ngành BHXH Việt Nam
1.2.2 Các sự cố liên quan đến kênh truyền kết nối
a Định nghĩa: Là sự cố do lỗi kênh truyền kết nối giữa thiết bị của BHXH
và cổng kết nối nhà mạng Một số loại sự cố cụ thể:
- Sự cố đứt cáp: Là sự cố kênh truyền dẫn quang bị đứt kết nối cần phải,kéo và hàn lại cáp, đảm bảo cáp quang không bị suy hao
- Sự cố lỗi nhà trạm phía nhà mạng: Bao gồm các lỗi thiết bị, điện trạmtruyền dẫn đầu nhà mạng
- Sự cố các thông số cam kết dịch vụ không đáp ứng về băng thông, độ trễ,
độ mất gói, độ khả dụng Quá trình theo dõi giám sát trên phần mềmPRTG sẽ phát hiện được sự cố này và phải liên hệ tổng đài để phối hợpkhắc phục sự cố kịp thời
b Cách phát hiện, xác minh sự cố: Các sự cố do lỗi kênh truyền kết nốiđược phát hiện, xác minh qua hệ thống giám sát PRTG do đơn vị vận hành tạiTrung tâm điều hành hệ thống thông tin Ngành BHXH Việt Nam Đơn vị vậnhành ngay lập tức liên hệ thống báo cho nhà mạng để khắc phục sự cố