Xây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

PHẦN MỞ ĐẦU 1. Sự cần thiết của chuyên đề Để xây dựng Ngành Bảo hiểm xã hội theo hướng hiện đại, chuyên nghiệp phù hợp với định hướng phát triển và thông lệ quốc tế, từng bước nâng cao chất lượng, hiệu quả phục vụ đáp ứng sự hài lòng của người dân và doanh nghiệp theo tinh thần của Chính phủ Kiến tạo là nâng cao chất lượng an sinh xã hội để phục vụ người dân tốt nhất, trong những năm gần đây việc ứng dụng CNTT đã được triển khai đồng thời theo hướng tích cực, hiệu quả. Cụ thể Ngành đã triển khai: Ứng dụng trên mọi hoạt động nghiệp vụ của Ngành từ Trung ương đến địa phương; Đẩy mạnh giao dịch trực tuyến với người dân, doanh nghiệp; trao đổi và tích hợp dữ liệu với các cơ quan có liên quan như Thuế, Hải quan, Kế hoạch – Đầu tư, Tài chính, Lao động – Thương binh và Xã hội, Y tế, Ngân hàng và cơ sở khám chữa bệnh… Từ năm 2015 đến nay BHXH Việt nam đã tích cực triển khai ứng dụng CNTT một cách sâu rộng và đồng bộ từ Trung ương đến địa phương trong toàn bộ các hoạt động nghiệp vụ cốt lõi của mình. Đến thời điểm hiện tại toàn bộ các ứng dụng nghiệp vụ lõi và ứng dụng phục vụ người dân và doanh nghiệp của Ngành đã được xây dụng tập trung tại Trung ương. Các hệ thống này liên tục được bổ sung nâng cấp thường xuyên để đáp ứng các nhu cầu ngày càng cao trong việc ứng dụng tại trung ương đã góp phần cải cách thủ tục hành chính của ngành BHXH tạo điều kiện thuật lợi nhất cho người dân và doanh nghiệp; đáp ứng các yêu cầu tại Nghị quyết số 19-2018/NQ-CP ngày 15/5/2018 (trong đó Chính phủ yêu cầu Bảo hiểm xã hội Việt Nam tiếp tục đẩy mạnh ứng dụng CNTT, thực hiện giao dịch điện tử đối với các thủ tục kê khai, thu nộp và giải quyết chính sách BHXH, BHYT, BHTN) Hiện tại toàn Ngành đang quản lý 27 hệ thống; quản lý cơ sở dữ liệu của 98 triệu dân tương ứng với gần 27 triệu hộ gia đình trên toàn quốc; với 20.000 tài khoản cán bộ, công chức, viên chức thường xuyên truy cập, khai thác và sử dụng để thực hiện các nghiệp vụ của Ngành; kết nối liên thông đến trên 12.000 cơ sở khám chữa bệnh và khoảng 500.000 tổ chức, doanh nghiệp sử dụng dịch vụ công trên toàn quốc và các bộ, ngành; mỗi năm cổng giao dịch điện tử nhận và xử lý hơn 65 triệu lượt hồ sơ dịch vụ công. Để đảm bảo cho các hệ thống ứng dụng phục vụ người dân, doanh nghiệp và các tổ chức hoạt động ổn định, xuyên suốt BHXH Việt Nam đã trang bị các hệ thống máy chủ chuyên dụng đặt tại TTDL ngành, TTDL dự phòng và phục hồi thảm họa với 421 máy chủ, tại BHXH các tỉnh, thành phố 256 máy chủ. Các máy chủ là hạ tầng quan trọng của mọi hệ thống thông tin, cung cấp dịch vụ, nội dung cho các ứng dụng của tổ chức như Cổng/Trang thông tin điện tử, các ứng dụng trên nền tảng web, các máy chủ tệp, máy chủ cơ sở dữ liệu. Đây cũng là mục tiêu tấn công yêu thích của các Hacker, các tổ chức hoạt động bất hợp pháp nhằm chiếm đoạt dữ liệu, khai thác thông tin quan trọng… Vì vậy việc nâng cao năng lực phòng chống tấn công, đảm bảo an toàn cho hệ thống máy chủ, đảm bảo khả năng ứng cứu khi có sự cố xảy ra là nhiệm vụ cấp thiết. 2. Mục tiêu nghiên cứu a. Mục tiêu chung: Xây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam nhằm hạn chế rủi ro, khắc phục kịp thời các sự cố xảy ra đối với hệ thống máy chủ tại TTDL ngành, đảm bảo tính sẵn sàng của hệ thống góp phần đảm bảo hoạt động thông suốt của các hệ thống ứng dụng, nghiệp vụ của Ngành. b. Mục tiêu cụ thể Xây dựng quy trình gồm các bước ứng cứu cụ thể cho từng loại sự cố xảy ra đối với hệ thống máy chủ, lưu trữ thông thường tại TTDL ngành. 3. Đối tượng và phạm vi nghiên cứu - Đối tượng nghiên cứu: + Hệ thống máy chủ, lưu trữ tại TTDL chính và TTDL dự phòng và phục hồi thảm họa của BHXH Việt Nam. + Nguồn nhân lực công nghệ thông tin vận hành hệ thống máy chủ tại TTDL ngành. + Quy trình vận hành các hệ thống máy chủ, lưu trữ tại TTDL chính và TTDL dự phòng và phục hồi thảm họa của BHXH Việt Nam + Các nguy cơ có thể xảy ra đối với hệ thống máy chủ, lưu trữ tại TTDL chính và TTDL dự phòng và phục hồi thảm họa của BHXH Việt Nam bao gồm các mối nguy vật lý và các mối nguy do tấn công, mất an toàn thông tin. - Phạm vi của chuyên đề: Chuyên đề nghiên cứu, phân tích các nguy cơ mất an toàn có thể xảy ra đối với hệ thống máy chủ, lưu trữ từ đó xây dựng quy trình xử lý theo từng bước cụ thể. 4. Nội dung nghiên cứu Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương, cụ thể như sau: Chương 1. Một số vấn đề về sự cố hệ thống máy chủ, lưu trữ thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam Chương 3. Xây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam i. Cách tiếp cận và phương pháp nghiên cứu • Cách tiếp cận: Để giải quyết các mục tiêu và nội dung nghiên cứu nêu trên, chuyên đề đã sử dụng các phương pháp điều tra, khảo sát thực tế các hệ thống máy chủ tại TTDL ngành, tính toán các điều kiện cần thiết phục vụ cho công tác nghiên cứu, sử dụng các trang thiết bị, kỹ thuật hiện có để xây dựng và không ngừng ứng dụng các kỷ thuật tiên tiến trong quá trình hoàn thiện sản phẩm của đề tài. • Phương pháp nghiên cứu: - Dựa trên hiện trạng hệ thống máy chủ, lưu trữ các văn bản quy định của Ngành đối với việc đảm bảo an toàn thông tin cho hệ thống máy chủ, lưu trữ tại Trung tâm dữ liệu Ngành để đánh giá các rủi ro có thể xảy ra đối với từng hệ thống. - Tìm hiểu các kỹ thuật tấn công từ các nguồn bên ngoài để tìm ra các điểm yếu của hệ thống từ đó xây dựng các bước xử lý cho từng mối nguy và cách thức tấn công riêng biệt ii. Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện được • Những đóng góp mới của chuyên đề - Chuyên đề đã nêu ra được các vấn đề liên quan đến nguồn gốc dẫn đến rủi ro mất an toàn thông tin đối với hệ thống máy chủ, lưu trữ ở mức độ thông thường từ đó làm cơ sở xây dựng các biện pháp bảo vệ, ứng cứu. - Xây dựng được quy trình ứng cứu sự cố cho hệ thống máy chủ, lưu trữ thông thường • Những vấn đề mà chuyên đề chưa thực hiện được - Chưa nghiên cứu tính toán được hết các vấn đề phát sinh bất ngờ gây mất an toàn thông tin đối với hệ thống máy chủ, lưu trữ. iii. Kết cấu chuyên đề Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương, cụ thể như sau: Chương 1. Một số vấn đề về sự cố hệ thống máy chủ, lưu trữ thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam Chương 3. Xây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam  

CHUYÊN ĐỀXây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ thông thường

tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

Người thực hiện: Đinh Nhật Thành

Đề tài:

XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ

AN TOÀN THÔNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS Lê Vũ Toàn

Hà Nội - 2022

PHẦN MỞ ĐẦU 1

CHƯƠNG 1 MỘT SỐ VẤN ĐỀ VỀ SỰ CỐ HỆ THỐNG MÁY CHỦ, LƯU TRỮ THÔNG THƯỜNG TẠI TRUNG TÂM DỮ LIỆU NGÀNH

1.1 Hệ thống máy chủ, lưu trữ tại Trung tâm dữ liệu ngành Bảo hiểm xã

1.1.1 Mô hình kiến trúc tổng thể hệ thống máy chủ tại Trung tâm dữ liệu

1.1.3 Mô hình kiến trúc tổng thể hệ thống lưu trữ tại Trung tâm dữ liệu

1.1.4 Công tác quản trị hệ thống máy chủ, lưu trữ tại Trung tâm dữ liệu

1.2 Một số vấn đề về sự cố hệ thống máy chủ, lưu trữ thông thường tại

Chương 2 Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ thông thường tại Trung tâm dữ liệu ngành Bảo

2.1 Tuân thủ các quy định về ứng cứu khẩn cấp sự cố an toàn thông tin 15

2.2 Hiệu quả trong quá trình ứng cứu khẩn cấp sự cố an toàn thông tin 17

Chương 2 của chuyên đề đã đưa ra được các cơ sở pháp lý là các văn bản quy định của các cơ quan nhà nước trong vấn đề đảm bảo an toàn thông tin trong hệ thống cơ sở dữ liệu của các cơ quan đơn vị thuộc nhà nước, Quy trình ứng cứu các sự cố liên quan đến hệ thống công nghệ thông tin Đánh giá tính hiệu quả của công tác ứng cứu sự cố 20 Chương 3 Xây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam 21

3.1.2 Quy trình tổng thể ứng cứu sự cố an toàn thông tin thông thường

1 An toàn thông tin ATTT

PHẦN MỞ ĐẦU

1 Sự cần thiết của chuyên đề

Để xây dựng Ngành Bảo hiểm xã hội theo hướng hiện đại, chuyênnghiệp phù hợp với định hướng phát triển và thông lệ quốc tế, từng bước nângcao chất lượng, hiệu quả phục vụ đáp ứng sự hài lòng của người dân và doanhnghiệp theo tinh thần của Chính phủ Kiến tạo là nâng cao chất lượng an sinh

xã hội để phục vụ người dân tốt nhất, trong những năm gần đây việc ứngdụng CNTT đã được triển khai đồng thời theo hướng tích cực, hiệu quả Cụthể Ngành đã triển khai: Ứng dụng trên mọi hoạt động nghiệp vụ của Ngành

từ Trung ương đến địa phương; Đẩy mạnh giao dịch trực tuyến với người dân,doanh nghiệp; trao đổi và tích hợp dữ liệu với các cơ quan có liên quan nhưThuế, Hải quan, Kế hoạch – Đầu tư, Tài chính, Lao động – Thương binh và

Xã hội, Y tế, Ngân hàng và cơ sở khám chữa bệnh…

Từ năm 2015 đến nay BHXH Việt nam đã tích cực triển khai ứng dụngCNTT một cách sâu rộng và đồng bộ từ Trung ương đến địa phương trongtoàn bộ các hoạt động nghiệp vụ cốt lõi của mình Đến thời điểm hiện tại toàn

bộ các ứng dụng nghiệp vụ lõi và ứng dụng phục vụ người dân và doanhnghiệp của Ngành đã được xây dụng tập trung tại Trung ương Các hệ thốngnày liên tục được bổ sung nâng cấp thường xuyên để đáp ứng các nhu cầungày càng cao trong việc ứng dụng tại trung ương đã góp phần cải cách thủtục hành chính của ngành BHXH tạo điều kiện thuật lợi nhất cho người dân

và doanh nghiệp; đáp ứng các yêu cầu tại Nghị quyết số 19-2018/NQ-CPngày 15/5/2018 (trong đó Chính phủ yêu cầu Bảo hiểm xã hội Việt Nam tiếptục đẩy mạnh ứng dụng CNTT, thực hiện giao dịch điện tử đối với các thủ tục

kê khai, thu nộp và giải quyết chính sách BHXH, BHYT, BHTN)

Hiện tại toàn Ngành đang quản lý 27 hệ thống; quản lý cơ sở dữ liệu của

98 triệu dân tương ứng với gần 27 triệu hộ gia đình trên toàn quốc; với 20.000tài khoản cán bộ, công chức, viên chức thường xuyên truy cập, khai thác và

sử dụng để thực hiện các nghiệp vụ của Ngành; kết nối liên thông đến trên12.000 cơ sở khám chữa bệnh và khoảng 500.000 tổ chức, doanh nghiệp sửdụng dịch vụ công trên toàn quốc và các bộ, ngành; mỗi năm cổng giao dịchđiện tử nhận và xử lý hơn 65 triệu lượt hồ sơ dịch vụ công

Để đảm bảo cho các hệ thống ứng dụng phục vụ người dân, doanhnghiệp và các tổ chức hoạt động ổn định, xuyên suốt BHXH Việt Nam đãtrang bị các hệ thống máy chủ chuyên dụng đặt tại TTDL ngành, TTDL dựphòng và phục hồi thảm họa với 421 máy chủ, tại BHXH các tỉnh, thành phố

256 máy chủ Các máy chủ là hạ tầng quan trọng của mọi hệ thống thông tin,cung cấp dịch vụ, nội dung cho các ứng dụng của tổ chức như Cổng/Trangthông tin điện tử, các ứng dụng trên nền tảng web, các máy chủ tệp, máy chủ

cơ sở dữ liệu Đây cũng là mục tiêu tấn công yêu thích của các Hacker, các tổchức hoạt động bất hợp pháp nhằm chiếm đoạt dữ liệu, khai thác thông tinquan trọng…

Vì vậy việc nâng cao năng lực phòng chống tấn công, đảm bảo an toàncho hệ thống máy chủ, đảm bảo khả năng ứng cứu khi có sự cố xảy ra lànhiệm vụ cấp thiết

2 Mục tiêu nghiên cứu

a Mục tiêu chung:

Xây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ thôngthường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam nhằm hạn chếrủi ro, khắc phục kịp thời các sự cố xảy ra đối với hệ thống máy chủ tại TTDLngành, đảm bảo tính sẵn sàng của hệ thống góp phần đảm bảo hoạt độngthông suốt của các hệ thống ứng dụng, nghiệp vụ của Ngành

b Mục tiêu cụ thể

Xây dựng quy trình gồm các bước ứng cứu cụ thể cho từng loại sự cốxảy ra đối với hệ thống máy chủ, lưu trữ thông thường tại TTDL ngành

3 Đối tượng và phạm vi nghiên cứu

- Đối tượng nghiên cứu:

+ Hệ thống máy chủ, lưu trữ tại TTDL chính và TTDL dự phòng và phụchồi thảm họa của BHXH Việt Nam

+ Nguồn nhân lực công nghệ thông tin vận hành hệ thống máy chủ tạiTTDL ngành

+ Quy trình vận hành các hệ thống máy chủ, lưu trữ tại TTDL chính vàTTDL dự phòng và phục hồi thảm họa của BHXH Việt Nam

+ Các nguy cơ có thể xảy ra đối với hệ thống máy chủ, lưu trữ tại TTDLchính và TTDL dự phòng và phục hồi thảm họa của BHXH Việt Nam baogồm các mối nguy vật lý và các mối nguy do tấn công, mất an toàn thông tin.

- Phạm vi của chuyên đề: Chuyên đề nghiên cứu, phân tích các nguy cơmất an toàn có thể xảy ra đối với hệ thống máy chủ, lưu trữ từ đó xây dựngquy trình xử lý theo từng bước cụ thể

4 Nội dung nghiên cứu

Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương,cụ thể như sau:

Chương 1 Một số vấn đề về sự cố hệ thống máy chủ, lưu trữ thôngthường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

Chương 2 Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệthống máy chủ, lưu trữ thông thường tại Trung tâm dữ liệu ngành Bảo hiểm

xã hội Việt Nam

Chương 3 Xây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữthông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

i Cách tiếp cận và phương pháp nghiên cứu

Để giải quyết các mục tiêu và nội dung nghiên cứu nêu trên, chuyên đề

đã sử dụng các phương pháp điều tra, khảo sát thực tế các hệ thống máy chủtại TTDL ngành, tính toán các điều kiện cần thiết phục vụ cho công tácnghiên cứu, sử dụng các trang thiết bị, kỹ thuật hiện có để xây dựng và khôngngừng ứng dụng các kỷ thuật tiên tiến trong quá trình hoàn thiện sản phẩmcủa đề tài

- Dựa trên hiện trạng hệ thống máy chủ, lưu trữ các văn bản quy địnhcủa Ngành đối với việc đảm bảo an toàn thông tin cho hệ thống máy chủ, lưutrữ tại Trung tâm dữ liệu Ngành để đánh giá các rủi ro có thể xảy ra đối vớitừng hệ thống

- Tìm hiểu các kỹ thuật tấn công từ các nguồn bên ngoài để tìm ra cácđiểm yếu của hệ thống từ đó xây dựng các bước xử lý cho từng mối nguy vàcách thức tấn công riêng biệt

ii Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện được

- Chuyên đề đã nêu ra được các vấn đề liên quan đến nguồn gốc dẫn đếnrủi ro mất an toàn thông tin đối với hệ thống máy chủ, lưu trữ ở mức độthông thường từ đó làm cơ sở xây dựng các biện pháp bảo vệ, ứng cứu

- Xây dựng được quy trình ứng cứu sự cố cho hệ thống máy chủ, lưu trữthông thường

- Chưa nghiên cứu tính toán được hết các vấn đề phát sinh bất ngờ gây mất

an toàn thông tin đối với hệ thống máy chủ, lưu trữ

iii Kết cấu chuyên đề

Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương,cụ thể như sau:

Chương 1 Một số vấn đề về sự cố hệ thống máy chủ, lưu trữ thôngthường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

Chương 2 Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệthống máy chủ, lưu trữ thông thường tại Trung tâm dữ liệu ngành Bảo hiểm

xã hội Việt Nam

Chương 3 Xây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưutrữ thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

CHƯƠNG 1 MỘT SỐ VẤN ĐỀ VỀ SỰ CỐ HỆ THỐNG MÁY CHỦ, LƯU TRỮ THÔNG THƯỜNG TẠI TRUNG TÂM DỮ LIỆU NGÀNH

BẢO HIỂM XÃ HỘI VIỆT NAM

1.1 Hệ thống máy chủ, lưu trữ tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

1.1.1 Mô hình kiến trúc tổng thể hệ thống máy chủ tại Trung tâm dữ liệu Ngành Bảo hiểm xã hội Việt Nam

Máy chủ vật lý

Máy chủ ảo hóa

Máy chủ Ứng dụng

Máy chủ vật lý Máy chủ CSDL

Máy chủ lớn được thiết kế phục vụ cơ sở dữ liệu lớn của các hệ thống:Giám định BHYT; Cấp số định danh và quản lý BHYT theo hộ gia đình;Quản lý định danh và chia sẻ dữ liệu; Thư điện tử Ngành BHXH; Tổng hợp

và phân tích dữ liệu tập trung ngành BHXH; Đào tạo trực tuyến; Xét duyệtchính sách; Quản lý Thu và Sổ - Thẻ; Kế toán tập trung; Cổng thông tin điện

tử ngành BHXH; Ứng dụng dịch vụ thông tin trên nền tảng thiết bị di động(VssID)

Tuy nhiên, theo yêu cầu từ thực tế các đợt thay đổi nâng cấp hệ thốngứng dụng dẫn đến Trung tâm đã phải quy hoạch lại để tiết kiệm tối đa hạ tầngsẵn có.

+ Phục vụ cho cơ sở dữ liệu của các hệ thống: Giám định BHYT; Cấp sốđịnh danh và quản lý BHYT theo hộ gia đình; Xét duyệt chính sách; Quản lýThu và Sổ - Thẻ; Kế toán tập trung; Cổng dịch vụ công BHXH Việt Nam(GDĐT); Thu nộp, chi trả BHXH điện tử; Thư điện tử; Phần mềm Tiếp nhận

và quản lý hồ sơ; Quản lý định danh và chia sẻ dữ liệu; Quản lý văn bản vàđiều hành; Ứng dụng dịch vụ thông tin trên nền tảng thiết bị di động (VssID) + Ảo hóa sử dụng cho ứng dụng yêu cầu cấu hình cao của các hệ thốngđáp ứng lượng truy cập đồng thời lớn: Cổng dịch vụ công BHXH Việt Nam(GDĐT); Cổng thông tin điện tử BHXH Việt Nam; Quản lý Thu và Sổ - Thẻ.1.1.2.2 Máy chủ phiến

Máy chủ phiến có tổng số 268 máy chủ lắp đặt trên 23 khung máy chủ,trong đó Trung tâm dữ liệu chính 220 máy chủ lắp đặt trên 19 khung máychủ, Trung tâm dữ liệu dự phòng 48 máy chủ lắp đặt trên 4 khung máy chủ.Máy chủ phiến được thiết kế và đang phục vụ cho hệ thống ứng dụng:

+ Phần mềm ứng dụng nội bộ: Hệ thống Cấp mã số BHXH và Quản lýBHYT Hộ gia đình; Hệ thống Quản lý Thu và Sổ - Thẻ; Hệ thống Xét duyệtchính sách; Hệ thống Kế toán tập trung; Hệ thống Quản lý đầu tư quỹ; Hệthống Tổng hợp và phân tích dữ liệu tập trung, Hệ thống Đào tạo trực tuyến;

Hệ thống Quản lý văn bản và điều hành; Hệ thống Quản lý định danh và truycập; Hệ thống Chữ ký số chuyên dùng ngành BHXH

+ Phần mềm phục vụ người dân, doanh nghiệp: Cổng thông tin điện tửBHXH Việt Nam và các địa phương; Cổng dịch vụ công BHXH Việt Nam(GDĐT); Hệ thống ứng dụng dịch vụ thông tin trên nền tảng thiết bị di động(VssID); Hệ thống Giám định BHYT (Cổng tiếp nhận dữ liệu giám địnhBHYT); Hệ thống Quản lý đấu thầu thuốc; Hệ thống chăm sóc khách hàng;

Hệ thống Thu nộp, chi trả BHXH điện tử; Hệ thống Quản lý tài khoản đầu tư

tự động

Ngoài ra, máy chủ phiến còn được sử dụng cho cơ sở dữ liệu của một số

hệ thống nhằm chia tải phục vụ luồng tạo báo cáo (report) hoặc dịch vụ(service) kết nối với các hệ thống khác: Quản lý Thu và Sổ - Thẻ; Kế toán tậptrung; Cổng dịch vụ công BHXH Việt Nam; Quản lý tài khoản đầu tư tựđộng; Cổng thông tin điện tử BHXH Việt Nam; Quản lý định danh và chia sẻ

dữ liệu; Thư điện tử; Quản lý văn bản và điều hành; Đào tạo trực tuyến; Quản

lý nhân sự; Thi đua khen thưởng

1.1.2.3 Tủ máy chủ chuyên dụng hiệu năng cao

Tủ máy chủ chuyên dụng hiệu năng cao có tổng số 03 tủ, trong đó Trungtâm dữ liệu chính 02 tủ, Trung tâm dữ liệu dự phòng 01 tủ (02 tủ OracleExalogic, 01 tủ Oracle Exadata) Tủ máy chủ chuyên dụng hiệu năng cao làmột tủ nguyên khối tích hợp máy chủ, thiết bị lưu trữ, thiết bị mạng và phầnmềm, hiện tại tủ Oracle Exalogic phục vụ trục tích hợp các hệ thống thông tin(SOA), tủ Oracle Exadata phục vụ hệ thống Thu nộp, chi trả BHXH điện tử(ECOPAY).

1.1.2.4 Máy chủ rack

Tổng số gồm 28 máy chủ Máy chủ rack phục vụ quản trị hệ thống, phầnmềm giám sát Hiện tại máy chủ này đang phục vụ cho các hệ thống: Hội nghịtrực tuyến; Chữ ký số chuyên dùng ngành BHXH; Tổng hợp và phân tích dữliệu tập trung; Lưu trữ hồ sơ điện tử ngành BHXH; Quản lý tập trung máy chủFujitsu

Hệ thống máy chủ được đặt tại TTDL Ngành, bao gồm các máy chủCSDL và các máy chủ ứng dụng Trong đó các máy chủ CSDL được chạytrên máy chủ vật lý để đảm bảo hiệu năng hoạt động của các hệ thống phầnmềm ứng dụng; Các máy chủ ứng dụng được chạy trên các máy chủ ảo hóatrên nền tảng công nghệ điện toán đám mây cho phép người quản trị dễ dàng

và linh hoạt trong việc cấp phát tài nguyên phù hợp cho từng hệ thống phầnmềm ứng dụng

Hiện tại BHXH sử dụng công nghệ ảo hóa của hãng VMWare Tuynhiên đối với các thành phần cơ sở dữ liệu của các hệ thống nghiệp vụ Ngànhđược triển khai trên các máy chủ vật lý Các hệ thống nghiệp vụ Ngành triểnkhai đa dạng các hệ điều hành, các middleware khác nhau tuy nhiên đối với

hệ điều hành thì chủ yếu là Linux và Windows Server

1.1.3 Mô hình kiến trúc tổng thể hệ thống lưu trữ tại Trung tâm dữ liệu Ngành Bảo hiểm xã hội Việt Nam

SAN

Máy chủ các hệ thống ứng dụng Máy chủ backup

Thiết bị lưu trữ chính

Thiết bị lưu trữ dự phòng Thiết bị lưu trữ

Thiết bị ảo hóa lưu trữ

Hệ thống lưu trữ và sao lưu dữ liệu của BHXH Việt Nam bao gồm:

- Thiết bị lưu trữ chính: Thiết bị lưu trữ mạng SAN, lưu trữ toàn bộCSDL của các ứng dụng nghiệp vụ của Ngành (Hệ thống thu và quản lý sổthẻ; Hệ thống giám định; Hệ thống kế toán; Hệ thống quản lý chính sách; )

- Các thiết bị lưu trữ thứ cấp: Lưu trữ dữ liệu các hệ thống nghiệp vụ có

dữ liệu phát sinh lớn nhưng không quan trọng như dữ liệu hệ thống số hóa hồ

sơ đối tượng hưởng chính sách; hệ thống email; hệ thống QLVB

- Thiết bị ảo hóa lưu trữ: Ảo hóa và quản lý tập trung các hệ thống lưutrữ của Ngành

- Thiết bị lưu trữ dự phòng: Lữu trữ toàn bộ bản sao dữ liệu của các hệthống nghiệp vụ

- Thiết bị lưu trữ băng từ: Sao lưu các dữ liệu từ hệ thống lưu trữ dựphòng sang băng từ

Hiện tại, BHXH Việt Nam đang sử dụng giải pháp backup to-Tape nhằm bảo vệ tối đa dữ liệu, đồng thời giảm thiểu thời gian cần thiết

Disk-to-Disk-để phục hồi dữ liệu trong các tình huống có sự cố với hệ thống chính

- Mô hình sao lưu dự phòng dữ liệu như sau: Máy chủ Backup được kếtnối cả vào mạng LAN và mạng SAN, trong đó mạng LAN được dùng đểtruyền tải các thông tin điều khiển lịch trình backup, còn mạng SAN sẽ dànhcho các luồng dữ liệu được backup, deduplicate (cơ chế chống trùng lặp dữliệu):

BHXH Việt Nam đã xây dựng và triển khai kế hoạch dự phòng, sao lưu

dữ liệu cho toàn bộ các hệ thống ứng dụng và trang thiết bị CNTT quan trọngcủa Ngành Các phương án sao lưu dữ liệu bao gồm:

Differential

Backup/

Transaction

Differential Backup/

Transaction

Differential Backup/

Transaction

Differential Backup/

Transaction

Differential Backup/

Transaction

Full Backup

Log Backups Log Backups Log

Differential Database Backups (backup các dữ liệu mới được cập nhật kể

từ lần full backup trước đó.): Thực hiện vào cuối ngày

Transaction Log Backups (Sao lưu lịch sử giao dịch của CSDL): Thựchiện vào cuối ngày

- Backup cấu hình, file system các trang thiết bị quan trọng: Thực hiện

hàng tháng vào ngày cuối cùng của tháng

Song song với việc tự kiểm tra, đánh giá mức độ an toàn thông tin hệthống CNTT của Ngành và triển khai kế hoạch ứng phó sự cố an toàn thôngtin mạng của BHXH Việt Nam, định kỳ 06 tháng 1 lần, cán bộ quản trị thựchiện diễn tập khôi phục dữ liệu và cấu hình trang thiết bị theo các bản backupmới nhất trên hệ thống thử nghiệm để kiểm tra khả năng sẵn sàng khôi phục

hệ thống khi có sự cố xảy ra

Việc quản trị các thiết bị lưu trữ và sao lưu dữ liệu khác nhau với cácmức độ ưu tiên về lưu trữ và xử lý khác nhau, đặc biệt là dung lương lưu trữcủa các thiết bị rất lớn để đáp ứng lượng lớn dữ liệu của Ngành cũng như sốlượng lớn các hệ thống nghiệp vụ mà Ngành đã xây dựng và triển khai trongthời gian qua BHXH Việt Nam sử dụng đội ngũ nhân sự có chuyên môn cao

và nhiều kinh nghiệm để quản trị và cấp phát tài nguyên về lưu trữ cho từng

hệ thống nghiệp vụ

1.1.3 Thiết bị lưu trữ

1.1.3.1 Thiết bị lưu trữ Flash

Thiết bị lưu trữ flash có tổng số 03 tủ đĩa đặt tại Trung tâm dữ liệu chính.Hiện tại tủ lưu trữ M70 có dung lượng khả dụng 297.87TB, đã sử dụng140,87TB (47%); tủ lưu trữ M20 có dung lượng khả dụng 11.17TB, đã sửdụng 6,18TB (55%); tủ lưu trữ IBM FlashSystem V9000 có dung lượng khảdụng 103.98TB, đã sử dụng 62,84TB (60%)

Thiết bị lưu trữ flash được thiết kế phục vụ ứng dụng, cơ sở dữ liệu cóyêu cầu truy xuất nhanh của các hệ thống: Giám định BHYT; Cấp mã sốBHXH và Quản lý BHYT Hộ gia đình; Xét duyệt chính sách; Quản lý Thu và

Sổ - Thẻ; Kế toán tập trung; Cổng dịch vụ công BHXH Việt Nam (GDĐT);

Thu nộp, chi trả BHXH điện tử; Quản lý văn bản và điều hành; Tổng hợp vàphân tích dữ liệu tập trung ngành BHXH; Hệ thống ứng dụng dịch vụ thôngtin trên nền tảng thiết bị di động (VssID).

1.1.3.2 Thiết bị lưu trữ cao cấp

Thiết bị lưu trữ cao cấp có tổng số 06 tủ đĩa, trong đó 03 tủ đĩa đặt tạiTrung tâm dữ liệu chính có dung lượng khả dụng đã cấp phát 552,78TB, đã

sử dụng 433,01TB (71%); 03 tủ đĩa đặt tại Trung tâm dữ liệu dự phòng đã cấpphát 38,61TB, đã sử dụng 297,20TB (38%)

Thiết bị lưu trữ cao cấp được thiết kế phục vụ các ứng dụng, cơ sở dữliệu hệ thống nghiệp vụ trọng yếu của Ngành: Giám định BHYT; Cấp mã sốBHXH và Quản lý BHYT Hộ gia đình; Xét duyệt chính sách; Quản lý Thu và

Sổ - Thẻ; Kế toán tập trung; Cổng dịch vụ công BHXH Việt Nam (GDĐT);Thu nộp, chi trả BHXH điện tử; Phần mềm Tiếp nhận và quản lý hồ sơ; Quản

lý văn bản và điều hành

1.1.3.3 Thiết bị lưu trữ khác

Các thiết bị lưu trữ khác có 06 tủ đĩa đặt tại Trung tâm dữ liệu chính (02

tủ đĩa Fujitsu Eternus DX600 S3, 02 tủ đĩa Fujitsu Eternus DX500 S3, 01 tủđĩa EMC VNX5800, 01 tủ đĩa EMC VMAX 100) Thiết bị lưu trữ này đượcthiết kế riêng phục vụ các ứng dụng, cơ sở dữ liệu của hệ thống có yêu cầulưu trữ lớn nhưng không yêu cầu tốc độ truy cập cao (01 tủ đĩa DX600 sửdụng riêng cho hệ thống thư điện tử; 01 tủ đĩa DX500 sử dụng riêng cho hệthống lưu trữ hồ sơ điện tử; 01 tủ đĩa EMC VMAX 100 sử dụng cho dữ liệutổng hợp 3S), các tủ lưu trữ còn lại sử dụng cho các hệ thống quản trị, giámsát và phụ vụ sao lưu dữ liệu, dự phòng

1.1.4 Công tác quản trị hệ thống máy chủ, lưu trữ tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

Để cung cấp tài nguyên máy chủ, triển khai ứng dụng nghiệm vụ Ngànhtrên các máy chủ này hiện tại BHXH Việt Nam có hệ thống giám sát 24/7 kịpthời phát hiện và xử lý các sự cố liên quan đến hệ thống máy chủ và sao lưu

dữ liệu

Quản trị, theo dõi tình trạng hoạt động, hiệu năng hoạt động của từngcụm máy chủ điện toán đám mây cung cấp cho các ứng dụng nghiệp vụ Điềuphối tài nguyên máy chủ phù hợp với nhu cầu sử dụng của từng hệ thống theonhu cầu Rà soát hệ thống máy chủ và thực hiện việc xử lý khi phát hiện cáclỗi xảy ra đối với hệ thống máy chủ:

- Phân tích lỗi, đề xuất phương án xử lý

- Thực hiện việc xử lý và ghi lại hướng dẫn xử lý lỗi.

- Báo cáo tình hình phát hiện và xử lý lỗi ngay sau khi hoàn thành việc

xử lý lỗi

Việc quản trị các thiết bị lưu trữ và sao lưu dữ liệu khác nhau với cácmức độ ưu tiên về lưu trữ và xử lý khác nhau, đặc biệt là dung lương lưu trữcủa các thiết bị rất lớn để đáp ứng lượng lớn dữ liệu của Ngành cũng như sốlượng lớn các hệ thống nghiệp vụ mà Ngành đã xây dựng và triển khai trongthời gian qua BHXH Việt Nam sử dụng đội ngũ nhân sự có chuyên môn cao

và nhiều kinh nghiệm để quản trị và cấp phát tài nguyên về lưu trữ cho từng

hệ thống nghiệp vụ

1.2 Một số vấn đề về sự cố hệ thống máy chủ, lưu trữ thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

1.2.1 Các sự cố thông thường đối với hệ thống máy chủ

a Sự cố liên quan đến môi trường lắp đặt máy chủ

- Sự cố liên quan tới nhiệt độ phòng máy chủ do phòng đặt máy chủkhông được lưu thông không khí, không có hệ thống làm mát đảm bảo làmcho nhiệt độ máy chủ tăng cao và nhanh chóng bị hỏng

- Sự cố liên quan tới độ ẩm, Yếu tố nhiệt độ là quan trọng nhưng chưaphải là tất cả Sẽ không nhiều người chú ý đến độ ẩm, không biết rằng nócũng là một tác nhân ảnh hưởng mạnh đến tuổi thọ và độ ổn định của máychủ, khi độ ẩm quá cao có thể dẫn đến rỉ sét, ăn mòn, ngắn mạch, thậm chí làphát triển của nấm sinh ra trong máy Mặt khác độ ẩm trong không khí quáthấp có thể dẫn đến phóng tĩnh điện, gây ra sự cố và hư hỏng hệ thống

- Sự cố do nguồn điện không ổn định, trong số các sự cố tiềm ẩn đe dọađến an toàn của máy chủ, có lẽ nguồn điện là yếu tố gây ảnh hưởng trực tiếp

và nhanh nhất Mất điện, nguồn tăng, giảm đột ngột đều gây hậu quả nghiêmtrọng

- Sự cố do lỗi các thiết bị phần cứng máy chủ do thời gian hoạt động lâungày hoặc do không được bảo trì, bảo dưỡng định kỳ

- Sự cố do người xâm nhập bất hợp pháp vào hệ thống máy chủ và pháhoại bằng các tác nhân vật lý làm hư hỏng hệ thống

- Sự có do thiên tai, cháy nổ bất ngờ

b Sự cố do các mối nguy an toàn thông tin

Vi phạm bảo mật luôn là một yếu tố tiềm ẩn, không lường trước được, vìvậy đảm các máy chủ được bảo vệ chống lại cả những kẻ xâm nhập vật lý vàxâm nhập mạng là rất quan trọng.

- Sự cố do các hành vi vi phạm chính sách truy cập, quản lý, thiết lập cấuhình hệ điều hành, các dịch vụ hệ thống;

- Các kết nối của máy chủ ra các địa chỉ IP độc hại;

- Các hình thức tấn công mạng như tấn công khai thác điểm yếu, tấncông dò quét và các dạng tấn công tương tự khác;

- Sự thay đổi trái phép của các tệp tin hệ thống do bị nhiễm mã độc;

- Các tiền trình có dấu hiệu bất thường về hành vi và việc sử dụng tàinguyên máy chủ

1.2.2 Các sự cố thông thường đối với hệ thống lưu trữ

Cũng giống như hệ thống máy chủ hệ thống lưu trữ cũng tồn tại những

sự cố tiềm ẩn bao gồm:

a Sự cố liên quan đến môi trường lắp đặt hệ thống lưu trữ

- Sự cố liên quan đến hệ thống điện, tình trạng mất điện bất ngờ có thểxảy ra ở bất kỳ Data Center nào trên thế giới Các trung tâm dữ liệu luôn cómột, thậm chí nhiều nguồn năng lượng dự phòng Nhưng rủi ro sẽ đến khi hệthống pin dự trữ không được phát hiện thay thế kịp thời khi có hỏng hóc, cácmáy phát điện không được kiểm tra thường xuyên Ngoài ra, các quản trị viênkhông thường xuyên giả định các tình huống mất điện để thao táo xử lý cũng

sẽ khiến tình huống đơn giản trở nên phức tạp khi bị mất điện

- Sự cố do hệ thống làm mát, hệ thống làm mát luôn đặc biệt quan trọngvới các hệ thống lưu trữ

- Sự cố do quy trình chuyển đổi hệ thống tự động không hoạt động, trongtrường hợp xảy ra sự cố tại trung tâm dữ liệu chính, hệ thống sẽ tự độngchuyển tất cả lưu lượng truy cập đến cơ sở dự phòng Tuy nhiên, việc chuyểnđổi tự động lưu lượng không phải lúc nào cũng hoạt động chính xác Sự cốthường xảy ra do nguyên nhân chủ quan của con người là thiếu kiểm trathường xuyên

- Sự cố do phần cứng bị lỗi, với hệ thống sử dụng nhiều linh kiện nhưtrung tâm dữ liệu, khả năng nhiều máy đồng loạt "chết" tại một thời điểm sau

sự cố như mất điện là rất dễ xảy ra hoặc do các linh kiện phần cứng của thiết

bị lưu trữ hoạt động lâu ngày tuổi thọ suy giảm

- Sự cố do hệ thống cáp quang gặp vấn đề Thông thường, một hệ thốnglưu trữ sẽ sử dụng nhiều đường cáp quang khác nhau để cung cấp đườngtruyền Internet Trong trường hợp đường cáp chính sử dụng ổn định, các quảntrị viên cũng gặp tình huống chủ quan không thường xuyên kiểm tra cácđường cáp dự phòng Điều này dẫn đến khi xảy ra sự cố đứt cáp chính, cáccáp phụ không hoạt động hoặc không đủ tải cho hệ thống

- Sự có do thiên tai, cháy nổ bất ngờ

b Sự cố do các mối nguy an toàn thông tin

Các sự cố đến từ con người, thiết bị, mạng bao gồm: Giả mạo danh tính,

mã độc, các cuộc tấn công leo thang đặc quyền nhằm kiểm soát các thiết bịmạng, và mạng Chiếm quyền truy cập quản trị từ xa cũng là một trong nhữngvấn đề làm tăng rủi ro cho an toàn hệ thống Các cuộc tấn công lỗ hổng Zero-day có thể vượt qua các biện pháp an ninh hiện có và gây ảnh hưởng tới hệthống

Tiểu kết Chương 1

Chương 1 chuyên đề đã làm rõ được cấu trúc, thành phần hạ tầng hệthống máy chủ, lưu trữ tại Trung tâm dữ liệu Ngành Bảo hiểm xã hội ViệtNam, xác định được các nguy cơ dẫn đến sự cố trong hệ thống máy chủ, lưutrữ thông thường làm cơ sở cho việc xây dựng quy trình ứng cứu sự cố hệthống máy chủ, lưu trữ thông thường tại Trung tâm dữ liệu Ngành BHXH

Chương 2 Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ thông thường tại Trung tâm dữ liệu ngành Bảo

hiểm xã hội Việt Nam

2.1 Tuân thủ các quy định về ứng cứu khẩn cấp sự cố an toàn thông tin

Việc xây dựng các quy trình ứng cứu cần tuân thủ các quy định về điềuphối, ứng cứu sự cố an toàn thông tin Cụ thể là những văn bản sau đây:

2.1.1 Luật An toàn thông tin

- Ứng cứu sự cố an toàn thông tin mạng phải tuân thủ các nguyên tắc sauđây:

+ Kịp thời, nhanh chóng, chính xác, đồng bộ và hiệu quả;

+ Tuân thủ quy định của pháp luật về điều phối ứng cứu sự cố an toànthông tin mạng;

+ Có sự phối hợp giữa cơ quan, tổ chức, doanh nghiệp trong nước vànước ngoài

- Bộ, cơ quan ngang bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân cấptỉnh, doanh nghiệp viễn thông, chủ quản hệ thống thông tin quan trọng quốcgia phải thành lập hoặc chỉ định bộ phận chuyên trách ứng cứu sự cố an toànthông tin mạng;

- Tổ chức thực hiện theo phân cấp;

- Thực hiện tại chỗ, nhanh chóng, nghiêm ngặt, phối hợp chặt chẽ;

- Áp dụng các biện pháp kỹ thuật, bảo đảm hiệu quả, khả thi;

- Hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạngquốc gia gồm:

+ Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng quốcgia;

+ Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của cơquan nhà nước, tổ chức chính trị, tổ chức chính trị - xã hội;

+ Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng của địaphương;

+ Phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin mạng củadoanh nghiệp viễn thông