VLAN Virtual Local Area Network: là một kỹ thuật cho phép tạo lập các phân vùng mạng độc lập, giúp giảm thiểu vùng quảng bá broadcastdomain, tiết kiệm băng thông mạng, tăng khả năng bả
Trang 1ỦY BAN NHÂN DÂN TỈNH QUẢNG NGÃI
SỞ THÔNG TIN VÀ TRUYỀN THÔNG
ĐỀ ÁNTĂNG CƯỜNG ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG CÁC CƠ QUAN NHÀ NƯỚC TỈNH QUẢNG NGÃI GIAI ĐOẠN 2018-2020 VÀ ĐỊNH HƯỚNG ĐẾN NĂM 2025
Quảng Ngãi, năm 2017
DỰ THẢO
Trang 21.1 Văn bản của cơ quan Trung ương 7
1.2 Văn bản của UBND tỉnh Quảng Ngãi 8
III PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG 11
1 Hiện trạng về tình hình an toàn, an ninh thông tin trong nước và tại Quảng Ngãi 11 1.1 Tình hình chung thế giới và trong nước 11
1.2 Tình hình chung tại tỉnh Quãng Ngãi 11
2 Hiện trạng về an toàn, an ninh thông tin tại các đơn vị 12
Trang 3VI NỘI DUNG ĐỀ ÁN 23
Mô hình chuẩn hạ tầng CNTT tại các đơn vị hành chính, sự nghiệp của tỉnh Quảng Ngãi 23
1 Mô hình cho các cơ quan hành chính, đơn vị sự nghiệp cấp tỉnh, cấp huyện, Ủy ban nhân dân (UBND) huyện, thành phố: 23
MÔ HÌNH 1: 23
MÔ HÌNH 2: 26
2 Mô hình cho các xã, phường, thị trấn: 29
a Đường truyền, thiết bị sử dụng 29
b Cài đặt, cấu hình WAN router tích hợp 29
3 Xây dựng hạ tầng kết nối và phát triển hệ thống CNTT cho các đơn vị 30
3.1 Mục tiêu 30
3.2 Mô hình triển khai 30
3.3 Nội dung phương án triển khai 31
3.4 Thiết bị dùng cho các đơn vị 31
3.5 Kết quả dự kiến 32
4 Đẩy mạnh công tác tuyên truyền nâng cao ý thức về an toàn an ninh thông tin trong tình hình mới 32
4.1 Mục tiêu 32
4.2 Nội dung phương án triển khai 33
4.2.1 Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin qua các phương tiện thông tin đại chúng, truyền thông xã hội 33
4.2.2 Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin qua các
hệ thống thông tin cơ sở 33
5 Đào tạo nâng cao trình độ CNTT về an toàn thông tin 33
5.1 Mục tiêu 33
5.2 Nội dung phương án triển khai 33
VII NHU CẦU KINH PHÍ THỰC HIỆN ĐỀ ÁN34
1 Tổng mức đầu tư thực hiện đề án: 34
2 Phân kỳ kinh phí: 35
3 Nguồn kinh phí thực hiện đề án: 35
VIII LỘ TRÌNH THỰC HIỆN 36
PHẦN 4 37
HIỆU QUẢ CỦA ĐỀ ÁN 37
1 Hiệu quả về kỹ thuật 37
2 Hiệu quả về kinh tế 37
3 Hiệu quả, tác động về xã hội 38
PHẦN 5 39
TỔ CHỨC THỰC HIỆN 39
1 Sở Thông tin và Truyền thông 39
2 Sở Tài chính 39
3 Sở Kế hoạch và Đầu tư 39
4 Thủ trưởng các sở, ban ngành, đơn vị có liên quan và Chủ tịch UBND các huyện, thành phố 39
Trang 5STT Từ viết tắt Diễn giải
2 Quảng Ngãi Tỉnh Quảng Ngãi
3 CNTT Công nghệ thông tin
5 TTTT Thông Tin Truyền Thông
7 TT TTDLĐT Trung tâm Thông tin dữ liệu điện tử
9 CQĐT Chính quyền điện tử
12 CNTT-TT Công nghệ thông tin - Truyền thông
13 TT&TT Thông tin và Truyền thông
14 VPN Mạng riêng ảo (Virtual Private
Network)
15 WAN Mạng diện rộng (Wide Area Network)
16 LAN Mạng nội bộ (Local Area Network)
17 MAN Mạng đô thị (Metropolitan Area
Network)
18 SAN Vùng mạng lưu trữ dữ liệu (Storage
Area Network)
Trang 6 Địa chỉ mạng (IP): Dùng để nhận dạng các máy tính, thiết bị trong môi
trường mạng, giúp các thiết bị trao đổi dữ liệu nhau
Theo các giá trị của các con số, người ta chia các địa chi mạng thành cácđịa chỉ lớp A, địa chỉ lớp B, địa chỉ lớp C Theo phạm vi sử dụng, người ta cònphân biệt:
- Địa chỉ Public (IP công cộng): là địa chỉ dùng để gán cho các thiết bị hoạtđộng trên môi trường Internet, mỗi địa chỉ này được xem như duy nhất
- Địa chỉ Private (IP dành riêng): là địa chỉ dùng để gán cho các thiết bịhoạt động trong phạm vi mạng nội bộ nhằm giao tiếp, trao đổi dữ liệu
Routing/ Router: Routing là kỹ thuật tìm đường và chọn đường đi cho gói
tin trên mạng, được thực hiện bởi các thiết bị lớp 3 (OSI layer 3), thường làRouter Các Router sẽ xây dựng bảng định tuyến Khi đi qua Router, các gói tin
sẽ được tra cứu địa chỉ trong bảng định tuyến và được chuyển cho các Routerkhác cho đến khi gặp địa chỉ đích
NAT (Network Address Translation): là kỹ thuật dùng để chuyển đổi
một dải địa chỉ ở một phân vùng mạng này thành một (hoặc một dải hẹp) địa chỉ
ở một phân vùng mạng khác Người ta thường dùng NAT để chia sẻ một kết nốiInternet cho nhiều máy tính trong mạng nội bộ
Firewall (Tường lửa): là thiết bị dùng ngăn chặn các truy cập trái phép
giữa các phân vùng mạng, thường phân thành 02 loại: tường lửa cứng và mềm
-Tường lửa cứng: thiết bị được cài đặt phần mềm nhúng, thường được tích
hợp chức năng định tuyến và đặt ngay điểm giao tiếp giữa vùng mạng ngoài vàcác vùng bên trong Chức năng phổ biến của tường lửa cứng là tập trung kiểmtra, lọc các gói tin
- Tường lửa mềm: máy chủ được cài đặt phần mềm tường lửa, có thể đượcđặt giữa các phân vùng mạng khác nhau Tường lửa mềm vừa có thể kiểm tralọc gói tin ở mức mạng vừa có thể kiểm tra được nội dung của gói tin, có tínhlinh hoạt cao: Có thể thêm, bớt nhiều quy tắc, chức năng
IDS /IPS (Intrusion Detection System / Intrusion Prevention System):
là thiết bị hoặc phần mềm dùng để phát hiện tấn công và xâm nhập trên môitrường mạng IDS /IPS hoạt động chủ yếu vào các nhận dạng có sẵn trong hệthống để phân biệt các kết nối nguy hiểm với các kết nối bình thường Trongtrường hợp phát hiện ra kết nối đó không an toàn cho hệ thống , IDS/IPS sẽ phát
ra cảnh báo cho người quản trị hoặc ngắt kết nối đó.
DMZ (Demilitarized Zone): là một phân vùng mạng được dùng để đặt các
Trang 7máy chủ cung cấp các dịch vụ: Web Server, Ftp Server, Mail Server ra môitrường Internet cho người dùng khai thác Phân vùng mạng DMZ được đặt táchbiệt với vùng mạng nội bộ, giúp cho vùng mạng nội bộ được bảo vệ an toàn.
VPN (Virtual Private Network): mạng riêng ảo, được thiết lập giữa các
máy tính hoặc các thiết bị mạng bằng cách tạo một kênh truyền riêng được mã
hóa trong môi trường mạng diện rộng.
VLAN (Virtual Local Area Network): là một kỹ thuật cho phép tạo lập
các phân vùng mạng độc lập, giúp giảm thiểu vùng quảng bá (broadcastdomain), tiết kiệm băng thông mạng, tăng khả năng bảo mật và có tính linhđộng cao
SAN (Storage Area Network): là thiết bị lưu trữ dữ liệu ứng dụng trên
nền tảng mạng mà quá trình truyền dữ liệu trên mạng tương tự như quá trìnhtruyền dữ liệu từ các thiết bị trên máy chủ như: thiết bị lưu dữ liệu chuẩn ATA,SATA, SCSI…
Log file: là tập tin được tạo ra bởi một phần mềm hay máy chủ (Web
Server, DNS Server, DHCP Server.) chứa thông tin cần thiết về các hoạt độngtrên phần mềm hay máy chủ đó Một số dạng log file: log file của hệ thống, logfile truy cập mạng, log file truy cập các tài nguyên đặc biệt, log file trong từngứng dụng làm cơ sở để phân tích, đánh giá mọi hoạt động liên quan đến hệthống thông tin
Trang 8PHẦN I
MỞ ĐẦU
I CĂN CỨ XÂY DỰNG ĐỀ ÁN
1 Căn cứ pháp lý
1.1.Văn bản của cơ quan Trung ương
Căn cứ Luật Công nghệ thông tin ngày 29/06/2006;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10/04/2007 của Chính phủ về việcứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Quyết định số 63/QĐ-TTg ngày 13/01/2010 của Thủ tướng Chính phủ phê duyệtQuy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020;
Quyết định số 80/2014/QĐ-TTg ngày 30/12/2014 của Thủ tướng Chính phủ quyđịnh thí điểm về thuê dịch vụ công nghệ thông tin trong cơ quan nhà nước;
Nghị quyết số 26/NQ-CP ngày 15/4/2015 của Chính phủ ban hành Chương trìnhhành động của Chính phủ thực hiện Nghị quyết số 36-NQ/TW ngày 01 tháng 7năm 2014 của Bộ Chính trị về đẩy mạnh ứng dụng, phát triển công nghệ thông tinđáp ứng yêu cầu phát triển bền vững và hội nhập quốc tế;
Công văn số 1178/BTTTT-THH ngày 21/4/2015 của Bộ Thông tin và Truyềnthông ban hành Khung Kiến trúc Chính phủ điện tử Việt Nam, Phiên bản 1.0;Quyết định số 714/QĐ-TTg ngày 22/5/2015 của Thủ tướng Chính phủ ban hànhDanh mục cơ sở dữ liệu quốc gia cần ưu tiên triển khai tạo nền tảng phát triểnchính phủ điện tử;
Công văn số 2634/BTTTT-THH ngày 17/8/2015 của Bộ Thông tin và Truyềnthông về hướng dẫn xây dựng kế hoạch ứng dụng CNTT trong hoạt động CQNNgiai đoạn 2016-2020;
Nghị quyết số 36a/NQ-CP ngày 14/10/2015 của Chính phủ về Chính phủ điệntử;
Quyết định số 1819/QĐ-TTg ngày 26/10/2015 của Thủ tướng Chính phủ về việcphê duyệt Chương trình quốc gia về ứng dụng công nghệ thông tin trong hoạt độngcủa cơ quan nhà nước giai đoạn 2016 – 2020;
Nghị định số 85/2016/NĐ-CP ngày 01/07/2016 của Chính phủ về bảo đảm antoàn hệ thống thông tin theo cấp độ;
Quyết định số 05/2017/QĐ-TTg ngày 16/03/2017 của Thủ tướng Chính phủ Banhành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tinmạng quốc gia
Trang 91.2.Văn bản của UBND tỉnh Quảng Ngãi
Quyết định số 1759/QĐ-UBND ngày 09/8/2007 của Chủ tịch UBND tỉnh QuảngNgãi về việc phê duyệt Quy hoạch phát triển CNTT tỉnh Quảng Ngãi giai đoạn
2007 - 2015 và định hướng đến năm 2020;
Quyết định số 1505/QĐ-UBND ngày 15/10/2013 về việc phê duyệt điều chỉnhmột số nội dung của Quy hoạch phát triển công nghệ thông tin tỉnh Quảng Ngãiđến năm 2020;
Quyết định số 42/2012/QĐ-UBND ngày 20/11/2012 của UBND tỉnh Ban hànhQuy định về tăng cường hoạt động ứng dụng và phát triển công nghệ thông tintrong cơ quan nhà nước tỉnh Quảng Ngãi;
Quyết định số 1676/QĐ-UBND ngày 13/11/2014 của Chủ tịch UBND tỉnh vềBan hành kế hoạch thực hiện Chỉ thị số 15/CT-TTg ngày 17/6/2014 của Thủ tướngChính phủ về tăng cường công tác bảo đảm an ninh và an toàn thông tin mạngtrong tình hình mới;
Kế hoạch số 1881/KH-UBND ngày 25/4/2015 của Chủ tịch UBND tỉnh QuảngNgãi về việc thực hiện chương trình hành động số 57-CTr/TU ngày 23/12/2014 củaBan Thường vụ Tỉnh ủy Quảng Ngãi;
Quyết định số 916/QĐ-UBND ngày 26/5/2016 của Chủ tịch UBND tỉnh QuảngNgãi về việc ứng dụng công nghệ thông tin trong hoạt động của các cơ quan nhànước tỉnh Quảng Ngãi giai đoạn 2016 – 2020
2 Căn cứ thực tiễn
Sự bùng nổ của Internet và Thương mại điện tử đã tạo ra những cơ hội to lớntrong công tác quản lý, điều hành của các cơ quan chính phủ, doanh nghiệp và tổchức nhưng bên cạnh đó cũng là những nguy cơ rủi ro mất an toàn thông tin, ảnhhưởng trực tiếp đến nền kinh tế và xã hội hiện đại
Công tác kiểm soát an toàn, an ninh thông tin chủ yếu lệ thuộc vào các giải pháp
kỹ thuật phần cứng và phần mềm (do các nhà cung ứng phần cứng, phần mềmkhuyến cáo) mà chưa chú trọng đến yếu tố con người, chính sách và quy trình antoàn thông tin áp dụng tại cơ quan phải tuân thủ Con người tham gia vào hệ thốngcông nghệ thông tin ở đây được hiểu là tất cả bộ phân liên quan tham gia sử dụng,vận hành hệ thống và các đối tác bên thứ ba cung cấp dịch vụ công nghệ thong tincần gán trách nhiệm và nghĩa vụ an toàn thông tin
Hiện trạng an toàn, an ninh thông tin ở tỉnh Quảng Ngãi nói riêng vẫn còn yếu,trong đó nhận thức về tầm quan trọng của an toàn thông tin của các tổ chức, doanhnghiệp vẫn chưa cao và đa số không chú trọng đến lĩnh vực này Hầu hết tổ chức,doanh nghiệp chưa có quy chế về an toàn, an ninh thông tin nội bộ và quy trìnhphản ứng khi có sự cố
Nhìn chung kiến thức về an toàn, an ninh thông tin của các cơ quan, tổ chức,doanh nghiệp trên địa bàn còn hạn chế, chưa thấy được thiệt hại kinh tế lẫn chưa
Trang 10tiên lượng được những mất mát do sự cố không đảm bảo về an toàn, an ninh thôngtin gây ra
II MỤC TIÊU CỦA ĐỀ ÁN
1 Mục tiêu chung
Xây dựng và chuẩn hóa hạ tầng CNTT đồng bộ từ cấp tỉnh đến cấp xã trên địabàn tỉnh Quảng Ngãi với giải pháp công nghệ, thiết bị tiên tiến Mục đích nhằmnâng cao khả năng bảo mật, an toàn cho hệ thống trước các mối nguy nguy cơ tấncông mạng, đồng thời kiểm soát máy tính của cán bộ công chức, viên chức truy cậpinternet, các phần mềm ứng dụng, tăng cường hiệu quả trong công tác cải cáchhành chính
Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tincho đội ngũ lãnh đạo, cán bộ, công chức, viên chức, người lao động trong cac cơquan, tổ chức, doanh nghiệp và các tầng lớp nhân dân trên địa bàn tỉnh, góp phầngiữ vững an ninh chính trị, trật tự xã hội, đảm bảo an ninh quốc phòng, thúc đẩyphát triển kinh tế xã hội
Phân công nhiệm vụ cụ thể, tạo sự phối hợp chặt chẽ giữa các cấp, các ngành, cơquan, tổ chức trong việc thực hiện các nhiệm vụ của Đề án Việc tuyên truyền, phổbiến, nâng cao nhận thức và trách nhiệm về an toàn thông tin phải được thực hiệnthường xuyên, tần suất phù hợp; đảm bảo có trọng tâm, trọng điểm, với nội dung,hình thức phù hợp; gắn việc tuyên truyền về an toàn thông tin với tuyên truyền cácnhiệm vụ kinh tế - xã hội, đảm bảo an ninh quốc phòng trên địa bàn tỉnh
2 Mục tiêu cụ thể
Thiết kế, xây dựng giải pháp ATTT đối với hạ tầng CNTT mang tính đồng bộ,thống nhất với khả năng bảo mật mạnh, khả năng sẵn sàng cao, có thể nâng cấp và
mở rộng dễ dàng, phù hợp với các tiêu chuẩn bảo mật của thế giới Giải pháp này
có khả năng quản trị tập trung tại Trung tâm dữ liệu tỉnh Quảng Ngãi và phân cấpquản lý cho các địa phương
Đầu tư thay thế, bổ sung thiết bị và triển khai mô hình bảo mật cho 40 Sở banngành và 14 Huyện, Thành phố Đồng thời có hướng dẫn đến các cấp đơn vị giảipháp mô hình, kỹ thuật công nghệ nhằm đồng bộ hạ tầng CNTT, bảo mật hệ thống
từ cấp tỉnh đến cấp xã và kiểm soát việc sử dụng máy tính của công chức, viênchức cấp xã, huyện, tỉnh ra vào mạng internet, tăng cường công tác cải cách hànhchính
Đào tạo đội ngũ nhân lực phụ trách ATTT có các kỹ năng chuyên sâu về kiếntrúc hạ tầng cơ sở và an ninh mạng như kỹ năng thiết kế, triển khai, duy trì hoạtđộng và phòng chống và khắc phục các sự cố về ATTT của hệ thống thông tin tại
cơ quan, đơn vị Nâng cao nhận thức về ATTT cho các cán bô công chức, viênchức trong các cơ quan, đơn vị trên địa bàn tỉnh
Trang 11PHẦN 2 ĐÁNH GIÁ HIỆN TRẠNG III PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG
1 Hiện trạng về tình hình an toàn, an ninh thông tin trong nước và tại Quảng Ngãi
1.1.Tình hình chung thế giới và trong nước
An toàn thông tin mạng (ATTT) đang là vấn đề “nóng” và đang được nhiềunước trên thế giới, nhiều tổ chức và cộng đồng đặc biệt quan tâm Thời gian qua tintặc liên tục tấn công bằng mã độc qua thư điện tử, khai thác lỗ hổng bảo mật, tấncông từ chối dịch vụ, phân tán virus với quy mô lớn, có tổ chức vào các hệ thốngmạng, cổng thông tin điện tử của Việt Nam chiếm quyền điều khiển, thay đổi nộidung, chiếm đoạt tài liệu, gây đình trệ các hệ thống thông tin Đặc biệt, một số tintặc, mã độc chuyển hướng qua tấn công vào các cơ quan thuộc hệ thống chính trị
để khai thác, đánh cắp dữ liệu, tài liệu bí mật của nhà nước
Ngoài ra, sự bùng nổ của Internet và Thương mại điện tử đã tạo ra những cơ hội
to lớn trong công tác quản lý, điều hành của các cơ quan chính phủ, doanh nghiệp
và tổ chức nhưng bên cạnh đó cũng là những nguy cơ rủi ro mất an toàn thông tin,ảnh hưởng trực tiếp đến nền kinh tế và xã hội hiện đại
Công tác kiểm soát an toàn, an ninh thông tin chủ yếu lệ thuộc vào các giải pháp
kỹ thuật phần cứng và phần mềm (do các nhà cung ứng phần cứng, phần mềmkhuyến cáo) mà chưa chú trọng đến yếu tố con người, chính sách và quy trình antoàn thông tin áp dụng tại cơ quan phải tuân thủ Con người tham gia vào hệ thốngcông nghệ thông tin ở đây được hiểu là tất cả bộ phân liên quan tham gia sử dụng,vận hành hệ thống và các đối tác bên thứ ba cung cấp dịch vụ công nghệ thong tincần gán trách nhiệm và nghĩa vụ an toàn thông tin
1.2.Tình hình chung tại tỉnh Quãng Ngãi
Hiện trạng an toàn, an ninh thông tin ở tỉnh Quảng Ngãi nói riêng vẫn còn yếu,trong đó nhận thức về tầm quan trọng của an toàn thông tin của các tổ chức, doanhnghiệp vẫn chưa cao và đa số không chú trọng đến lĩnh vực này Hầu hết tổ chức,doanh nghiệp chưa có quy chế về an toàn, an ninh thông tin nội bộ và quy trìnhphản ứng khi có sự cố
Nhìn chung kiến thức về an toàn, an ninh thông tin của các cơ quan, tổ chức,doanh nghiệp trên địa bàn còn hạn chế, chưa thấy được thiệt hại kinh tế lẫn chưatiên lượng được những mất mát do sự cố không đảm bảo về an toàn, an ninh thôngtin gây ra
Mô hình kết nối hệ thống tại tỉnh, đặc biệt các Sở ban ngành, các cấp huyện và
xã, đang rời rạc, phân tán và chưa tập trung Nguyên nhân là do các đơn vị tự xâydựng và trang bị nên chưa có sự liên kết với nhau
Trang 12Tại các Sở ban ngành, các cấp huyện và xã, việc sử dụng đường truyền Internetchung với hệ thống dùng chung của tỉnh dễ gây nguy cơ mất an toàn thông tin củatỉnh, nguyên nhân có thể bắt nguồn từ người sử dụng ở cấp huyện và cấp xã.
Hạ tầng CNTT còn rời rạc, chưa tập trung, chưa có hệ thống quản lý cơ sở dữliệu và cơ chế giám sát chung cho toàn tỉnh nên khó khăn trong việc xác định vàngăn ngừa nguy cơ mất an toàn thông tin từ đâu Đồng thời việc triển khai các ứngdụng cũng khó khăn
Việc liên thông văn bản từ Văn phòng Chính phủ xuống huyện, xã chưa đượcđảm bảo an toàn vì chưa có mạng diện rộng đúng nghĩa, đảm bảo an toàn mạng củatỉnh
Việc triển khai một số dịch vụ công trực tuyến cho người dân và doanh nghiệpcòn khó khăn do hệ thống mạng hiện tại không đảm bảo liên thông dữ liệu các cấp
về trung tâm tích hợp dữ liệu được nên việc truy xuất còn chậm, không an toàn vàbảo mật thông tin
2 Hiện trạng về an toàn, an ninh thông tin tại các đơn vị
2.1 Hạ tầng
Hầu hết các cơ quan đã trang bị đủ máy vi tính, thiết lập và khai thác hệ thốngmạng LAN, sử dụng Internet tốc độ cao để phục vụ công tác chuyên môn và điềuhành Đến nay có khoảng 60% hệ thống mạng LAN được trang bị hệ thống bảomật, an ninh mạng (Firewall) và giải pháp bảo mật, tuy nhiên nhìn chung còn ởmức thấp, chủ yếu sử dụng các giải pháp kỹ thuật tích hợp sẵn trong phần cứng màchưa quan tâm đến các giải pháp phần mềm nâng cao
Tỷ lệ máy vi tính được cài đặt phần mềm phòng, chống virus chiếm khoảng80%, tuy nhiên chủ yếu dùng các sản phẩm lậu và phi thương mại (Free) của nhiềuhãng sản xuất khác nhau, chưa quan tâm và đầu tư hệ thống chống virus chung chotoàn bộ hệ thống
Hầu hết các cơ quan nhà nước đều đã bố trí cán bộ lãnh đạo và cán bộ phụ trách
về CNTT, tuy nhiên phần lớn là làm việc kiêm nhiệm và phụ trách nhiều công việckhác nên hiệu quả tham mưu cho công tác về đảm bảo an toàn, an ninh thông tincho hệ thống mạng LAN và Internet của cơ quan, địa phương còn còn nhiều hạnchế và bất cập Nguồn nhân lực này cần phải được tiếp tục tập huấn, bồi dưỡngkiến thức, kỹ thuật về đảm bảo an toán, an ninh thông tin mạng hàng năm để đápứng nhu cầu phát triển của khoa học CNTT và xã hội
Về triển khai mạng Truyền số liệu chuyên dùng của các cơ quan Đảng, Nhànước: UBND tỉnh Quảng Ngãi đã ban hành Quyết định số 34/2014/QĐ-UBNDngày 9/7/2014 về quy chế quản lý, vận hành và sử dụng Mạng truyền số liệuchuyên dùng của các cơ quan Đảng, Nhà nước trên địa bàn tỉnh Quảng Ngãi SởThông tin và Truyền thông đang phối hợp tham mưu các bước tiếp theo nhằm đưa
hệ thống đi vào sử dụng đồng bộ, thống nhất và đảm bảo tính an toàn, bảo mậttrong các cơ quan nhà nước của tỉnh
Trang 13Nhằm tăng cường an toàn thông tin trong các cơ quan nhà nước, UBND tỉnhcũng đã ban hành Quy chế quản lý, sử dụng Hệ thống thư điện tử công vụ tỉnhQuảng Ngãi (QĐ số 51/2015/QĐ-UBND) và cấp phát địa chỉ thư điện tử cho hầuhết CBCCVC của tỉnh (theo tên miền: xxx@quangngai.gov.vn) và cũng đã banhành nhiều công văn nhằm tăng cường nhận thức và sử dụng thư điện tử trongphục vụ công tác chuyên môn và điều hành Tuy nhiên tỷ lệ CBCCVC sử dụng thưđiện tử thường xuyên và văn bản trao đổi được trao đổi qua hệ thống thư điện tửcông vụ nhìn chung vẫn còn thấp và chưa đạt được hiệu quả cao
Hầu hết các cơ quan, địa phương chưa có sự quan tâm đúng mức và chưa xâydựng quy chế nội bộ về quản lý, sử dụng và khai thác hệ thống mạng LAN vàInternet nên các công tác, quy định đảm bảo về an toàn, an ninh thông tin còn nhiềuhạn chế
Về đảm bảo an toàn, an ninh thông tin cho Cổng thông tin điện tử tỉnh QuảngNgãi và các Cổng thành phần, hiện nay do Sở Thông tin và Truyền thông làm chủđầu tư thực hiện đã được quan tâm và đầu tư đầy đủ về trang thiết bị phần cứng vàcác giải pháp phần mềm bảo mật có liên quan để phòng và chống các nguy cơ trênmạng Internet
Hiện nay, Sở Thông tin và Truyền thông cũng đang đầu tư thực hiện Dự án Xâydựng trung tâm dữ liệu tỉnh Quảng Ngãi (Datacenter), gồm các hệ thống máy chủ,
hệ thống lưu nguồn điện dự phòng (UPS và máy phát điện dự phòng), các hệ thốngbackup khôi phục dữ liệu và chương trình phần mềm, nơi cung cấp dịch vụ lưu trữ
dữ liệu và các ứng dụng đảm bảo tính an toàn trong việc trao đổi thông tin và hợpnhất dữ liệu của người sử dụng, nhằm giảm thiểu chi phí quản lý chung của CNTT,đảm bảo an toàn, an ninh thông tin cho ứng dụng và các dịch vụ CNTT
Đầu tư Trung tâm dữ liệu tỉnh Quảng Ngãi với hạ tầng kỹ thuật và hệ thống thiết
bị CNTT-TT hiện đại, đạt tiêu chuẩn tốt nhất hiện nay, đáp ứng nhu cầu ứng dụng
và phát triển tối thiểu về CNTT của tỉnh Quảng Ngãi đến năm 2020 và có khả năngđầu tư nâng cấp, mở rộng sau đó
2.2 Nguồn lực
Trong những năm gần đây, tỉnh cũng chú trọng đào tạo, bồi dưỡng tập huấn liênquan đến công tác an toàn, an ninh thông tin, các hội thảo định hướng phát triểncông nghệ thông tin, thành lập Tổ ứng phó sự cố máy tính, tuy nhiên, nguồn nhânlực công nghệ thông tin trong các cơ quan Nhà nước cấp tỉnh và huyện chưa đápứng được nhu cầu, vẫn còn thiếu cán bộ lãnh đạo và cán bộ chuyên trách công nghệthông tin Nguồn nhân lực công nghệ thông tin tại các cơ quan nhà nước cấp xã cònyếu, chưa có khả năng triển khai các hệ thống ứng dụng tác nghiệp, chưa có nhânlực chuyên trách công nghệ thông tin mà phần lớn là kiêm nhiệm, chưa được quađào tạo về nghiệp vụ quản trị mạng nên gặp rất nhiều khó khăn trong việc quản trị,vận hành hệ thống mạng nhằm ứng dụng và phát triển công nghệ thông tin tại đơnvị
2.3 Cơ chế chính sách An toàn an ninh thông tin
Trang 14Chỉ số đánh giá về đào tạo, nhận thức: 58% (Tổ chức có cán bộ có chứng chỉ liênquan đến ATTT; phổ biến nâng cao nhận thức cua người sử dung về ATTT nhưng
đa số tham gia các khoá đào tạo, tập huấn, tài liệu tuyên truyền từ đơn vị ngành tổchức, ít có kế hoạch đào tạo, tập huấn riêng đối với các cơ quan khối sự nghiệp.)
Tổ chức, nhân lực:65%(có lãnh đạo phụ trách và có cán bộ chuyên trách nhiềuhơn cán bộ bán chuyên trách)
Chính sách, kinh phí: 55% (về quy chế, quy định đa số các đơn vị có quan tâm vàban hành quy chế, quy định về bảo đảm ATTT nhưng hầu như chưa có ban hànhquy chế, quy định bảo vệ thông tin cá nhân; đầu tư cho ATTT:tỷ lệ kinh phí ATTT
so với CNTT đa số 1% - 5%)
Biện pháp quản lý: 60%(Việc quản lý cán bộ vận hành, khai thác sử dụng hệthống có tuân thủ chính sách về ATANTT; khi hệ thống gặp sự cố mất ATANTTđều có báo cáo lên lãnh đạo, cơ quan cấp trên và tổ chức hỗ trợ xử lý; tuy nhiên vẫncòn một số hạn chế hầu hết tổ chức triển khai hệ thống quản lý ATANTT chưa theomột tiêu chuẩn nào, chưa có quy trình đánh giá, quản lý và xử lý rủi ro)
Biện pháp kỹ thuật:58%(các đơn vị ngành dọc như Hải quan, cục thuế, kho bạc
và khối sở ban ngành có sự quan tâm về các biện pháp kỹ thuật để bảo đảm an toàn
về mặt vật lý, việc sử dụng chữ ký số để bảo đảm an toàn trong khi giao dịch điện
tử cũng được sử dụng, vùng mạng được quy hoạch theo chức năng, sử dụng cácbiện pháp kỹ thuật công nghệ để bảo đảm ATANTT(bộ lọc chống thư rác, kiểmsoát truy cập), dữ liệu được sao lưu ; Khối huyện, thị: chưa được quan tâm nhiều
về các biện pháp kỹ thuật về mặt vật lý(chống sét, có hệ thống camera giám sát;chưa sử dụng chữ ký số để bảo đảm an toàn cho các giao dịch điện tử mà chủ yếuđầu tư phần mềm duyệt virus, tường lửa)
Khả năng nhận biết bị tấn công mạng (tính từ tháng 1/2015 đến nay):
+ Có bị tấn công và được theo dõi đẩy đủ<20%
+ Có bị tấn công nhưng không rõ số lần:>20%
+ Không bị tấn công chiếm khoảng trên >50%
+ Không biết có bị tấn công hay không hoặc không trả lời cho mục này:
- Năm 2014: Tỉnh Quảng Ngãi xếp vị thứ 38
- Năm 2015:Tỉnh Quảng Ngãi xếp vị thứ 43
- Năm 2016:Tỉnh Quảng Ngãi xếp vị thứ 35
Trang 15Một số thông tin về Báo cáo tóm tắt “Chỉ số sẵn sàng cho phát triển và ứng dụngCNTT-TT Việt Nam” năm 2016 như sau:
- Tỷ lệ CQNN kết nối WAN của tỉnh: 0%
- Tỷ lệ CQNN kết nối CPNet: 7,8%
- Triển khai các ứng dụng cơ bản (các phần mềm dùng chung): 10,44 (điểmcao nhất 19,72)
- Dịch vụ công trực tuyến: 0,4524(chỉ số cao nhất là 1,000)
Đa phần các máy chủ của hệ thống đều không được cài đặt các phần mềm cóbảng quyền, dẫn đến nguy cơ bị tấn công và đánh cắp dữ liệu cũng như không có
cơ chế tự động sao lưu phục hồi khi có sự cố xảy ra
3.2 Phần mềm
Dịch vụ công trực tuyến đạt mức độ 2, một số dịch vụ công trực tuyến cung cấp
ở mức độ 3, tuy nhiên sự tham gia của người dân chưa nhiều
Mô hình một cửa điện tử hiện đại được triển khai tại 7/14 địa phương cấp huyện
So với mặt bằng chung cả nước tỉnh Quảng Ngãi vẫn còn xếp hạng ở mức thấp vềviệc triển khai ứng dụng mô hình một cửa hiện đại và hiệu quả, kết quả xử lý côngviệc tại bộ phận một cửa hiện đại
Vẫn còn một bộ phận lãnh đạo các cấp chưa nhận thức đầy đủ về vai trò, tầmquan trọng của CNTT trong công tác chỉ đạo, điều hành; chưa thể hiện đầy đủ tráchnhiệm của người đứng đầu trong quá trình ứng dụng và phát triển CNTT tại đơn vị
và xã hội
Giữa các ngành, địa phương chưa có sự phối hợp chặt chẽ, chưa gắn kết giữaquá trình ứng dụng công nghệ thông tin với cải cách hành chính, đi tắt đón đầutrong quá trình CNH, HĐH đất nước;
Việc đầu tư phát triển cơ sở hạ tầng, thiết bị về CNTT còn dàn trải nên thiếuđồng bộ và hoàn chỉnh Chưa kết nối mạng diện rộng WAN của tỉnh, nên việc triểnkhai các ứng dụng còn mang tính đơn lẻ, thiếu thống nhất và đồng bộ
Trang 16IV PHÂN TÍCH&ĐỊNH HƯỚNG CÔNG NGHỆ
1 Hệ thống tường lửa
1.1 Tổng quan
Ngày nay, khi kết nối Internet đã trở thành một phần không thể thiếu của mỗidoanh nghiệp, thì vấn đề an ninh mạng đã trở thành yếu tố không thể thiếu đượccủa một hệ thống mạng Cùng với sự đa dạng hoá của các ứng dụng mạng hiệnnay, sự mở rộng quy mô mạng của các doanh nghiệp qua các hệ thống mở như kếtnối Internet, kết nối VPN, kết nối wireless, các lỗ hổng mạng cũng đa dạng hơn,khó kiểm soát hơn Vì vậy các tấn công mạng cũng trở lên phức tạp, nguy hiểm vàkhó kiểm soát hơn rất nhiều Các tấn công có thể diễn ra với nhiều mục đích khácnhau như: lấy cắp dữ liệu, làm hỏng dữ liệu, chiếm quyền kiểm soát, chiếm dụngbăng thông, làm ngừng dịch vụ…
Với các cách tấn công mạng trước đây, một Firewall chỉ cần tính năng NAT vàlọc gói tin dựa trên thông tin phần tiêu đề gói tin lớp 3 (IP), lớp 4 (TCP/IP) là đủ.Nhưng hiện nay, các tấn công mạng có thể núp bóng dưới rất nhiều ứng dụng khácnhau như: IM, email… Tuy nhiên với nhu cầu hiện nay, đối với nhiều doanhnghiệp các ứng dụng như Email, sky, yahoo… lại được sử dụng như là phương tiệntruyền thông chính của doanh nghiệp, vì vậy việc chặn các cổng giao thức nhưfirewall truyền thống là không thể Do vậy, đòi hỏi hệ thống bảo mật của doanhnghiệp phải có khả năng nhận biết các ứng dụng, lọc bỏ các gói tin chứa mã độcđược núp bóng bởi các ứng dụng sạch Các gói tin này thường được coi là thuộccác lưu lượng không xác định (Unidentified traffice) như SaaS, Web 2.0, IM,P2P…
Ngoài ra khi hệ thống công nghệ thông tin đã trở thành một trong nhưng công cụcần thiết của một doanh nghiệp, các yêu cầu về bảo mật gia tăng, yêu cầu về phânquyền, thiết lập quy chế cho các người dùng cũng phức tạp hơn Do vậy các hệthống mạng thế hệ mới cần phải hỗ trợ các yêu cầu sau:
- Khả năng phân cấp, phân quyền truy cập đến các tài nguyên khác nhau trong
hệ thống chi tiết hơn, chặt chẽ hơn để hỗ trợ các quy chế bảo mật của công ty
- Băng thông mạng phải được đảm bảo trong cả tình huống mạng đang chịu các
sự tấn công từ bên ngoài
- Sự quản trị dễ dàng để phù hợp với những quản trị mạng ít kinh nghiệm củacác doanh nghiệp nhỏ, hoặc khả năng quản trị linh hoạt, tập trung cho những doanhnghiệp lớn với đội ngũ IT tập trung
Thông thường để làm được điều này, trong hệ thống mạng của mỗi doanhnghiệp chúng ta phải sử dụng đồng thời hệ thống bảo mật gồm:
- Firewall để ngăn chặn các truy cập trái phép, lọc gói tin dựa trên phần tiêu đề,ngăn chặn các tấn công lớp mạng, lớp giao vận
Trang 17- Sử dụng IPS/IDS để phát hiện và ngăn chặn Worms, ngăn chặn tấn công quacác lỗ hổng bảo mật của các phần mềm thông thường (windows, office,explorer…), ngăn chặn các tấn công khác lớp ứng dụng.
- Sử dụng Proxy để để phân quyền truy cập ứng dụng theo quy chế của công ty,ngăn chặn các tấn công đến từ lớp ứng dụng
1.2 Các tính năng nổi bật
- Tính năng phòng vệ, bảo mật
o Tính năng tường lửa chuyên dụng
o Tính năng phòng chống tấn công DDos (IPS/IDS), tấn công có chủđích (APT)
o Tính năng phòng chống virus, malware, spyware
o Tính năng bảo mật dành cho web, email, ứng dụng
- Tính năng mạng
o Hỗ trợ tính năng cân bằng tải đường truyền
o Hỗ trợ tính năng định tuyến, phân chia VLAN, Zone
o Phát hành các dịch vụ công cộng (NAT)
o Hỗ trợ các tính năng VPN, quản lý băng thông, đường truyền, thiết
bị wireless
o Hỗ trợ tính năng mã hóa đường truyền
- Tính năng quản trị người dùng
o Quản lý người dùng thông qua máy chủ định danh (AD)
o Quản lý truy cập website của người dùng
o Quản lý truy cập ứng dụng của người dùng
- Tính năng Quản trị
o Quản trị qua giao diện web
o Hỗ trợ quản trị tập trung nhiều thiết bị tường lửa
o Giám sát trạng thái thiết bị và cảnh báo
o Hỗ trợ các báo cáo, dữ liệu hệ thống (log)
1.3 Tính năng đáp ứng
Thiết bị tường lửa (Firewall UTM)
1 Yêu cầu phần cứng Rackmount 1U
Kích thước (w*d*h): 438 x 292 x 44 (mm)
Trang 18Số lượng kết nối: 6 x 1GbpsDung lượng lưu trữ: 320GB
Bộ nhớ RAM: 8GB
2 Yêu cầu về kết nối Băng thông tường lửa: 11Gbps
Băng thông VPN: 1Gbps Băng thông IPS: 2Gbps Băng thông AV: 500Mbps Lượng truy cập đồng thời: 4,000,000
3 Tính năng sản phẩm
Có khả năng triển khai các tính năng NAT, NetworkFirewall, DHCP, VLAN, Load Balancing
Đáp ứng các tính năng bảo mật và phòng chống tấn công: APT, IPS, Dos Protection, Antivirus,
malware, spyware
Có khả năng quản lý truy cập theo URL, ứng dụng
Hỗ trợ các kết nối VPN site-to-site, client-to-siteTích hợp tính năng báo cáo, log, SNMP
Có khả năng quản lý băng thông và QoS
2 Hệ thống chuyển mạch trung tâm và nhánh
2.1 Tổng quan
Với một hệ thống chuẩn hóa đòi hỏi phải có một thiết bị chuyên dụng đóng vaitrò chuyển mạch và quản lý các truy cập, kết nối các vùng dữ liệu với nhau, do đódòng thiết bị chuyển mạch lớp 3 (switch layer 3) ra đời, có khả năng vận hành tốttrong thời gian dài, có khả năng mở rộng cao trong thời gian tới và không ảnhhưởng đến khả năng chịu tải của hệ thống Switch layer 3 thực hiện tốt các chínhsách truy cập giữa các Vlan đã được phân chia và vận hành tốt tính năngSwitching, Routing, ACLs, Spanning Tree, … giúp cho hệ thống hoạt động hiệuquả
Switch layer 2 là chuỗi các thiết bị chuyển mạch Ethernet thông minh dành chocác mạng của doanh nghiệp mới được thành lập, doanh nghiệp cỡ vừa và vănphòng chi nhánh cung cấp dịch vụ mạng LAN mở rộng Sản phẩm có thể cấu hình
Trang 19cố định, độc lập và cung cấp kết nối 10/100 Fast Ethernet và 10/100/1000 GigabitEthernet cho các vùng mạng trong công ty.Cung cấp quản lý mạng tập trung chocác thiết bị chuyển mạch, định tuyến và các điểm truy nhập vô tuyến Hỗ trợ giúplập các cấu hình dễ sử dụng để đơn giản hóa đáng kể việc triển khai mạng nội bộ vàcác dịch vụ phần vùng mạng riêng biệt.
2.2 Tính năng đáp ứng
1 Thiết bị chuyển mạch trung tâm (Switch layer 3)
Cổng kết nối 24-Port 1GbE, 4x 1G SFP Slot
Stacking Stacking với thông lượng 160Gbps
Bảo mật: Port security, DHCP snooping, Dynamic ARP inspection, SPAN port, 802.1X, MAC authentication bypass, Radius, private VLAN, ACLs, SNMPv3, TACACS+Giao thức định tuyến: static, RIPv1, RIPv2, RIPng, EIGRP stub
Wireless
Wireless Bandwidth 20 Gbps
Hỗ trợ lên đến 25 Access Points/switch
Hỗ trợ lên đến 1000 Wireless clients/switch
Hỗ trợ 64 WLANs/switch
Kích thước
Chiều cao: 1U 44 (mm) Chiều rộng: nhỏ hơn 450 (mm)Chiều sâu: nhỏ hơn 450 (mm)Trọng lượng Nhỏ hơn 8 kg
Điện năng tiêu thụ Nhỏ hơn 90W (100% traffic)
Nguồn 350W AC PS, C14-C15 power cord
Trang 20Ngoài ra, thiết bị này còn tích hợp thêm tính năng chuyển mạch (switching) vàcung cấp 8 – 24 cổng (port) kết nối, phù hợp cho các văn phòng, chi nhánh với sốlượng người ít.
Điện năng tiêu thụ Nhỏ hơn 50W (100% traffic)
Nguồn 125W AC PS, C14-C15 power cord
4 Phần mềm Antivirus
4.1 Tổng quan
Vì phần mềm độc hại đang trở nên ngày càng tinh vi, các biện pháp bảo vệtruyền thống không còn đủ để đảm bảo bảo vệ đầy đủ.Bên cạnh khả năng chốngphần mềm độc hại giành được nhiều giải thưởng, phần mềm Antivirus bao gồmcông nghệ quét lỗ hổng và công nghệ quản lý bản vá lỗi để giúp tiêu diệt các lỗhổng trong hệ điều hành và phần mềm ứng dụng
Hơn nữa, chức năng mã hóa linh hoạt giúp bảo vệ dữ liệu của cơ quan trongtrường hợp máy tính xách tay hoặc thiết bị lưu trữ có thể tháo rời bị mất hoặc bịđánh cắp