Nghiên cứu phát triển hệ thống bảo mật CSDL cho Tổng cục thuế

Nghiên cứu phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Nghiên cứu phát triển hệ thống bảo mật CSDL cho Tổng cục thuế Nghiên cứu phát triển hệ thống bảo mật CSDL cho Tổng cục thuế luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp luận văn tốt nghiệp,luận văn thạc sĩ, luận văn cao học, luận văn đại học, luận án tiến sĩ, đồ án tốt nghiệp

TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI

Hà Nội – 2018

NGƯỜI HƯỚNG DẪN KHOA HỌC:

TS PHẠM ĐĂNG HẢI

LỜI CAM ĐOAN

Tên tôi là: Dương Tiến Đạt

Sinh ngày: 29 tháng 09 năm 1991

Học viên lớp Cao học Truyền thông và mạng máy tính 2016A - Trường Đại học Bách Khoa Hà Nội

Tôi xin cam đoan toàn bộ nội dung của luận văn mà tôi thực hiện trong thời gian vừa qua là trung thực và hết sức rõ ràng

Hà Nội, Ngày 8 tháng 5 năm 2018

Tác giả luận văn

Dương Tiến Đạt

LỜI CẢM ƠN

Trước tiên em xin được gửi lời cảm ơn tới Ban Giám Hiệu Trường Đại học Bách Khoa Hà Nội đã tạo điều kiện cho em được làm luận văn tốt nghiệp này Sau thời gian nghiên cứu và làm việc miệt mài, luận văn tốt nghiệp của em đến nay

cơ bản đã hoàn thành Có được thành quả đó, ngoài sự cố gắng nỗ lực của bản thân

còn phải kể đến sự giúp đỡ rất lớn từ thầy giáo TS Phạm Đăng Hải, người đã trực

tiếp hướng dẫn, chỉ bảo tận tình và cung cấp tài liệu, kiến thức cũng như kinh nghiệm quý báu cho em trong suốt thời gian làm luận văn Qua đây em xin được

bày tỏ lòng biết ơn sâu sắc tới thầy, kính chúc thầy luôn mạnh khoẻ và công tác tốt

Em xin chân thành cảm ơn các thầy cô của Viện Công nghệ thông tin và Truyền thông đã hết sức nhiệt tình truyền thụ cho chúng em không chỉ những kiến thức chuyên môn mà cả những kinh nghiệm quý báu Em cũng xin cảm ơn Ban Lãnh Đạo, các đồng nghiệp cục Công nghệ thông tin – Tổng cục Thuế đã tạo điều kiện và tận tình giúp đỡ em trong việc tìm hiểu, tiếp cận các kiến thức

Cuối cùng em xin gửi lời cảm ơn chân thành tới gia đình và bạn bè Chính gia đình và bạn bè đã là nguồn động viên hỗ trợ vô cùng to lớn giúp em có thêm động lực và sự khích lệ để hoàn thành luận văn này

Trong quá trình thực hiện đề tài, mặc dù đã cố gắng, tuy nhiên vì thời gian có hạn và trình độ còn hạn chế nên luận văn không tránh khỏi những thiếu sót Em kính mong nhận được các góp ý của Hội đồng Khoa học và các bạn để đề tài được hoàn thiện hơn

Em xin trân trọng cảm ơn!

DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT

Trục tích hợp truyền tin giữa các ứng dụng ngành Thuế và các cấp, các đơn vị bên ngoài

TPR

Ứng dụng Phân tích thông tin rủi ro phục vụ công tác thanh tra thuế

TPH Ứng dụng tập trung Cơ sở dữ liệu về người nộp thuế

DKTPNN Đăng ký thuế phi nông nghiệp

PROD Giai đoạn thực thi sản phẩm (triển khai chạy thật)

TĐTT_KBNN Hệ thống Trao đổi thông tin Kho bạc nhà nước

TĐTT_TNMT Hệ thống Trao đổi thông tin Tài nguyên môi trường

TTR Ứng dụng theo dõi kết quả thanh tra, kiểm tra thuế cấp Cục

DANH MỤC CÁC BẢNG VÀ HÌNH VẼ

Trang

MỤC LỤC

LỜI CAM ĐOAN 1

DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT 3

DANH MỤC CÁC BẢNG VÀ HÌNH VẼ 5

Mục Lục 6

LỜI MỞ ĐẦU 8

CHƯƠNG 1: GIỚI THIỆU 10

1 Tổng quan về an ninh mạng hiện nay 10

2 Các phương pháp tấn công và cách phòng tránh[5] [6][7] 13

2.1 Mã độc 14

2.2 Lợi dụng các điểm yếu trong giao thức giao tiếp CSDL 14

2.3 Lợi dụng điểm yếu các nền tảng 15

2.4 Lạm dụng quyền hạn 15

2.5 Sự thiếu hụt các chuyên gia an ninh và hạn chế trong đào tạo 16

2.6 Tấn công vào yếu tố con người 16

2.7 Tấn công SQL Injection 16

2.8 Lợi dụng dấu vết kiểm toán yếu 18

2.9 Tấn công từ chối dịch vụ 19

2.10 Lợi dụng sự sơ hở của dữ liệu dự phòng 20

3 Phương pháp bảo mật CSDL tại Tổng cục thuế 20

3 1 Khái niệm về trục tích hợp 21

3 2 Cơ chế hoạt động 22

4 Kết luận 23

CHƯƠNG 2 : MÔ HÌNH THIẾT KẾ VÀ CÀI ĐẶT HỆ THỐNG 24

1 Mô hình thiết kế hệ thống 24

1.1Mô hình Logic 24

1.2 Thiết bị hạ tầng phần cứng 25

1.3 Thiết kế tổng thể dịch vụ phần mềm trên trục tích hợp 26

1.5 Đặc tả mô hình kiến trúc trục trong 29

1.6 Đặc tả Mô hình logic trục ngoài 33

1.7 Đặc tả mô hình kiến trúc trục ngoài 34

2 Mô hình cài đặt hệ thống 37

2.1 Mô hình cài đặt 38

3 Kết luận 39

CHƯƠNG 3 : VẬN HÀNH VÀ ĐÁNH GIÁ HỆ THỐNG 40

1 Vận hành và đánh giá hệ thống 40

1.1 Vận hành Message Queue trục Internal ESB 40

1.2 Kiểm tra và đọc các file ghi lỗi xảy ra trong quá trình truyền nhận giữa các ứng dụng trên Queue trục trong 41

1.3 Vận hành kênh truyền nhận của các ứng dụng ở cả hai phân vùng Internal ESB 42

1.4 Kiểm tra trạng thái của ứng dụng đã deploy trên server sử dụng remote Integration Node trên IBM Integration Toolkit 44

1.5 Kiểm tra trạng thái của ứng dụng đã deploy trên server sử dụng remote Integration Node trên IBM Integration Toolkit 44

1.6 Vận hành IBM MQ Appliance 46

1.7 Kiểm tra số lượng các gói tin của các ứng dụng còn tồn đọng trên hệ thống ESB 51

1.8 Kiểm tra kênh truyền nhận của các ứng dụng ở cả hai phân vùng Internal ESB và External ESB 52

1.9 Vận hành IBM Datapower 55

2 Kết luận 64

KẾT LUẬN CHUNG 66

TÀI LIỆU THAM KHẢO 68

LỜI MỞ ĐẦU

Thông tin luôn là tài sản vô giá nhất trong lĩnh vực tài chính, thuế và cẩn phải được bảo vệ bằng mọi giá Tuy nhiên với sự phát triển vượt bậc của công nghệ cũng như những đòi hỏi ngày càng gắt gao của của môi trường, ngành thuế cầntinh giảm các thủ tục hành chính cho nên để theo kịp xu hướng các nước phát triển việc nộp thuế và làm các thủ tục về thuế qua mạng internet chính vì vậy tác giả đưa ra ý tưởng xây dựng luận văn “Nghiên cứu, phát triển hệ thống bảo mật CSDL cho Tổng cục thuế “ nhằm mục đích tìm hiểu rõ hơn về an ninh mạng qua đó tìm hiểu và làm chủ hệ thống bảo mật CSDL qua đó có thể tùy biến hệ thống khi cần thiết

Hiện nay Tổng cục thuế sử dụng các hệ quản trị cơ sở dữ liệu ( CSDL) để lưu trữ tập trung các thông tin của người nộp thuế Hệ thống này sẽ là tiêu điểm tấn công của những kẻ xấu nhằm đánh cắp thông tin Các cuộc tấn công sẽ làm hệ thống bị hư hại, hoạt động không ổn định, mất mát dữ liệu làm cho các hoạt động nộp thuế bị đình trệ Nghiêm trọng hơn, các thông tin của người nộp thuế bị tiết lộ

và đem bán cho các đối thủ cạnh tranh của doanh nghiệp Có thể nói là thiệt hại của việc rò rỉ thông tin là vô cùng nặng nề Đó sẽ là đòn chí mạng gây mất uy tín cảu nhà nước đối với người nộp thuế Vì vậy vấn đề bảo mật hệ thống CSDL là vô cùng cấp bách và cần thiết cho tất cả mọi người nhất là với cơ quan thuế đại diện cho nhà nước

Với mục đích nghiên cứu, tìm hiểu về hệ thống trục tích hợp của Tổng cục thuế, các kiến thức cơ bản về tấn công cũng như phòng tránh bảo mật Từ đó làm chủ được công nghệ, thiết kế, cài đặt và vận hành hệ thống Đề tài sẽ được tác giả chia thành 3 chương:

Chương 1: Giới thiệu

Trong chương này, luận văn sẽ trình bày tổng quan về an ninh mang,các phương pháp tấn công phòng tránh cơ bản của hệ thống cơ sở dữ liệu, giới thiệu về

Chương 2: Thiết kế và cài đặt hệ thống trục tích hợp

Trong chương này tác giả sẽ giới thiệu và tập trung nghiên cứu, trình bày thiết kế, các thiết bị phần cứng và cách cài đặt hệ thống trục tích hợp của Tổng cục thuế

Chương 3: Vận hành và đánh giá hệ thống

Trong chương này, trên cơ sở nghiên cứu vệ hệ thống trục tích hợp và các kết quả tìm hiểu, nghiên cứu của Chương 1 và Chương 2 và xuất phát từ những ý tưởng thực tế, tác giả sẽ trình bày cách vận hành một hệ thống trục tích hợpvà đưa

ra những đánh giá về hệ thống

Kết luận chung:

Phần cuối cùng là kết luận chung của toàn bộ luận văn, bên cạnh đó tác giả cũng nêu lên một số vấn đề còn tồn tại và những đề xuất góp phần thúc đẩy ứng dụng công nghệ mạng và truyền thông vào thực tế

Phương pháp nghiên cứu:

- Nghiên cứu lý thuyết bảo mật hệ thống

- Nghiên cứu về hệ thống bảo mật của tổng cục thuế, tổng hợp các kiến thức về các chuẩn kết nối, các công nghệ , để từ đó tiếp tục nghiên cứu và

đưa ra kết luận về các mô hình hệ thống này

- Cài đặt, vận hành và đánh giá hệ thống sau khi đã nghiên cứu

CHƯƠNG 1: GIỚI THIỆU

1 Tổng quan về an ninh mạng hiện nay

Vấn đề bảo mật an toàn thông tin tại Việt Nam ngày càng diễn biến phức tạp

và nguy hiểm Các cuộc tấn công mạng có quy mô, mức độ phức tạp và được chuẩn

bị một cách kỹ lưỡng Trong đó, các mục tiêu tấn công đang dần chuyển dịch từ các mục tiêu cá nhân, sang các mục tiêu là các tập đoàn kinh tế lớn hay nghiêm trọng hơn là các hệ thống thông tin quan trọng của các quốc gia Bởi đây là nơi lưu trư các thông tin của khách hàng và nhiều dữ liệu bí mật khác

Theo thống kê của BKAV[1] và các tạp chí an toàn thông tin [2] thì trong 3 năm trở lại đây dẫn đầu là các mối hiểm họa tấn công liên quan đến mã độc lợi dụng các điểm yếu trong giao thức giao tiếp cơ sở dữ liệu Năm 2017, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam đã lên tới 12.300 tỷ đồng, tương đương 540 triệu USD, vượt xa mốc 10.400 tỷ đồng của năm ngoái Kết quả này được đưa ra từ chương trình đánh giá an ninh mạng do Tập đoàn công nghệ Bkav thực hiện vào tháng 12/2017 Mức thiệt hại tại Việt nam đã đạt kỷ lục trong nhiều năm trở lại đây Ở các nền kinh tế khổng lồ như Mỹ, Trung Quốc, Nhật Bản và Đức, tội phạm mạng gây ra tổng thiệt hại lên tới 200 tỷ USD mỗi năm Bức tranh toàn cảnh về an ninh mạng tại Việt Nam trong năm qua còn có các điểm nóng: gia tăng tấn công trên thiết bị IoT, các công nghệ sinh trắc học mới nhất liên tục bị qua mặt, bùng nổ tin tức giả mạo, mã độc đào tiền ảo

Dưới đây là các vụ tấn công mạng nghiêm trọng trên thế giới và Việt nam trong năm 2017 theo báo CMC [2] và viettimes[3] về việc sử dụng mã độc:

Mã độc randomeware tấn công vào lĩnh vực y tế :

Một cuộc tấn công mã độc tống tiền (ransomware) vào Bệnh viện Presbyterian Hollywood vào năm 2016 đã gây nguy hiểm cho dịch vụ chăm sóc sức khỏe, nhưng vào năm 2017, nó biến thành cơn ác mộng thực sự Các bệnh viện bị tấn công khiến cho toàn bộ kết nối mạng bị phong tỏa

Cuộc tấn công của mã độc WannaCry đã lan rộng như vụ cháy rừng, vô hiệu hóa một phần ba dịch vụ y tế quốc gia (NHS) ở Anh Tiếp đó là những mã độc khác như Petya/ NotPetya đã tấn công liên tiếp vào các bệnh viện Mỹ vào tháng 6

Sự thiếu an toàn của thiết bị tim mạch đã bị phơi bày là cực kỳ khủng khiếp, đặc biệt với trường hợp nhà sản xuất thiết bị y tế St Jude Medical (nay đổi tên là Abbott) Nhà nghiên cứu Justine Bone và MedSec đã làm dấy lên làn sóng phẫn nộ trong dư luận khi để lộ những sai sót của thiết bị tim mạch FDA đã thông báo cho công chúng về việc thu hồi tự nguyện 465.000 máy tạo nhịp của St Jude Medical

Trong khi đó, các hacker mũ trắng đã cùng nhau tổ chức Hội nghị thượng đỉnh Cyber Med Summit đầu tiên - với mục tiêu cung cấp những kiến thức về an ninh mạng cho các chuyên gia y tế Đây được xem là một tin tốt lành trong tình hình y tế đang gặp vấn đề bảo mật nghiêm trọng

Mã độc WannaCry tấn công đòi tiền chuộc :

Vào ngày 12/5, hơn 150 quốc gia đã bị đánh tráo dữ liệu bởi một vụ lừa đảo khổng lồ có tên là WannaCry cuộc tấn công này có nguồn gốc từ một lỗ hổng triển khai mã lệnh từ xa (trong Windows XP lên Windows Server 2012) được gọi là

"EternalBlue" Tương tự các ransomware khác, WannaCry hoạt động bằng cách mã hóa hầu hết các tập tin trên máy tính của người dùng Mã độc WannaCry yêu cầu nạn nhân trả 300 USD thông qua tiền ảo Bitcoin nếu muốn giải mã Số tiền này sẽ tăng gấp đôi sau ba ngày, nếu người dùng không thanh toán kể từ cảnh báo đầu tiên

Dữ liệu sẽ bị xóa sau 7 ngày nếu yêu cầu của hacker không được đáp ứng.Những người cập nhật ngay lên phiên bản Windows mới nhất sẽ không bị ảnh hưởng bởi

mã độc WannaCry

Sau WannaCry một tháng, một mã độc tên NotPetya cũng đã tấn công cơ quan thuế Ukrain, hãng tàu thủy Hà Lan Maersk và công ty dầu khí Nga Rosneft

Trong thời gian gần đây, Mỹ và một số quốc gia khác đã công bố cho rằng

mã độc này có liên quan tới Triều Tiên

Mã độc tấn công vào hệ thống Sân bay :

Vào ngày 29/7/2016 hai sân bay lớn nhất Việt nam đã bị tấn công khiến các màn hình hiển thị thông tin chuyến bay tại Nội Bài, Tân Sơn Nhất bị thay đổi, xuất hiện các thông tin kích động, xúc phạm Việt Nam và Philippines, xuyên tạc các nội dung về Biển Đông Sau khi nhận được mẫu do cảng hàng không Nội Bài cung cấp, các chuyên gia của Công ty Cổ phần An ninh An toàn thông tin CMC (CMC InfoSec) đã tiến hành phân tích mã độc có tên thực thi: diskperf.exe Theo CMC, khi bị lây nhiễm, máy tính dính mã độc có thể thay đổi hình ảnh hiển thị trên màn hình chính

Khi dính mã độc trên, nhiều tập dữ liệu trên máy tính bị mã hóa không thể khôi phục được nếu không có mã khóa bí mật do tin tặc sở hữu Cơ chế của nó tương tự mã độc tống tiền, tuy nhiên, mã độc này sau khi mã hóa thông tin, không đưa ra bất kỳ yêu cầu nào về tiền chuộc hay điều kiện để mở khóa, nên có thể cho rằng đây thuần túy là một phương thức phá hoại

Theo người đứng đầu bộ phận bảo mật CMC, mã độc trên có cơ chế tự lây lan Đáng chú ý, sau khi lây nhiễm sang chỗ mới, mẫu mã độc tại chỗ mới tự biến đổi mình thành một biến thể "có vẻ khác" nhưng lõi và hành vi vẫn như cũ Điều này nhằm ngụy trang, làm khó cho quá trình điều tra và mang tính chất đối phó cao Các mẫu còn lại ở chỗ khác sẽ khó bị nhận dạng hơn, muốn tìm ra buộc phải thực hiện việc phân tích, mất nhiều thời gian."Đây mới chỉ là một trong nhiều mẫu mã độc phát hiện được sau vụ hệ thống thông tin sân bay Nội Bài bị tấn công" Mã độc này chưa từng xuất hiện tại Việt Nam hay trên thế giới và đây có thể là lý do các chương trình diệt virus phổ thông không phát hiện được

Trước đó khi phân tích một số mẫu mã độc sau vụ tấn công hệ thống của Vietnam Airlines, trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã phát hiện một số dấu hiệu mã độc ngủ đông trong hệ thống mạng Internet Việt Nam Đơn vị này đề nghị các cấp liên quan khẩn cấp chặn kết nối đến ba địa chỉ

chi tiết) Trong số này có mã độc trong file thực thi diskperf.exe mà CMC InfoSec

đề cập trên Ngoài việc xóa thủ công như hướng dẫn từ VNCERT, phần mềm diệt virus mới nhất do CMC phát hành đã được cập nhật để diệt loại mã độc này Đáng chú ý, chúng có ý định khống chế, vô hiệu hóa hoàn toàn dữ liệu hệ thống

Bảng dưới đây đưa ra mười hiểm họa hàng đầu hiện nay đồng thời đưa ra các thứ tự xếp hạng để chúng ta có thể nhìn rõ được sự khác biệt của các mối nguy này

Bảng 1.1 Danh sách các dạng tấn công phổ biến năm 2017

(Database Communication Protocol Vulerabilities)

(Limited Security Expertise and Education)

2 Các phương pháp tấn công và cách phòng tránh[5] [6][7]

Dựa trên danh sách các dạng tấn công phổ biến năm 2017 đã nêu trong phần

1, các tổ chức có thể đưa ra những giải pháp thực tế hơn để bảo vệ hệ thống của mình Sau đây, chúng ta sẽ tìm hiểu về các dạng tấn công này và đưa ra cách phòng tránh

2.1 Mã độc

Mã độc hay “Malicious software” là một loại phần mềm được tạo ra và chèn vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống hoặc lấy cắp thông tin, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của máy tính nạn nhân Mã độc được phân thành nhiều loại tùy theo chức năng, cách thức lây nhiễm, phá hoại: virus, worm, trojan, rootkit…

Nguy cơ này có thể ngăn chặn bằng một số cách phổ biến sau như:

tin là exe

cập nhật phần mềm, bản vá, cho hệ điều hành

2.2 Lợi dụng các điểm yếu trong giao thức giao tiếp CSDL

Các nhà cung cấp hệ thống cơ sở dữ liệu ngày càng phát hiện ra một số lượng lớn các lỗ hổng gây mất an toàn trong các giao thức giao tiếp cơ sở dữ liệu

Ví dụ trong giao thức trong IBM DB2 thì có 4 trên 7 điểm yếu đã được xác định và sửa chữa, Oracle cũng xác định được 23 điểm yếu cơ sở dữ liệu liên quan đến giao thức Sâu SQL Slammer2 cũng khai thác điểm yếu trong giao thức của Microsoft SQL Server để gây ra tấn công từ chối dịch vụ Ngoài ra, các hoạt động của giao thức không hề được lưu lại trong các vết kiểm toán cho nên càng gây khó khăn cho việc phát hiện lỗi và phát hiện các tấn công

Có thể giải quyết tấn công này bằng công nghệ phê duyệt giao thức Công nghệ này sẽ phân tích lưu lượng cơ sở dữ liệu cơ bản và so sánh nó với lưu lượng thông thường Trong trường hợp lưu lượng hiện tại không phù hợp với lưu lượng cơ

sở dữ liệu như mong đợi thì hệ thống sẽ phát ra cảnh báo, thậm chí là chặn luôn hành động đang thực hiện

2.3 Lợi dụng điểm yếu các nền tảng

Hiện nay rất nhiều doanh nghiệp và các cơ quan nhà nước vẫn sử dụng các

hệ điều hành cũ như ( Window XP, Window Server 2000,2003 và các điểm yếu trong các dịch vụ này không dc cập nhật vá nhưng lỗ hổng bảo mật các hacker thường nhắm vào các hệ thống này đế tấn công chiếm quyền quản trị hệ thống nhắm trục lơi

Để bảo vệ các tài nguyên cơ sở dữ liệu tránh khỏi các tấn công nền tảng, cần phải kết hợp giữa việc cập nhật (các bản vá) phần mềm thường xuyên và sử dụng hệ thống bảo mật mới nhất do các nhà cung cấp đưa ra Tuy nhiên do vấn đề tiết kiệm chi phí nên không nhiều doanh nghiệp, cơ quan nhà nước có thể làm được điều này

2.4 Lạm dụng quyền hạn

Khi người dùng được trao quá nhiều quyền quản trị vượt quá yêu cầu công việc của họ, thì những đặc quyền này có thể bị lạm dụng cho mục đích xấu Ví dụ một nhân viên chăm sóc sức khỏe, nhân viên này có quyền xem các bản ghi liên quan đến chỉ một bệnh nhân trong cơ sở dữ liệu qua một ứng dụng Web.Tuy nhiên, thường cấu trúc của ứng dụng Web sẽ hạn chế không cho phép người dùng được xem nhiều bản ghi về lịch sử khám chữa bệnh liên quan đến nhiều bệnh nhân một cách đồng thời.Khi đó, nhân viên này có thể bỏ qua hạn chế của ứng dụng Web đó bằng cách kết nối tới cơ sở dữ liệu bằng một ứng dụng khác, chẳng hạn MS-Exel

Sử dụng MS-Exel với đăng nhập hợp lệ của mình, anh ta có thể lấy ra và lưu lại tất

cả các bản ghi về các bệnh nhân trong cơ sở dữ liệu hoặc một người phụ trách cơ sở

dữ liệu của trường đại học với công việc là thay đổi các thông tin liên lạc của sinh viên, người này có thể lạm dụng quyền cập nhật cơ sở dữ liệu của mình để sửa đổi điểm của sinh viên (trái phép)

Có thể đơn giản là do những quản trị viên cơ sở dữ liệu vì bận rộn với công việc quản trị của mình nên không định nghĩa và cập nhật cơ chế kiểm soát quyền truy nhập cho mỗi người dùng Kết quả là một số lượng lớn người dùng được gán các đặc quyền truy nhập mặc định vượt xa so với yêu cầu công việc của họ

Chúng ta có thể ngăn chặn việc lạm dụng quyền vượt mức bằng kiểm soát truy nhập mức truy vấn Sử dụng cơ chế kiểm soát truy nhập mức truy vấn (Query-level) sẽ hạn chế các đặc quyền cơ sở dữ liệu bằng những toán tử SQL (SELECT, UPDATE,…) và dữ liệu được yêu cầu một cách tối thiểu

2.5 Sự thiếu hụt các chuyên gia an ninh và hạn chế trong đào tạo

Những nguồn nhân lực về chuyên gia an ninh trong tổ chức hiện nay chưa đáp ứng kịp với sự tăng nhanh của công nghệ Các tổ chức không được trang bị đầy

đủ những giải pháp an toàn để đối phó với những sự cố và vi phạm an ninh thường xuyên xảy ra Đó là do thiếu năng lực chuyên môn cần thiết để thực hiện các kiểm soát an toàn, các chính sách bảo mật và vấn đề đào tạo

Để cải thiện vấn đề này chúng ta cần tăng chất lượng tại các cơ sở đào tạo công nghệ thông tin, an ninh mạng đảm bảo khi các sinh viên ra trường nắm chắc được kiến thức, chuyên môn nghiệp vụ Các doanh nghiệp lên liên kết với các trường đại học để có thể có một chương trình phù với với các yêu cầu thực tế

2.6 Tấn công vào yếu tố con người

Kẻ tấn công có thể liên lạc với một người quản trị hệ thống mua chuộc hoặc giả làm một người sử dụng để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác

Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ

2.7 Tấn công SQL Injection

Khi triển khai các ứng dụng web trên Internet, thông thường việc đảm bảo an toàn thông tin cho 1 trang web thường được chú trọng tập trung vào các vấn đề như chọn hệ điều hành, hệ quản trị cơ sở dữ liệu, webserver sẽ chạy ứng dụng, mà không nhận thức được bản thân ứng dụng chạy trên đó cũng tiềm ẩn các lỗ hổng bảo mật Một trong số các lỗ hổng này đó là SQL injection

SQL Injection là một trong những kiểu hack web đang dần trở nên phổ biến hiện nay Bằng cách inject các mã SQL query/command vào input trước khi chuyển cho ứng dụng web xử lí, bạn có thể login mà không cần username và password, remote execution, dump data và lấy root của SQL server Công cụ dùng để tấn công

là một trình duyệt web bất kì, chẳng hạn như Internet Explorer, Netscape, Lynx,

Có 3 dạng tấn công SQL Injection thông thường là: vượt qua kiểm tra lúc đăng nhập (authorization bypass), sử dụng câu lện SELECT, sử dụng câu lệnh INSERT

SQL injection khai thác những bất cẩn của các lập trình viên phát triển ứng dụng web khi xử lí các dữ liệu nhập vào để xây dựng câu lệnh SQL Tác hại từ lỗi SQL injection tùy thuộc vào môi trường và cách cấu hình hệ thống Nếu ứng dụng

sử dụng quyền dbo (quyền của người sở hữu cơ sở dữ liệu - owner) khi thao tác dữ liệu, nó có thể xóa toàn bộ các bảng dữ liệu, tạo các bảng dữ liệu mới, … Nếu ứng dụng sử dụng quyền sa (quyền quản trị hệ thống), nó có thể điều khiển toàn bộ hệ quản trị cơ sở dữ liệu và với quyền hạn rộng lớn như vậy nó có thể tạo ra các tài khoản người dùng bất hợp pháp để điều khiển hệ thống của bạn

Lỗi SQL injection khai thác những bất cẩn của các lập trình viên phát triển ứng dụng web khi xử lí các dữ liệu nhập vào để xây dựng câu lệnh SQL Tác hại từ lỗi SQL injection tùy thuộc vào môi trường và cách cấu hình hệ thống Nếu ứng dụng sử dụng quyền dbo (quyền của người sở hữu cơ sở dữ liệu - owner) khi thao tác dữ liệu, nó có thể xóa toàn bộ các bảng dữ liệu, tạo các bảng dữ liệu mới, … Nếu ứng dụng sử dụng quyền sa (quyền quản trị hệ thống), nó có thể điều khiển

toàn bộ hệ quản trị cơ sở dữ liệu và với quyền hạn rộng lớn như vậy nó có thể tạo ra các tài khoản người dùng bất hợp pháp để điều khiển hệ thống của bạn

Trong hầu hết trình duyệt, những kí tự nên được mã hoá trên địa chỉ URL trước khi được sử dụng Việc tấn công theo SQL Injection dựa vào những câu thông báo lỗi do đó việc phòng chống hay nhất vẫn là không cho hiển thị những thông điệp lỗi cho người dùng bằng cách thay thế những lỗi thông báo bằng 1 trang do người phát triển thiết kế mỗi khi lỗi xảy ra trên ứng dụng

Kiểm tra kĩ giá trị nhập vào của người dùng, thay thế những kí tự như „ ; v v Hãy loại bỏ các kí tự meta như “',",/,\,;“ và các kí tự extend như NULL, CR,

LF, trong các string nhận được từ:

hiện câu truy vấn SQL, hoặc dùng ISNUMERIC để chắc chắn nó là một số integer

2.8 Lợi dụng dấu vết kiểm toán yếu

Đối với bất kỳ hoạt động nào liên quan đến cơ sở dữ liệu, cần thiết phải ghi lại một cách tự động tất cả các giao dịch cơ sở dữ liệu nhạy cảm và/hoặc các giao dịch bất thường Khi chính sách kiểm toán cơ sở dữ liệu yếu sẽ dẫn đến những rủi

ro nghiêm trọng cho tổ chức với nhiều mức độ khác nhau

Các cơ chế kiểm toán là tuyến hàng rào bảo vệ cơ sở dữ liệu cuối cùng Nếu

kẻ tấn công có thể phá vỡ các hàng rào khác thì cơ chế kiểm toán dữ liệu vẫn có thể xác định sự tồn tại của một xâm nhập sau những hành động của kẻ tấn công trước

đó Những vết kiểm toán thu được tiếp tục có thể dùng để xác định người dùng nào

vừa thực hiện các hành động này, đồng thời qua vết kiểm toán có thể thực hiện phục hồi lại hệ thống

Cơ chế kiểm toán yếu đồng nghĩa với việc hệ thống không thể ghi lại đầy đủ những hành động của người dùng, dẫn đến việc không thể phát hiện và ngăn chặn kịp thời những hành động tấn công của người dùng hoặc một nhóm người dùng Do vậy, kiểm toán là cơ chế quan trọng mà mọi hệ thống cần có và cần thiết phải có cơ chế kiểm toán mạnh đảm bảo an toàn thông tin hay an toàn cơ sở dữ liệu cho mọi hệ thống

Tấn công từ chối dịch vụ phân tán (DDoS) đã ngày càng trở thành một mối

đe dọa lớn đối với sự tin cậy của mạng internet Là các cuộc tấn công sử dụng nhiều cách thức tổ chức và thực hiện khác nhau, từ việc dùng chỉ một máy tới việc thu thập các máy agent dưới quyền với số lượng lên đến hàng chục ngàn máy phục vụ tấn công, mục đích của các cuộc tấn công là làm tê liệt các ứng dụng, máy chủ, toàn

bộ mạng lưới, hoặc làm gián đoạn kết nối của người dùng hợp pháp tới Website đích Một nghiên cứu tại UCSD đã chỉ ra rằng ngay từ đầu thập niên này các cuộc tấn công từ chối dịch vụ đã diễn ra với một tỷ lệ lên tới 4000 cuộc tấn công mỗi tuần Từ đó đã dẫn đến một loạt các nghiên cứu nhằm hiểu rõ hơn về các cơ chế tấn công, để đưa tới các cách thức giúp có thể phòng chống ảnh hưởng tiêu cực của nó

Do tính chất nghiêm trọng của tấn công DDoS, nhiều giải pháp phòng chống

đã được nghiên cứu và đề xuất trong những năm qua Tuy nhiên, cho đến hiện nay

gần như chưa có giải pháp nào có khả năng phòng chống DDoS một cách toàn diện

và hiệu quả do tính chất phức tạp, quy mô lớn và tính phân tán rất cao của tấn công DDoS Thông thường, khi phát hiện tấn công DDoS, việc có thể thực hiện được tốt nhất là ngắt hệ thống nạn nhân khỏi tất cả các tài nguyên do mọi hành động phản ứng lại tấn công đều cần đến các tài nguyên trong khi các tài nguyên này đã bị tấn công DDoS làm cho cạn kiệt Sau khi hệ thống nạn nhân được ngắt khỏi các tài nguyên, việc truy tìm58 nguồn gốc và nhận dạng tấn công có thể được tiến hành Nhiều biện pháp phòng chống tấn công DDoS đã được nghiên cứu trong những năm gần đây Tựu chung có thể chia các biện pháp phòng chống tấn công DDoS thành 3 dạng theo 3 tiêu chí chính: Dựa trên vị trí triển khai, Dựa trên giao thức mạng và Dựa trên thời điểm hành động

2.10 Lợi dụng sự sơ hở của dữ liệu dự phòng

Chúng ta thấy rằng, trong công tác sao lưu, dự phòng cơ sở dữ liệu, hay các môi trường test tại các hệ thống lớn, người thực hiện thường chủ quan không bảo

vệ và quản lý các phương tiện lưu trữ cơ sở dữ liệu dự phòng một cách đầy đủ Kết quả là, có rất nhiều tài liệu sao lưu cơ sở dữ liệu và các đĩa cứng của nhiều hệ thống

bị đánh cắp phát tán ra bên ngoài

Để ngăn chặn sơ hở dữ liệu dự phòng Tất cả các bản sao cơ sở dữ liệu hay mội trường test đào tạo nhân viên cần phải được quản lý cẩn thận nếu ,nếu cần thiết

phải được mã hóa

3 Phương pháp bảo mật CSDL tại Tổng cục thuế

Hiện nay, Tổng cục thuế đang dần áp dụng hệ thống công nghệ thông tin cho mọi hoạt động của ngành thuế, vấn đề bảo mật và an toàn thông tin theo đó mang tính sống còn Chính vì vậy tổng cục thuế đã xây dựng hệ thống an ninh bảo mật với các công nghệ mới nhất, nhằm tránh mọi sự cố về an toàn thông tin có thể gây thiệt hại nặng nề về mặt tài chính và uy tín của cơ quan nhà nước Trong đó có hệ thống trục tích hợp là một cách nhìn mới về việc tích hợp các ứng dụng, sự phối

thuế nói chung và ngân hàng nói riêng qua đó có thể giảm thiểu được rủi ro khi bị tấn công bằng mã độc hay việc các hacker lợi dụng các điểm yếu trong giao thức giao tiếp CSDL…

3 1 Khái niệm về trục tích hợp

Trục tích hợp ESB (Enterprise Service Bus) là xương sống của ngành thuế ,

hệ thống có nhiệm vụ định tuyến các giao dịch nhận từ ứng dụng và chuyển đến ứng dụng khác như ( giấy nộp tiền, chứng từ quyết toán thuế…), tương ứng qua đó làm tăng tính bảo mật của dữ liệu khi đi chúng đi qua rất nhiều lớp xác thực

Đây là xu hướng công nghệ của các tổ chức tài chính trên thế giới và một nền tảng công nghệ hoàn toàn mới trong lĩnh vực công nghệ của cơ quan thuế tại Việt Nam Với công nghệ mới ESB giúp cho việc phân phối thông tin trong toàn bộ

tổ chức một cách nhanh chóng và dễ dàng, giảm thiểu sự phụ thuộc lẫn nhau giữa các hệ thống riêng lẻ trong cùng một tổ chức

Trong hệ thống ESB thay vì tương tác trực tiếp, các bên tham gia vào một tương tác dịch vụ sẽ giao tiếp thông qua một kênh (bus) hay còn gọi là một trục tích hợp ESB - cơ sở hạ tầng có tính quyết định trong việc liên kết các ứng dụng lại với nhau Những bên tham gia không cần phải chia sẻ cùng một giao thức giao tiếp hay dạng tương tác Các ứng dụng kết nối với nhau thông qua các kênh ảo đáng tin cậy,

an toàn và dễ quản lý Dữ liệu được chuyển đổi có thể được tương tác với trục bus

và quy trình tương tác có thể được thực thi một cách có kiểm soát

Các đặc tính của một hệ thống nền tảng tích hợp ESB:

và khuyến khích các thành phần khác nhau tham gia xây dựng

Ưu điểm của hệ thống trục tích hợp:

 Truyền tải thông tin cho toàn bộ đối tác một cách nhanh chóng và dễ

dàng

giao thức mạng qua đó có thể tránh được việc bị tấn công lợi dụng vào điểm của các nền tảng cũ

hoặc mạng bị ngừng hoạt động gián đoạn

khó có thể bị tấn công bằng cách dùng mã độc

3 2Cơ chế hoạt động

Gói tin khi gửi đến trục tích hợp sẽ theo cơ chế sau :

Ứng dụng nguồn khi gửi gói tin đến sẽ vào qua Queue in, sau đó trục tích

hợp sẽ tự động lấy những gói tin tại chiếc hộp này để tiến hành xử lý và sẽ đẩy sang

Queue out và ứng dụng sẽ kết nối đến chiếc hộp này để lấy gói tin về Tương tự như

thế ở chiều ứng dụng đích

Hình 1.1 Minh họa cơ chế hoạt động của trục tích hợp

dụng đích gửi đến

Ví dụ khi có bị tấn công bằng mã độc trục tích hợp không nhận bất kì một định dạng dữ liệu nào khác ngoài định dạng file XML và các truy vấn dạng XML,

có cơ chế lưu lại các giao dịch để thực hiện truy vết, nhưng hầu hết các giao dịch đều bị lược bỏ phần nội dung (Body) và chỉ giữ lại phần tiêu đề (Header) nơi chứa thông tin ứng dụng gửi, ứng dụng nhận, ngày gửi, loại dữ liệu… Chỉ lưu lại phần nội dung khi loại giao dịch đó thực sự cần thiết Ứng dụng buộc phải kết nối tới trục tích hợp để gửi và nhận các giao dịch tương ứng Trục tích hợp không gửi trực tiếp tới hệ thống của ứng dụng nhận, chính vi vậy việc dính mã độc sẽ cực kỳ khó

Điều kiện cần để ứng dụng có thể kết nối với trục tích hợp :

thuế

(kênh kết nối) trên hệ thống Trục tích hợp

4.Kết luận

Trong chương 1, tác giả đã đề cập đến một số vấn đề cơ bản của đề tài như sau:

chế hoạt động…

Đây là những kiến thức cơ sở ban đầu làm nền tảng cho các nội dung nghiên cứu và triển khai hệ thống ở các chương sau

CHƯƠNG 2 : MÔ HÌNH THIẾT KẾ VÀ CÀI ĐẶT HỆ THỐNG

HA group

ESB Database

IDG Active

IBM Websphere MQ 8 Active-Stanby Multi-instance

IBM Integration Bus 10 Active- Active 1515

Weblogic GSTH(JavaWeb)

otherdb1-scan

Ttdl-Ứng dụng trong ngành vùng Internal

MQ HTTP HTTPS

HTTP HTTPS MQ

VÙNG OTHER DB

MQ

SapAdapter HTTP

IP LB : 10.64.85.xxx MQ01 : 10.64.85.xxx MQ02 : 10.64.85.xxx IIB01: 10.64.85.xxx IIB02:10.64.85.xxx

VIP : 10.64.116.106 VIP : 10.64.116.103

Hình 2.1 Mô hình logic trục tích hợp Với mô hình thiết kế như trên đối với trục tích hợp vùng đối tác

(EXTERNAL ESB) 2 thiết bị Datapower sẽ được cấu hình Active Active, Self

Loadbalancer Hai thiết bị MQ Appliance cấu hình Active Standby, dữ liệu được tự

động replicate giữa 2 instance MQ thông qua port ethernet 10GB

- Hai server cài đặt IBM Integration Bus sẽ được cấu hình theo cơ chế active

– active sử dụng 1 phần vùng data shared chứa config của Integration node

- Hai server cài WMQ sẽ được cấu hình theo cơ chế active – standby sử dụng

1 phần data shared chứa file data, log, config của Queue manager

- Trục ngoài và trục trong kết nối với nhau thông qua MQ, trục ngoài gửi vào

1717, các thiết bị được cấu hình ip như trên hình

- Ngoài ra còn 1 hệ thống giám sát tích hợp là ứng dụng web application được phát triển trên nền Java web chạy runtime trên weblogic trỏ vào database lưu log của hệ thống trục giúp tra cứu giao dịch, thêm, sửa, xóa ứng dụng tích hợp với trục

1.2 Thiết bị hạ tầng phần cứng

Hệ thống trục tích hợp được trang bị 2 IBM DataPower Gateway, 2 IBM MQ Appliance M2001A và IBM PureApplication W3700-40

IBM PureApplication System là hệ thống bao gồm các Application patterns

đã được tối ưu tích hợp với hệ thống Có khoảng hơn 200 patterns được tối ưu hóa bởi các nhà cung cấp độc lập phần mềm (ISV) và IBM Business Partners, các patterm này có sẵn trên :http://www.ibm.com/PureSystems/Centre, đây là kho lưu trữ các sản phẩm được xây dựng cho PureSystems

Với hệ thống PureApplication, khách hàng có thể tạo ra các mẫu riêng của

họ về các software, middleware, and virtual resources

IBM PureApplication System có các ưu điểm:

- Linh hoạt: Với việc tự động các công việc như cài đặt hệ điều hành, cấu hình middleware, phát triển các ứng dụng, PureApplication System làm giảm thời gian và chi phí cần thiết để quản lý hệ thống

- Hiệu quả: Nhờ các tính năng tích hợp sẵn trên PureApplication, khách hàng

có thể tối ưu hóa các chu trình nghiệp vụ quan trọng và bảo toàn các tài nguyên có giá trị để đạt được kết quả cao nhất cho việc tiết kiệm năng lượ, hoạt động bảo trì

và khắc phục nhanh sự cố

- Đơn giản: PureApplication System được xây dựng giúp cho khách hàng có thể quản lý toàn bộ hệ thống (server, storage, application) thông qua một giao điện quản trị duy nhất

- Khả năng tùy biến: bằng việc định nghĩ các parameters và policies, người quản trị có thể sử dụng tính năng của PureApplication System để mở rộng quy mô của các ứng dụng tùy theo tải của hệ thống

- Độ tin cậy: PureApplication System cung cấp nền tảng hạ tầng đáng tin cậy cho các ứng dụng, hệ thống tự động xử lý để xác định các nguyên nhân gây lỗi

1.3 Thiết kế tổng thể dịch vụ phần mềm trên trục tích hợp

Các ứng dụng của Tổng cục thế như báo cáo tài chính(BCTC), ứng dụng của ngân hàng thương mại(NHTM) đều được kết nối vào trục tích hợp qua đó hỗ trợ các yêu cầu như là bảo mật, phối hợp giữa các bộ phận và giao dịch Những yêu cầu cần phải có trong việc tích hợp nhưng lại không tồn tại sẵn trong kiến trúc hướng dịch

vụ

Một trong những yêu cầu chính của ESB là giảm tính liến kết của các thành phần tham gia, việc tích hợp dựa trên hướng dịch vụ là một mức độ của tính ổn định và bảo mật trong các hệ thống doanh nghiệp Hơn thế nữa một trong những yêu cầu mới của các hệ thống ESB là không chỉ là giảm tính liên kết trong kiến trúc hướng dịch vụ mà còn cung cấp nền tảng cho kiến trúc điều khiển theo sự kiện

Dựa trên sơ đồ thiết kế tổng thể hệ thống trục tích hợp tác giả sẽ phân tích dựa theo sơ đồ dưới đây hình 2.2 :

Internal ESB (PureApplication)

XTHD

WS

MQNode02 (Standby)

IIBNode01 (Active)

IIBNode02 (Active) Datapower Gateway

Active-Active

MQNode01 (Active)

T2B

WS/MQ

WebHD Intra

MQ

WebHD Inter

 External ESB: Đặt tại vùng mạng DMZ làm nhiệm vụ kết nối các ứng dụng nằm trong vùng này của TCT và các ứng dụng của các đối tác như các nhà cung cấp dịch vụ thuế (T-VAN) và các ngân hàng

các ứng dụng nằm trong vùng này của TCT

giữa trục và các ứng dụng (gồm TPH, DKDN, QLAC, WebHD, TTR, TPS, TPR, BCTC) với chức năng lấy message trên queue đẩy vào database của ứng dụng và ngược lại đọc dữ liệu trên database của ứng dụng và đẩy vào queue để trục xử lý

thông qua tính năng của Application Server (Oracle WebLogic Server, IBM Websphere Application Server, …)

1.4Chi tiết thiết kế trục trong

Trục tích hợp vùng nội bộ của Tổng cục thuế được triển khai trên hệ thống PureApplication của IBM, sử dụng Message Queue Partern Application và IBM Integration Bus Partern Application Các ứng dụng trong ngành thuế như hệ thống TMS (Transportation Management System) đều đước kết nối đến trục trong qua kênh riêng qua đó cung cấp các dữ liệu của ngành thuế cho các đơn vị bên ngoài như tra cứu thông tin một cách thuận lơi và nhanh chóng

Mô hình thiết kế logic trục trong được minh họa theo hình 2.3

GDT Internal ESB

MQINT01 Active MQ Pattern

ESB.INT.QMGR

GPFS Client

MQINT02 Standby MQ Pattern

ESB.INT.QMGR

GPFS Client

IBM GPFS

IIBINT01 Active IIB Pattern IIBINT02

Active IIB Pattern

Multi-Instance Receiver Channel

Hình 2.3 Mô hình logic trục trong Trục tích hợp vùng trong gồm hai thành phần chính:

active/active Với những dịch vụ qua HTTP, ứng dụng nội bộ ngành thuế sẽ truy cập qua địa chỉ Load Balancer để kết nối đến dịch vụ của trục

active/standby sử dụng GPFS Service của IBM PureApp để kết nối đến vùng chia sẻ file lưu dữ liệu MQ data, MQ log

1.5Đặc tả mô hình kiến trúc trục trong

Mô hình thiết kế kiến trúc trục trong được minh họa theo hình 2.4

Internal ESB (PureApplication)

(Standby)

IIBNode01 (Active)

IIBNode02 (Active)

MQNode01 (Active)

nằm trong vùng này của TCT

TTR, LPTB) sẽ trao đổi thông tin với các ứng dụng tập trung tại TCT (BCTC, QLAC, TTR, TNMT, TMS,…) qua hệ thống này

bằng 29 luồng xử lý :

Bảng 2.1 Bảng thống kê luồng xử lý trục tích hợp vùng nội bộ

STT Tên luồng xử lý Mô tả

Luồng này là luồng xử lý chính của hệ thống Trục tích hợp, có rất nhiều thao tác chính nhất về xử lý gói tin được thực hiện ở đây VD: Kiểm tra định

STT Tên luồng xử lý Mô tả

database hay không, gửi đến một hay nhiều ứng dụng nhận cùng lúc…vv

Luồng này có chức năng đón những gói tin từ hệ thống IHTKK sau đó gửi đến đầu ứng dụng nhận tương ứng

Luồng này có chức năng đón những gói tin từ hệ thống TMS sau đó gửi đến đầu ứng dụng nhận tương ứng

Luồng này có chức năng cung cấp thông tin Nghĩa

vụ thuế cho các ứng dụng tương ứng (ETAX)

Luồng này có chức năng cung cấp thông tin Sao

kê giao dịch cho các ứng dụng tương ứng (ETAX)

STT Tên luồng xử lý Mô tả

phản hồi truyền nhận từ ứng dụng nhận đến ứng dụng gửi

Luồng này có chức năng xử lý và gửi các gói tin phản hồi truyền nhận từ ứng dụng IHTKK đến ứng dụng tương ứng

Luồng này có chức năng tự động gửi lại các gói tin khi ứng dụng nhận chưa sẵn sàng, hoặc mất kết nối với ứng dụng nhận

Luồng này có chức năng tự động gửi lại các gói tin từ IHTKK tới các ứng dụng khi các ứng dụng nhận chưa sẵn sàng, hoặc mất kết nối với ứng dụng nhận

Luồng này có chức năng lưu thông tin gói tin sau khi đã xử lý và gửi đến đầu ứng dụng nhận thành công vào database của hệ thống Trục tích hợp

Luồng này có chức năng lưu thông tin gói tin phản hồi từ ứng dụng nhận về cho ứng dụng gửi vào database của hệ thống Trục tích hợp

Luồng này có chức năng lưu thông tin gói tin được gửi đến hệ thống Trục tích hợp thành công vào database của hệ thống Trục tích hợp

Khi các gói tin được xử lý và gửi đến đầu ứng dụng nhận thành công, nhưng hệ thống không thể ghi lại thông tin do mất kết nối với Database Các gói tin đó sẽ tự động được đẩy đến luồng xử lý này và sẽ ghi lại thông tin khi kết nối với Database được khôi phục

Khi các gói tin phản hồi của ứng dụng gửi được

xử lý và gửi cho đầu ứng dụng nhận thành công, nhưng hệ thống không thể ghi lại thông tin do mất kết nối với Database Các gói tin đó sẽ tự động

STT Tên luồng xử lý Mô tả

tin khi kết nối với Database được khôi phục

Khi các gói tin được gửi đến hệ thống Trục tích hợp thành công, nhưng hệ thống không thể ghi lại thông tin do mất kết nối với Database Các gói tin

đó sẽ tự động được đẩy đến luồng xử lý này và sẽ ghi lại thông tin khi kết nối với Database được khôi phục

Luồng này có chức năng tự động lấy các gói tin gửi đến hệ thống GIP và lưu vào database của hệ thống GIP

Luồng này có chức năng tự động kết nối đến database của GIP và lấy các gói tin từ GIP để gửi đến đầu ứng dụng nhận tương ứng

Luồng này có chức năng tự động kết nối đến database của GIP và lấy các gói tin Chứng từ từ GIP để gửi đến đầu ứng dụng nhận đương ứng

Luồng này có chức năng nhận những truy vấn về thông tin Cán bộ thuế và trả về kết quả tương ứng (NTĐT)

Luồng này có chức năng cung cấp thông tin Đăng

kí thuế cho các ứng dụng tương ứng (ICS)

Luồng này có chức năng cung cấp thông tin Trạng thái Mã số thuế cho các ứng dụng tương ứng (ICS)

Luồng này có chức năng cung cấp thông tin Sổ thuế cho các ứng dụng tương ứng

1.6Đặc tả Mô hình logic trục ngoài

Mô hình chi tiết đặc tả trục ngoài của tổng cục thuế được mô tả bằng hình minh hoa 2.5