BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Sự cố an toàn thông tin và các yếu tố ảnh hưởng đến hoạt động ứng cứu
khẩn cấp sự cố an tồn thơng tin ngành BHXH Việt Nam
Người thực hiện: Mao Sơn Thành

Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn
Hà Nội - 2021


BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Sự cố an toàn thông tin và các yếu tố ảnh hưởng đến hoạt động ứng cứu
khẩn cấp sự cố an tồn thơng tin Ngành BHXH Việt Nam

Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn

Hà Nội - 2021

Mục lục
Danh mục từ viết tắt

3

Danh mục các bảng

4

Phần mở đầu

5

1. Sự cần thiết

5

2. Mục tiêu nghiên cứu

6

3. Đối tượng và phạm vi nghiên cứu

6

4. Đối tượng và phạm vi nghiên cứu

6


5. Kết cấu chuyên đề

6

Chương 1. Một số vấn đề chung về sự cố an tồn thơng tin

7

1.1. Một số khái niệm

7

1.1.1. An tồn thơng tin

7

1.1.2. Sự cố an tồn thơng tin

9

1.2. Đặc điểm của sự cố an tồn thông tin

10

1.2.1. Xác định các mối nguy hiểm và giải pháp

10

1.2.2. Đánh giá khả năng sự cố ATTT


12

1.2.3. Quy trình ứng cứu sự cố an tồn thơng tin của Ban Cơ yếu Chính phủ

15

1.3. Ảnh hưởng của sự cố an tồn thơng tin

19

1.3.1. Mức ảnh hưởng, hậu quả của sự cố an tồn thơng tin

19

1.3.2. Những lỗ hổng ATTT từ việc thiếu chia sẻ tri thức

22

Tiểu kết Chương 1

25

Chương 2. Các yếu tố ảnh hưởng đến hoạt động ứng cứu khẩn cấp sự cố an tồn thơng tin ngành Bảo
hiểm xã hội Việt Nam

26

2.1. Yếu tố chính sách, pháp luật

26


2.2. Yếu tố tổ chức thực hiện

29

2.2.1. Tổ chức, nhân lực

29

2.1.1.1. Xây dựng hệ thống ứng cứu

29

2.1.1.2. Đào tạo nguồn nhân lực

32

2.2.2. Sẵn sàng ứng cứu khẩn cấp sự cố

36

2.2.2.1. Xây dựng các quy trình ứng cứu khẩn cấp sự cố

36

2.2.2.2. Diễn tập ứng cứu khẩn cấp sự cố

38

Tiểu kết Chương 2


44

Kết luận

45

Danh mục tài liệu tham khảo

48


Danh mục từ viết tắt
TT
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

17
18

Danh mục
An tồn thơng tin
Ứng cứu khẩn cấp
Bảo hiểm xã hội
Bảo hiểm y tế
Bảo hiểm thất nghiệp
Công nghệ thông tin
Cơ sở dữ liệu
Cách mạng Công nghiệp 4.0

Chữ viết tắt, rút gọn
ATTT
ƯCKC
BHXH
BHYT
BHTN
CNTT
CSDL
CMCN 4.0


Danh mục các bảng

NO TABLE OF FIGURES ENTRIES FOUND.


Phần mở đầu

1. Sự cần thiết
Việc phát triển chính phủ số, kinh tế số, xã hội số mang lại nhiều cơ hội
nhưng cũng tiềm ẩn nhiều rủi ro về ATTT. Do đó, khơng một tổ chức nào
khẳng định có thể đảm bảo ATTT 100% mà đang nỗ lực để hạn chế xảy ra sự
cố, và nếu có thì thiệt hại là ít nhất, thời gian ảnh hưởng ngắn nhất.
Chúng ta đang trong kỷ nguyên số với trọng tâm của quốc gia là
chuyển đổi số. Việc xây dựng và phát triển chính phủ số, kinh tế số, xã hội số
sẽ mang đến nhiều cơ hội hơn nhưng cũng tiềm ẩn nhiều rủi ro, thách thức đối
với ATTT trên không gian số.
Không riêng Việt Nam mà cả thế giới đều đang thiếu chuyên gia bảo
đảm ATTT. Đồng thời, không tổ chức nào khẳng định có thể đảm bảo ATTT
100% mà đều đang nỗ lực hạn chế xảy ra sự cố và nếu có xảy ra thì thiệt hại ít
nhất, thời gian bị ảnh hưởng ngắn nhất.
Việc xây dựng và áp dụng các quy trình, quy định cũng cịn nhiều bất
cập: Nhiều đơn vị chưa chú trọng đến viện xây dựng quy trình và quy định về
an tồn bảo mật thơng tin; vẫn sử dụng các phần mềm bẻ khóa hoặc có nguồn
gốc khơng rõ ràng, gây ra khơng ít lỗ hổng và nguy cơ mất ATTT mạng; Các
đơn vị đầu tư xây dựng quy trình đảm bảo ATTT theo chuẩn ISO 27000 chưa
nhiều hoặc có nhưng áp dụng chưa nghiêm túc, đầy đủ.
Các cuộc tấn công mạng xảy ra liên tiếp, tần suất tấn cơng phá hoại
ngày càng lớn; tấn cơng có chủ đích ngày càng nhiều; phương thức tấn cơng,
phá hoại ngày càng tinh vi, từ nhiều nguồn, trong nước, nước ngoài; các loại
mã độc, phần mềm độc hại, mạng máy tính ma, lỗ hổng bảo mật v.v... ngày
càng phức tạp.
Vì vậy, nhóm nghiên cứu đã lựa chọn chuyên đề “Sự cố an tồn thơng
tin và các yếu tố ảnh hưởng đến hoạt động ứng cứu khẩn cấp sự cố an
toàn thông tin ngành BHXH Việt Nam” làm chuyên đề nghiên cứu.


6

Chuyên đề này là một nhánh nghiên cứu của Đề tài “Xây dựng hê
thống quy trình ứng cứu khẩn cấp sự cố an toàn thông tin ngành Bảo hiểm xa
hội Viêt Nam” do ơng Lê Vũ Tồn làm chủ nhiệm.
2. Mục tiêu nghiên cứu
- Nghiên cứu lý thuyết, quy định pháp luật về ứng cứu khẩn cấp sự cố
an toàn thơng tin;
- Phân tích, làm rõ các yếu tố ảnh hưởng đến hoạt động ứng cứu khẩn
cấp sự cố an tồn thơng tin Ngành BHXH Việt Nam.
- Nhận biết, Phân loại, phân nhóm các sự cố an tồn thơng tin từ đó
định hướng xây dựng quy trình ứng cứu cho từng nhóm các sự cố, đồng thời
làm rõ trách nhiệm của BHXH Việt Nam và các đơn vị trực thuộc trong thực
hiện ứng cứu khẩn cấp sự cố an toàn thông tin.
3. Đối tượng và phạm vi nghiên cứu
- Các văn bản pháp luật của nhà nước, các văn bản của BHXH Việt
Nam, các bài báo về công tác ứng cứu sự cố và đảm bảo An tồn thơng tin.
4. Đối tượng và phạm vi nghiên cứu
- Phương pháp mô tả: tổng quan tài liệu, tổng hợp phân tích tài liệu.
5. Kết cấu chuyên đề
Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 2 chương,
cụ thể như sau:
Chương 1. Một số vấn đề chung về sự cố an tồn thơng tin.
Chương 2. Các yếu tố ảnh hưởng đến hoạt động ứng cứu khẩn cấp sự
cố an toàn thông tin ngành Bảo hiểm xã hội Việt Nam.


7

Chương 1. Một số vấn đề chung về sự cố an tồn thơng tin
1.1. Một số khái niệm
1.1.1. An toàn thông tin

Hệ thống thông tin là một tập hợp các trang thiết bị phần cứng,
phền mềm, cơ sở dữ liệu và hệ thống mạng để tạo lập, truyền nhận, thu
thập, xử lý, lưu trữ và trao đổi thông tin số phục vụ cho một hoặc nhiều
hoạt động kỹ thuật, nghiệp vụ của tổ chức.
ATTT bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối
với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch
vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người
gây ra.
- Việc bảo vệ thông tin, tài sản và con người trong hệ thống
thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng,
phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy. An
tồn thơng tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an
tồn dữ liệu, an tồn máy tính và an tồn mạng.
- Khái niệm an tồn thơng tin, an tồn máy tính, đảm bảo thơng
tin được sử dụng hốn đổi cho nhau. Những lĩnh vực này liên quan nội
bộ với nhau, thường xuyên chia sẻ những mục đích chính của việc bảo
vệ các khía cạnh tính bí mật, tồn vẹn và tính sẵn sàng của thơng tin.
Tuy nhiên, lại có một số khác biệt giữa chúng:
+ An tồn thơng tin quan tâm đến khía cạnh bí mật, tồn vẹn, sẵn
sàng của dữ liệu, khơng quan tâm đến hình thức của dữ liệu.
+ An tồn máy tính tập trung vào việc đảm bảo tính sẵn sàng và
hoạt động đúng đắn của hệ thống máy tính mà khơng quan tâm đến
thơng tin được lưu trữ, xử lý bởi chúng.
+ Đảm bảo thông tin tập trung vào lý do đảm bảo rằng thông tin
được bảo vệ và vì thế nó là lý do để thực hiện an tồn thơng tin.


8
- An toàn dữ liệu: Là hoạt động đảm bảo dữ liệu luôn trong trạng
thái sẳn sàng sử dụng. Bằng những biện pháp cụ thể nhằm bảo vệ, ngăn

chặn sự truy cập khơng hợp pháp vào dữ liệu. Chỉ có đơn vị, cá nhân
được cho phép mới truy cập sử dụng.
An tồn thơng tin, dữ liệu có một số đặc điểm cơ bản quan trọng
như sau: Tính bí mật, tính tồn vẹn và tính sẵn sàng.
- Tính bí mật
+ Bí mật là thuật ngữ được sử dụng để tránh lộ thông tin đến
những đối tượng không được xác thực hoặc để lọt vào các hệ thống
khác.
+ Đối với an ninh mạng thì tính bí mật là điều đầu tiên được nói
đến và nó thường xun bị tấn cơng nhất. Vì thế, tính bí mật rất cần
thiết (nhưng chưa đủ) để duy trì sự riêng tư của người có thơng tin, dữ
liệu được hệ thống lưu giữ.
- Tính tồn vẹn
+ Tồn vẹn là sự phát hiện và ngăn ngừa việc sửa đổi trái phép về
dữ liệu, thông tin và hệ thống, do đó đảm bảo được sự chính xác của
thơng tin, dữ liệu và hệ thống.
Mục đích chính của việc đảm bảo tính tồn vẹn là:
+ Ngăn cản sự làm biến dạng nội dung thông tin, dữ liệu của
những người sử dụng không được phép.
+ Ngăn cản sự làm biến dạng nội dung thông tin không được
phép hoặc không chủ tâm của những người sử dụng được phép.
+ Duy trì sự toàn vẹn dữ liệu cả trong nội bộ và bên ngồi.
- Tính sẵn sàng
Tính sẵn sàng của thơng tin một số đặc tính sau:


9
+ Bảo đảm các người sử dụng hợp pháp của hệ thống có khả
năng truy cập đúng lúc và khơng bị ngắt quãng tới các thông tin trong
hệ thống và tới mạng.

+ Bảm bảo độ ổn định đáng tin cậy của thông tin, cũng như đảm
nhiệm chức năng là thước đo, xác định phạm vi tới hạn an toàn của một
hệ thống thơng tin.
Hệ thống có tính sẵn sàng cao hướng đến sự sẵn sàng ở mọi thời
điểm, tránh được những rủi ro cả về phần cứng, phần mềm như: Sự cố
mất điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống… Đảm bảo tính
sẵn sàng cũng có nghĩa là tránh được tấn công từ chối dịch vụ.
1.1.2. Sự cố an toàn thông tin
Một số khái niệm về ứng cứu sự cố an tồn thơng tin:
a. Sự cố ATTT đặc biệt nghiêm trọng: là các sự cố xảy ra đối với các
HTTT cấp độ 4 trở lên mà các đơn vị khơng đủ tự kiểm sốt, xử lý được sự
cố, bao gồm:
- HHTT bị giám đoạn dịch vụ trên 4 giờ trong giờ hành chính;
- Dữ liệu bí mật nhà nước bị lộ lọt thơng tin hoặc có khả năng bị lộ;
- Dữ liệu vận hành của HTTT không bảo đảm tính tồn vẹn và khơng có
khả năng khơi phục trong vòng 4 giờ;
- Sự cố xả ra trên diện rộng hoặc gây ra các ảnh hưởng dây truyền, làm
tổn hại các HTTT cấp độ 4 hoặc cấp độ 5 khác;
- Sự cố có thể gây ra thất thốt tài sản của đơn vị hoặc tổ chức liên
quan.
b. Sự cố ATTT nghiêm trọng: là sự cố xảy ra đối với các HTTT cấp độ
4 trở lên nêu tại điểm a ở trên, tuy nhiêm vẫn trong khả năng kiểm soát, xử lý
của các đơn vị; và các sự số xảy ra với các HTTT cấp độ 3 trở xuống có nguy
cơ xảy ra khủng hoảng truyền thông.
c. Sự cố ATTT thông thường: là các sự cố xảy ra đối với các HTTT của
đơn vị không thuộc trường hợp các sự cố ATTT nghiêm trọng, đặc biệt
nghiêm trọng nêu trên.


10

1.2. Đặc điểm của sự cố an tồn thơng tin
Ứng cứu sự cố an tồn thơng tin mạng được xem như tuyến
phòng thủ cuối cùng sau khi các biện pháp đảm bảo an tồn thơng tin
thất bại, việc ứng cứu sự cố nếu được thực hiện tốt sẽ giúp giảm thiểu
tối đa thiệt hại khi sự cố xảy ra. Tuy nhiên, hiện nay nhận thức và hành
động về ứng cứu sự cố an tồn thơng tin mạng vẫn chưa được tốt, năng
lực Đội Ứng cứu sự cố vẫn còn yếu kém và nặng tính hình thức; nguy
cơ sự cố xuất phát từ nhà cung cấp sản phẩm, dịch vụ bên ngồi, chuỗi
cung ứng cơng nghệ thơng tin và truyền thơng ln hiện hữu nhưng
chưa có biện pháp kiểm sốt; ý thức người dùng chưa tốt và đang là
mắt xích yếu nhất trong đảm bảo an tồn thơng tin, gây ra nhiều rủi ro
đối với các hệ thống thông tin, dữ liệu của tổ chức và thông tin riêng tư
cá nhân.
Đối với mỗi hệ thống thơng tin, chương trình, ứng dụng, cần xây
dựng tình huống, kịch bản sự cố cụ thể và đưa ra phương án đối phó,
ứng cứu sự cố tương ứng. Trong phương án đối phó, ứng cứu phải đặt
ra được các tiêu chí, quy trình xử lý để có thể nhanh chóng xác định
được tính chất, mức độ nghiêm trọng của sự cố khi sự cố xảy ra. Việc
xây dựng phương án đối phó, ứng cứu sự cố cần đảm bảo các nội dung
sau:
1.2.1. Xác định các mối nguy hiểm và giải pháp
- Các mối đe dọa bảo mật (security threat) là những sự kiện có
ảnh hưởng đến an tồn của hệ thống thơng tin. Các mối đe dọa được
chia làm 4 loại:
Xem thông tin một cách bất hợp pháp;
Chỉnh sửa thông tin một cách bất hợp pháp;
Từ chối dịch vụ; Từ chối hành vi
- Các mối đe dọa thường gặp:



11
Lỗi và thiếu sót của người dùng (Errors and Omissions): Mối đe
dọa của hệ thống thông tin xuất phát từ những lỗi bảo mật, lỗi thao tác
của những người dùng trong hệ thống. Là mối đe dọa hàng đầu đối với
một hệ thống thông tin;
Giải pháp:Huấn luyện người dùng thực hiện đúng các thao tác,
hạn chế sai sót; Nguyên tắc: quyền tối thiểu (least privilege); Thường
xuyên back-up hệ thống
Gian lận và đánh cắp thông tin (Fraud and Theft): Mối đe dọa
này do những kẻ tấn công từ bên trong hệ thống (inner attackers), gồm
những người dùng giả mạo hoặc những người dùng có ý đồ xấu. Những
người tấn cơng từ bên trong luôn rất nguy hiểm.
Giải pháp: Định ra những chính sách bảo mật tốt: có chứng cứ
xác định được kẻ tấn công từ bên trong;
Kẻ tấn công nguy hiểm (Malicious Hackers): Kẻ tấn công nguy
hiểm xâm nhập vào hệ thống để tìm kiếm thơng tin, phá hủy dữ liệu,
phá hủy hệ thống. 5 bước để tấn công vào một hệ thống: Thăm dị
(Reconnaisance); Qt lỗ hổng để tấn cơng (Scanning); Cố gắng lấy
quyền truy cập (Gaining access); Duy trì kết nối (Maintaining access);
Xóa dấu vết (Cover his track);.
Mã nguy hiểm (Malicious Code): Mã nguy hiểm là một đoạn mã
không mong muốn đượcnhúng trong một chương trình nhằm thực hiện
các truy cập trái phép vào hệ thống máy tính để thu thập các thông tin
nhạy cảm, làm gián đoạn hoạt động hoặc gây hại cho hệ thống máy
tính. Bao gồm: virus, worm, trojan horses, spyware, adware, backdoor,
…là kiểu tấn công ngăn không cho những người dùng khác truy cập
vào hệ thống; Làm cho hệ thống bị quá tải và không thể hoạt động;
DoS: tấn công “one-to-one”; DDoS(distributed denial of service); Sử
dụng các Zombie host; ấn công “many-to-one”; Tấn công từ chối dịch
vụ (Denial-of-Service Attacks); Social Engineering.



12
1.2.2. Đánh giá khả năng sự cố ATTT
Khả năng xảy ra sự cố ATTT được xác định là xác suất cơ quan,
tổ chức phải đối mặt với hậu quả. Việc xác định khả năng xảy ra sự cố
có thể được xem xét dựa vào các yếu tố sau:
Điểm yếu và khả năng khai thác: Khả năng thu thập thông tin về
điểm yếu và các mối đe dọa đối với tài sản; Khả năng khai thác điểm
yếu của tài sản; Khả năng thực hiện tấn cơng lặp lại, duy trì, mở rộng
tấn công.
Thông qua những sự cố đã ghi nhận trong q khứ: Việc theo
dõi,

giám

sát an tồn thơng tin cho hệ thống, ta có thể xác định được tần suất
thơng tin bị lộ lọt, bị phá hủy, bị thay đổi, bị mã hóa địi tiền chuộc; hệ
thống thơng tin bị tấn công làm ngừng hoạt động, bị chiếm quyền điều
khiển, bị lợi dụng để tấn công các hệ thống thông tin khác, bị tấn công
mã độc, bị tấn công từ chối dịch vụ.v.v.
Giả định về khả năng xảy ra: Việc xác định khả năng xảy ra cũng
có

thể

dựa trên các giả định về mối đe dọa hoặc dữ liệu về mối đe dọa thực tế
từ

các


nguồn thơng tin cơng khai. Ví dụ: dữ liệu lịch sử về các cuộc tấn công
mạng, các loại tấn công mạng, xu hướng tấn công mạng, tần suất tấn
công, dữ liệu lịch sử về hành vi tội phạm mạng. Cơ quan, tổ chức có
thể sử dụng dữ liệu thu thập được và thực hiện phân tích, thống kê để
xác

định

xác

suất

xảy

ra

sự

cố.

Khả năng xảy ra sự cố có thể được chia làm 05 mức cùng tiêu chí xác
định
như sau (tối thiểu 01 tiêu chí thỏa mãn sẽ xác định được khả năng xảy
ra sự cố):


13

Khả năng xảy ra


Tiêu chí xác định
(1) Khả năng khai thác:
- Lỗ hổng có thể được thu thập từ các nguồn thơng tin
cơng khai;
- Có thể thực hiện tấn cơng từ bên ngồi Internet mà
khơng cần quyền truy cập vào hệ thống; có thể sử dụng
các cơng cụ khai thác tự động được công khai trên mạng
và không yêu cầu có trình độ về an tồn thơng tin để

Chắc chắn (5)

thực hiện.
- Có thể thực hiện tấn cơng lặp lại mà không cần thay
đổi thiết lập và các điều kiện kỹ thuật sau lần tấn công
đầu tiên.
(2) Tần suất: Nhiều hơn 1 lần/tháng
(3) Khả năng xảy ra: >90%
(4) Cơ hội: Dự kiến, chắc chắn sẽ xảy ra trong hầu
hết các trường hợp

Cao
(4)

(1) Khả năng khai thác:
- Lỗ hổng có thể được thu thập thông qua việc tươngtác
thụ động với hệ thống từ bên ngồi;
- Việc thực hiện tấn cơng u cầu có quyền người dùng
tối thiểu; có thể sử dụng các công cụ khai thác tự động
được công khai trên mạng và u cầu có trình độ về an

tồn thơng tin cơ bản để thực hiện.
- Có thể thực hiện tấn công lặp lại bằng cách thay đổi
thiết lập và các điều kiện kỹ thuật cơ bản mà không cần
nắm được quy luật thay đổi.
(2) Tần suất: Nhiều hơn 1 lần/quý nhưng ít hơn 1
lần/tháng


14

(3) Khả năng xảy ra: >60%
(4) Cơ hội: Có khả năng xảy ra trong hầu hết các trường
hợp
(1) Khả năng khai thác:
- Lỗ hổng có thể được thu thập thơng qua việc sử dụng
các cơng cụ dị qt từ bên ngồi;
- Việc thực hiện tấn cơng u cầu có tài khoản đặc
quyền; có thể sử dụng các cơng cụ khai thác tự động và
Trung bình (3)

u cầu có trình độ về an tồn thơng tin để thực hiện.
- Có thể thực hiện tấn công lặp lại và xác định được chắc
chắn các tham số cần thiết lập để thực hiện tấn cơng lặp
lại.
(2) Tần suất: Có khả năng xảy ra một số lần
(3) Khả năng xảy ra: >=10%
(4) Cơ hội: Có khả năng xảy ra một số lần
(1) Khả năng khai thác:
- Lỗ hổng có thể được thu thập thơng qua việc sử dụng
các cơng cụ dị qt trực tiếp từ bên trong hệ thống;

- Việc thực hiện tấn công yêu cầu có tài khoản đặc
quyền; yêu cầu sử dụng các cơng cụ khai thác chun

Thấp
(2)

dụng và u cầu có trình độ cao về an tồn thơng tin để
thực hiện.
- Có thể thực hiện tấn cơng lặp lại bằng cách thay đổi
thiết lập và các điều kiện kỹ thuật cơ bản nhưng yêu cầu
nắm được quy luật thay đổi.
(2) Tần suất: Ít hơn 1 lần/năm
(3) Khả năng xảy ra: <10%
(4) Cơ hội: Chỉ xảy ra trong một số trường hợp


15

(1) Khả năng khai thác:
- Lỗ hổng có thể được thu thập yêu cầu nắm được sâu về
thiết kế, cấu trúc hệ thống, mã nguồn ứng dụng;
- Việc thực hiện tấn cơng u cầu có tài khoản đặc
quyền; u cầu sử dụng các công cụ khai thác chuyên
dụng và yêu cầu có trình độ chun gia về an tồn thơng
tin để thực hiện; việc khai thác điểm yếu yêu cầu cần
Ít
khi (1)

thực hiện lặp lại nhiều lần.
- Có thể thực hiện tấn công lặp lại bằng cách thay đổi

thiết lập và các điều kiện kỹ thuật nhưng yêu cầu nắm
được quy luật thay đổi và các tham số yêu cầu mức độ
ngẫu nhiên nhất định.
(2) Tần suất: Nhiều hơn 1 lần/quý nhưng ít hơn 1
lần/tháng
(3) Khả năng xảy ra: <5%
(4) Cơ hội: Chỉ xảy ra trong một số trường hợp đặc biệt
Bảng 1. Ví dụ Bảng giá trị Khả năng xảy ra sự cố

1.2.3. Quy trình ứng cứu sự cố an toàn thơng tin của Ban Cơ ́u
Chính phủ
Trong q trình thực hiện chun đề, tơi thực hiện đã tham khảo
các quy trình ứng cứu sự cố an tồn thơng tin của Ban Cơ yếu Chính
phủ, trong đó có 3 quy trình ứng cứu về mã độc, tấn cơng thay đổi giao
diện, tấn cơng từ chối dịch vụ
a. Quy trình ứng cứu sự cố tấn cơng mã độc
Quy trình xử lý gồm các bước:
- Cô lập mã độc
- Xác định và lấy mẫu mã độc
- Gỡ bỏ mã độc
- Khắc phục mã độc


16
- Phân tích mã độc

Hình 1. Quy trình ứng cứu sự cớ tấn cơng ma đợc
b.Quy trình ứng cứu sự cố tấn cơng thay đổi giao diện

Quy trình xử lý gồm các bước:

-

Cô lập hệ thống bị thay đổi giao diện
Bật hệ thống dự phịng
Thu thập thơng tin sự cố
Phân tích mã độc
Xử lý mã độc
Phục hồi hệ thống


17

Hình 2. Quy trình ứng cựu sự cố tấn công thay đởi giao diên
c.Quy trình ứng cứu sự cố tấn cơng từ chối dịch vụ

Quy trình xử lý gồm các bước:
-

Phân tích sự cố DDoS
Cơ lập sự cố
Xử lý sự cố
Phục hồi hệ thống


18

Hình 3. Quy trình ứng cựu sự cố tấn công từ chối dịch


19


1.3. Ảnh hưởng của sự cố an tồn thơng tin
Khi xảy ra sự cố mất an tồn thơng tin nếu khơng được xử lý
hoặc xử lý khơng đúng cách có thể để lại những hậu quả to lớn không
chỉ là rị rỉ dữ liệu, thiệt hại tài chính… mà cịn ảnh hưởng tới uy tín,
hình ảnh của tổ chức.
Chuyển đổi số đang là quá trình tất yếu của doanh nghiệp trong
bối cảnh hiện nay. Tuy nhiên, các vụ tấn công mạng, đặc biệt nhằm vào
doanh nghiệp và tổ chức đang đặt ra nhiều thách thức cho quá trình này.
Khi mà cuộc cách mạng công nghiệp 4.0 đang ảnh hưởng đến
phần lớn lĩnh vực trong xã hội, thì quá trình chuyển đổi số của doanh
nghiệp cũng được diễn ra nhanh chóng. Tuy nhiên, nhiều doanh nghiệp
Việt Nam còn chưa chú trọng vấn đề đảm bảo an tồn thơng tin, an ninh
trên không gian mạng.
Hậu quả là được xác định khi mối đe dọa xảy ra với tài sản sẽ
gây tổn hại thế nào đối với cơ quan, tổ chức. Mức ảnh hưởng (Impact)
là giá trị được sử dụng để xác định giá trị định lượng của hậu quả.
1.3.1. Mức ảnh hưởng, hậu quả của sự cố an toàn thông tin
Việc xác định mức ảnh hưởng có thể dựa vào đối
tượng bị ảnh hưởng như: quyền và lợi ích hợp pháp của
tổ chức, cá nhân, sản xuất, lợi ích cơng cộng và trật tự,
an tồn xã hội quốc phịng, an ninh. Việc xác định mức
ảnh hưởng có thể dựa vào phạm vi bị ảnh hưởng như:
cấp quốc gia, cơ quan, tổ chức hay cá nhân.
Việc xác định hậu quả, mức ảnh hưởng có thể dựa
vào các thuộc tính C, A, I đối với tài sản như sau:
Mức ảnh

Tính bảo mật


Tính tồn

Tính sẵn

hưởng

(C)

vẹn (I)

sàng (A)

Đặc biệt

Việc bị lộ thông

Việc sửa đổi

Việc gián

nghiêm

tin

hoặc

đoạn truy


20


cập

trọng
(5)

phá hủy trái

hoặc sử

trái phép làm

phép

dụng thông

ảnh

thông tin

tin/hệ thống

hưởng nghiêm

làm ảnh

thơng tin

trọng


hưởng

làm ảnh

đến quốc

nghiêm

hưởng

phịng, an

trọng đến

nghiêm

ninh

quốc phịng,

trọng đến

an ninh

quốc phịng,
an ninh

Nghiêm

Việc bị lộ thông


Việc sửa đổi

Việc gián

trọng

tin

hoặc

đoạn truy

(4)

trái phép làm

phá hủy trái

cập

tổn hại

phép

hoặc sử

đặc biệt nghiêm

thông tin


dụng thông

trọng tới lợi ích

làm tổn hại

tin/hệ thống

công cộng và

đặc biệt

thông tin

trật tự,

nghiêm

làm tổn hại

an tồn xã hội

trọng tới lợi

đặc biệt

hoặc

ích


nghiêm

làm tổn hại

cơng cộng

trọng tới lợi

nghiêm

và trật tự, an

ích

trọng tới quốc

tồn xã hội

cơng cộng

phịng, an ninh

hoặc làm tổn

và trật tự, an

quốc gia

hại nghiêm


toàn xã hội

trọng tới

hoặc làm tổn

quốc phòng,

hại nghiêm

an ninh quốc

trọng tới

gia

quốc phòng,


21

an ninh
quốc gia
Việc gián
Việc bị lộ thông
tin
trái phép làm
tổn hại
nghiêm trọng

tới sản
xuất, lợi ích
Vừa

cơng

phải (3)

cộng và trật tự,
an
tồn xã hội hoặc
làm
tổn hại tới quốc
phịng, an ninh
quốc
gia

Việc sửa đổi
hoặc
phá hủy trái
phép
thơng tin
làm tổn hại
nghiêm
trọng tới sản
xuất, lợi ích
cơng cộng
và trật tự, an
tồn xã hội
hoặc làm tổn

hại tới quốc
phịng, an
ninh quốc
gia

đoạn truy
cập
hoặc sử
dụng thơng
tin/hệ thống
thơng tin
làm tổn hại
nghiêm
trọng tới sản
xuất, lợi
ích cơng
cộng và trật
tự,
an tồn xã
hội hoặc làm
tổn hại tới
quốc phịng,
an ninh quốc
gia

Nhỏ (2)

Việc bị lộ thông

Việc sửa đổi


Việc gián

tin

hoặc

đoạn truy

trái phép làm

phá hủy trái

cập

tổn hại

phép

hoặc sử

nghiêm trọng

thông tin

dụng thông

tới

làm tổn hại


tin/hệ thống

quyền và lợi ích

nghiêm

thơng tin

hợp

trọng tới

làm tổn hại


22

nghiêm
trọng tới
pháp của tổ

quyền và lợi

quyền và lợi

chức, cá

ích hợp pháp


ích hợp pháp

nhân hoặc làm

của tổ chức,

của tổ

tổn

cá nhân hoặc

chức, cá

hại tới lợi ích

làm tổn hại

nhân hoặc

cơng

tới lợi ích

làm

cộng

cơng cộng


tổn hại tới
lợi ích cơng
cộng
Việc gián

Việc sửa đổi

đoạn truy

hoặc

cập

Việc bị lộ thông

phá hủy trái

hoặc sử

tin

phép

dụng thông

Không

trái phép làm

thông tin


tin/hệ thống

đáng kể

tổn hại tới

làm tổn hại

thơng tin

(1)

quyền và lợi ích

tới quyền và

làm tổn hại

hợp pháp của tổ

lợi ích hợp

tới quyền và

chức, cá nhân

pháp của tổ

lợi ích hợp


chức, cá

pháp của tổ

nhân

chức, cá
nhân

Bảng 2. Bảng xác định hậu quả, mức ảnh hưởng có thể dựa vào
các thuộc tính C, A, I
1.3.2. Những lỗ hởng ATTT từ viêc thiếu chia sẻ tri thức

Bảo đảm ATTT là yếu tố then chốt quyết định sự thành công
của chuyển đổi số. Vì vậy, mọi cơ quan, tổ chức phải triển khai


23

đầy đủ phương án bảo đảm ATTT cho các hệ thống của mình khi
vận hành theo quy định của pháp luật về ATTT. Mạng lưới ứng
cứu sự cố ATTT mạng Việt Nam hiện đã có hơn 220 thành viên,
bao gồm các đơn vị chuyên trách ứng cứu sự cố, doanh nghiệp, tổ
chức liên quan trên toàn quốc.
Tuy nhiên, mạng lưới cịn thiếu tính gắn kết, chia sẻ thơng
tin với nhau. Năng lực ứng cứu sự cố của đa số cơ quan nhà nước
cịn rất thấp, chưa có khả năng phản ứng nhanh, kịp thời trước các
nguy cơ, mối đe doạ từ không gian mạng.
Đánh giá về hiện trạng ATTT hiện nay, so với vài năm trước,

một số cơ quan, tổ chức, nhất là những đơn vị phát triển mạnh về
CNTT hay có hạ tầng trọng yếu, đã có sự đầu tư tương đối đầy đủ
về các giải pháp bảo mật các lớp: quản trị; ứng dụng; cơ sở dữ liệu
hạ tầng.
Tuy nhiên, nếu các đơn vị chỉ triển khai các giải pháp, phần
mềm bảo đảm ATTT… là chưa đủ, mà cần phải có sự chia sẻ
thơng tin, cập nhật thường xuyên về tri thức thì mới thực sự tận
dụng hiệu quả đầu tư. Bởi vì, nếu chỉ đầu tư hạ tầng ATTT 4 lớp
nhưng không cập nhật các kiến thức tấn công mới, những dấu hiệu
nhận biết tấn công mới của các nhóm tấn cơng thì những giải pháp
này cũng rất khó để ngăn chặn, phịng bị tin tặc xâm nhập.
Hiện nay các nguy cơ bị tấn công về ATTT liên tục thay đổi
và diễn ra liên tục, nhất là trong bối cảnh các lỗ hổng thường
xuyên xuất hiện, ngay cả khi hệ thống thường xuyên cập nhật bản
vá. Chưa kể đến, các thông tin về ATTT trên mạng xuất hiện ngày
càng nhiều với hàng trăm nghìn lỗ hổng xuất hiện cùng rất nhiều
cảnh báo. Điều này sẽ khiến cho những người quản trị hệ thống
cảm thấy bối rối và không biết phải phản ứng như thế nào là đủ.


24

"Khi chúng ta thiếu tri thức, chúng ta sẽ không biết lỗ hổng
nào mới thực sự nghiêm trọng, hay nhóm tài chính, ngân hàng…
đang bị các tổ chức nào tấn cơng, đặc tính kỹ thuật các cuộc xâm
nhập này là gì… Để rồi, khi hệ thống của chúng ta bị tấn cơng thì
mới tiến hành xử lý sự cố, giải quyết hậu quả".
Tri thức là việc thu thập, xử lý và phân tích thơng tin về một
thực thể và các tác nhân của nó, mà một tổ chức hoặc nhóm cần để
đảm bảo an ninh và phát triển. Do đó, để chia sẻ thông tin hiệu

quả, đầu tiên, các đơn vị cần xác định và ưu tiên các lỗ hổng về tri
thức mà đơn vị đang thiếu. Từ đó lên kế hoạch, định hướng phát
triển để giải quyết vấn đề lỗ hổng gặp phải của tri thức trong đơn
vị mình.
Sau đó, các tổ chức cần thu thập thơng tin, dữ liệu về những
nguy cơ ATTT từ bằng nhiều cách như thông qua các nhà cung cấp
dịch vụ, cơ quan chức năng và trong chính nội bộ đơn vị.
Sau khi đã có thơng tin, các tổ chức cần xử lý dữ liệu thơ thu
thập được, để từ đó phân tích và đánh giá thơng tin. "Qua đó, các
đơn vị sẽ biết được những thông tin này ảnh hưởng đến việc kinh
doanh, bảo đảm ATTT của đơn vị mình như thế nào, mức độ
nghiêm trọng của thơng tin đó ra sao… Từ đó hình thành nên các
tri thức, để có được những sự phản ứng kịp thời trước những nguy
cơ, rủi ro có thể gặp phải".
Yêu cầu về tri thức bao gồm 3 thành phần gồm: Tri thức liên
quan đến chiến lược (strategic); tri thức liên quan đến mặt vận
hành (operational); tri thức liên quan đến kỹ thuật (Tactical).