Tải bản đầy đủ (.docx) (42 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Hệ thống thông tin

Thực trạng hệ thống công nghệ thông tin và hoạt động ứng cứu khẩn cấp sự cố an toàn thông tin của Bảo hiểm xã hội tỉnh Long An

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (735.15 KB, 42 trang )

BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Thực trạng hệ thống công nghệ thông tin và hoạt động ứng cứu khẩn cấp
sự cố an tồn thơng tin của Bảo hiểm xã hội tỉnh Long An

Người thực hiện: Phạm Trần Phương Thanh

Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn

1


Hà Nội - 2022

2


BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Thực trạng hệ thống công nghệ thông tin và hoạt động ứng cứu khẩn cấp
sự cố an tồn thơng tin của Bảo hiểm xã hội tỉnh Long An

Đề tài:


XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn

Hà Nội - 2022
3


Mục lục

Danh mục từ viết tắt
TT
1
2
3
4
5
6
7
8
9
10

4

Danh mục
An tồn thơng tin
Ứng cứu khẩn cấp
Bảo hiểm xã hội

Bảo hiểm y tế
Bảo hiểm thất nghiệp
Công nghệ thông tin
Cơ sở dữ liệu

Chữ viết tắt, rút gọn
ATTT
ƯCKC
BHXH
BHYT
BHTN
CNTT
CSDL


5
Phần mở đầu
i.

Sự cần thiết
Cơ sở dữ liệu quốc gia về Bảo hiểm là Cơ sở dữ liệu quốc gia lưu trữ thông
tin về bảo hiểm xã hội, bảo hiểm y tế, bảo hiểm thất nghiệp và thông tin về y tế,
an sinh xã hội được cơ quan có thẩm quyền ghi nhận và đảm bảo quyền lợi,
nghĩa vụ về bảo hiểm của công dân. Đây là 1 trong số 6 CSDL Quốc gia quan
trọng liên quan trực tiếp đến người dân được Chính phủ ưu tiên triển khai để tạo
nền tảng phát triển chính phủ điện tử và chuyển đổi số của Quốc gia.
Nguy cơ mất thông tin, dữ liệu quan trọng là điều có thể xảy ra. Những đối
tượng tấn công sử dụng nhiều phương thức, cách thức để truy cập trái phép, sử
dụng, tiết lộ, sửa đổi dữ liệu,… để khai thác thông tin của tổ chức, cá nhân hoặc
làm thay đổi dữ liệu phục vụ những mục đích riêng. Trước thực tế này, vấn đề

bảo đảm an tồn thơng tin cần được quan tâm hơn bao giờ hết địi hỏi ngành
BHXH nên có kế hoạch bài bản để đảm bảo an tồn an ninh thơng tin.
Việc đảm bảo an tồn an ninh thơng tin là yếu tố then chốt khi bước vào
giai đoạn chuyển đổi số hiện nay.

ii. Mục tiêu nghiên cứu
• Mục tiêu chung:
- Phân tích đánh giá đúng thực trạng hệ thống cơng nghệ thơng tin tại BHXH
Long An
- Xây dựng hồn thiện quy trình ứng cứu khẩn cấp sự cố an tồn thơng tin
• Mục tiêu cụ thể
- Đánh giá được thực trạng hạ tầng công nghệ thông tin, nhân sự vận hành, hệ
thống, các sự cố ATTT và hoạt động ứng cứu sự cố
- Đề xuất được một số giải pháp, kiến nghị hệ thống CNTT và hoạt động ứng
cứu sự cố ATTT
- Giảm thiểu các sự cố mất an tồn thơng tin bắt nguồn từ nhận thức yếu kém
của con người về các nguy cơ mất an tồn thơng tin;
- Người đứng đầu các cơ quan, tổ chức nhận thức được vai trị, trách nhiệm bảo
đảm an tồn thơng tin khi triển khai ứng dụng công nghệ thông tin trong hoạt
động của cơ quan nhà nước.
5


6
iii. Đối tượng và phạm vi nghiên cứu
• Đối tượng nghiên cứu: Hệ thống cơ sở hạ tầng công nghệ thơng tin và yếu
tố con người tại BHXH Long An
• Phạm vi nghiên cứu: Hệ thống BHXH tỉnh Long An (Văn phòng tỉnh và 14
huyện, thị xã: huyện Tân Hưng, huyện Vĩnh Hưng, huyện Mộc Hóa, huyện
Tân Thạnh, huyện Thạnh Hóa, huyện Đức Huệ, huyện Đức Hịa, huyện

Bến Lức, huyện Thủ Thừa, huyện Tân Trụ, huyện Cần Đước, huyện Cần
Giuộc, huyện Châu Thành, Thị xã Kiến Tường)
iv.

Cách tiếp cận và phương pháp nghiên cứu
• Cách tiếp cận: Tìm hiểu, nghiên cứu, phân tích thực tiễn hệ thống cơ sở hạ
tầng công nghệ thông tin của BHXH tỉnh Long An và khả năng sử dụng
CNTT của người sử dụng trong hệ thống qua q trình hoạt động.
• Đăng nhập vào hệ thống cơ sở hạ tầng công nghệ thông tin bằng tài khoản
quản trị để thu thập thông tin và đánh giá khả năng sử dụng CNTT của
người sử dụng trong hệ thống qua q trình hoạt động thực tiễn.
• Phương pháp nghiên cứu: Thống kê, tổng hợp
• Sử dụng các phần mềm, công cụ hỗ trợ được BHXH Việt Nam trang bị:
PaloAlto, SRX, PRTG Network Monitor, F-secure,...

• Phân tích, đối chiếu các báo cáo của trung tâm giám sát mạng (NOC,
VNCERT,..) để đề xuất các giải pháp và xây dựng quy trình ứng cứu phù
hợp
v. Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện được
• Những đóng góp mới của chuyên đề
- Đánh giá tổng thể hệ thống cơ sở hạ tầng công nghệ thông tin tại BHXH
tỉnh
- Một số kinh nghiệm trong quá trình vận hành, xử lý sự cố mất an tồn
thơng tin
- Kết quả chuyên đề sẽ cung cấp cơ sở khoa học cho việc xây dựng và ban
hành quy trình ứng cứu khẩn cấp sự cố an tồn thơng tin Ngành BHXH Việt
Nam đảm bảo phù hợp với lý thuyết, quy định của pháp luật về xây dựng quy
trình ứng cứu và thực trạng công nghệ thông tin Ngành BHXH Việt Nam.

6



7
- Chuyên đề cũng là một bước rà soát về khả năng đảm bảo an tồn thơng tin
tại BHXH Long An, đồng thời giúp cho các thành viên trong đội ứng cứu nâng
cao năng lực nghiên cứu, rõ hơn về trách nhiệm trong việc tham gia đảm bảo an
tồn thơng tin của Ngành.
• Những vấn đề mà chuyên đề chưa thực hiện được
- Đưa ra được quy trình xử lý chung cho các sự cố
vi. Kết cấu chuyên đề
Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương, cụ
thể như sau:
Chương 1. Quá trình xây dựng hệ thống công nghệ thông tin và hoạt động
ứng cứu khẩn cấp sự cố an tồn thơng tin của Bảo hiểm xã hội tỉnh Long An
Chương 2. Thực trạng hệ thống hệ thống công nghệ thông tin và hoạt
động ứng cứu khẩn cấp sự cố an tồn thơng tin của Bảo hiểm xã hội tỉnh Long
An
Chương 3. Một số kiến nghị, đề xuất về hệ thống công nghệ thông tin và
hoạt động ứng cứu khẩn cấp sự cố an toàn thông tin của Bảo hiểm xã hội tỉnh
Long An

7


8

Chương 1. Q trình xây dựng hệ thống cơng nghệ thông tin và hoạt
động ứng cứu khẩn cấp sự cố an tồn thơng tin của Bảo hiểm xã hội tỉnh
Long An
1.1. Xây dựng hệ thống công nghệ thông tin

1.1.1. Văn bản pháp lý
- Công văn 1583/BHXH-TTTT ngày 26/4/2012 của Trung tâm thông tin
BHXH Việt Nam về việc thuê bao đường truyền năm 2012.
- Quyết định số 319/QĐ-BHXH ngày 28/03/2012 của BHXH Việt Nam
ban hành thiết kế mẫu mạng nội bộ, mạng diện rộng của Bảo hiểm xã hội cấp
tỉnh, cấp huyện.
- Quyết định 1734/QĐ-BHXH ngày 11/11/2016 của Tổng Giám đốc
BHXH Việt Nam về việc Điều chỉnh hình thức thực hiện và phê duyệt kế
hoạch mua sắm để thay thế, trang bị và hiện đại hóa thiết bị CNTT năm 2016
- Quyết định 836/QĐ-BHXH của Tổng Giám đốc BHXH Việt Nam ngày
ngày 29 tháng 6 năm 2018 Quyết định Ban hành quy định thiết kế hệ thống hạ
tầng thông tin ngành BHXH.
1.1.2. Quá trình trang bị, đưa vào sử dụng các thiết bị, giải pháp…
- Cùng với sự ra đời của Bảo hiểm xã hội (BHXH) Việt Nam và BHXH
các tỉnh, thành trong cả nước, BHXH tỉnh Long An được thành lập và chính
thức đi vào hoạt động theo Quyết định số 09/BHXH-TCCB ngày 16 tháng 6
năm 1995 của Tổng Giám đốc BHXH Việt Nam với chức năng, nhiệm vụ là
thực hiện chế độ, chính sách BHXH cho người lao động có tham gia BHXH
trên địa bàn tỉnh.
- Trải qua thời gian hơn 25 năm phát triển đến nay BHXH tỉnh Long An
có 289 cơng chức, viên chức, người lao động. Trang thiết bị phục vụ công tác
của ngành cũng từng bước được đầu tư, trang bị đảm bảo đáp ứng nhu cầu
công việc.

8


9
- Năm 2012 BHXH Long An chính thức lắp đặt hệ thống mạng và đưa
vào sử dụng với 250 node mạng cùng với các thiết bị CNTT được trang bị ban

đầu như sau:
STT
1
2
3
4
5

Tên thiết bị
VP tỉnh
Cisco 2901-SEC/K9
x
Cisco ASA5510-BUN-K9
x
Cisco 888-SEC-K9
server HP ML 370 G5
x
Switch Access Cisco 2960
x
phần mềm diệt virus Kaspersky office
6
x
small security
7
Đường truyền internet
x
8
Đường WAN nội tỉnh
x
- Sơ đồ logic tổng thể khi triển khai


9

BHXH các huyện
x

x
x
x


10

- Từ năm 2013 BHXH Việt Nam từng bước triển khai dự án lắp đặt các
thiết bị mạng và các máy chủ cho các tỉnh theo mơ hình thống nhất, dữ liệu
quản lý tập trung:
STT
1
2
3
4
5
6
7
8
9
10
11
12
13

14
15
16
17

Tên thiết bị

VP tỉnh

BHXH
các huyện

Ghi chú

Server IBM X3850 X5
X
2013
Thiết bị lưu trữ NAS DX100 S3
X
2015
Máy chủ Fujitsu
X
2015,2017
Palo Alto PA3020
X
2017
Bluecoat
2017
Thiết bị tối ưu WAN WAVE 694-K9
X

2017
EX2200
X
2017
EX3300
X
2017
Cisco ISR4431 SEC/K9
X
2017,2018
Thiết bị Firewall SRX550
X
2017,2018
Thiết bị Firewall SRX320, 340
X
2018
Máy chủ HP
X
2018
Switch Access 2960
X
X
trụ sở mới
Đường truyền Internet
2012
Đường truyền WAN nội tỉnh
2012
Đường truyền WAN liên tỉnh
2019
Bộ lưu điện Riello SDL 8000

2019
- Công chức, viên chức, người lao động đều được trang bị máy vi tính cá

nhân, các đơn vị được trang bị máy in, laptop đầy đủ theo định mức quy định.
Hiện tại, BHXH tỉnh Long An đã triển khai 27 phần mềm nghiệp vụ, phần
mềm quản trị hệ thống của ngành:
- Các phần mềm nghiệp vụ: Hệ thống Quản Lý thu, sổ thẻ (TST), Hệ
thống cấp mã số BHXH & Quản Lý BHYT Hộ gia đình, Hệ thống Quản Lý
10


11
tài chính (TCKT), Hệ thống thơng tin quản Lý văn bản và điều hành
BHXHVN (EOFFICE), Hệ thống thông tin giám định BHYT, Cổng tiếp nhận
dữ liệu GĐBHYT, Hệ thống giám sát BHYT, Hệ thống quản Lý chính sách
(TCS), Phần mềm quản Lý đối tượng hưởng BHXH hàng tháng
(BHXHNET_QLHS), Phần mềm Quản lý cán bộ, Phần mềm Thi đua khen
thưởng, Hệ thống tiếp nhận hồ sơ (TNHS), Phần mềm lưu trữ hồ sơ điện tử,
Phần mềm thanh tra kiểm tra, Phần mềm thẩm định quyết toán, Hỗ trợ kê khai
giao dịch điện tử, Hệ thống báo cáo tập trung (DATAWAREHOUSE), Cổng
thông tin điện tử BHXH tỉnh, Hệ thống thư điện tử BHXH, Hệ thống Quản lý
thiết bị BHXH Việt Nam.
- Các phần mềm quản trị hệ thống: Hệ thống quản trị điều hành mạng,
anh ninh bảo mật, quản Lý định danh và chia sẻ dữ liệu IAM, Hệ thống giám
sát mạng PRTG, Phần mềm phát hiện và phản ứng với các cuộc tấn công chưa
biết (EDR), Phần mềm quản lý truy cập mạng (Nac), Phần mềm diệt virus
ngành BHXH, Phần mềm quản lý bản vá Patch.
- Các giải pháp bảo đảm an tồn thơng tin
Gian đoạn từ năm 2012 đến năm 2017: Sử dụng thiết bị định tuyến Cisco
2901-SEC/K9 và Cisco ASA5510-BUN-K9 làm firewall cho văn phòng tỉnh

và Cisco 888-SEC-K9 cho BHXH các huyện thị xã; phần mềm diệt virus
Kaspersky Office Small Security, máy tính sử dụng hệ điều hành Windows
XP, Windows 7 và Windows server 2008 tất cả đều không có bản quyền, dùng
các tool bẻ khóa để sử dụng. Website tự viết, trao đổi cơng việc bằng email
miễn phí, chưa có các hệ thống giám sát đường truyền, căn bằng tải,…
Các văn bản quy định về công tác đảm bảo về dữ liệu, an tồn thơng tin,
nói chung chưa chặt chẽ cịn mang tính thủ tục. Người sử dụng chưa chú ý
nhiều đến bảo vệ dữ liệu, chưa ý thức được tầm quan trọng của việc bảo đảm
an toàn, thơng tin của mình, hệ điều hành Windows “crack” khơng được cập
nhật các bản vá. Dữ liệu các phần mềm nghiệp vụ tập trung tại các máy chủ
của tỉnh nên việc tính bí mật và tính tồn vẹn của dữ liệu không cao.
11


12
Giai đoạn từ năm 2017 đến nay: Khi BHXH Việt Nam ban hành Quyết
định 1734 nhằm “thay thế, trang bị và hiện đại hóa thiết bị CNTT”, hệ thống
cơng nghệ thơng tin của BHXH Long An đã được chuẩn hóa theo tiêu chuẩn
quy định.
Các thiết bị mạng, máy tính được trang bị tập trung để đồng bộ thống
nhất cách vận hành, quản lý. Các thiết bị mạng được quy hoạch IP theo đúng
tiêu chuẩn của Trung tâm CNTT - BHXH Việt nam ban hành Sử dụng hệ
thống tường lửa chống lại sự truy cập trái phép, giúp bảo vệ thông tin, dữ liệu
nội bộ và hạn chế sự xâm nhập từ bên ngồi; WebIsolate - Cơ lập ứng dụng
web bảo vệ người dùng cuối khỏi các cuộc tấn công mạng bằng cách cách ly
trình duyệt, cơ lập phần mềm độc hại và ngăn khơng cho nó tiếp cận đến trình
duyệt của người dùng. Hệ thống Carbon Black EDR, Manage Engine Patch
Manager Plus - Cập nhật vá lỗi các phần mềm; PRTG Network Monitor giám
sát hệ thống mạng; Pulse Secure - Giải pháp truy cập từ xa an toàn;…
Chuyển đổi hệ điều hành Windows 10 bản quyền cho tất cả máy tính bàn

và laptop nhằm nâng cao hiệu quả, hiệu suất cơng việc và đảm bảo an tồn
thơng tin, hạn chế tối đa các lỗi khi sử dụng hệ điều hành Windows; sử dụng
thống nhất bộ Office 2016 có bản quyền; sử dụng hệ thống quản lý văn bản và
điều hành, mail công vụ trong xử lý công việc và trao đổi nghiệp vụ.
Đặt lịch quét virus định kỳ hàng ngày cho tất cả các máy tính trong cơ
quan, kiểm tra thường xuyên các phầm mềm PRTG, EDR, Patch Manager,
báo cáo của NOC gửi qua mail để phát hiện xử lý kịp thời các sự cố.
Bộ lưu điện Riello SDL 8000 đảm bảo cho các thiết bị mạng duy trì hoạt
động 15-30 phút đủ thời gian để tắt nguồn khi có sự cố về điện. Máy phát
điện tự động vận hành khi có sự cố cúp điện xảy ra. Dữ liệu của các phần
mềm cũ được lưu trữ tại thiết bị lưu trữ NAS, để phục vụ tra cứu theo yêu
cầu.

12


13
- Các giải pháp bảo đảm an tồn thơng tin được triển khai đầy đủ theo
quy định của BHXH Việt Nam: Giải pháp Web Isolate; giải pháp phòng
chống APT trên thiết bị tường lửa; giải pháp Anti-Virus tập trung…
1.2. Hoạt động ứng cứu khẩn cấp sự cố an tồn thơng tin
1.2.1. Căn cứ pháp lý
- Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 của Bảo hiểm xã hội
Việt Nam về việc ứng phó sự cố bảo đảm an tồn thơng tin mạng trong ngành
Bảo hiểm xã hội
- Quyết định số 1337/QĐ-CNTT về việc phê duyệt cấp độ an tồn hệ
thống thơng tin
- Quyết định số 967/QĐ-BHXH về việc ban hành quy chế bảo đảm
ATTT trong ứng dụng CNTT của BHXH Việt Nam (QĐ cử đi học, QĐ thành
lập tổ ứng cứu,…)

- Quyết định số 345/QĐ-BHXH của BHXH Việt Nam ngày 09/4/2021 về
việc thành lập Đội ứng cứu sự cố, bảo đảm an tồn thơng tin mạng Ngành
BHXH Việt Nam.
1.2.2. Các hoạt động ứng cứu cụ thể…
- Khi nhận được tin báo máy tính bị sự cố, cán bộ phịng CNTT tiếp
nhận thơng tin, kiểm tra tình hình sự cố, báo cho người dùng biết về tình trạng
của máy tính, lập biên bản tình trạng hỏng, kiểm tra tháo ổ cứng trước khi đem
sửa chữa.
- Triển khai các bước ưu tiên ứng cứu ban đầu: Cần xác định mức độ ưu
tiên xử lý, căn cứ vào bản chất, dấu hiệu của sự cố để xử lý sự cố theo kế
hoạch ứng phó sự cố đã được phê duyệt hoặc hướng dẫn của cơ quan điều
phối.
- Dựa trên kế hoạch ứng phó sự cố đã được phê duyệt để xây dựng, lựa
chọn phương án ứng cứu phù hợp với từng sự cố và hệ thống mạng cụ thể.

13


14
Các phương án ứng cứu cần được xây dựng linh hoạt dựa trên các điều kiện,
mức độ đáp ứng, mức độ ưu tiên của từng hệ thống mạng.
- Báo cáo thông tin về sự cố, đề xuất phương án ứng cứu để lãnh đạo phê
duyệt, chỉ đạo xử lý.
- Khi có sự cố về nguồn điện cúp điện đột xuất hoặc có thơng báo trước
của cơng ty điện lực thì cán bộ của Văn phòng (cán bộ phụ trách CNTT huyện
) tùy theo thời điểm thực tế sẽ trực tiếp xử lý vận hành máy phát điện.
- Khi có sự cố về đường truyền, thiết bị CNTT đường truyền WAN,
Internet bị sự cố đột ngột (rớt mạng, băng thông không đủ) cán bộ quản trị
mạng sẽ liên lạc đến các công ty cung cấp dịch vụ đường truyền (VNPT,
Viettel) để thông báo sự cố, yêu cầu khắc phục trong thời gian sớm nhất.

- Xử lý các máy tính bị nhiễm phầm mềm độc hại, mã độc hằng ngày
trung tâm giám sát mạng (NOC) gửi mail các cảnh báo về các sự cố về đường
truyền WAN, cảnh báo của VNCERT về các tấn công, máy nhiễm virus,
spyware, CNC,.. cho cán bộ quản trị mạng. Trên cơ sở đó cán bộ quản trị
mạng đưa ra các giải pháp thích hợp
- Thường xuyên kiểm tra các bản vá trên phần mền quản lý bản vá Patch
để cập nhật kịp thời các lỗ hổng do các nhà cung cấp dịch vụ khuyến nghị.

14


15
Tiểu kết Chương 1
Chương 1, chuyên đề đã đưa ra được quá trình xây dựng hệ thống và
phát triển hạ tầng CNTT từ căn cứ pháp lý đến quá trình trang bị thiết bị hệ
thống công nghệ thông tin tại BHXH tỉnh Long an và các hoạt động ứng cứu
sự cố an tồn thơng tin của BHXH tỉnh Long An qua đó góp phần nâng cao
năng lực ứng dụng CNTT trong ngành BHXH về phát triển Chính phủ điện tử

15


16

Chương 2. Thực trạng hệ thống hệ thống công nghệ thông tin và hoạt động
ứng cứu khẩn cấp sự cố an tồn thơng tin của Bảo hiểm xã hội tỉnh Long An
I. Thực trạng hệ thống thơng tin
2.1. Mơ hình tổng thể
2.1.1. Sơ đồ logic tổng thể


16


17
2.1.1.1. Phân vùng WAN

2.1.1.2. Phân vùng Internet

17


18
2.1.1.3. Phân vùng LAN và Server

2.1.1.4. Mơ hình mạng tại BHXH cấp Quận/Huyện

18


19
2.1.2. Sơ đồ kết nối vật lý

2.1.3. Quy hoạch địa chỉ IP các vùng mạng trong hệ thống
* Tại Văn phòng BHXH tỉnh
STT

Phân vùng mạng

Dải IP
10.80.208.0/24


1

Phân vùng mạng LAN

10.80.209.0/24
10.80.210.0/24
10.80.211.0/24

2

19

Phân vùng mạng Wifi

10.80.222.0/24


20

3

Phân vùng mạng Server

10.80.240.0/24

4

Phân vùng mạng VPN


10.80.220.0/24

5

Phân vùng mạng WAN tỉnh huyện

6

Phân vùng Internet

172.18.80.X/24
172.17.80.X/24
113.161.227.176
27.65.194.198

* Tại BHXH huyện
STT

Phân vùng mạng

1

Phân
LAN

vùng

2

Phân vùng mạng Wifi


Dải IP

Ghi chú

mạng 10.80.y.0/24
10.80.
(100+y).0/24

y: mã huyện
y: mã huyện

2.2. Danh mục thiết bị, phần mềm, giải pháp
2.2.1. Danh mục thiết bị tổng thể
Tên thiết bị/
Chủng loại

STT

Vị trí triển khai

Mục đích sử dụng

1

Tường lửa Juniper SRX

Vùng mạng WAN

2


Tường lửa Palo Alto

Vùng mạng Internet

Web isolate

3

Juniper EX2200, EX3300

Vùng mạng LAN

Swicth L2,L3

4

Cisco 4431, Citrix

Vùng mạng WAN

Cân bằng tải

5

WAVE

Vùng mạng WAN

Tối ưu WAN


2.2.2. Danh mục thiết bị, quy hoạch mạng
a. Danh sách thiết bị
STT

Tên thiết bị/
Chủng loại

1
2

Tường lửa Juniper SRX
Tường lửa Palo Alto

20

Năm đưa
vào sử
dụng
2017
2108

Vị trí triển khai
Vùng mạng WAN
Vùng
mạng

Mục đích sử
dụng



21
Internet
3
4
5
6

Juniper
EX3300
Citrix
WAVE
Cisco 4431

EX2200,

2017, 2018

Vùng mạng LAN

2019
2018
2017, 2018

Vùng mạng WAN
Vùng mạng WAN
Vùng mạng WAN

b. Quy hoạch phân vùng, địa chỉ IP
ST

T

Vùng mạng

IP Private

113.161.227.176
27.65.194.198

1

Vùng Internet

2

Vùng máy chủ

10.80.254.X/24

3

Vùng mạng quản trị

10.80.244.x/24

4

Vùng mạng WAN

IP Public


172.18.80.X/24
172.17.80.X/24
10.80.208.0/24

5

Vùng mạng LAN Tại Văn phòng 10.80.209.0/24
tỉnh
10.80.210.0/24
10.80.211.0/24

6

Vùng mạng LAN Tại BHXH
huyện, Thị Xã

10.80.y.1/24
(y: mã huyện)

- Hệ thống hạ tầng phần cứng, phần mềm được kiện tồn, chuẩn hóa,
thiết bị mạng, máy tính, đường truyền được trang bị đầy đủ, cơ bản đáp ứng
được yêu cầu nghiệp vụ:
- Chất lượng hệ thống mạng LAN, WAN: tương đối tốt, đảm bảo hoạt
động nghiệp vụ từ BHXH tỉnh đến BHXH các huyện đảm bảo 2 đường
truyền
-Hệ thống cân bằng tải Citrix đảm bảo vận hành liên tục
- Kết nối Internet tốc độ cao: tại BHXH tỉnh được trang bị 02 đường
truyền Internet (01 đường VNPT tốc độ 150Mbps, 01 đường Viettel tốc độ
100Mbps); tại BHXH huyện có 01 đường Internet (Tốc độ 100Mbps) kết nối

Internet tập trung tại BHXH.

21


22
2.2.3. Danh mục thiết bị máy chủ, lưu trữ và tình trạng sử dụng
a. Danh sách thiết bị
Loại
thiết bị

Địa chỉ IP
Tên thiết bị

HPE ProLiant
DL380 G9

Máy chủ IBM 3850 X5
FUJITSU
PRIMERGY
RX4770 M1
FUJITSU
PRIMERGY
RX4770 M1
Lưu trữ

22

NAS DX100
S3


10.80.244.100

10.80.244.101

10.80.244.102

10.80.244.103

10.80.254.240

Năm đưa
vào sử
dụng

Mục đích sử
dụng

2017

Cài đặt các dịch
vụ LDAP, TIE,
TIP, F-Secure
Proxy, Iperf3
phục vụ VPN, lọc
web Webisolate),
đo kiểm đường
truyền WAN…

2013


Cài đặt các phần
mềm cũ (SMS,
VAS, xetduyet,
ODTS) để tra cứu

2015

Cài đặt các dịch
vụ AD, DNS,
quản lý bản vá …

2015

Cài đặt các dịch
vụ phục vụ phần
mềm giám định
bảo hiểm y tế…

2015

Lưu trữ dữ liệu,
các phần mềm
tiện ích


23

b. Hiện trạng sử dụng
Tên thiết bị


HPE ProLiant DL380 G9

IBM 3850 X5

FUJITSU PRIMERGY RX4770 M1

FUJITSU PRIMERGY RX4770 M1

NAS DX100 S3

Cấu hình
CPU: 02 x CPU Intel E5-2620 v4, 8-core,
2.1GHz, 20MB cache
RAM: 64 GB
HDD: 4* 2TB
RAID Controller: HPE Smart Array P840ar
with 2GB Flashback Write Cache
NIC: 4
PSU: 2
CPU: 02 x Xeon® 6C E7-4807 (18 M cache,
1.86 GHz, 6 core )
RAM: 64GB DDR3
HDD: 1.8TB (3 x HDD SAS, 6 Gb/s, 600 GB,
10k RPM, hot-plug, 2.5-inch)
RAID Controller M5015 0 SAS/SATA
NIC: 2 Gigabit Enthernet Dual Enthernet
10/100/1000
PSU: 02 x 1975 W HS 2/2 hot-swap
CPU: Intel Xeon E7-4820 v2 2.0GHz (8 core

16MB Cache)
RAM: 96 GB DDR3 (6*16GB)
HDD: 3TB (5* HD SAS 6Gb/s, 600 GB,
10kRPM, hot-plug, 2.5 inch)
RAID Controller SAS 6G 1GB (D3116C)
NIC: 2
PSU: 4 1200W hot-plug
CPU: Intel Xeon E7-4820 v2 2.0GHz (8 core
16MB Cache)
RAM: 96 GB DDR3 (6*16GB)
HDD: 3TB (5* HD SAS 6Gb/s, 600 GB,
10kRPM, hot-plug, 2.5 inch)
RAID Controller SAS 6G 1GB (D3116C)
NIC: 2
PSU: 4 1200W hot-plug
16GB (2x8GB) DIMM
Dung lượng 20TB (4TBx5)
RAID 5
NIC : 4
PSU: 2

Tất cả các máy chủ đã ảo hoá và được sử dụng. Hiện trạng sử dụng từng
máy chủ vật lý được bảo quản tốt trong phịng máy chủ nhiệt độ phịng trung
bình từ 20-220C, máy chủ được ảo hoá bằng phần mềm VMware ESXi Server,
cho phép nhiều phiên bản hệ điều hành chạy trên cùng một máy chủ.

23


24

Ưu điểm của phần mềm VMware chính là tính năng bảo mật, độ tin cậy,
khả năng mở rộng, tiết kiệm chi phí. Tuy nhiên, nó cũng tồn tại một số nhược
điểm sau:
Có rất nhiều nguy cơ đến từ các phần mềm độc hại xâm hại đến cơ sở dữ
liệu và các trang web quản trị. Một khi các hacker tìm thấy lỗ hổng bảo mật
trong môi trường lưu trữ. Chúng sẽ bắt đầu tấn cơng và có thể kiểm sốt cả hệ
thống. VMware đã giải quyết mối lo này một cách hiệu quả và an tồn. Đồng
thời giữ cho mơi trường lưu trữ tách biệt hoàn toàn với những người dùng
khác. Vmware cho phép tùy chỉnh các thành phần để có thể tiết kiệm chi phí
về máy chủ vật lý và chi phí bảo trì thiết bị. Bản vá dựa trên hình ảnh với khả
năng khơi phục cung cấp bản vá trên máy chủ đơn giản và rõ ràng.
Nhược điểm của phần mềm VMware:
Vấn đề lưu trữ vật lý. Thông thường, mỗi máy ảo chỉ dùng một tập tin để
lưu tất cả những gì diễn ra trong máy ảo. Do đó nếu bị mất tập tin này xem
như mất tất cả.
- Nếu Server có cấu hình phần cứng thấp nhưng cài quá nhiều chương
trình máy ảo, máy sẽ chậm và ảnh hưởng đến các chương trình khác.
- Do tập trung vào một Server, nếu máy bị hư phần cứng thì tồn bộ các
máy tính ảo đã thiết lập trên nó cũng bị ảnh hưởng theo.
- Ở góc dộ bảo mật, nếu hacker nắm quyền điều khiển máy tính chứa các
máy ảo thì hacker có thể kiểm sốt được tất cả các máy ảo trong nó.
Lưu trữ: hiện nay đã sử dụng 50% dung lượng của NAS (10TB dữ liệu)
mục đích chứa dữ liệu backup của các phần mềm cũ trước đây (SMS, VSA,
ODTS,…)

24


25


2.2.4. Danh mục thiết bị, phần mềm an tồn thơng tin
ST
T

Giải pháp / Thiết bị

Mục đích sử dụng

1

Tường lửa
Chống lại sự truy cập trái phép, giúp
(SRX320,SRX340,SRX550 bảo vệ thông tin, dữ liệu nội bộ và hạn
)
chế sự xâm nhập từ bên ngồi.

2

Cơ lập ứng dụng web bảo vệ người
dùng cuối khỏi các cuộc tấn cơng
mạng bằng cách cách ly trình duyệt/cơ
lập phần mềm độc hại và ngăn khơng
cho nó tiếp cận đến trình duyệt của
người dùng

3

Web Isolate

Citrix


Cân bằng tải đáp ứng được các yêu
cầu về độ sẵn sàng của dịch vụ
(availability).
Phân chia tải trọng cho từng Server
trong hệ thống với nhiều cấu hình
phần cứng khác nhau

4

WAVE 694-K9

Tối ưu WAN giảm tiêu thụ băng thông
và tăng hiệu quả truyền dữ liệu qua
đường truyền WAN

5

Fsecure

Diệt virus theo thời gian thực; kiểm tra
tìm ransomeware thường xuyên

6

Carbon Black EDR

Tìm kiếm, phát hiện mối đe dọa và
giải quyết các sự cố về an ninh bảo
mật của các thiết bị điểm cuối

(endpoint).

7

Manage Engine Patch
Manager Plus

Phần mềm cung cấp giải pháp quản lý
bản vá lỗi của hệ thống Windows,
Linux, Mac OS

8

Pulse Secure

9

VPN GlobalProtect

10

PRTG Network Monitor

25

Giải pháp truy cập từ xa an toàn
Tạo kết nối Mạng riêng ảo (VPN) giữa
APS thiết bị dùng cuối và APS mạng
lưới
Giám sát tất cả các hệ thống, thiết bị,

lưu lượng truy cập và ứng dụng của cơ


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×