BẢO HIỂM XÃ HỘI VIỆT NAM
----------
CHUYÊN ĐỀ
Xây dựng quy trình ứng cứu sự cố hệ thống an tồn thơng tin
tại các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam
Người thực hiện: Lương Quốc Tuấn
Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THÔNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM
Chủ nhiệm: KS. Lê Vũ Toàn
Hà Nội - 2022
BẢO HIỂM XÃ HỘI VIỆT NAM
----------
CHUYÊN ĐỀ
Xây dựng quy trình ứng cứu sự cố hệ thống an tồn thơng tin
tại các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam
Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM
Chủ nhiệm: KS. Lê Vũ Toàn
Hà Nội - 2022
Mục lục
Danh mục từ viết tắt
Phần mở đầu
i.
Sự cần thiết
1
ii.
Mục tiêu nghiên cứu
1
iii. Đối tượng và phạm vi nghiên cứu
1
iv.
Cách tiếp cận và phương pháp nghiên cứu
2
v.
Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện
được
2
vi. Kết cấu chuyên đề
2
Chương 1. Đặc điểm và các sự cố hệ thống an tồn thơng tin tại các đơn vị
trong hệ thống Bảo hiểm xã hội Việt Nam
3
1.1. Đặc điểm về hệ thống an tồn thơng tin tại các đơn vị trong hệ thống Bảo
hiểm xã hội Việt Nam
1.1.1. Danh sách hệ thống thông tin
3
3
1.1.1.1 Hệ thống thông tin sử dụng nội bộ
3
1.1.1.2 Hệ thống thông tin phục vụ người dân, doanh nghiệp
3
1.1.1.3 Hệ thống cơ sở hạ tầng thông tin là tập hợp trang thiết bị, đường
truyền dẫn kết nối phục vụ chung hoạt động của nhiều cơ quan, tổ chức
3
1.1.1.4 Hệ thống thông tin phục vụ lưu trữ dữ liệu tập trung đối với mốt
số loại thình thông tin, dữ liệu đặc biệt quan trọng (cấp độ 5)
3
1.1.2. Mơ hình giải pháp bảo đảm an tồn thơng tin Ngành BHXH 3
1.1.2.1 Giải pháp lớp mạng
3
1.1.2.2 Giải pháp lớp ứng dụng
4
1.1.2.3 Giải pháp lớp dữ liệu
4
1.1.2.4 Giải pháp lớp endpoint (người dùng cuối)
4
1.1.3. Đánh giá mức độ nghiêm trọng khi xảy ra sự cố của các hệ thống
thông tin
4
1.1.3.1 Các loại sự cố
4
1.1.3.2 Cấp độ các hệ thống thông tin
6
3
1.1.3.3 Mức độ sẵn sàng, bí mật, tồn vẹn thơng tin khi sự cố xảy ra
7
1.1.3.4 Xác định mức độ nghiêm trọng khi xảy ra sự cố
10
1.2. Các sự cố trong hệ thống an tồn thơng tin tại các đơn vị trong hệ thống
Bảo hiểm xã hội Việt Nam
10
1.2.1 Sự cố tồn tại lỗ hổng trong hệ thống
10
1.2.2. Sự cố tấn công mã độc
11
1.2.3. Sự cố tấn công Phishing
11
1.2.4. Sự cố tấn công DoS/DdoS
11
1.2.5 Sự cố tấng công APT
11
1.2.6 Sự cố tấn công thay đổi giao diện
11
Tiểu kết Chương 1
12
Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố an tồn
thơng tin tại các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam
2.1. Tuân thủ các quy định về ứng cứu sự cố an tồn thơng tin
13
13
2.1.1. Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo đảm
an toàn hệ thống thông tin theo cấp độ
13
2.1.2. Thông tư 03/2017/TT-BTTTT ngày ngày 24/04/2017 về việc quy
định chi tiết và hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP
ngày 01/7/2016 của chính phủ về bảo đảm an tồn hệ thống thơng tin theo
cấp độ
13
2.1.3. Quyết định 05/2017/QĐ-TTg ngày 16/03/2017 ban hành Quy định về
hệ thống phương án ứng cứu khẩn cấp bảo đảm An tồn thơng tin mạng
Quốc gia
13
2.1.4. Thơng tư số 20/2017/TT-BTTTT ngày 12/09/2017 về việc quy định
điều phối, ứng cứu sự cố an tồn thơng tin mạng trên tồn quốc
2.2. Hiệu quả trong quá trình ứng cứu khẩn cấp sự cố an tồn thơng tin
13
14
2.2.1. Xác định đối tượng áp dụng các quy trình ứng cứu sự cố an tồn
thơng tin
14
2.2.2. Xác định các thành phần tham gia điều phối, ứng cứu sự cố an tồn
thơng tin
14
4
2.2.3. Xây dựng, xác định cụ thể các bước thực hiện điều phối, ứng cứu sự
cố an tồn thơng tin
2.3. Thuận lợi, dễ dàng trong đào tạo, hướng dẫn, tác nghiệp
15
15
2.3.1 Triển khai huấn luyện, diễn tập, phòng ngừa sự cố, giám sát phát hiện,
bảo đảm các điều kiện sẵn sàng đối phó, ứng cứu, khắc phục sự cố.
15
2.3.2 Phương án đối phó, ứng cứu đối với một số tình huống sự cố cụ thể15
Tiểu kết Chương 2
17
Chương 3. Xây dựng quy trình ứng cứu sự cố an tồn thơng tin tại các đơn
vị trong hệ thống Bảo hiểm xã hội Việt Nam
3.1. Phần quy định chung
3.1.1. Nguyên tắc, phương châm ứng cứu sự cố
18
18
18
3.1.2. Quy trình tổng thể ứng cứu sự cố an tồn thơng tin thơng thường tại
các đơn vị trong hệ thống BHXH Việt Nam
19
3.2. Các lực lượng tham gia ứng phó sự cố của BHXH Việt Nam
23
3.3. Quy trình ứng cứu sự cố an tồn thơng tin
25
3.3.1. Quy trình ứng cứu sự cố mã độc (Malware)
25
3.3.2. Quy trình cứu sự cố tấn cơng lừa đảo (Phishing)
28
Tiểu kết Chương 3
32
Kết luận
33
Danh mục tài liệu tham khảo
34
5
Danh mục từ viết tắt
TT
1
2
3
4
5
6
7
8
9
Danh mục
An tồn thơng tin
Ứng cứu khẩn cấp
Bảo hiểm xã hội
Bảo hiểm y tế
Bảo hiểm thất nghiệp
Công nghệ thông tin
Cơ sở dữ liệu
Chữ viết tắt, rút gọn
ATTT
ƯCKC
BHXH
BHYT
BHTN
CNTT
CSDL
1
Phần mở đầu
i. Sự cần thiết
Trong bối cảnh Việt Nam nói chung và ngành BHXH Việt Nam nói riêng
đang đẩy mạnh chuyển đổi số toàn diện, các đơn vị trong ngành BHXH đều đối
mặt với nhiều thách thức về an tồn an ninh thơng tin. Vì thế, việc nâng cao tính
sẵn sàng ứng phó với các sự cố càng trở nên quan trọng.
Vai trò của việc đảm bảo ATTT mạng rất quan trọng, đặc biệt trong tiến
trình chuyển đổi số quốc gia. Do đó việc xây dựng một quy trình ứng cứu sự cố
an tồn thơng tin tại các đơn vị trong hệ thống BHXH Việt Nam là một điều tất
yếu, nhằm đảm bảo một thế trận an tồn thơng tin, an tồn khơng gian mạng cho
tồn ngành, nâng cao nhận thức cho tồn thể cán bộ cơng chức viên chức trong
quá trình khai thác, vận hành cơ sở dữ liệu quốc gia về BHXH, BHYT.
ii. Mục tiêu nghiên cứu
Mục tiêu chung:
Mục tiêu của việc làm này là hạn chế thiệt hại và ngăn chặn bất kỳ thiệt hại
nào xảy ra thêm. Hành động ngăn chặn có thể chia thành ngắn hạn và dài hạn.
Ngăn chặn ngắn hạn là các hành động ứng phó tức thời nhằm ngăn chặn sự
ảnh hưởng của sự cố, không để thiệt hại lớn hơn. Hành động ngăn chặn ngắn
hạn có thể gồm các hành động như cô lập hệ thống bị ảnh hưởng hay chặn địa
chỉ IP trên các hệ thống an ninh.
Còn ngăn chặn dài hạn là hoạt động sau sự cố, các kế hoạch giúp nâng cao
khả năng bảo mật cho hệ thống.
Mục tiêu cụ thể
- Xây dựng các quy trình ứng cứu tương ứng với các cấp độ sự cố
- Hạn chế thiệt hại thấp nhất có thể do sự cố gây ra.
iii. Đối tượng và phạm vi nghiên cứu
Đối tượng nghiên cứu:
Toàn bộ các sự cố xảy ra thực tế khi vận hành khai thác CSDL quốc gia về
BHXH
Phạm vi nghiên cứu:
2
Hệ thống cơ sở hạ tầng công nghệ thông tin và yếu tố con người tại các đơn
vị ngành BHXH
iv. Cách tiếp cận và phương pháp nghiên cứu
Cách tiếp cận: Thông qua việc báo cáo thông tin của Trung tâm dữ liệu về
cơ sở hạ tầng, an tồn thơng tin và việc nghiên cứu các sự cố an tồn
thơng tin cùng với tham khảo các văn bản pháp luật hướng dẫn cách ứng
cứu sự cố để xây dựng quy trình ứng cứu sự cố an tồn thơng tin.
Phương pháp nghiên cứu: phân tích, xử lý số liệu để lựa chọn thông tin,
tài liệu phục vụ công tác nghiên cứu đề tài.
v. Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện
được
Những đóng góp mới của chuyên đề
- Quy trình ứng cứu sự cố hệ thống an tồn thơng tin là cẩm nang cơ bản để
các đơn vị trực thuộc ngành BHXH có thể vận dụng trong những tình huống
thực tế có thể xảy ra
- Quy trình thể hiện thực tế cơ cấu tổ chức, mối liên hệ giữa các cá nhân và
các phòng ban trong q trình phối hợp xử lý các cơng việc.
Những vấn đề mà chuyên đề chưa thực hiện được
- Quy trình chỉ phù hợp trong một giai đoạn thời, gian nhất định do tốc độ
phát triển của công nghệ máy tính và sự phức tạp biến hóa của giới “hacker”.
vi. Kết cấu chuyên đề
Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương, cụ
thể như sau:
Chương 1. Đặc điểm và các sự cố hệ thống an tồn thơng tin tại các đơn
vị trong hệ thống Bảo hiểm xã hội Việt Nam
Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệ
thống an tồn thơng tin tại các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam
Chương 3. Xây dựng quy trình ứng cứu sự cố hệ thống an tồn thơng tin
các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam
3
Chương 1. Đặc điểm và các sự cố hệ thống an tồn thơng tin tại các đơn vị
trong hệ thống Bảo hiểm xã hội Việt Nam
1.1. Đặc điểm về hệ thống an tồn thơng tin tại các đơn vị trong hệ thống
Bảo hiểm xã hội Việt Nam
1.1.1. Danh sách hệ thống thông tin
Căn cứ theo Nghị định 85/2016/NĐ-CP, Thông tư 03/2017/TT-BTTTT chủ
quản hệ thống thông tin của BHXH là BHXH Việt Nam, do trong hệ thống
thông tin bao gồm nhiều hệ thống thành phần, mỗi hệ thống thành phần lại
tương ứng với một cấp độ khác nhau, nên cấp độ hệ thống thông tin được xác
định là cấp độ cao nhất trong các cấp độ của các hệ thống thành phần cấu thành
1.1.1.1 Hệ thống thông tin sử dụng nội bộ
Đã tập trung tại TTDL của BHXH Việt Nam
1.1.1.2 Hệ thống thông tin phục vụ người dân, doanh nghiệp
Đã tập trung tại TTDL của BHXH Việt Nam
1.1.1.3 Hệ thống cơ sở hạ tầng thông tin là tập hợp trang thiết bị, đường
truyền dẫn kết nối phục vụ chung hoạt động của nhiều cơ quan, tổ
chức
a) Mạng nội bộ, mạng diện rộng, mạng truyền số liệu chuyên dùng;
b) Hệ thống cơ sở dữ liệu, trung tâm dữ liệu, điện toán đám mây;
c) Hệ thống xác thực điện tử, chứng thực điện tử, chữ ký số;
d) Hệ thống kết nối liên thông, trục tích hợp các hệ thống thơng tin;
đ) Hệ thống hỗ trợ giám sát bảo vệ các hệ thống thông tin khác;
1.1.1.4 Hệ thống thông tin phục vụ lưu trữ dữ liệu tập trung đối với mốt số
loại thình thơng tin, dữ liệu đặc biệt quan trọng (cấp độ 5)
1.1.2. Mơ hình giải pháp bảo đảm an tồn thơng tin Ngành BHXH
1.1.2.1 Giải pháp lớp mạng
Bao gồm: thiết kế hệ thống mạng; kiểm sốt bên ngồi mạng; kiểm sốt
bên trong mạng; nhật ký hệ thống; phòng chống xâm nhập; phòng chống mã độc
và bảo vệ thiết bị mạng.
4
1.1.2.2 Giải pháp lớp ứng dụng
Bao gồm: Xác thực; kiểm soát truy cập; nhật ký hệ thống; bảo mật liên lạc;
chống chối bỏ; an toàn ứng dụng và mã nguồn.
1.1.2.3 Giải pháp lớp dữ liệu
Bao gồm: Nguyên vẹn dữ liệu; bảo mật dữ liệu và sao lưu dự phòng
1.1.2.4 Giải pháp lớp endpoint (người dùng cuối)
Bảo vệ người dùng cuối khỏi các mối đe dọa bảo mật: các phần mềm độc
hại, lỗ hổng bảo mật, email rác, email lừa đảo, các rủi to bảo mật… bằng các giả
pháp: Kiểm soát người dùng; Phân loại dữ liệu; Kiểm soát truy cập mạng; Mã
hóa ổ cứng, email,…
1.1.3. Đánh giá mức độ nghiêm trọng khi xảy ra sự cố của các hệ thống thông
tin
1.1.3.1 Các loại sự cố
Các loại sự cố được tham khảo Quyết dịnh 03/2017/QĐ-TTg
- Sự cố do lỗi của hệ thống, thiết bị, phần mềm, hạ tầng kỹ thuật
Hệ thống, thiết bị, phần mềm, hạ tầng kỹ thuật bao gồm: phần cứng (máy
tính, máy chủ, máy chiếu,…), phần mềm (các chương trình máy tính, phần mềm
hệ thống, phần mềm tự xây dựng…), thiết bị hội nghị truyền hình, thiết bị
mạng,.. hệ thống đường dây cáp mạng của nhà cung cấp mạng.
Những sự cố lỗi thường xảy ra trong quá trình khai thác sử dụng như: hỏng
Ram, ổ cứng, mainbroad, nguồn, lỗi lập trình phần mềm, bẫy lỗi trong qua trình
viết code, lỗi thiết bị do nhà sản xuất, đường dây truyền dữ liệu bị ngắt do nhiều
nguyên nhân như đứt cáp, bảo trì đường truyền, cúp điện đột ngột mà khơng có
máy phát điện dự phịng …
- Sự cố do lỗi của người quản trị, vận hành hệ thống.
Là những lỗi khách quan, chủ quan do không tuân thủ quy trình quy định
trong việc quản trị, vận hành hệ thống như tắt mở thiết bị khơng đúng quy định,
cấu hình sai các thiết bị mạng,
- Sự cố lỗ hổng tồn tại trong thiết bị, phần mềm hệ thống.
5
Là những lỗi trong quá trình sản xuất thiết bị, lập trình phần mềm mà nhà
sản xuất khơng lưởng hết các sự cố có thể xảy ra, các lỗ hỗng bảo mật của các
phần mềm hệ thống như: lỗi firmware của máy tính Dell, HP; các bản vá của hệ
điều hành windows cho các lỗ hỗng của HĐH
- Sự cố tấn công thay đổi giao diện (Deface).
Tấn công thay đổi giao diện (Website Defacement) là hình thức tấn cơng
làm thay đổi giao diện của một trang web. Kẻ tấn công đột nhập vào máy chủ
web và thay đổi giao diện trang web.
Các trường hợp website bị tấn công Deface đa số là do :
Đặt mật khẩu quản trị quá yếu ( khơng đủ độ dài ký tự, khơng có các ký tự
viết hoa, ký tự đặc biệt,… ), thiếu cơ chế chống brute force khiến kẻ tấn cơng có
thể dị password admin.
Cài đặt các module, plugin, extension,… trong các mã nguồn mở hiện nay (
thường là các website joomla, WordPress,…).
Để lộ mật khẩu quản trị.
- Sự cố tấn công giả mạo (Phishing).
Tấn cơng giả mạo (Phishing) là hình thức tấn công mạng mà kẻ tấn công
giả mạo thành một đơn vị uy tín để lừa đảo người dùng cung cấp thông tin cá
nhân cho chúng.
Phương thức tấn công này thường được tin tặc thực hiện thông qua email
và tin nhắn. Người dùng khi mở email và click vào đường link giả mạo sẽ được
yêu cầu đăng nhập. Nếu “mắc câu”, tin tặc sẽ có được thơng tin ngay tức khắc.
Các phương thức tấn công: Giả mạo email, Giả mạo Website, Vượt qua các
bộ lọc Phishing,..
- Sự cố tấn công từ chối dịch vụ (DDoS).
Từ chối dịch vụ (DDoS) là nỗ lực làm sập một dịch vụ trực tuyến bằng
cách làm tràn ngập nó với traffic từ nhiều nguồn.
Có ba loại tấn công cơ bản:
Volume-based: Sử dụng lưu lượng truy cập cao để làm tràn ngập băng
thông mạng
6
Protocol: Tập trung vào việc khai thác các tài nguyên máy chủ
Application: Tập trung vào các ứng dụng web và được xem là loại tấn công
tinh vi và nghiêm trọng nhất
- Sự cố lây nhiễm mã độc (Malware).
Là thuật ngữ mơ tả các chương trình hoặc mã độc có khả năng cản trở hoạt
động bình thường của hệ thống bằng cách xâm nhập, kiểm sốt, làm hỏng hoặc
vơ hiệu hóa hệ thống mạng, máy tính, máy tính bảng và thiết bị di động,…
Các loại Malware phổ biến
Virus: Loại chương trình này vơ cùng nguy hiểm vì có khả năng sinh sôi,
lây lan ra khắp hệ thống phần mềm, gây thiệt hại phần cứng,… với tốc độ rất
nhanh. Nếu không khắc phục kịp thời, mọi thơng tin, dữ liệu, thậm chí là thiết bị
đều sẽ mất kiểm sốt.
Worm: Hay cịn được hiểu với nghĩa là con sâu và chương trình này cịn
độc hại hơn cả virus. Bởi Worm có thể tự sinh sôi, hoạt động mà không chịu bất
kỳ sự tác động, điều khiển nào đến từ con người cả. Thậm chỉ khi đã bị “tiêu
diệt” rồi thì vẫn có khả năng tự tái tạo, hoạt động lại như bình thường. Nghe khá
giống với kiểu AI – trí tuệ nhân tạo.
Trojan: Một phần mềm được xây dựng như một chương trình chính chủ,
hợp pháp và uy tín. Được quảng cáo và sở hữu chức năng bảo vệ, giúp máy tính
tránh khỏi sự xâm nhập, tấn công của Virus. Thực chất Trojan giống như một
cánh cổng mở ra và cho phép hàng triệu loại Virus khác nhau tiến công, gây hại
cho máy tính. Mặc dù Trojan khơng có chức năng sao chép dữ liệu những lại có
khả năng “hủy diệt” rất kinh khủng.
1.1.3.2 Cấp độ các hệ thống thông tin
Hệ thống thông tin phục vụ người dân, doanh nghiệp thuộc một trong các loại
hình như sau:
a) Cung cấp thơng tin và dịch vụ công trực tuyến từ mức độ 2 trở xuống theo
quy định của pháp luật;
b) Cung cấp dịch vụ trực tuyến khơng thuộc danh Mục dịch vụ kinh doanh có
Điều kiện;
7
c) Cung cấp dịch vụ trực tuyến khác có xử lý thông tin riêng, thông tin cá nhân
của dưới 10.000 người sử dụng.
- Ở các đơn vị là cấp độ 2: ứng với 2 điểm
- Tại Trung tâm Dữ liệu có cấp 3, 4
STT
Tên hệ thống
Cấp độ
1
Hệ thống mạng nội bộ, mạng diện rộng
2
2
Hệ thống máy chủ
2
3
Hệ thống lưu trữ
2
4
Hệ thống tự phát triển
1
1.1.3.3 Mức độ sẵn sàng, bí mật, tồn vẹn thơng tin khi sự cố xảy ra
Luận giải cách đánh giá
Mức ảnh
Tính bảo mật (C)
hưởng
Đặc biệt nghiêm Việc bị lộ thơng tin
trọng (5)
trái phép làm ảnh
hưởng
nghiêm
trọng đến quốc
phịng, an ninh
Nghiêm
(4)
trọng Việc bị lộ thông tin
trái phép làm tổn
hại
đặc
biệt
nghiêm trọng tới
lợi ích cơng cộng
và trật tự, an tồn
xã hội hoặc làm
tổn hại nghiêm
trọng tới quốc
phòng, an ninh
quốc gia
Vừa phải (3)
Tính tồn vẹn
(I)
Việc sửa đổi hoặc
phá hủy trái phép
thơng tin làm ảnh
hưởng
nghiêm
trọng đến quốc
phòng, an ninh
Việc sửa đổi hoặc
phá hủy trái phép
thơng tin làm tổn
hại
đặc
biệt
nghiêm trọng tới
lợi ích cơng cộng
và trật tự, an toàn
xã hội hoặc làm
tổn hại nghiêm
trọng tới quốc
phịng, an ninh
quốc gia
Việc bị lộ thơng tin Việc sửa đổi hoặc
trái phép làm tổn phá hủy trái phép
Tính sẵn sàng (A)
Việc gián đoạn truy
cập hoặc sử dụng
thông tin/hệ thống
thông tin làm ảnh
hưởng
nghiêm
trọng đến quốc
phòng, an ninh
Việc gián đoạn truy
cập hoặc sử dụng
thông tin/hệ thống
thông tin làm tổn
hại đặc biệt nghiêm
trọng tới lợi ích
cơng cộng và trật
tự, an tồn xã hội
hoặc làm tổn hại
nghiêm trọng tới
quốc phòng, an
ninh quốc gia
Việc gián đoạn truy
cập hoặc sử dụng
8
hại nghiêm trọng
tới sản xuất, lợi ích
cơng cộng và trật
tự, an tồn xã hội
hoặc làm tổn hại
tới quốc phịng, an
ninh quốc gia
Nhỏ (2)
Việc bị lộ thông tin
trái phép làm tổn
hại nghiêm trọng
tới quyền và lợi ích
hợp pháp của tổ
chức, cá nhân hoặc
làm tổn hại tới lợi
ích cơng cộng
Khơng đáng kể Việc bị lộ thông tin
(1)
trái phép làm tổn
hại tới quyền và lợi
ích hợp pháp của
tổ chức, cá nhân
thơng tin làm tổn
hại nghiêm trọng
tới sản xuất, lợi
ích cơng cộng và
trật tự, an tồn xã
hội hoặc làm tổn
hại tới
quốc
phịng, an ninh
quốc gia
Việc sửa đổi hoặc
phá hủy trái phép
thông tin làm tổn
hại nghiêm trọng
tới quyền và lợi
ích hợp pháp của
tổ chức, cá nhân
hoặc làm tổn hại
tới lợi ích cơng
cộng
Việc sửa đổi hoặc
phá hủy trái phép
thơng tin làm tổn
hại tới quyền và
lợi ích hợp pháp
của tổ chức, cá
nhân
thông tin/hệ thống
thông tin làm tổn
hại nghiêm trọng
tới sản xuất, lợi ích
cơng cộng và trật
tự, an tồn xã hội
hoặc làm tổn hại
tới quốc phòng, an
ninh quốc gia
Việc gián đoạn truy
cập hoặc sử dụng
thông tin/hệ thống
thông tin làm tổn
hại nghiêm trọng
tới quyền và lợi ích
hợp pháp của tổ
chức, cá nhân hoặc
làm tổn hại tới lợi
ích cơng cộng
Việc gián đoạn truy
cập hoặc sử dụng
thông tin/hệ thống
thông tin làm tổn
hại tới quyền và lợi
ích hợp pháp của tổ
chức, cá nhân
9
a. Đánh giá 3 thuộc tính CIA của hệ thống đối với hệ thống cấp độ 1
STT
Tên sự cố
1
Sự cố do lỗi của hệ
thống, thiết bị, phần
mềm, hạ tầng kỹ
thuật.
Tính bảo
mật
2
Tính tồn
vẹn
Tính sẵn sàng
2
Đối với hệ thống
có dự phịng: 1
Hệ thống khơng
có dự phịng: 2
Sự cố do lỗi của
2
người quản trị, vận
2
3
3
hành hệ thống
Sự cố lỗ hổng tồn tại
3
trong thiết bị, phần
2
2
2
mềm hệ thống
Sự cố tấn công thay
4
đổi
giao
diện
2
2
2
(Deface)
Sự cố tấn công giả
5
2
2
2
mạo (Phishing)
Sự cố tấn công từ
6
2
2
2
chối dịch vụ (DdoS)
Sự cố lây nhiễm mã
7
2
2
2
độc (Malware)
b. Đánh giá 3 thuộc tính CIA của hệ thống đối với hệ thống cấp độ 2
STT
1
2
3
4
5
6
Tên sự cố
Sự cố do lỗi của hệ
thống, thiết bị, phần
mềm, hạ tầng kỹ thuật.
Sự cố do lỗi của người
quản trị, vận hành hệ
thống
Sự cố lỗ hổng tồn tại
trong thiết bị, phần
mềm hệ thống
Sự cố tấn công thay đổi
giao diện (Deface)
Sự cố tấn công giả mạo
(Phishing)
Sự cố tấn công từ chối
dịch vụ (DdoS)
Tính bảo mật
Tính tồn
vẹn
Tính sẵn
sàng
2
2
2
3
3
3
3
3
2
3
3
2
3
3
2
3
3
3
10
7
Sự cố lây nhiễm mã độc
(Malware)
2
2
2
1.1.3.4 Xác định mức độ nghiêm trọng khi xảy ra sự cố
10-15 điểm: thông thường
15-20 nghiêm trọng
+ Cấp độ: 5 điểm
+ CIA: mỗi cái 5 điểm
1.2. Các sự cố trong hệ thống an tồn thơng tin tại các đơn vị trong hệ
thống Bảo hiểm xã hội Việt Nam
1.2.1 Sự cố tồn tại lỗ hổng trong hệ thống
- Sự cố lỗ hổng trong hệ điều hành window trong năm 2021 và đầu năm
2022: CVE-2021-36947; CVE-2021-36936; CVE-2021-34483; CVE-202126424; CVE-2021-34535; CVE-2021-36948; CVE-2021-36942; CVE-202136941; CVE-2022-21907; lỗ hổng bảo mật trên Apache Log4j va Apache HTTP;
CVE-202221857;CVE-2022-21911;CVE-2022-21836...
1.2.2. Sự cố tấn công mã độc
Theo báo cáo của các đơn vị giám sát trong tháng 01/2022 đã ghi nhận
1.228 IP của các đơn vị trực thuộc BHXH Việt Nam và BHXH các tỉnh, thành
phố nằm trong mạng botnet, trong đó thơng tin giám sát trực tiếp 1.161 địa chỉ
IP, thông tin giám sát gián tiếp 67 địa chỉ IP; 683 địa chỉ IP trong mạng nội bộ
của các đơn vị có kết nối mã độc spyware, virus; 1.105 máy tính bị nhiễm mã
độc, phát hiện 607 loại mã độc đã lây nhiễm trong hệ thống ngành;
Hệ thống quản trị tập trung phần mềm phát hiện và phản ứng với cuộc tấn
công chưa biết (EDR) ngành BHXH Việt Nam đã thống kê có 271.217 lượt cảnh
báo tiến trình mã độc MD5/SHA256.
Hệ thống tường lửa chống virus được phát tán qua thư điện tử của Ngành
đã ghi nhận, ngăn chặn số lượng lớn thư điện tử phát hiện có virus: 134 thư điện
tử có virus trên tầng application; 128.887 | 372 (vào | ra) thư điện tử bị nghi ngờ
11
là thư rác được ngăn chặn và cảnh báo đến người dùng; 187 thư điện tử đính
kèm link giả mạo với mục đích đánh cắp mật khẩu của người dùng;
1.2.3. Sự cố tấn công Phishing
Theo báo cáo từ VNCERT từ tháng 10/2021 các đơn vị thuộc ngành BHXH
chưa xảy ra sự cố tấn công Phishing
1.2.4. Sự cố tấn công DoS/DdoS
Theo báo cáo từ VNCERT từ tháng 10/2021 các đơn vị thuộc ngành BHXH
chưa xảy ra sự cố tấn công DoS/DdoS
1.2.5 Sự cố tấng công APT
Theo báo cáo từ VNCERT từ tháng 10/2021 các đơn vị thuộc ngành BHXH
chưa xảy ra sự cố tấn công APT
1.2.6 Sự cố tấn công thay đổi giao diện
Theo báo cáo từ VNCERT từ tháng 10/2021 các đơn vị thuộc ngành BHXH
chưa xảy ra sự cố tấn công thay đổi giao diện
12
Tiểu kết Chương 1
Hệ thống dữ liệu của BHXH Việt Nam chủ yếu tập trung tại TTDL ngành
nên hầu hết các sự cố nghiêm trọng đều có thể xảy ra tại đây. Theo báo cáo từ
VNCERT từ tháng 10/2021 các đơn vị thuộc ngành BHXH chưa xảy ra sự cố tấn
cơng nào ngồi các sự cố nhiễm mã độc. Tuy nhiên chính từ các sự cố mã độc
bắt nguồn từ các đơn vị trực thuộc cùng với sự chủ quan của cán bộ quản trị
mạng, cán bộ vận hành hệ thống thì hệ thống cơng nghệ thơng tin có thể mất an
tồn thơng tin khi có sự kiện hay chiến dịcch nào đó xảy ra.Vì vậy viêc ban hành
một quy trình ứng cứu sự cố an tồn thơng tin tại các đơn vị trong hệ thống Bảo
hiểm xã hội Việt Nam là điều hết sức cần thiết.
13
Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố an tồn thơng
tin tại các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam
2.1. Tuân thủ các quy định về ứng cứu sự cố an tồn thơng tin
Việc xây dựng các quy trình ứng cứu cần tuân thủ các quy định về điều
phối, ứng cứu sự cố an tồn thơng tin. Cụ thể là những văn bản sau đây:
2.1.1. Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo
đảm an toàn hệ thống thông tin theo cấp độ
Nghị định đã nêu ra những nguyên tắc xác định cấp độ và bảo đảm an
tồn thơng tin cho các hệ thống thơng tin theo cấp độ. Theo đó các hệ thống
thơng tin được đánh giá theo 5 cấp độ với những tiêu chí xác định cho từng cấp
độ.
2.1.2. Thông tư 03/2017/TT-BTTTT ngày ngày 24/04/2017 về việc quy
định chi tiết và hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP ngày
01/7/2016 của chính phủ về bảo đảm an tồn hệ thống thơng tin theo cấp độ
Thông tư hướng dẫn cụ thể xác định hệ thống thông tn cụ thể và hướng
dẫn cách xác định, thuyết minh cấp độ an tồn hệ thống thơng tin và những yêu
cầu bảo đảm an toàn hệ thống thông tin theo cấp độ.
2.1.3. Quyết định 05/2017/QĐ-TTg ngày 16/03/2017 ban hành Quy định
về hệ thống phương án ứng cứu khẩn cấp bảo đảm An tồn thơng tin mạng
Quốc gia
Quyết định đã xác định phân cấp tổ chức thực hiện ứng cứu sự cố bảo
đảm an tồn thơng tin mạng Quốc gia và phương án ứng cứu các sự cố. Căn cứ
vào quyết định này, có thể xác định được phạm vi áp dụng, xây dựng quy trình
chung cho ứng cứu sự cố nghiêm trọng ảnh hưởng đến an toàn thơng tin mạng
Quốc gia. Tại Điều 9 đã phân nhóm sự cố an tồn thơng tin mạng, trong đó quy
định các tiêu chí của sự cố an tồn thơng tin mạng nghiêm trọng.
2.1.4. Thông tư số 20/2017/TT-BTTTT ngày 12/09/2017 về việc quy định
điều phối, ứng cứu sự cố an toàn thơng tin mạng trên tồn quốc
Thơng tư đã xác định phân cấp tổ chức thực hiện ứng cứu sự cố bảo đảm
an tồn thơng tin mạng trên tồn quốc và phương án ứng cứu các sự cố. Căn cứ
14
vào quyết định này, có thể xác định được phạm vi áp dụng, xây dựng quy trình
chung cho ứng cứu sự cố thông thường.
2.1.5 Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 về việc ứng phó sự
cố bảo đảm an tồn thơng tin mạng trong ngành BHXH Việt Nam.
Kế hoạch đã đặt ra những mục đích, yêu cầu và quy định chung trong việc
ứng phó với sự cố an tồn thơng tin trong ngành BHXH Việt Nam.
2.2. Hiệu quả trong quá trình ứng cứu khẩn cấp sự cố an tồn thơng
tin
2.2.1. Xác định đối tượng áp dụng các quy trình ứng cứu sự cố an tồn
thơng tin
Xác định được các hệ thống thông tin của các đơn vị trong hệ thống
BHXH Việt Nam:
- Hệ thống thông tin phục vụ hoạt động nội bộ
- Hệ thống thông tin phục vụ người dân, doanh nghiệp
- Hệ thống cơ sở hạ tầng thông tin
Xác định được cấp độ đề xuất của các hệ thống thông tin bao gồm 08 hệ
thống cấp độ 4 và 16 hệ thống thông tin cấp độ 3.
2.2.2. Xác định các thành phần tham gia điều phối, ứng cứu sự cố an tồn
thơng tin
Chun đề đã xác định được các thành phần tham gia điều phối ứng cứu
sự cố an toàn thông tin, bao gồm:
- Chủ quản hệ thống thông tin: Đơn vị trong hệ thống Bảo hiểm xã hội
Việt Nam
- Đơn vị chuyên trách về ứng cứu sự cố ATTT mạng: Trung tâm Công
nghệ thông tin trực thuộc BHXH Việt Nam
- Đội ứng cứu sự cố ATTT mạng ngành BHXH Việt Nam.
- Đơn vị vận hành hệ thống thông tin: Văn phòng BHXH Việt Nam, các
đơn vị sự nghiệp trực thuộc BHXH Việt Nam, BHXH các tỉnh, thành
phố trực thuộc Trung ương có quản lý trực tiếp hệ thống thơng tin và
các đơn vị được thuê vận hành hệ thống thông tin.
- Cơ quan thường trực về ứng cứu khẩn cấp bảo đảm ATTT mạng quốc
gia là Bộ Thông tin và Truyền thông.
15
- Cơ quan điều phối quốc gia là Trung tâm Ứng cứu khẩn cấp máy tính
Việt Nam thuộc Bộ Thơng tin và Truyền thông.
- Ban Chỉ đạo quốc gia về ứng cứu khẩn cấp bảo đảm ATTT mạng là
Ban Chỉ đạo an tồn thơng tin quốc gia đảm nhiệm chức năng chỉ đạo
ứng cứu khẩn cấp bảo đảm ATTT mạng.
- Đơn vị cung cấp dịch vụ ATTT mạng là nhà thầu cung cấp dịch vụ do
ngành BHXH thuê để thực hiện bảo đảm ATTT mạng cho ngành
BHXH.
2.2.3. Xây dựng, xác định cụ thể các bước thực hiện điều phối, ứng cứu
sự cố an tồn thơng tin
Chun đề cần đưa ra quy trình và xác định cụ thể các bước thực hiện
điều phối, ứng cứu một cách chi tiết, có thể áp dụng vào thực tiễn để bảo đảm
hiệu quả của q trình ứng cứu. Ngồi ra, chun đề cần phân loại chi tiết các
loại sự cố theo quy định của Thông tư 20/2017/TT-BTTTT.
2.3. Thuận lợi, dễ dàng trong đào tạo, hướng dẫn, tác nghiệp
2.3.1 Triển khai huấn luyện, diễn tập, phòng ngừa sự cố, giám sát phát
hiện, bảo đảm các điều kiện sẵn sàng đối phó, ứng cứu, khắc phục sự cố.
Việc xây dựng được các quy trình ứng cứu sự cố cần góp phần thực hiện
huấn luyện, diễn tập các phương án đối phó, ứng cứu sự cố tương ứng với các
kịch bản, tình huống sự cố cụ thể; huấn luyện, diễn tập nâng cao kỹ năng, nghiệp
vụ phối hợp, ứng cứu, chống tấn công, xử lý mã độc, khắc phục sự cố; tham gia
huấn luyện, diễn tập vùng, miền, quốc gia, quốc tế.
2.3.2 Phương án đối phó, ứng cứu đối với một số tình huống sự cố cụ thể
Đối với mỗi hệ thống thơng tin, chương trình, ứng dụng, cần xây dựng
tình huống, kịch bản sự cố cụ thể và đưa ra phương án đối phó, ứng cứu sự cố
tương ứng. Trong phương án đối phó, ứng cứu phải đặt ra được các tiêu chí, quy
trình xử lý để có thể nhanh chóng xác định được tính chất, mức độ nghiêm trọng
của sự cố khi sự cố xảy ra. Việc xây dựng phương án đối phó, ứng cứu sự cố cần
đảm bảo các nội dung sau:
- Phương pháp, cách thức để xác định nhanh chóng, kịp thời nguyên
nhân, nguồn gốc sự cố nhằm áp dụng phương án đối phó, ứng cứu,
khắc phục sự cố phù hợp.
16
- Phương án đối phó, ứng cứu, khắc phục sự cố đối với một hoặc nhiều
tình huống.
- Cơng tác tổ chức, điều hành, phối hợp giữa các lực lượng, giữa các tổ
chức trong đối phó, ngăn chặn, ứng cứu, khắc phục sự cố.
- Phương án về nhân lực, trang thiết bị, phần mềm, phương tiện, công cụ,
và dự kiến kinh phí để thực hiện, đối phó, ứng cứu, xử lý đối với từng
tình huống sự cố
17
Tiểu kết Chương 2
Dựa vào các văn bản, quy định làm căn cứ triển khai việc xây dựng quy
trình ứng cứu sự cố an tồn thơng tin tại các đơn vị trong hệ thống Bảo hiểm xã
hội Việt Nam, tử đó xác định được đối tượng áp dụng, thành phần tham gia và
xác định các bước thực hiện điều phối, ứng cứu sự cố an tồn thơng tin, phương
án đối phó, ứng cứu đối với một số tình huống sự cố cụ thể.
18
Chương 3. Xây dựng quy trình ứng cứu sự cố an tồn thơng tin tại các
đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam
3.1. Phần quy định chung
3.1.1. Nguyên tắc, phương châm ứng cứu sự cố
Các nguyên tắc, phương châm ứng phó sự cố:
a. Tuân thủ các quy định pháp luật về ứng cứu sự cố ATTT mạng
b. Chủ động, kịp thời, chính xác và phối hợp chặt chẽ, đồng bộ, hiệu
quả giữa các tổ chức, đơn vị tham gia.
c. Ứng cứu sự cố trước hết phải được thực hiện, xử lý bằng lực lượng
tại chỗ do Đơn vị vận hành hệ thống thông tin chịu trách nhiệm chính.
d. Tuân thủ các điều kiện, nguyên tắc ưu tiên về duy trì hoạt động của
hệ thống thơng tin đã được cấp thẩm quyền phê duyệt.
e. Thông tin trao đổi trong quá trình ứng cứu sự cố phải được kiểm
tra, xác minh đối tượng trước khi thực hiện các bước tác nghiệp tiếp theo.
f. Bảo đảm bí mật thơng tin biết được khi tham gia, thực hiện các hoạt
động ứng cứu sự cố.
19
3.1.2. Quy trình tổng thể ứng cứu sự cố an tồn thơng tin thơng thường tại
các đơn vị trong hệ thống BHXH Việt Nam
Hình 1. Quy trình tổng thể ứng cứu sự cố an tồn thơng tin thơng thường các đơn vị
trong hệ thống BHXH Việt Nam
Quy trình tổng thể ứng cứu sự cố an tồn thơng tin thơng thường gồm có:
a.
Phát hiện/Tiếp nhận sự cố: