BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Xây dựng quy trình ứng cứu sự cố hệ thống mạng nghiêm trọng
tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Người thực hiện: Nguyễn Duy Hưng

Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn

Hà Nội - 2022
1


BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Xây dựng quy trình ứng cứu sự cố hệ thống mạng nghiêm trọng
tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn

Hà Nội - 2022
2


Mục lục

Danh mục từ viết tắt
TT
1
2
3
4
5
6
7
8
9
10
11
12

Danh mục
An tồn thơng tin
Ứng cứu khẩn cấp
Bảo hiểm xã hội
Bảo hiểm y tế
Bảo hiểm thất nghiệp
Cơng nghệ thơng tin
Cơ sở dữ liệu
Chính phủ điện tử

Mạng diện rộng
Mạng truyền số liệu chuyên dùng
Trung tâm dữ liệu

Danh mục các bảng

3

Chữ viết tắt, rút gọn
ATTT
ƯCKC
BHXH
BHYT
BHTN
CNTT
CSDL
CPĐT
WAN
TSLCD
TTDL


Danh mục hình ảnh

4


5

Phần mở đầu

i. Sự cần thiết
Hệ thống mạng tại Trung tâm dữ liệu Ngành BHXH Việt Nam đảm bảo
kết nối, khả năng xử lý, chuyển mạch các lưu lượng mạng cho các hệ thống
phần mềm, CSDL nghiệp vụ phục vụ việc tuy cập khai thác thông tin từ nội
bộ (qua mạng WAN/Internet) và các tổ chức kết nối bên ngoài Bộ, Ban,
Ngành (qua mạng TSLCD), các tổ chức cung cấp dịch IVAN, các ngân hàng
(qua kênh truyền kết nối riêng), truy cập người dân, doanh nghiệp, các cơ sở
khám chữa bệnh đăng ký Khám chữa bệnh BHYT (qua mạng Internet). Sự cố
hệ thống mạng là việc hệ thống mạng bị tấn công hoặc bị lỗi gây nguy hại,
ảnh hưởng tới tính nguyên vẹn, tính bảo mật hoặc tính khả dụng của hệ thống
thông tin. Sự cố mạng nghiêm trọng được định nghĩa là sự cố làm dừng, mất
khả năng truy cập của một hoặc nhiều hệ thống thông tin từ cấp độ 02 trở lên.
Việc xây dựng quy trình ứng cứu sự cố hệ thống mạng giúp thống nhất
về mặt quy trình ứng cứu, điều phối xử lý sự cố; Xác định, phân loại, khắc
phục nhanh chóng, hiệu quả đảm bảo hệ thống thông tin được khôi phục đảm
bảo các đặc tính an tồn thơng tin (tính ngun vẹn, tính bảo mật và khả
dụng)
ii. Mục tiêu nghiên cứu
• Mục tiêu chung: Xác định các loại sự cố hệ thống mạng, phân loại mức
độ nghiêm trọng tác động đối với hệ thống thơng tin tại Trung tâm dữ
liệu từ đó xây dựng những quy trình ứng cứu sự cố cụ thể.
• Mục tiêu cụ thể:
- Nghiên cứu, xây dựng quy trình chung ứng cứu sự cố hệ thống mạng tại
Trung tâm dữ liệu Ngành BHXH.
- Nghiên cứu, xây dựng quy trình ứng cứu sự cố thiết bị mạng tại Trung
tâm dữ liệu Ngành BHXH.

5



6
- Nghiên cứu, xây dựng quy trình ứng cứu sự cố kênh truyền kết nối mạng
tại Trung tâm dữ liệu Ngành BHXH.
iii. Đối tượng và phạm vi nghiên cứu
• Đối tượng nghiên cứu: Các văn bản quy phạm pháp luật liên quan đến
an ninh thông tin mạng, Hướng dẫn quản lý, vận hành, đảm bảo an tồn
thơng tin hệ thống mạng; Các khái niệm sự cố hệ thống mạng, cách
phát hiện, phân loại mức độ và xử lý sự cố tại Trung tâm dữ liệu Ngành
BHXH.
• Phạm vi nghiên cứu: Hệ thống mạng tại Trung tâm dữ liệu Ngành
BHXH Việt Nam
iv.

Cách tiếp cận và phương pháp nghiên cứu
• Cách tiếp cận: Qua quá trình quản lý, vận hành, giám sát Trung tâm dữ
liệu Ngành BHXH Việt Nam đã tổng hợp, thống kê theo các loại sự cố
nghiêm trọng của hệ thống mạng có thể xảy ra, đã xảy ra; Các biện
pháp, phương án khắc phục xử lý sự cố. Ngoài ra, nghiên cứu tìm hiểu
các văn bản quy phạm pháp luật của Thủ tướng Chính phủ, Bộ Thơng
tin và Truyền thơng, BHXH Việt Nam để xây dựng và hồn thiện quy
trình ứng cứu, điều phối xử lý sự cố.
• Phương pháp nghiên cứu: Tổng hợp, thống kê, phân tích nguyên nhân
sự cố, đưa ra phương án xử lý, hoàn thiện thành quy trình.

v. Những đóng góp mới và những vấn đề mà chun đề chưa thực hiện
được
• Những đóng góp mới của chuyên đề
- Xây dựng một quy trình chung cho việc ứng cứu, điều phối sự cố nghiêm
trọng tại Trung tâm dữ liệu Ngành BHXH Việt Nam
- Xây dựng 02 quy trình ứng cứu sự cố nghiêm trọng bao gồm sự cố liên

quan đến thiết bị mạng và đường truyền kết nối tại TTDL Ngành
• Những vấn đề mà chuyên đề chưa thực hiện được
6


7
- Chun đề cịn chưa xây dựng được quy trình ứng cứu sự cố liệt kê được
hết các lỗi, nguyên nhân chi tiết có thể xảy ra gây ra sự cố nghiêm trọng
đối với hệ thống tại TTDL Ngành.
vi. Kết cấu chuyên đề
Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương,
cụ thể như sau:
Chương 1. Một số vấn đề về sự cố hệ thống mạng nghiêm trọng tại
Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệ
thống mạng nghiêm trọng tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt
Nam
Chương 3. Xây dựng quy trình ứng cứu sự cố hệ thống mạng nghiêm
trọng tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

7


8

Chương 1. Sự cố hệ thống mạng nghiêm trọng tại Trung tâm dữ liệu
ngành Bảo hiểm xã hội Việt Nam
1.1. Đặc điểm Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
1.1.1. Các thiết bị mạng và an ninh bảo mật tại Trung tâm dữ liệu
Ngành BHXH Việt nam

TTDL chính được đầu tư xây dựng từ năm 2015 nhằm đáp ứng nhu cầu
triển khai và quản lý tập trung các hệ thống ứng dụng CNTT của Ngành.
TTDL đang sử dụng dịch vụ thuê chỗ đặt máy chủ tại TTDL Viettel IDC, Khu
Cơng nghệ cao Hịa Lạc với các tiêu chuẩn đạt chất lượng toàn cầu, cùng
nhiều điều kiện về cơ sở vật chất, công tác vận hành, an ninh và quản lý chất
lượng.
TTDL chính về cơ bản đã được trang bị đầy đủ các phân hệ phần cứng
chuyên dụng như thiết bị mạng (chuyển mạch lõi, chuyển mạch phân phối/
truy cập và chuyển mạch cho vùng quản trị; định tuyến Internet và WAN; cân
bằng tải ứng dụng và cân bằng tải đường truyền), thiết bị an ninh bảo mật
(tường lửa lớp lõi, tường lửa lớp biên, thiết bị bảo mật, phịng chống thư rác,
thiết bị phịng chống tấn cơng từ chối dịch vụ DDOS, thiết bị bảo mật chuyên
dụng cho CSDL, phần mềm rò quét lỗ hổng bảo mật và tối ưu chính sách an
ninh bảo mật); thiết bị lưu trữ và sao lưu dữ liệu; thiết bị máy chủ và ảo hóa.
Cụ thể các trang thiết bị mạng và an ninh bảo mật như sau:
Bảng 1: Bảng danh sách thiết bị mạng tại Trung tâm dữ liệu Ngành
A
1
2
3
4
8

Thiết bị mạng và an ninh bảo mật
Thiết bị mạng
Chức năng
Cân bằng tải đường
- Cân bằng tải các đường truyền Internet
truyền
theo các cơ chế Loadbalacing Roudbin…

- Chia đều tải và load outbound từ các server
Cân bằng tải ứng dụng
DMZ ra Internet
- Định tuyến tìm đường đi ngắn nhất trong
Định tuyến WAN
hệ thống mạng WAN
Tối ưu WAN
- Ứng dụng các công nghệ, kỹ thuật hiện đại
để thực hiện tối ưu lưu lượng mạng, tăng tốc


9

5

6
7

8
9
B

1

2

3

4


9

đường truyền WAN
- Cân bằng tải đường truyền WAN liên tỉnh
- Đảm bảo tính dự phịng, kiểm tra lỗi tự
động chuyển kết nối khi có lỗi trên 01 kênh
Cân bằng tải WAN
truyền
- Giám sát và điều hướng lưu lượng ứng
dụng theo các đường khác nhau
- Phục vụ kết nối giữa các vùng với nhau
Chuyển mạch lõi
- Điều hướng traffic giữa các vung với bên
ngoài và ngược lại
- Phục vụ kết nối các thiết bị vùng lõi
Chuyển mạch phân phối
- Kết nối thiết bị chuyển mạch lõi với các
10G
thiết bị chuyển mạch truy cập
- Phục vụ kết nối các kênh truyền kết nối với
Chuyển mạch phân phối mạng TSLCD, mạng WAN, mạng Internet,
1G
mạng kết nối riêng kết nối với ngân hàng,
đơn vị cung cấp dịch vụ IVAN…
- Phục vụ kết nối cổng quản trị các thiết bị
Chuyển mạch truy cập
mạng, máy chủ, bảo mật.
Thiết bị an ninh bảo
mật
- Ngăn chặn các tấn công từ mạng WAN

- Quản lý, thiết lập các chính sách kiểm sốt
Tường lửa WAN
truy cập mạng WAN
- Phân tích, đánh giá lưu lượng trên đường
truyền WAN
- Ngăn chặn các tấn công trên mạng Internet
- Quản lý, thiết lập các chính sách kiểm sốt
Tường lửa biên Internet truy cập mạng Internet
- Phân tích, đánh giá lưu lượng trên đường
truyền Internet
- Ngăn chặn các tấn công giữa các vùng
mạng lõi
- Quản lý, thiết lập các chính sách kiểm sốt
Tường lửa lõi
truy cập vùng mạng lõi
- Phân tích, đánh giá lưu lượng trong mạng
lõi
Tường lửa cơ sở dữ liệu - Giám sát, báo cáo một cách độc lập về các
hành động, thao tác chi tiết của người
dùng/ứng dụng và người quản trị trên hệ
thống CSDL/dữ liệu


10

5

Tường lửa Email

6


Kiểm sốt truy cập
WAN

7

Phịng chống DDOS

8

Phịng chống xâm nhập

9

Phịng chống tấn cơng
APT

10 Phân tích truy vết

- Ngăn chặn các hành động trái phép vào dữ
liệu và bảo vệ dữ liệu nhạy cảm, giúp nâng
cao an ninh dữ liệu cũng như tuân thủ các
tiêu chuẩn về ATTT (PCI DSS)
- Hệ thống có khả năng chống và lọc spam;
- Có khả năng phát hiện các thư spam theo
các tiêu chí được cấu hình bởi người quản trị
và cập nhật các mẫu spam định kỳ
- Kiểm soát việc truy cập vào hệ thống
mạng, ngăn chặn truy cập bất hợp pháp từ
các máy tính lạ, máy khách, thiết bị lạ hoặc

các máy chưa tuân thủ chính sách bảo mật tổ
chức đặt ra tới hệ thống mạng tổ chức.
- Tính năng này của giải pháp NAC thực sự
chuyên sâu hơn so với các thiết bị bảo mật
như Firewall, IPS, APT
- Phát hiện và phịng, chống tấn cơng từ chối
dịch vụ DoS/DDoS đã biết và tấn cơng zeroday nhằm bảo đảm tính khả dụng của hệ
thống, ứng dụng và dịch vụ.
- Theo dõi các hoạt động bất thường đối với
hệ thống để ngăn chặn kịp thời
- Xác định nguồn tác động vào hệ thống và
cách thức, các hoạt động xâm nhập xảy ra ở
vị trí nào trong cấu trúc mạng.
- Cung cấp khả năng hiển thị và bảo vệ mạng
chống lại các cuộc tấn cơng mạng tinh vi, có
chủ đích hướng đến các nạn nhân cụ thể
thường gây tổn thất lớn
- Điều tra, tìm vết các sự cố an tồn thơng tin
- Xác định nguyên nhân, đối tượng và
phương án xử lý sự cố
- Quản lý và theo dõi các tiến trình xử lý sự
cố

Các trang thiết bị mạng và thiết bị bảo mật thường gắn với nhau để đảm
bảo an toàn sẵn sàng cho hạ tầng phục vụ cho các ứng dụng, phần mềm và sở
dữ liệu nghiệp vụ Ngành. Các hệ thống này được trang bị tối thiếu 02 thiết bị
để đảm bảo tính dự phịng và khả dụng của hạ tầng mạng khi có 01 thiết bị
mạng bị sự cố. Các hệ thống mạng và bảo mật hiện tại đã được quản lý giám
10



11
sát tập trung bởi hệ thống giám sát PRTG và HP Node. Giám sát về hiệu năng
thiết bị, lưu lượng traffic qua các cổng kết nối và sự cố ra đối với từng thiết bị
(quá tải, hết dung lượng ổ cứng, bị rà quét mật khẩu, bị tắt cổng...).
1.1.2. Các kênh truyền kết nối tại Trung tâm dữ liệu Ngành
Trong thời gian sử dụng dịch vụ đường truyền, Trung tâm CNTT tổ chức
giám sát, theo dõi chất lượng kênh truyền, định kỳ 06 tháng/1lần phối hợp với
đơn vị cung cấp tổ chức đo kiểm, đánh giá chất lượng kênh truyền (được ghi
nhận với các thông số: băng thông, độ trễ, tỷ lệ mất gói, độ khả dụng, thời
gian khắc phục).
Chất lượng kênh truyền đã đáp ứng yêu cầu cho các hệ thống thơng tin
của Ngành trong q trình sử dụng, cụ thể:
Đường truyền Internet leased line (04 đường truyền tại TTDL chính, 02
đường truyền tại TTDL dự phịng) đáp ứng việc cung cấp dịch vụ công trực
tuyến để phục vụ người dân, doanh nghiệp thực hiện giao dịch điện tử với cơ
quan BHXH trên cổng Thông tin điện tử, cổng Dịch vụ công ngành BHXH
Việt Nam, cổng Tiếp nhận dữ liệu Giám định BHYT và ứng dụng BHXH số
(VssID). Đáp ứng theo Nghị định số 166/2016/NĐ-CP ngày 24/12/2016 quy
định về giao dịch điện tử trong lĩnh vực BHXH, BHYT và bảo hiểm thất
nghiệp.
Tiêu chuẩn đường truyền Internet Lease Line được đảm bảo như sau:
- Băng thông: trong nước ≥ 900Mpbs / đường truyền, quốc tế ≥ 1Mbps /
đường truyền (Có khả năng mở rộng khi có yêu cầu). Tốc độ download bằng
tốc độ upload.
- Địa chỉ IP kết nối: ≥ 64 IP tĩnh (IPv4) / đường truyền.
- Độ trễ: trong nước ≤ 40 m
- Giao diện kết nối: 01 SFP ≥ 1Gbps
- Loại kết nối: Cáp quang.
- Các đường truyền của các đơn vị cung cấp dịch vụ khác nhau đảm bảo

phục vụ đồng đều cho người dân và doanh nghiệp từ hầu hết các đơn vị cung
cấp Internet lớn ở Việt Nam.
Đường truyền WAN gom (02 đường truyền tại tại TTDL chính, 02
đường truyền tại TTDL dự phịng) đáp ứng việc tham gia khai thác, sử dụng
các phần mềm nghiệp vụ của Ngành từ BHXH Việt Nam, BHXH tỉnh/Tp và
BHXH cấp quận/huyện qua hệ thống WAN Ngành, cụ thể:
Bảng 2: Danh sách các phần mềm, ứng dụng chạy qua WAN
11


12
T
T

12

Tên phần mềm

Mô tả chung

Đối tượng sử
dụng


13
1
2

3
4

5
6
7

8
9

10
11
12
13

13

Phần mềm Thẩm
định quyết toán
Phần mềm Quản lý Phục vụ hoạt động nội bộ của
hoạt động thanh
Ngành BHXH Việt Nam liên quan
tra, kiểm tra
đến việc thanh tra - kiểm tra tiếp
công dân của Ngành
Phần mềm Thi đua Phục vụ hoạt động nội bộ cho cán
khen thưởng
bộ phụ trách công tác thi đua khen
thưởng của ngành
Hệ thống giám
Phục vụ công tác giám định
định BHYT
BHYT của ngành BHXH Việt

Nam
Hệ thống giám
định BHYT
Phần mềm Tổng
Phục vụ báo cáo tổng hợp phân
hợp và phân tích
tích dữ liệu Dataware house
dữ liệu tập trung
Phần mềm Cấp mã Phục vụ quản lý người lao động
số BHXH và Quản theo mã định danh
lý BHYT Hộ gia
đình (HGĐ)
Phần mềm Quản lý Phục vụ quản lý, thống kê liên
Thu - Sổ, Thẻ
quan đến quản lý thu, cấp sổ và
(TST)
thẻ BHYT
Phần mềm Xét
Phục vụ cán bộ phụ trách cơng tác
duyệt chính sách
chế độ của ngành: xét duyệt các
(TCS)
chế độ ngắn hạn, dài hạn, liên
thông dữ liệu với các hệ thống
khác
Phần mềm Kế toán Phục vụ quản lý nghiệp vụ tài
tập trung (KTTT) chính, kế tốn, liên thơng với các
hẹ thống khác hỗ trợ xử lý dữ liệu
Phần mềm Quản lý Phục vụ quản lý hồ sơ cán bộ, báo
nhân sự

cáo thống kê, tra cứu thông tin cán
bộ
Phần mềm Lưu trữ Phục vụ hỗ trợ khai thác hồ sơ lưu
hồ sơ điện tử
trữ phục vụ hoạt động nội bộ của
ngành BHXH
Ngành
Phần mềm Giao
Phục vụ quản lý nghiệp vụ tiếp
dịch BHXH điện
nhận và quản lý hồ sơ giao dịch
tử
điện tử

BHXH VN,
BHXH tỉnh/tp
BHXH VN,
BHXH tỉnh/tp
BHXH VN,
BHXH tỉnh/tp
BHXH VN,
BHXH tỉnh/tp

BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,

BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện


14
14 Hệ thống Quản lý Phục vụ việc quản lý, cập nhật
thiết bị
thông tin trang thiết bị CNTT
15 Hệ thống giám sát
16 Hệ thống CMS
17 Hệ thống chữ ký
số

Phụ vụ Lãnh đạo BHXH tỉnh/tp,
Lãnh đạo phòng Giám định giám

sát
Phục vụ quản trị, cập nhật thông
tin hệ thống Website của BHXH
tỉnh/tp
Phục vụ ký số các văn bản nội bộ
Ngành

18 Hệ thống Single Phục vụ quản lý, đăng nhập đồng
Sign On, User
bộ các phần mềm nghiệp vụ
Ngành, Quản lý tài khoản người
dùng
II Tên dịch vụ
1 Hệ thống quản lý Quản lý truy cập các phần mềm
truy cập NAC
nghiệp vụ qua WAN
2

3
4

Hệ thống Dịch vụ Phục vụ các phiên họp trực tuyến
Hội nghị truyền cơng tác chỉ đạo điều hành của
hình
BHXH Việt Nam với BHXH
tỉnh/tp
Hệ thống Quản lý Phục vụ quản lý và cập nhật bản
bản
vá
Patch vá cho máy chủ và máy trạm

Manager
Hệ thống Quản lý Phục vụ phịng chống các cuộc
EDR
tấn cơng chưa được biết

5

Hệ thống Antivirus

Phục vụ phòng chống mã độc tại
máy chủ và máy trạm

6

Hệ thống Quản lý Phục vụ quản lý máy trạm, phần
AD, DNS
quyền người dùng và phân giải
tên miền trong WAN

BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH tỉnh/tp
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp

BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện

Tiêu chuẩn đáp ứng của kênh truyền WAN gom:
Tiêu chuẩn của kênh truyền kết nối:
- Băng thông: ≥ 1.610Mbps / đường truyền. Tốc độ download bằng tốc
độ upload.
14


15
- Độ trễ: ≤ 40ms.
- Giao diện kết nối: SFP ≥ 10Gbps

- Loại kết nối: Cáp quang.
- 02 đường truyền của 02 đơn vị cung cấp dịch vụ khác nhau.
Kênh truyền kết nối đồng bộ giữa Trung tâm dữ liệu chính và Trung tâm
dữ liệu dự phịng đã đáp ứng yêu cầu cho sao lưu, phục hồi dữ liệu các hệ
thống thông tin của Ngành khi trung tâm dữ liệu chính có sự cố cần phải
chuyển hướng kết nối sang trung tâm dữ liệu dự phòng.
Tiêu chuẩn của kênh truyền kết nối:
- Băng thông: ≥ 10Gpbs / đường truyền. Tốc độ download bằng tốc độ
upload.
- Độ trễ: ≤ 40ms.
- Giao diện kết nối: 02 SFP ≥ 10Gbps
- Loại kết nối: Cáp quang.
- 02 đường truyền của 02 đơn vị cung cấp dịch vụ khác nhau.
Ngoài ra tất cả các kênh truyền đều phải đảm bảo chất lượng dịch vụ
chung như sau:
- Băng thơng: ≥ 99 %
- Tỉ lệ mất gói tin: ≤ 0,1%
- Độ khả dụng: ≥ 99.9%
- Triển khai bằng hạ tầng cáp quang, có đường dự phịng
- Linh hoạt trong việc thay đổi tốc độ, di chuyển địa chỉ lắp đặt
- Thời gian khắc phục sự cố: Trong vịng 30 phút kể từ khi tiếp nhận
thơng tin với việc mất tín hiệu và trong vịng 02 giờ đối với việc đứt cáp
Khi kênh truyền xảy ra sự cố hệ thống giám sát PRTG sẽ ngay lập tức
thông báo trên màn hình giám sát sự cố mất kết nối hoặc các sự cố không đảm
bảo vệ độ trễ và tỉ lệ mất gói.
1.1.3. Mơ hình giải pháp đảm bảo an tồn thơng tin cho hệ thống mạng
Việc bảo đảm an tồn thơng tin phục vụ phát triển CPĐT phải thống nhất,
đồng bộ các hệ thống thành phần trong mô hình. Các hệ thống thành phần cần
bảo đảm an tồn thông tin phục vụ CPĐT bao gồm các thành phần sau:
(1) Cổng Thông tin điện tử;

(2) Cổng Dịch vụ công/Hệ thống thông tin một cửa điện tử;
15


16
(3) Hệ thống Quản lý văn bản và điều hành;
(4) Hệ thống thông tin báo cáo;
(5) Nền tảng chia sẻ, tích hợp dùng chung (LGSP);
(6) Các hệ thống cơ sở dữ liệu phục vụ phát triển CPĐT;
(7) Các hệ thống thông tin khác phục vụ phát triển CPĐT;
(8) Trung tâm điều hành an tồn, an ninh mạng (SOC).

Hình 1: Mơ hình đảm bảo ATTT tổng thể ngành BHXH
Căn cứ Chỉ thị số 14/CT-TTg của Thủ tướng Chính phủ về việc tăng
cường bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của
Việt Nam;
Thực hiện công văn số 1552/BTTTT-CATTT ngày 28/04/2020 của Bộ
Thông tin và Truyền thông về việc đôn đốc tổ chức triển khai đảm bảo an tồn
thơng tin cho hệ thống thơng tin theo mơ hình “4 lớp”, Trung tâm Cơng nghệ
thơng tin (CNTT) – Bảo hiểm xã hội (BHXH) Việt Nam hoàn thành việc triển
16


17
khai bảo đảm an tồn thơng tin (ATTT) cho hệ thống thơng tin ngành BHXH
theo mơ hình “4 lớp”, cụ thể như sau:
1. “Lớp 1” Lực lượng tại chỗ
BHXH Việt Nam đã ban hành Kế hoạch số 3280/KH-BHXH ngày
29/8/2018 về việc Ứng phó sự cố bảo đảm an tồn thơng tin mạng trong
ngành BHXH Việt Nam quy định Đơn vị chuyên trách về ứng cứu sự cố

ATTT mạng ngành BHXH là Trung tâm CNTT thuộc BHXH Việt Nam.
Trung tâm CNTT có đầu mối là Phịng Quản lý Hạ tầng và An ninh thông tin
thực hiện các công tác tham mưu, kiểm tra, đôn đốc thực hiện các quy định
của pháp luật về bảo đảm an toàn, an ninh mạng trong ngành BHXH.
2. “Lớp 2” Thuê doanh nghiệp giám sát, bảo vệ ATTT mạng
BHXH Việt Nam đã tổ chức thuê dịch vụ CNTT “Thuê dịch vụ quản trị,
vận hành và hỗ trợ kỹ thuật các hệ thống thông tin của BHXH Việt Nam” để
thuê doanh nghiệp cung cấp dịch vụ quản trị, vận hành, giám sát, ứng cứu sự
cố, bảo vệ ATTT mạng cho các hệ thống thông tin ngành BHXH.
3. “Lớp 3” Thuê doanh nghiệp độc lập kiểm tra, đánh giá định kỳ
BHXH Việt Nam đã tổ chức thuê dịch vụ CNTT:
“Thuê dịch vụ đánh giá mức độ sẵn sàng của hệ thống thông tin ngành
Bảo hiểm xã hội” để thuê doanh nghiệp cung cấp dịch vụ kiểm tra, đánh giá
định kỳ độ lập cho các hệ thống thông tin ngành BHXH. Đơn vị là Cục An
tồn thơng tin.
“Th dịch vụ Kiểm tra đánh giá ATTT hệ thống thông tin ngành Bảo
hiểm xã hội”. Đơn vị là Trung tâm Ứng cứu khẩn cấp không gian mạng Việt
Nam (VNCERT/CC)
4. “Lớp 4” Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia
Trung tâm CNTT đã gửi email tới , cung dải địa chỉ IP
Public, tên miền của các hệ thống thông tin ngành BHXH cung cấp các dịch
vụ ra bên ngồi cũng như có giao tiếp với mạng internet cho Trung tâm Giám
17


18
sát an tồn thơng tin mạng quốc gia (NCSC), đồng thời phối hợp thực hiện và
hoàn thành kết nối, chia sẻ thơng tin giám sát an tồn thơng tin, bảo đảm kịp
thời, đúng yêu cầu kỹ thuật và thời gian quy định.
1.2. Các sự cố hệ thống mạng nghiêm trọng tại Trung tâm dữ liệu

ngành Bảo hiểm xã hội Việt Nam
1.2.1. Các sự cố liên quan đến thiết bị mạng và an ninh bảo mật
a. Định nghĩa: Là sự cố do lỗi của thiết bị phần cứng, phần mềm, cấu hình. Một
số loại sự cố cụ thể:
- Sự cố nguồn điện: Bao gồm mất điện/UPS, lỗi nguồn điện. Đa số thiết
bị tại TTDL đều được trang bị nhiều hơn 02 nguồn để đảm bảo dự phịng và
thay thế nóng nguồn điện.
- Sự cố thiết bị bị hỏng, lỗi không hoạt động được: Thiết bị trong q
trình sử dụng có thể vì một ngun nhân nào đó bị lỗi một số linh kiện hoặc
lỗi hệ điều hành, lỗi cả thiết bị… cần phải được kịp thời phát hiện và khắc
phục (trước mắt phải chuyển điều hướng sang thiết bị còn lại, liên hệ với các
bên để kiểm tra và bảo hành sửa chữa thiết bị bị lỗi, hỏng)
- Sự cố thiết bị bị q tải: Trong q trình hoạt động có thể thiết bị bị
quá tải về năng lực xử lý về lưu lượng, số lượng phiên kết nối, băng thông kết
nối, số lượng log, event bị quá tải đầy ổ cứng có thể làm treo thiết bị, khơng
lưu được log, event.. ảnh hưởng đến tính khả dụng của hệ thống.
- Sự cố lổi cổng kết nối: Kết nối dây mạng giữa các thiết bị có thể xảy
ra tình trạng lỏng, chập chờn, không ổn định ảnh hưởng đến ứng dụng dịch vụ
kết nối đến.
b. Cách phát hiện, xác minh sự cố: Các sự cố do lỗi của thiết bị phần cứng, phần
mềm, cấu hình được phát hiện, xác minh qua hệ thống giám sát PRTG hoặc
vào trực tiếp thiết bị do đơn vị vận hành tại Trung tâm điều hành hệ thống
thông tin Ngành BHXH Việt Nam.

18


19
1.2.2. Các sự cố liên quan đến kênh truyền kết nối
a. Định nghĩa: Là sự cố do lỗi kênh truyền kết nối giữa thiết bị của BHXH và

cổng kết nối nhà mạng. Một số loại sự cố cụ thể:
- Sự cố đứt cáp: Là sự cố kênh truyền dẫn quang bị đứt kết nối cần phải,
kéo và hàn lại cáp, đảm bảo cáp quang không bị suy hao.
- Sự cố lỗi nhà trạm phía nhà mạng: Bao gồm các lỗi thiết bị, điện trạm
truyền dẫn đầu nhà mạng
- Sự cố các thông số cam kết dịch vụ không đáp ứng về băng thơng, độ
trễ, độ mất gói, độ khả dụng. Quá trình theo dõi giám sát trên phần mềm
PRTG sẽ phát hiện được sự cố này và phải liên hệ tổng đài để phối hợp
khắc phục sự cố kịp thời.
b. Cách phát hiện, xác minh sự cố: Các sự cố do lỗi kênh truyền kết nối được
phát hiện, xác minh qua hệ thống giám sát PRTG do đơn vị vận hành tại
Trung tâm điều hành hệ thống thông tin Ngành BHXH Việt Nam. Đơn vị vận
hành ngay lập tức liên hệ thống báo cho nhà mạng để khắc phục sự cố.
1.2.3. Các sự cố liên quán đến lỗi quản trị, vận hành hệ thống
a. Định nghĩa: Là sự cố do lỗi trong quá trình quản trị, vận hành, triển khai hệ
thống. Một số loại sự cố cụ thể:
- Lỗi trong cập nhật, thay đổi, cấu hình phần cứng: Quá trình cập nhật,
cấu hình thêm, sửa lỗi phần cứng có thể phát sinh lỗi.
- Lỗi trong cập nhật, thay đổi, cấu hình phần mềm: Quá trình cập nhật
thay đổi, cấu hình lại phần mềm quản lý, giám sát các thiết bị có thể
gây ra lỗi khởi động lại thiết bị…
- Lỗi trong q trình cập nhật chính sách an tồn thơng tin: Việc cập
nhật chính sách an tồn thơng tin có thể thiết lập luật lệ không tối ưu
dẫn đến hệ thống có thể bị khai thác, rà qt tấn cơng mạng.
- Lỗi liên quan đến dừng dịch vụ vì lý do bắt buộc: Khi chính hệ thống
bị lỗi hoặc một thiết bị khác trong hệ thống bị lỗi cần phải khởi động
lại, dừng dịch vụ.
- Lỗi liên quan đến việc quản lý, đảm bảo an tồn thơng tin tài khoản
quản trị: Trong quá trình quản lý, vận hành hệ thống việc lưu trữ, bảo


19


20
quản tài khoản quản trị có thể thể bị lộ lọt gây chiếm quyền điều khiển.
Hệ thống có thể bị dừng, thay đổi.
b. Cách phát hiện, xác minh sự cố: Qua hệ thống quản trị tài khoản đặc quyền,
Hệ thống giám sát tại Trung tâm điều hành hệ thống thông tin ngành BHXH
Việt Nam có thể phát hiện và xác minh nguyên nhân sự cố để kịp thời phản
hồi ứng cứu khi sự cố xảy ra.

20


21
Tiểu kết Chương 1

Chương 1 đã phân tích hiện trạng hệ thống mạng tại Trung tâm dữ liệu
Ngành và các vấn đề có thể gây ra sự cố đối với hệ thống. Các sự cố hệ thống
mạng nghiêm trọng có thể xảy ra hoặc có nguy cơ xảy ra làm giảm tính sẵn
sàng, khả dụng của hệ thống cơng nghệ thông tin Ngành. Việc phân loại
nguyên nhân sự cố và phương án xử lý đối với mỗi loại là rất cần thiết để
hồn thiện quy trình ứng cứu sự cố mạng nghiêm trọng.

21


22

Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệ thống

mạng nghiêm trọng tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

2.1. Tuân thủ các quy định về ứng cứu khẩn cấp sự cố an tồn thơng
tin
Việc xây dựng các quy trình ứng cứu cần tuân thủ các quy định về điều
phối, ứng cứu sự cố an tồn thơng tin. Cụ thể là những văn bản sau đây:
2.1.1. Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo
đảm an tồn hệ thống thơng tin theo cấp độ
Nghị định đã nêu ra những nguyên tắc xác định cấp độ và bảo đảm an
tồn thơng tin cho các hệ thống thơng tin theo cấp độ. Theo đó các hệ thống
thơng tin được đánh giá theo 5 cấp độ với những tiêu chí xác định cho từng
cấp độ.
2.1.2. Thơng tư 03/2017/TT-BTTTT ngày ngày 24/04/2017 về việc quy
định chi tiết và hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP ngày
01/7/2016 của chính phủ về bảo đảm an tồn hệ thống thơng tin theo cấp độ
Thông tư hướng dẫn cụ thể xác định hệ thống thông tn cụ thể và hướng
dẫn cách xác định, thuyết minh cấp độ an toàn hệ thống thơng tin và những
u cầu bảo đảm an tồn hệ thống thông tin theo cấp độ.
2.1.3. Quyết định 05/2017/QĐ-TTg ngày 16/03/2017 ban hành Quy định
về hệ thống phương án ứng cứu khẩn cấp bảo đảm An tồn thơng tin mạng
Quốc gia
Quyết định đã xác định phân cấp tổ chức thực hiện ứng cứu sự cố bảo
đảm an tồn thơng tin mạng Quốc gia và phương án ứng cứu các sự cố. Căn
cứ vào quyết định này, có thể xác định được phạm vi áp dụng, xây dựng quy
trình chung cho ứng cứu sự cố nghiêm trọng ảnh hưởng đến an tồn thơng tin
mạng Quốc gia. Tại Điều 9 đã phân nhóm sự cố an tồn thơng tin mạng, trong
đó quy định các tiêu chí của sự cố an tồn thơng tin mạng nghiêm trọng.
22



23
2.1.4. Thông tư số 20/2017/TT-BTTTT ngày 12/09/2017 về việc quy định
điều phối, ứng cứu sự cố an tồn thơng tin mạng trên tồn quốc
Thơng tư đã xác định phân cấp tổ chức thực hiện ứng cứu sự cố bảo
đảm an tồn thơng tin mạng trên tồn quốc và phương án ứng cứu các sự cố.
Căn cứ vào quyết định này, có thể xác định được phạm vi áp dụng, xây dựng
quy trình chung cho ứng cứu sự cố thơng thường.
2.1.5 Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 về việc ứng phó sự
cố bảo đảm an tồn thơng tin mạng trong ngành BHXH Việt Nam.
Bảo hiểm xã hội Việt Nam ban hành Kế hoạch ứng phó sự cố bảo đảm
an tồn thơng tin (ATTT) mạng trong ngành BHXH đảm bảo ATTT mạng cho
các hệ thống thơng tin của ngành BHXH, trong đó tập trung đảm bảo ATTT
cho các hệ thống thông tin quan trọng.
2.1.6 Quyết định 836/QĐ-BHXH ngày 29/06/2018 về việc Ban hành quy
định thiết kế hệ thống hạ tầng thông tin ngành Bảo hiểm xã hội.
Quyết định xây dựng các loại thiết kế mẫu hệ thống hạ tầng thông tin
ngành BHXH Việt Nam bao gồm 06 loại:
- Trung tâm dữ liệu (TTDL);
- Trung tâm dữ liệu dự phòng và phục hồi thảm họa (TTDP)
- Mạng nội bộ BHXH tỉnh;
- Phòng máy chủ BHXH tỉnh;
- Mạng nội BHXH huyện;
- Mạng diện rộng (WAN) ngành BHXH.
2.1.7 Công văn số 273/BTTT-CBĐTW ngày 31/01/2020 về việc hướng
dẫn mơ hình tham chiếu về kết nối mạng cho bộ, ngành, địa phương.
Trong đó Bộ Thơng tin và Truyền thơng hướng dẫn mơ hình tham chiếu
về kết nối mạng cho bộ, ngành, địa phương. Phân tách máy chủ ứng dụng tại
hệ kết nối mạng TSLCD với kết nối mạng công công (Kết nối từ người dân,
doanh nghiệp vào hệ thống thơng tin của Chính phủ, Bộ ngành địa phương)
23



24
2.2. Hiệu quả trong quá trình ứng cứu khẩn cấp sự cố an tồn thơng
tin
2.2.1. Xác định đối tượng áp dụng các quy trình ứng cứu sự cố hệ thống
mạng
Xác định được các hệ thống thông tin của BHXH Việt Nam thuộc 3 loại
hệ thống thông tin:
- Hệ thống thông tin phục vụ hoạt động nội bộ
- Hệ thống thông tin phục vụ người dân, doanh nghiệp
- Hệ thống cơ sở hạ tầng thông tin
Xác định được cấp độ đề xuất của các hệ thống thông tin bao gồm 08 hệ
thống cấp độ 4 và 16 hệ thống thông tin cấp độ 3.
2.2.2. Xác định các thành phần tham gia điều phối, ứng cứu sự cố hệ
thống mạng
Chuyên đề đã xác định được các thành phần tham gia điều phối ứng
cứu sự cố an tồn thơng tin, bao gồm:
- Chủ quản hệ thống thông tin: Cơ quan BHXH Việt Nam
- Đơn vị chuyên trách về ứng cứu sự cố ATTT mạng: Trung tâm Công
nghệ thông tin trực thuộc BHXH Việt Nam
- Đội ứng cứu sự cố ATTT mạng ngành BHXH Việt Nam.
- Đơn vị vận hành hệ thống thông tin tại trung tâm dữ liệu Ngành:
Trung tâm CNTT thuê đơn vị vận hành hệ thống thông tin (Trung
tâm điều hành hệ thống thông tin ngành BHXH Việt Nam).
- Cơ quan thường trực về ứng cứu khẩn cấp bảo đảm ATTT mạng
quốc gia là Bộ Thông tin và Truyền thông.
- Cơ quan điều phối quốc gia là Trung tâm Ứng cứu khẩn cấp máy tính
Việt Nam thuộc Bộ Thơng tin và Truyền thông.
- Ban Chỉ đạo quốc gia về ứng cứu khẩn cấp bảo đảm ATTT mạng là

Ban Chỉ đạo an tồn thơng tin quốc gia đảm nhiệm chức năng chỉ
đạo ứng cứu khẩn cấp bảo đảm ATTT mạng.
- Đơn vị cung cấp dịch vụ ATTT mạng là nhà thầu cung cấp dịch vụ
do ngành BHXH thuê để thực hiện bảo đảm ATTT mạng cho ngành
BHXH.
24


25
2.2.3. xác định cụ thể các bước thực hiện điều phối, ứng cứu sự cố hệ
thống mạng
Chuyên đề đưa ra quy trình và xác định cụ thể các bước thực hiện điều
phối, ứng cứu một cách chi tiết, có thể áp dụng vào thực tiễn để bảo đảm hiệu
quả của quá trình ứng cứu.
2.3. Thuận lợi, dễ dàng trong đào tạo, hướng dẫn, tác nghiệp
Việc xây dựng thống nhất được các quy trình ứng cứu sự cố góp phần
tạo điều kiện thuận lợi và dễ dàng trong công tác đào tạo nâng cao trình độ
cho cán bộ, người dùng tham gia công tác điều phối ứng cứu sự cố an tồn
thơng tin, điều tra số. Quy trình là căn cứ hướng dẫn cho các đơn vị quản lý
vận hành hệ thống mạng, cán bộ quản trị mạng, hệ thống thực hiện theo đúng
quy trình. Thống nhất, thuận lợi trong việc điều phối tác nghiệp trong ứng cứu
sự cố có sự tham gia của nhiều đơn vị (phòng, ban) để đảm bảo kịp thời khơi
phục hệ thống.
Dựa trên quy trình ứng cứu sự cố có thể thực hiện đánh giá các rủi ro tồn
tại trong hệ thống, xây dựng tài liệu diễn tập thực chiến nhằm nâng cao năng
lực, kinh nghiệm cho đơn vị quản lý, vận hành, giám sát hệ thống mạng.

25