Tải bản đầy đủ (.docx) (38 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

Xây dựng quy trình ứng cứu sự cố hệ thống mạng thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (384.16 KB, 38 trang )

BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Xây dựng quy trình ứng cứu sự cố hệ thống mạng thông thường
tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Người thực hiện: Nguyễn Tuấn Minh

Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn

Hà Nội - 2022


BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Xây dựng quy trình ứng cứu sự cố hệ thống mạng thông thường
tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn

Hà Nội - 2022




Mục lục
Danh mục từ viết tắt
4
Danh mục các bảng
5
Danh mục hình ảnh
5
Phần mở đầu
1
i. Sự cần thiết
1
ii. Mục tiêu nghiên cứu
1
iii. Đối tượng và phạm vi nghiên cứu
1
iv. Cách tiếp cận và phương pháp nghiên cứu
2
v. Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện
được
2
vi. Kết cấu chuyên đề
2
Chương 1. Sự cố hệ thống mạng thông thường tại Trung tâm dữ liệu
ngành Bảo hiểm xã hội Việt Nam
4
1.1. Đặc điểm Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
4
1.1.1. Các thiết bị mạng và an ninh bảo mật tại Trung tâm dữ liệu Ngành

BHXH Việt nam
4
1.1.2. Các kênh truyền kết nối tại Trung tâm dữ liệu Ngành
6
1.1.3. Mơ hình giải pháp đảm bảo an tồn thơng tin cho hệ thống mạng 10
1.2. Các sự cố hệ thống mạng thông thường tại Trung tâm dữ liệu ngành Bảo
hiểm xã hội Việt Nam
12
1.2.1. Các sự cố liên quan đến thiết bị mạng và an ninh bảo mật
12
1.2.2. Các sự cố liên quan đến kênh truyền kết nối
13
1.2.3. Các sự cố liên quán đến lỗi quản trị, vận hành hệ thống
14
Tiểu kết Chương 1
15
Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệ thống
mạng thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt
Nam
16
2.1. Tuân thủ các quy định về ứng cứu khẩn cấp sự cố an tồn thơng tin
16
2.1.1. Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo
đảm an tồn hệ thống thơng tin theo cấp độ
16
2.1.2. Thông tư 03/2017/TT-BTTTT ngày ngày 24/04/2017 về việc quy
định chi tiết và hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP


ngày 01/7/2016 của chính phủ về bảo đảm an tồn hệ thống thông tin theo

cấp độ
16
2.1.3. Quyết định 05/2017/QĐ-TTg ngày 16/03/2017 ban hành Quy định
về hệ thống phương án ứng cứu khẩn cấp bảo đảm An tồn thơng tin mạng
Quốc gia
16
2.1.4. Thông tư số 20/2017/TT-BTTTT ngày 12/09/2017 về việc quy định
điều phối, ứng cứu sự cố an tồn thơng tin mạng trên toàn quốc
17
2.1.5 Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 về việc ứng phó sự
cố bảo đảm an tồn thơng tin mạng trong ngành BHXH Việt Nam.
17
2.1.6 Quyết định 836/QĐ-BHXH ngày 29/06/2018 về việc Ban hành quy
định thiết kế hệ thống hạ tầng thông tin ngành Bảo hiểm xã hội.
17
2.1.7 Công văn số 273/BTTT-CBĐTW ngày 31/01/2020 về việc hướng
dẫn mô hình tham chiếu về kết nối mạng cho bộ, ngành, địa phương.
17
2.2. Hiệu quả trong quá trình ứng cứu khẩn cấp sự cố an tồn thơng tin
18
2.1.1. Xác định đối tượng áp dụng các quy trình ứng cứu sự cố hệ thống
mạng
18
2.1.2. Xác định các thành phần tham gia điều phối, ứng cứu sự cố hệ
thống mạng
18
2.1.3. Xác định cụ thể các bước thực hiện điều phối, ứng cứu sự cố hệ
thống mạng
19
2.3. Thuận lợi, dễ dàng trong đào tạo, hướng dẫn, tác nghiệp

19
Tiểu kết Chương 2
20
Chương 3. Xây dựng quy trình ứng cứu sự cố hệ thống mạng thơng
thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
21
3.1. Phần quy định chung
21
3.1.1. Nguyên tắc chung trong ứng cứu sự cố
21
3.1.2. Nguyên tắc trong việc báo cáo sự cố
21
3.1.3. Nguyên tắc trong tiếp nhận, phát hiện, phân loại và xử lý ban đầu sự
cố an tồn thơng tin mạng
23
3.1.4. Các lực lượng tham gia ứng phó sự cố
25
3.2. Quy trình ứng cứu sự cố hệ thống mạng
26
Tiểu kết Chương 3
29
Kết luận
30
Danh mục tài liệu tham khảo
31


Danh mục từ viết tắt
TT
1

2
3
4
5
6
7
8
9
10

Danh mục
An tồn thơng tin
Ứng cứu khẩn cấp
Bảo hiểm xã hội
Bảo hiểm y tế
Bảo hiểm thất nghiệp
Công nghệ thông tin
Cơ sở dữ liệu
Mạng diện rộng

Chữ viết tắt, rút gọn
ATTT
ƯCKC
BHXH
BHYT
BHTN
CNTT
CSDL
WAN



Danh mục các bảng
BẢNG 1: DANH MỤC BẢNG THIẾT BỊ TẠI TRUNG TÂM DỮ LIỆU NGÀNH...........4
BẢNG 2: DANH MỤC CÁC PHẦN MÊM TRUY CẬP QUA WAN.............................7

Danh mục hình ảnh
HÌNH 1: MƠ HÌNH ĐẢM BẢO ATTT TỔNG THỂ NGÀNH BHXH............................11


1
Phần mở đầu
i. Sự cần thiết
Hệ thống mạng tại Trung tâm dữ liệu Ngành BHXH Việt Nam đảm bảo kết
nối, khả năng xử lý, chuyển mạch các lưu lượng mạng cho các hệ thống phần
mềm, CSDL nghiệp vụ phục vụ việc tuy cập khai thác thông tin từ nội bộ (qua
mạng WAN/Internet) và các tổ chức kết nối bên ngoài Bộ, Ban, Ngành (qua
mạng TSLCD), các tổ chức cung cấp dịch IVAN, các ngân hàng (qua kênh
truyền kết nối riêng), truy cập người dân, doanh nghiệp, các cơ sở khám chữa
bệnh đăng ký Khám chữa bệnh BHYT (qua mạng Internet). Sự cố hệ thống
mạng là việc hệ thống mạng bị tấn công hoặc bị lỗi gây nguy hại, ảnh hưởng tới
tính nguyên vẹn, tính bảo mật hoặc tính khả dụng của hệ thống thông tin. Sự cố
mạng thông thường được định nghĩa là sự cố có nguy cơ làm dừng, mất khả
năng truy cập của một hệ thống thông tin.
Việc xây dựng quy trình ứng cứu sự cố hệ thống mạng giúp thống nhất về
mặt quy trình ứng cứu, điều phối xử lý sự cố; Xác định, phân loại, khắc phục
nhanh chóng, hiệu quả đảm bảo hệ thống thơng tin được khơi phục đảm bảo các
đặc tính an tồn thơng tin (tính nguyên vẹn, tính bảo mật và khả dụng)
ii. Mục tiêu nghiên cứu
 Mục tiêu chung: Xác định các loại sự cố hệ thống mạng, phân loại mức độ
thông thường tác động đối với hệ thống thông tin tại Trung tâm dữ liệu từ

đó xây dựng những quy trình ứng cứu sự cố cụ thể.
 Mục tiêu cụ thể
- Nghiên cứu, xây dựng quy trình chung ứng cứu sự cố hệ thống mạng tại
Trung tâm dữ liệu Ngành BHXH.
- Nghiên cứu, xây dựng quy trình ứng cứu sự cố thiết bị mạng tại Trung tâm
dữ liệu Ngành BHXH.
- Nghiên cứu, xây dựng quy trình ứng cứu sự cố kênh truyền kết nối mạng tại
Trung tâm dữ liệu Ngành BHXH.
iii. Đối tượng và phạm vi nghiên cứu
 Đối tượng nghiên cứu: Các văn bản quy phạm pháp luật liên quan đến an
ninh thông tin mạng, Hướng dẫn quản lý, vận hành, đảm bảo an toàn


2
thông tin hệ thống mạng; Các khái niệm sự cố hệ thống mạng, cách phát
hiện, phân loại mức độ và xử lý sự cố tại Trung tâm dữ liệu Ngành
BHXH.
 Phạm vi nghiên cứu: Hệ thống mạng tại Trung tâm dữ liệu Ngành BHXH
Việt Nam.
iv. Cách tiếp cận và phương pháp nghiên cứu
 Cách tiếp cận: Qua quá trình quản lý, vận hành, giám sát Trung tâm dữ
liệu Ngành BHXH Việt Nam đã tổng hợp, thống kê theo các loại sự cố
thơng thường của hệ thống mạng có thể xảy ra, đã xảy ra; Các biện pháp,
phương án khắc phục xử lý sự cố. Ngồi ra, nghiên cứu tìm hiểu các văn
bản quy phạm pháp luật của Thủ tướng Chính phủ, Bộ Thông tin và
Truyền thông, BHXH Việt Nam để xây dựng và hồn thiện quy trình ứng
cứu, điều phối xử lý sự cố.
 Phương pháp nghiên cứu: Tổng hợp, thống kê, phân tích nguyên nhân sự
cố, đưa ra phương án xử lý, hồn thiện thành quy trình.
v. Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện

được
 Những đóng góp mới của chuyên đề
- Xây dựng một quy trình chung cho việc ứng cứu, điều phối sự cố thông
thường tại Trung tâm dữ liệu Ngành BHXH Việt Nam
- Xây dựng 02 quy trình ứng cứu sự cố thông thường bao gồm sự cố liên
quan đến thiết bị mạng và đường truyền kết nối tại TTDL Ngành
 Những vấn đề mà chuyên đề chưa thực hiện được
- Chun đề cịn chưa xây dựng được quy trình ứng cứu sự cố liệt kê được
hết các lỗi, nguyên nhân chi tiết có thể xảy ra gây ra sự cố thông thường đối
với hệ thống tại TTDL Ngành.
vi. Kết cấu chuyên đề
Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương, cụ
thể như sau:


3
Chương 1. Một số vấn đề về sự cố hệ thống mạng thông thường tại Trung
tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệ
thống mạng thông thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt
Nam
Chương 3. Xây dựng quy trình ứng cứu sự cố hệ thống mạng thông
thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam


Chương 1. Sự cố hệ thống mạng thông thường tại Trung tâm dữ liệu ngành
Bảo hiểm xã hội Việt Nam
1.1. Đặc điểm Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
1.1.1. Các thiết bị mạng và an ninh bảo mật tại Trung tâm dữ liệu Ngành
BHXH Việt nam

TTDL chính được đầu tư xây dựng từ năm 2015 nhằm đáp ứng nhu cầu
triển khai và quản lý tập trung các hệ thống ứng dụng CNTT của Ngành. TTDL
đang sử dụng dịch vụ thuê chỗ đặt máy chủ tại TTDL Viettel IDC, Khu Cơng
nghệ cao Hịa Lạc với các tiêu chuẩn đạt chất lượng toàn cầu, cùng nhiều điều
kiện về cơ sở vật chất, công tác vận hành, an ninh và quản lý chất lượng.
TTDL chính về cơ bản đã được trang bị đầy đủ các phân hệ phần cứng
chuyên dụng như thiết bị mạng (chuyển mạch lõi, chuyển mạch phân phối/ truy
cập và chuyển mạch cho vùng quản trị; định tuyến Internet và WAN; cân bằng
tải ứng dụng và cân bằng tải đường truyền), thiết bị an ninh bảo mật (tường lửa
lớp lõi, tường lửa lớp biên, thiết bị bảo mật, phòng chống thư rác, thiết bị phòng
chống tấn công từ chối dịch vụ DDOS, thiết bị bảo mật chuyên dụng cho CSDL,
phần mềm rò quét lỗ hổng bảo mật và tối ưu chính sách an ninh bảo mật); thiết
bị lưu trữ và sao lưu dữ liệu; thiết bị máy chủ và ảo hóa.
Cụ thể các trang thiết bị mạng và an ninh bảo mật như sau:
Bảng 1: Danh mục bảng thiết bị tại Trung tâm dữ liệu Ngành
A
1
2
3
4
5

Thiết bị mạng và an ninh bảo mật
Chức năng
Thiết bị mạng
Cân bằng tải đường
- Cân bằng tải các đường truyền Internet
truyền
theo các cơ chế Loadbalacing Roudbin…
- Chia đều tải và load outbound từ các server

Cân bằng tải ứng dụng
DMZ ra Internet
- Định tuyến tìm đường đi ngắn nhất trong
Định tuyến WAN
hệ thống mạng WAN
- Ứng dụng các công nghệ, kỹ thuật hiện đại
Tối ưu WAN
để thực hiện tối ưu lưu lượng mạng, tăng tốc
đường truyền WAN
Cân bằng tải WAN
- Cân bằng tải đường truyền WAN liên tỉnh
- Đảm bảo tính dự phịng, kiểm tra lỗi tự
động chuyển kết nối khi có lỗi trên 01 kênh


6
7

8
9
B

1

2

3

4


5

truyền
- Giám sát và điều hướng lưu lượng ứng
dụng theo các đường khác nhau
- Phục vụ kết nối giữa các vùng với nhau
Chuyển mạch lõi
- Điều hướng traffic giữa các vung với bên
ngoài và ngược lại
- Phục vụ kết nối các thiết bị vùng lõi
Chuyển mạch phân phối
- Kết nối thiết bị chuyển mạch lõi với các
10G
thiết bị chuyển mạch truy cập
- Phục vụ kết nối các kênh truyền kết nối với
Chuyển mạch phân phối mạng TSLCD, mạng WAN, mạng Internet,
1G
mạng kết nối riêng kết nối với ngân hàng,
đơn vị cung cấp dịch vụ IVAN…
- Phục vụ kết nối cổng quản trị các thiết bị
Chuyển mạch truy cập
mạng, máy chủ, bảo mật.
Thiết bị an ninh bảo
mật
- Ngăn chặn các tấn cơng từ mạng WAN
- Quản lý, thiết lập các chính sách kiểm sốt
Tường lửa WAN
truy cập mạng WAN
- Phân tích, đánh giá lưu lượng trên đường
truyền WAN

- Ngăn chặn các tấn công trên mạng Internet
- Quản lý, thiết lập các chính sách kiểm sốt
Tường lửa biên Internet truy cập mạng Internet
- Phân tích, đánh giá lưu lượng trên đường
truyền Internet
- Ngăn chặn các tấn công giữa các vùng
mạng lõi
- Quản lý, thiết lập các chính sách kiểm sốt
Tường lửa lõi
truy cập vùng mạng lõi
- Phân tích, đánh giá lưu lượng trong mạng
lõi
- Giám sát, báo cáo một cách độc lập về các
hành động, thao tác chi tiết của người
dùng/ứng dụng và người quản trị trên hệ
thống CSDL/dữ liệu
Tường lửa cơ sở dữ liệu
- Ngăn chặn các hành động trái phép vào dữ
liệu và bảo vệ dữ liệu nhạy cảm, giúp nâng
cao an ninh dữ liệu cũng như tuân thủ các
tiêu chuẩn về ATTT (PCI DSS)
Tường lửa Email
- Hệ thống có khả năng chống và lọc spam;
- Có khả năng phát hiện các thư spam theo
các tiêu chí được cấu hình bởi người quản trị


6

Kiểm sốt truy cập

WAN

7

Phịng chống DDOS

8

Phịng chống xâm nhập

9

Phịng chống tấn cơng
APT

10 Phân tích truy vết

và cập nhật các mẫu spam định kỳ
- Kiểm soát việc truy cập vào hệ thống
mạng, ngăn chặn truy cập bất hợp pháp từ
các máy tính lạ, máy khách, thiết bị lạ hoặc
các máy chưa tuân thủ chính sách bảo mật tổ
chức đặt ra tới hệ thống mạng tổ chức.
- Tính năng này của giải pháp NAC thực sự
chuyên sâu hơn so với các thiết bị bảo mật
như Firewall, IPS, APT
- Phát hiện và phòng, chống tấn công từ chối
dịch vụ DoS/DDoS đã biết và tấn cơng zeroday nhằm bảo đảm tính khả dụng của hệ
thống, ứng dụng và dịch vụ.
- Theo dõi các hoạt động bất thường đối với

hệ thống để ngăn chặn kịp thời
- Xác định nguồn tác động vào hệ thống và
cách thức, các hoạt động xâm nhập xảy ra ở
vị trí nào trong cấu trúc mạng.
- Cung cấp khả năng hiển thị và bảo vệ mạng
chống lại các cuộc tấn công mạng tinh vi, có
chủ đích hướng đến các nạn nhân cụ thể
thường gây tổn thất lớn
- Điều tra, tìm vết các sự cố an tồn thơng tin
- Xác định ngun nhân, đối tượng và
phương án xử lý sự cố
- Quản lý và theo dõi các tiến trình xử lý sự
cố

Các trang thiết bị mạng và thiết bị bảo mật thường gắn với nhau để đảm
bảo an toàn sẵn sàng cho hạ tầng phục vụ cho các ứng dụng, phần mềm và sở dữ
liệu nghiệp vụ Ngành. Các hệ thống này được trang bị tối thiếu 02 thiết bị để
đảm bảo tính dự phịng và khả dụng của hạ tầng mạng khi có 01 thiết bị mạng bị
sự cố. Các hệ thống mạng và bảo mật hiện tại đã được quản lý giám sát tập trung
bởi hệ thống giám sát PRTG và HP Node. Giám sát về hiệu năng thiết bị, lưu
lượng traffic qua các cổng kết nối và sự cố ra đối với từng thiết bị (quá tải, hết
dung lượng ổ cứng, bị rà quét mật khẩu, bị tắt cổng...).
1.1.2. Các kênh truyền kết nối tại Trung tâm dữ liệu Ngành
Trong thời gian sử dụng dịch vụ đường truyền, Trung tâm CNTT tổ chức
giám sát, theo dõi chất lượng kênh truyền, định kỳ 06 tháng/1lần phối hợp với
đơn vị cung cấp tổ chức đo kiểm, đánh giá chất lượng kênh truyền (được ghi


nhận với các thông số: băng thông, độ trễ, tỷ lệ mất gói, độ khả dụng, thời gian
khắc phục).

Chất lượng kênh truyền đã đáp ứng yêu cầu cho các hệ thống thơng tin của
Ngành trong q trình sử dụng, cụ thể:
Đường truyền Internet leased line (04 đường truyền tại TTDL chính, 02
đường truyền tại TTDL dự phịng) đáp ứng việc cung cấp dịch vụ công trực
tuyến để phục vụ người dân, doanh nghiệp thực hiện giao dịch điện tử với cơ
quan BHXH trên cổng Thông tin điện tử, cổng Dịch vụ công ngành BHXH Việt
Nam, cổng Tiếp nhận dữ liệu Giám định BHYT và ứng dụng BHXH số (VssID).
Đáp ứng theo Nghị định số 166/2016/NĐ-CP ngày 24/12/2016 quy định về giao
dịch điện tử trong lĩnh vực BHXH, BHYT và bảo hiểm thất nghiệp.
Tiêu chuẩn đường truyền Internet Lease Line được đảm bảo như sau:
- Băng thông: trong nước ≥ 900Mpbs / đường truyền, quốc tế ≥ 1Mbps /
đường truyền (Có khả năng mở rộng khi có yêu cầu). Tốc độ download bằng tốc
độ upload.
- Địa chỉ IP kết nối: ≥ 64 IP tĩnh (IPv4) / đường truyền.
- Độ trễ: trong nước ≤ 40 m
- Giao diện kết nối: 01 SFP ≥ 1Gbps
- Loại kết nối: Cáp quang.
- Các đường truyền của các đơn vị cung cấp dịch vụ khác nhau đảm bảo
phục vụ đồng đều cho người dân và doanh nghiệp từ hầu hết các đơn vị cung
cấp Internet lớn ở Việt Nam.
Đường truyền WAN gom (02 đường truyền tại tại TTDL chính, 02 đường
truyền tại TTDL dự phịng) đáp ứng việc tham gia khai thác, sử dụng các phần
mềm nghiệp vụ của Ngành từ BHXH Việt Nam, BHXH tỉnh/Tp và BHXH cấp
quận/huyện qua hệ thống WAN Ngành, cụ thể:
Bảng 2: Danh mục các phần mêm truy cập qua WAN
T
T
1
2


3
4

Tên phần mềm

Mô tả chung

Đối tượng sử
dụng
Phần mềm Thẩm
BHXH VN,
định quyết toán
BHXH tỉnh/tp
Phần mềm Quản lý Phục vụ hoạt động nội bộ của
BHXH VN,
hoạt động thanh
Ngành BHXH Việt Nam liên quan BHXH tỉnh/tp
tra, kiểm tra
đến việc thanh tra - kiểm tra tiếp
công dân của Ngành
Phần mềm Thi đua Phục vụ hoạt động nội bộ cho cán BHXH VN,
khen thưởng
bộ phụ trách công tác thi đua khen BHXH tỉnh/tp
thưởng của ngành
Hệ thống giám
Phục vụ công tác giám định
BHXH VN,
định BHYT
BHYT của ngành BHXH Việt
BHXH tỉnh/tp



Nam
5
6
7

8
9

Hệ thống giám
định BHYT
Phần mềm Tổng
hợp và phân tích
dữ liệu tập trung
Phần mềm Cấp mã
số BHXH và Quản
lý BHYT Hộ gia
đình (HGĐ)
Phần mềm Quản lý
Thu - Sổ, Thẻ
(TST)
Phần mềm Xét
duyệt chính sách
(TCS)

10 Phần mềm Kế tốn
tập trung (KTTT)
11 Phần mềm Quản lý
nhân sự

12 Phần mềm Lưu trữ
hồ sơ điện tử
ngành BHXH
13 Phần mềm Giao
dịch BHXH điện
tử
14 Hệ thống Quản lý
thiết bị
15 Hệ thống giám sát
16 Hệ thống CMS
17 Hệ thống chữ ký
số

Phục vụ báo cáo tổng hợp phân
tích dữ liệu Dataware house
Phục vụ quản lý người lao động
theo mã định danh
Phục vụ quản lý, thống kê liên
quan đến quản lý thu, cấp sổ và
thẻ BHYT
Phục vụ cán bộ phụ trách công tác
chế độ của ngành: xét duyệt các
chế độ ngắn hạn, dài hạn, liên
thông dữ liệu với các hệ thống
khác
Phục vụ quản lý nghiệp vụ tài
chính, kế tốn, liên thơng với các
hẹ thống khác hỗ trợ xử lý dữ liệu
Phục vụ quản lý hồ sơ cán bộ, báo
cáo thống kê, tra cứu thông tin cán

bộ
Phục vụ hỗ trợ khai thác hồ sơ lưu
trữ phục vụ hoạt động nội bộ của
Ngành
Phục vụ quản lý nghiệp vụ tiếp
nhận và quản lý hồ sơ giao dịch
điện tử
Phục vụ việc quản lý, cập nhật
thông tin trang thiết bị CNTT
Phụ vụ Lãnh đạo BHXH tỉnh/tp,
Lãnh đạo phòng Giám định giám
sát
Phục vụ quản trị, cập nhật thông
tin hệ thống Website của BHXH
tỉnh/tp
Phục vụ ký số các văn bản nội bộ
Ngành

BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện

BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH tỉnh/tp
BHXH VN,
BHXH tỉnh/tp
BHXH huyện


18 Hệ thống Single Phục vụ quản lý, đăng nhập đồng
Sign On, User
bộ các phần mềm nghiệp vụ
Ngành, Quản lý tài khoản người
dùng
II Tên dịch vụ
1 Hệ thống quản lý Quản lý truy cập các phần mềm

truy cập NAC
nghiệp vụ qua WAN
2

3
4

Hệ thống Dịch vụ Phục vụ các phiên họp trực tuyến
Hội nghị truyền công tác chỉ đạo điều hành của
hình
BHXH Việt Nam với BHXH
tỉnh/tp
Hệ thống Quản lý Phục vụ quản lý và cập nhật bản
bản

Patch vá cho máy chủ và máy trạm
Manager
Hệ thống Quản lý Phục vụ phòng chống các cuộc
EDR
tấn cơng chưa được biết

5

Hệ thống Antivirus

Phục vụ phịng chống mã độc tại
máy chủ và máy trạm

6


Hệ thống Quản lý Phục vụ quản lý máy trạm, phần
AD, DNS
quyền người dùng và phân giải
tên miền trong WAN

BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện
BHXH VN,
BHXH tỉnh/tp
BHXH huyện

Tiêu chuẩn đáp ứng của kênh truyền WAN gom:
Tiêu chuẩn của kênh truyền kết nối:
- Băng thông: ≥ 1.610Mbps / đường truyền. Tốc độ download bằng tốc độ

upload.
- Độ trễ: ≤ 40ms.
- Giao diện kết nối: SFP ≥ 10Gbps
- Loại kết nối: Cáp quang.
- 02 đường truyền của 02 đơn vị cung cấp dịch vụ khác nhau.
Kênh truyền kết nối đồng bộ giữa Trung tâm dữ liệu chính và Trung tâm dữ
liệu dự phòng đã đáp ứng yêu cầu cho sao lưu, phục hồi dữ liệu các hệ thống
thông tin của Ngành khi trung tâm dữ liệu chính có sự cố cần phải chuyển
hướng kết nối sang trung tâm dữ liệu dự phòng.
Tiêu chuẩn của kênh truyền kết nối:
- Băng thông: ≥ 10Gpbs / đường truyền. Tốc độ download bằng tốc độ
upload.
- Độ trễ: ≤ 40ms.


- Giao diện kết nối: 02 SFP ≥ 10Gbps
- Loại kết nối: Cáp quang.
- 02 đường truyền của 02 đơn vị cung cấp dịch vụ khác nhau.
Ngoài ra tất cả các kênh truyền đều phải đảm bảo chất lượng dịch vụ chung
như sau:
- Băng thông: ≥ 99 %
- Tỉ lệ mất gói tin: ≤ 0,1%
- Độ khả dụng: ≥ 99.9%
- Triển khai bằng hạ tầng cáp quang, có đường dự phòng
- Linh hoạt trong việc thay đổi tốc độ, di chuyển địa chỉ lắp đặt
- Thời gian khắc phục sự cố: Trong vòng 30 phút kể từ khi tiếp nhận thơng
tin với việc mất tín hiệu và trong vịng 02 giờ đối với việc đứt cáp
Khi kênh truyền xảy ra sự cố hệ thống giám sát PRTG sẽ ngay lập tức
thơng báo trên màn hình giám sát sự cố mất kết nối hoặc các sự cố không đảm
bảo vệ độ trễ và tỉ lệ mất gói.

1.1.3. Mơ hình giải pháp đảm bảo an tồn thơng tin cho hệ thống mạng
Việc bảo đảm an tồn thơng tin phục vụ phát triển CPĐT phải thống nhất,
đồng bộ các hệ thống thành phần trong mơ hình. Các hệ thống thành phần cần bảo
đảm an tồn thơng tin phục vụ CPĐT bao gồm các thành phần sau:
(1) Cổng Thông tin điện tử;
(2) Cổng Dịch vụ công/Hệ thống thông tin một cửa điện tử;
(3) Hệ thống Quản lý văn bản và điều hành;
(4) Hệ thống thơng tin báo cáo;
(5) Nền tảng chia sẻ, tích hợp dùng chung (LGSP);
(6) Các hệ thống cơ sở dữ liệu phục vụ phát triển CPĐT;
(7) Các hệ thống thông tin khác phục vụ phát triển CPĐT;
(8) Trung tâm điều hành an toàn, an ninh mạng (SOC).


Hình 1: Mơ hình đảm bảo ATTT tổng thể ngành BHXH
Căn cứ Chỉ thị số 14/CT-TTg của Thủ tướng Chính phủ về việc tăng cường
bảo đảm an toàn, an ninh mạng nhằm cải thiện chỉ số xếp hạng của Việt Nam;
Thực hiện công văn số 1552/BTTTT-CATTT ngày 28/04/2020 của Bộ
Thông tin và Truyền thông về việc đôn đốc tổ chức triển khai đảm bảo an tồn
thơng tin cho hệ thống thơng tin theo mơ hình “4 lớp”, Trung tâm Cơng nghệ
thông tin (CNTT) – Bảo hiểm xã hội (BHXH) Việt Nam hồn thành việc triển
khai bảo đảm an tồn thơng tin (ATTT) cho hệ thống thông tin ngành BHXH
theo mô hình “4 lớp”, cụ thể như sau:
1. “Lớp 1” Lực lượng tại chỗ
BHXH Việt Nam đã ban hành Kế hoạch số 3280/KH-BHXH ngày
29/8/2018 về việc Ứng phó sự cố bảo đảm an tồn thơng tin mạng trong ngành
BHXH Việt Nam quy định Đơn vị chuyên trách về ứng cứu sự cố ATTT mạng
ngành BHXH là Trung tâm CNTT thuộc BHXH Việt Nam. Trung tâm CNTT có
đầu mối là Phịng Quản lý Hạ tầng và An ninh thông tin thực hiện các công tác
tham mưu, kiểm tra, đôn đốc thực hiện các quy định của pháp luật về bảo đảm

an toàn, an ninh mạng trong ngành BHXH.


2. “Lớp 2” Thuê doanh nghiệp giám sát, bảo vệ ATTT mạng
BHXH Việt Nam đã tổ chức thuê dịch vụ CNTT “Thuê dịch vụ quản trị,
vận hành và hỗ trợ kỹ thuật các hệ thống thông tin của BHXH Việt Nam” để
thuê doanh nghiệp cung cấp dịch vụ quản trị, vận hành, giám sát, ứng cứu sự cố,
bảo vệ ATTT mạng cho các hệ thống thông tin ngành BHXH.
3. “Lớp 3” Thuê doanh nghiệp độc lập kiểm tra, đánh giá định kỳ
BHXH Việt Nam đã tổ chức thuê dịch vụ CNTT:
“Thuê dịch vụ đánh giá mức độ sẵn sàng của hệ thống thông tin ngành Bảo
hiểm xã hội” để thuê doanh nghiệp cung cấp dịch vụ kiểm tra, đánh giá định kỳ
độ lập cho các hệ thống thông tin ngành BHXH. Đơn vị là Cục An tồn thơng
tin.
“Th dịch vụ Kiểm tra đánh giá ATTT hệ thống thông tin ngành Bảo hiểm
xã hội”. Đơn vị là Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam
(VNCERT/CC)
4. “Lớp 4” Kết nối, chia sẻ thông tin với hệ thống giám sát quốc gia
Trung tâm CNTT đã gửi email tới , cung dải địa chỉ IP
Public, tên miền của các hệ thống thông tin ngành BHXH cung cấp các dịch vụ
ra bên ngồi cũng như có giao tiếp với mạng internet cho Trung tâm Giám sát an
tồn thơng tin mạng quốc gia (NCSC), đồng thời phối hợp thực hiện và hoàn
thành kết nối, chia sẻ thơng tin giám sát an tồn thơng tin, bảo đảm kịp thời,
đúng yêu cầu kỹ thuật và thời gian quy định.
1.2. Các sự cố hệ thống mạng thông thường tại Trung tâm dữ liệu
ngành Bảo hiểm xã hội Việt Nam
1.2.1. Các sự cố liên quan đến thiết bị mạng và an ninh bảo mật
a. Định nghĩa: Là sự cố do lỗi của thiết bị phần cứng, phần mềm, cấu hình.
Một số loại sự cố cụ thể:
- Sự cố nguồn điện: Bao gồm mất điện/UPS, lỗi nguồn điện. Đa số thiết bị

tại TTDL đều được trang bị nhiều hơn 02 nguồn để đảm bảo dự phòng và thay
thế nóng nguồn điện.


- Sự cố thiết bị bị hỏng, lỗi không hoạt động được: Thiết bị trong q trình
sử dụng có thể vì một ngun nhân nào đó bị lỗi một số linh kiện hoặc lỗi hệ
điều hành, lỗi cả thiết bị… cần phải được kịp thời phát hiện và khắc phục (trước
mắt phải chuyển điều hướng sang thiết bị còn lại, liên hệ với các bên để kiểm tra
và bảo hành sửa chữa thiết bị bị lỗi, hỏng)
- Sự cố thiết bị bị q tải: Trong q trình hoạt động có thể thiết bị bị quá
tải về năng lực xử lý về lưu lượng, số lượng phiên kết nối, băng thông kết nối,
số lượng log, event bị quá tải đầy ổ cứng có thể làm treo thiết bị, khơng lưu
được log, event.. ảnh hưởng đến tính khả dụng của hệ thống.
- Sự cố lổi cổng kết nối: Kết nối dây mạng giữa các thiết bị có thể xảy ra
tình trạng lỏng, chập chờn, không ổn định ảnh hưởng đến ứng dụng dịch vụ kết
nối đến.
b. Cách phát hiện, xác minh sự cố: Các sự cố do lỗi của thiết bị phần cứng,
phần mềm, cấu hình được phát hiện, xác minh qua hệ thống giám sát PRTG
hoặc vào trực tiếp thiết bị do đơn vị vận hành tại Trung tâm điều hành hệ thống
thông tin Ngành BHXH Việt Nam.
1.2.2. Các sự cố liên quan đến kênh truyền kết nối
a. Định nghĩa: Là sự cố do lỗi kênh truyền kết nối giữa thiết bị của BHXH
và cổng kết nối nhà mạng. Một số loại sự cố cụ thể:
- Sự cố đứt cáp: Là sự cố kênh truyền dẫn quang bị đứt kết nối cần phải,
kéo và hàn lại cáp, đảm bảo cáp quang khơng bị suy hao.
- Sự cố lỗi nhà trạm phía nhà mạng: Bao gồm các lỗi thiết bị, điện trạm
truyền dẫn đầu nhà mạng
- Sự cố các thông số cam kết dịch vụ không đáp ứng về băng thông, độ trễ,
độ mất gói, độ khả dụng. Q trình theo dõi giám sát trên phần mềm
PRTG sẽ phát hiện được sự cố này và phải liên hệ tổng đài để phối hợp

khắc phục sự cố kịp thời.
b. Cách phát hiện, xác minh sự cố: Các sự cố do lỗi kênh truyền kết nối
được phát hiện, xác minh qua hệ thống giám sát PRTG do đơn vị vận hành tại
Trung tâm điều hành hệ thống thông tin Ngành BHXH Việt Nam. Đơn vị vận
hành ngay lập tức liên hệ thống báo cho nhà mạng để khắc phục sự cố.


1.2.3. Các sự cố liên quán đến lỗi quản trị, vận hành hệ thống
a. Định nghĩa: Là sự cố do lỗi trong quá trình quản trị, vận hành, triển
khai hệ thống. Một số loại sự cố cụ thể:
- Lỗi trong cập nhật, thay đổi, cấu hình phần cứng: Quá trình cập nhật, cấu
hình thêm, sửa lỗi phần cứng có thể phát sinh lỗi.
- Lỗi trong cập nhật, thay đổi, cấu hình phần mềm: Quá trình cập nhật
thay đổi, cấu hình lại phần mềm quản lý, giám sát các thiết bị có thể gây
ra lỗi khởi động lại thiết bị…
- Lỗi trong q trình cập nhật chính sách an tồn thơng tin: Việc cập nhật
chính sách an tồn thơng tin có thể thiết lập luật lệ không tối ưu dẫn đến
hệ thống có thể bị khai thác, rà qt tấn cơng mạng.
- Lỗi liên quan đến dừng dịch vụ vì lý do bắt buộc: Khi chính hệ thống bị
lỗi hoặc một thiết bị khác trong hệ thống bị lỗi cần phải khởi động lại,
dừng dịch vụ.
- Lỗi liên quan đến việc quản lý, đảm bảo an tồn thơng tin tài khoản quản
trị: Trong quá trình quản lý, vận hành hệ thống việc lưu trữ, bảo quản tài
khoản quản trị có thể thể bị lộ lọt gây chiếm quyền điều khiển. Hệ thống
có thể bị dừng, thay đổi.
b. Cách phát hiện, xác minh sự cố: Qua hệ thống quản trị tài khoản đặc
quyền, Hệ thống giám sát tại Trung tâm điều hành hệ thống thơng tin ngành
BHXH Việt Nam có thể phát hiện và xác minh nguyên nhân sự cố để kịp thời
phản hồi ứng cứu khi sự cố xảy ra.



Tiểu kết Chương 1

Chương 1 đã phân tích hiện trạng hệ thống mạng tại Trung tâm dữ liệu
Ngành và các vấn đề có thể gây ra sự cố đối với hệ thống. Các sự cố hệ thống
mạng thơng thường có thể xảy ra hoặc có nguy cơ xảy ra làm giảm tính sẵn
sàng, khả dụng của hệ thống cơng nghệ thông tin Ngành. Việc phân loại nguyên
nhân sự cố và phương án xử lý đối với mỗi loại là rất cần thiết để hồn thiện quy
trình ứng cứu sự cố mạng thông thường.


Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệ thống
mạng thơng thường tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
2.1. Tuân thủ các quy định về ứng cứu khẩn cấp sự cố an tồn
thơng tin
Việc xây dựng các quy trình ứng cứu cần tuân thủ các quy định về điều
phối, ứng cứu sự cố an tồn thơng tin. Cụ thể là những văn bản sau đây:
2.1.1. Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo
đảm an tồn hệ thống thơng tin theo cấp độ
Nghị định đã nêu ra những nguyên tắc xác định cấp độ và bảo đảm an
tồn thơng tin cho các hệ thống thơng tin theo cấp độ. Theo đó các hệ thống
thơng tin được đánh giá theo 5 cấp độ với những tiêu chí xác định cho từng
cấp độ.
2.1.2. Thơng tư 03/2017/TT-BTTTT ngày ngày 24/04/2017 về việc quy
định chi tiết và hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP ngày
01/7/2016 của chính phủ về bảo đảm an tồn hệ thống thơng tin theo cấp độ
Thông tư hướng dẫn cụ thể xác định hệ thống thông tn cụ thể và hướng
dẫn cách xác định, thuyết minh cấp độ an toàn hệ thống thơng tin và những
u cầu bảo đảm an tồn hệ thống thông tin theo cấp độ.
2.1.3. Quyết định 05/2017/QĐ-TTg ngày 16/03/2017 ban hành Quy định

về hệ thống phương án ứng cứu khẩn cấp bảo đảm An tồn thơng tin mạng
Quốc gia
Quyết định đã xác định phân cấp tổ chức thực hiện ứng cứu sự cố bảo
đảm an tồn thơng tin mạng Quốc gia và phương án ứng cứu các sự cố. Căn
cứ vào quyết định này, có thể xác định được phạm vi áp dụng, xây dựng quy
trình chung cho ứng cứu sự cố thông thường ảnh hưởng đến an tồn thơng tin
mạng. Tại Điều 9 đã phân nhóm sự cố an tồn thơng tin mạng, trong đó quy
định các tiêu chí của sự cố an tồn thơng tin mạng thông thường.


2.1.4. Thông tư số 20/2017/TT-BTTTT ngày 12/09/2017 về việc quy định
điều phối, ứng cứu sự cố an tồn thơng tin mạng trên tồn quốc
Thơng tư đã xác định phân cấp tổ chức thực hiện ứng cứu sự cố bảo
đảm an tồn thơng tin mạng trên tồn quốc và phương án ứng cứu các sự cố.
Căn cứ vào quyết định này, có thể xác định được phạm vi áp dụng, xây dựng
quy trình chung cho ứng cứu sự cố thơng thường.
2.1.5 Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 về việc ứng phó sự
cố bảo đảm an tồn thơng tin mạng trong ngành BHXH Việt Nam.
Bảo hiểm xã hội Việt Nam ban hành Kế hoạch ứng phó sự cố bảo đảm
an tồn thơng tin (ATTT) mạng trong ngành BHXH đảm bảo ATTT mạng cho
các hệ thống thơng tin của ngành BHXH, trong đó tập trung đảm bảo ATTT
cho các hệ thống thông tin quan trọng.
2.1.6 Quyết định 836/QĐ-BHXH ngày 29/06/2018 về việc Ban hành quy
định thiết kế hệ thống hạ tầng thông tin ngành Bảo hiểm xã hội.
Quyết định xây dựng các loại thiết kế mẫu hệ thống hạ tầng thông tin
ngành BHXH Việt Nam bao gồm 06 loại:
- Trung tâm dữ liệu (TTDL);
- Trung tâm dữ liệu dự phòng và phục hồi thảm họa (TTDP)
- Mạng nội bộ BHXH tỉnh;
- Phòng máy chủ BHXH tỉnh;

- Mạng nội BHXH huyện;
- Mạng diện rộng (WAN) ngành BHXH.
2.1.7 Công văn số 273/BTTT-CBĐTW ngày 31/01/2020 về việc hướng
dẫn mơ hình tham chiếu về kết nối mạng cho bộ, ngành, địa phương.
Trong đó Bộ Thơng tin và Truyền thơng hướng dẫn mơ hình tham chiếu
về kết nối mạng cho bộ, ngành, địa phương. Phân tách máy chủ ứng dụng tại
hệ kết nối mạng TSLCD với kết nối mạng công công (Kết nối từ người dân,
doanh nghiệp vào hệ thống thơng tin của Chính phủ, Bộ ngành địa phương)


2.2. Hiệu quả trong quá trình ứng cứu khẩn cấp sự cố an tồn thơng
tin
2.1.1. Xác định đối tượng áp dụng các quy trình ứng cứu sự cố hệ thống
mạng
Xác định được các hệ thống thông tin của BHXH Việt Nam thuộc 3 loại
hệ thống thông tin:
- Hệ thống thông tin phục vụ hoạt động nội bộ
- Hệ thống thông tin phục vụ người dân, doanh nghiệp
- Hệ thống cơ sở hạ tầng thông tin
Xác định được cấp độ đề xuất của các hệ thống thông tin bao gồm 08 hệ
thống cấp độ 4 và 16 hệ thống thông tin cấp độ 3.
2.1.2. Xác định các thành phần tham gia điều phối, ứng cứu sự cố hệ
thống mạng
Chuyên đề đã xác định được các thành phần tham gia điều phối ứng
cứu sự cố an tồn thơng tin, bao gồm:
- Chủ quản hệ thống thông tin: Cơ quan BHXH Việt Nam
- Đơn vị chuyên trách về ứng cứu sự cố ATTT mạng: Trung tâm Công
nghệ thông tin trực thuộc BHXH Việt Nam
- Đội ứng cứu sự cố ATTT mạng ngành BHXH Việt Nam.
- Đơn vị vận hành hệ thống thông tin tại trung tâm dữ liệu Ngành:

Trung tâm CNTT thuê đơn vị vận hành hệ thống thông tin (Trung
tâm điều hành hệ thống thông tin ngành BHXH Việt Nam).
- Cơ quan thường trực về ứng cứu khẩn cấp bảo đảm ATTT mạng
quốc gia là Bộ Thông tin và Truyền thông.
- Cơ quan điều phối quốc gia là Trung tâm Ứng cứu khẩn cấp máy tính
Việt Nam thuộc Bộ Thơng tin và Truyền thông.
- Ban Chỉ đạo quốc gia về ứng cứu khẩn cấp bảo đảm ATTT mạng là
Ban Chỉ đạo an tồn thơng tin quốc gia đảm nhiệm chức năng chỉ
đạo ứng cứu khẩn cấp bảo đảm ATTT mạng.
- Đơn vị cung cấp dịch vụ ATTT mạng là nhà thầu cung cấp dịch vụ
do ngành BHXH thuê để thực hiện bảo đảm ATTT mạng cho ngành
BHXH.


2.1.3. Xác định cụ thể các bước thực hiện điều phối, ứng cứu sự cố hệ
thống mạng
Chuyên đề đưa ra quy trình và xác định cụ thể các bước thực hiện điều
phối, ứng cứu một cách chi tiết, có thể áp dụng vào thực tiễn để bảo đảm hiệu
quả của quá trình ứng cứu.
2.3. Thuận lợi, dễ dàng trong đào tạo, hướng dẫn, tác nghiệp
Việc xây dựng thống nhất được các quy trình ứng cứu sự cố góp phần
tạo điều kiện thuận lợi và dễ dàng trong công tác đào tạo nâng cao trình độ
cho cán bộ, người dùng tham gia công tác điều phối ứng cứu sự cố an tồn
thơng tin, điều tra số. Quy trình là căn cứ hướng dẫn cho các đơn vị quản lý
vận hành hệ thống mạng, cán bộ quản trị mạng, hệ thống thực hiện theo đúng
quy trình. Thống nhất, thuận lợi trong việc điều phối tác nghiệp trong ứng cứu
sự cố có sự tham gia của nhiều đơn vị (phòng, ban) để đảm bảo kịp thời khơi
phục hệ thống.
Dựa trên quy trình ứng cứu sự cố có thể thực hiện đánh giá các rủi ro tồn
tại trong hệ thống, xây dựng tài liệu diễn tập thực chiến nhằm nâng cao năng

lực, kinh nghiệm cho đơn vị quản lý, vận hành, giám sát hệ thống mạng.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×