BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Xây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ
tại các đơn vị trong hệ thốngBảo hiểm xã hội Việt Nam
Người thực hiện: Lã Khánh Toàn

Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn
Hà Nội - 2022

1


BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Xây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ
tại các đơn vị trong hệ thốngBảo hiểm xã hội Việt Nam

Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn

Hà Nội - 2022
2


3
Mục lục

3


4
Danh mục từ viết tắt
TT
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

18

4

Danh mục
An tồn thơng tin
Ứng cứu khẩn cấp
Bảo hiểm xã hội
Bảo hiểm y tế
Bảo hiểm thất nghiệp
Công nghệ thông tin
Cơ sở dữ liệu

Chữ viết tắt, rút gọn
ATTT
ƯCKC
BHXH
BHYT
BHTN
CNTT
CSDL


Danh mục các bảng

5


6
Phần mở đầu

i.

Sự cần thiết
Các sự cố an tồn thơng tin đang dần trở thành mối lo ngại rất lớn đối với
các tổ chức, đơn vị với bối cảnh hiện nay. Đặc biệt, với sự xuất hiện ngày càng
nhiều các mã độc mới như mã độc siêu đa hình, mã độc tống tiền, mã độc tấn
cơng có chủ đích hay nhiều những hình thức tấn cơng tinh vi… đặt ra vấn đề cấp
thiết phải điều phối, ứng cứu, xử lý sự cố mã độc toàn diện, triệt để trong hệ
thống mạng để loại bỏ, hạn chế các rủi ro từ loại hình tấn cơng này. Từ đó việc
xây dựng được những quy trình điều phối, ứng cứu sự cố an tồn thơng tin sẽ
giúp cho việc xác định, xử lý được nhanh chóng, hiệu quả đảm bảo hoạt động
thơng suốt cho những hệ thống thông tin.
Đối với hệ thống máy chủ, lưu trữ tại các đơn vị, các sự cố xảy ra gây ảnh
hưởng đến một số dịch vụ quan trọng trong hệ thống, dẫn đến người dùng không
truy cập được các phần mềm nghiệp vụ, không kết nối được VPN, không truy
cập được các website từ trong hệ thống mạng Lan của đơn vị

ii. Mục tiêu nghiên cứu
- Mục tiêu chung: Xác định các loại sự cố an toàn thông tin, mức độ nghiêm
trọng đối với hệ thống thông tin tại Bảo hiểm xã hội tỉnh, thành phố từ đó xây
dựng những quy trình ứng cứu sự cố cụ thể.
- Mục tiêu cụ thể
+ Đánh giá được đặc điểm về hệ thống hệ thống máy chủ, lưu trữ tại các đơn
vị trong hệ thống Bảo hiểm xã hội Việt Nam. Các sự cố an tồn thơng tin liên
quan đến máy chủ vật lý, máy chủ ảo hóa
+ Xây dựng được quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ tại các
đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam
iii. Đối tượng và phạm vi nghiên cứu
- Đối tượng nghiên cứu: Hệ thống hệ thống máy chủ, lưu trữ tại các đơn vị
- Phạm vi nghiên cứu:

+ Không gian: Các đơn vị trong hệ thống BHXH Việt Nam
+ Thời gian: Từ tháng 01/2021 đến tháng 12/2021
iv.

Cách tiếp cận và phương pháp nghiên cứu
- Cách tiếp cận: Thông qua việc thu thập thông tin hệ thống máy chủ, lưu trữ

các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam và việc nghiên cứu các sự
cố an tồn thơng tin cùng với tham khảo các văn bản pháp luật hướng dẫn cách
ứng cứu sự cố để xây dựng quy trình ứng cứu sự cố an tồn thơng tin.
6


7
- Phương pháp nghiên cứu: Thống kê, tổng hợp
v. Những đóng góp mới và những vấn đề mà chuyên đề chưa thực hiện được
- Những đóng góp mới của chuyên đề
+ Phân loại được các sự cố an tồn thơng tin có khả năng xảy ra cao trên hệ
thống máy chủ, lưu trữ tại các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam
+ Xây dựng được quy trình ứng cứu đối với các sự cố đã phân loại
+ Áp dụng các văn bản pháp luật, văn bản hướng dẫn vào việc xây dựng,
thực hiện quy trình ứng cứu sự cố an tồn thơng tin.
- Những vấn đề mà chuyên đề chưa thực hiện được
+ Chưa đánh giá các sự cố do lỗi của người quản trị, vận hành hệ thống
+ Chưa đánh giá các sự cố liên quan đến các thảm họa tự nhiên như bão, lụt,
động đất, hỏa hoạn v.v....
vi. Kết cấu chuyên đề
Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương, cụ
thể như sau:
Chương 1. Đặc điểm và các sự cố hệ thống máy chủ, lưu trữ trong hệ

thống mạng tại các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam
Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệ
thống máy chủ, lưu trữ tại các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam
Chương 3. Xây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ
tại các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam

7


8
Chương 1. Đặc điểm và các sự cố an toàn thông tin trong hệ thống hệ thống
máy chủ, lưu trữ tại các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam
1.1. Đặc điểm về hệ thống hệ thống máy chủ, lưu trữ tại các đơn vị
trong hệ thống Bảo hiểm xã hội Việt Nam
1.1.1. Xác định cấp độ của hệ thống thông tin tại BHXH tỉnh
Căn cứ Điều 8 Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của Chính
phủ về bảo đảm an tồn hệ thống thơng tin theo cấp độ, hệ thống thông tin tại
các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam được xác định cấp độ 2
(Hệ thống thông tin phục vụ hoạt động nội bộ của cơ quan, tổ chức và có xử lý
thông tin riêng, thông tin cá nhân của người sử dụng nhưng khơng xử lý thơng
tin bí mật nhà nước; Cung cấp thông tin và dịch vụ công trực tuyến từ mức độ 2
trở xuống theo quy định của pháp luật; Hệ thống cơ sở hạ tầng thông tin phục vụ
hoạt động của một cơ quan, tổ chức)
1.1.2. Thông tin hệ thống máy chủ tại đơn vị
Hiện tại các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam được trang
bị các máy chủ như sau:

STT

Tên thiết bị


HP
ProLiant
DL580 Gen9

1

2

HPE ProLiant
DL380 G9

Năm
đưa
vào
sử
dụng

2017

2017

Cấu hình

CPU: 04/02 x CPU E7-4830v4, 14 core,
2.0GHz, 35MB Cache
RAM: 256 GB DDR4 /160 GB DDR4
HDD: 6 x HDD 600GB 12G SAS 15K
2.5inch
RAID Controller: HPE Smart Array

P830i with 2GB Flashback Write Cache
NIC: 4 x 1Gbps Ethernet –RJ45, 2 x
10Gbps Ethernet –RJ45
PSU: 4/2
CPU: 02 x CPU Intel E5-2620 v4, 8core, 2.1GHz, 20MB cache
RAM: 64 GB
HDD: 04 x SAS 7.2K RPM 2TB, 02 x

SATA SSD 480GB

8

Phần
mềm
giám
sát
máy
ảo

Ghi chú

VMware
ESXi,
6.5.0

Tỉnh nhóm
1: 04 cpu,
256G GB
Ram; 04
PSU

Tỉnh
nhóm 2:
02 Cpu,
160GB
Ram, 02
PSU

VMware
ESXi,
6.5.0

Tỉnh nhóm
3


9
RAID Controller: HPE Smart Array
P840ar with 2GB Flashback Write
Cache
NIC: 4 x 1Gbps Ethernet –RJ45
PSU: 2

3

IBM 3850 X5

FUJITSU
PRIMERGY
RX4770 M1


4

FUJITSU
PRIMERGY
RX4770 M1

5

2013

2015

2015

CPU: 02 x Xeon® 6C E7-4807 (18 M
cache, 1.86 GHz, 6 core )
RAM: 16GB DDR3
HDD: 1.8TB (3 x HDD SAS, 6 Gb/s, 600
GB, 10k RPM, hot-plug, 2.5-inch)
RAID Controller M5015 0 SAS/SATA
NIC: 2 Gigabit Enthernet Dual
Enthernet 10/100/1000
PSU: 02 x 1975 W HS 2/2 hot-swap

CPU: 02 x Intel® Xeon® Processor E74820 v2 (2.0 GHz/8-core/16 MB Cache)
RAM: 160GB DDR3 /160GB DDR3/96
GB DDR3
HDD: 3.6TB/ 3TB
RAID Controller SAS 6G 1GB (D3116C)
NIC: 2

PSU: 4 1200W hot-plug

CPU: 02 x Intel® Xeon® Processor E74820 v2 (2.0 GHz/8-core/16 MB Cache)
RAM: 160GB DDR3 /160GB DDR3/96
GB DDR3
HDD: 3.6TB/ 3TB
RAID Controller SAS 6G 1GB (D3116C)
NIC: 2
PSU: 4 1200W hot-plug

VMware
ESXi,
6.5.0

Tỉnh nhóm
1: 160GB
Ram,
3.6TB
HDD
VMware
ESXi,
6.5.0

Tỉnh nhóm
2:120GB
RAM , 3.0
TB HDD
Tỉnh nhóm
3:96GB
DDR3, 3.0

TB HDD
Tỉnh nhóm
1: 160GB
Ram,
3.6TB
HDD

VMware
ESXi,
6.5.0

Tỉnh nhóm
2:120GB
RAM , 3.0
TB HDD
Tỉnh nhóm
3:96GB
DDR3, 3.0
TB HDD

Bảng 1.1: Danh mục máy chủ tại các đơn vị trong hệ thống BHXH Việt Nam

Các máy chủ ảo hóa:
STT

Tên máy
chủ

Địa chỉ IP


OS

1

AD

10.1.240.101,
10.79.240.100

Microsoft Windows
Server 2019

Quản lý tập
trung máy trạm

2

DNS

10.X.240.18

Microsoft Windows
Server 2019

Phân giải địa chỉ

9

Dịch vụ quan
trọng


Mục đích


10

3

PATCH

10.X.240.68

Quản lý, cập
nhật bản vá cho
máy trạm

Microsoft Windows
Server 2012 (64-bit)

Xác thực thư
điện tử người
dùng, phục vụ
VPN

Zimbra
Directory
Service

4


LDAP

10.X.240.161

CentOs Linux 7

5

TIE, TIP

192.168.14.12,
192.168.14.123

Ubuntu 14.04.6 LTS

10.X.240.141

Microsoft Windows
Server 2012 (64-bit)

Fsecure
Manager Proxy

Quản lý chính
sách của phần
mềm antivirus

10.X.240.50

Microsoft Windows

Server 2016 (64-bit)

SQL SERVER
2008

Tra cứu dữ liệu
SMS,
Xetduyet…

10.X.240.198

Oracle Linux Server
7.7

File Server 10.X.240.19

Microsoft Windows
Server 2019

6

7

F-Secure
Proxy
Máy

chủ

data


Cách ly trình
duyệt web khỏi
nội dung độc hại

Máy chủ hệ
8

thống
GĐBHYT

9

Oracle Database Lưu trữ thông tin
12
giám định

Chia sẻ file
giữa các máy
trạm qua AD

Bảng 1.2: Danh mục các máy chủ ảo hóa

1.1.3. Thơng tin hệ thống lưu trữ
STT

1

Tên thiết bị


NAS DX100 S3

Năm đưa vào
sử dụng

Cấu hình

Mục đích sử dụng

2015

- 8GB cache
- 96TB/32TB/24TB/16TB
- RAID 5
- NIC : 4
- PSU: 2

Lưu trữ dữ liệu

Bảng 1.3. Thông tin hệ thống lưu trữ

10


11
1.2. Các sự cố an tồn thơng tin trong hệ thống hệ thống máy chủ, lưu trữ
tại các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam
1.2.1. Sự cố do lỗi của hệ thống, thiết bị, phần mềm, hạ tầng kỹ thuật:
- Sự cố nguồn điện: Máy chủ vật lý mất kết nối, ảnh hưởng đến tính sẵn
sàng của hệ thống, người dùng không truy cập được các dịch vụ trên các máy

chủ ảo hóa.
- Sự cố đường kết nối mạng
+ Máy chủ vật lý mất kết nối, gây ảnh hưởng ngừng hoạt động các
máy chủ ảo hóa đang cài đặt trên máy vật lý
+ Máy chủ ảo hóa mất kết nối, gây ảnh hưởng đến việc truy cập hệ
thống, tra cứu dữ liệu của người dùng, các máy chủ như DNS, Ldap, Tie, Tip
ngừng hoạt động sẽ làm cho người dùng không truy cập được các phần mềm
nghiệp vụ, không kết nối được VPN, không truy cập được các website từ trong
hệ thống mạng nội bộ của đơn vị.
- Sự cố do lỗi phần mềm, phần cứng, ứng dụng của hệ thống thông tin
+ Sự cố lỗi phần mềm: lỗi hệ điều hành máy chủ vật lý, lỗi hệ điều
hành máy chủ ảo hóa
+ Sự cố lỗi phần cứng (Ram, ổ cứng, nguồn): Tùy từng mức độ lỗi
của các thiết bị có thể làm cho máy chủ không khởi động đươc.
+ Sự cố lỗi ứng dụng của hệ thống: ứng dụng lỗi không khởi động
được hoặc đang chạy thì bị treo gây ảnh hưởng đến việc sử dụng của người dùng
- Sự cố liên quan đến quá tải hệ thống
+ Quá tải máy chủ vật lý: các máy chủ ảo sử dụng hết tài nguyên
của hệ thống, gây hiện tượng chậm lag, treo máy chủ vật lý
+ Quá tải máy chủ ảo hóa: tài nguyên phân phối cho máy chủ ảo
hóa khơng đủ, gây treo ứng dụng hoặc hoạt động không ổn định.
1.2.2 Sự cố do bị tấn công mạng
1.2.2.1. Lỗ hổng bảo mật

11


12
Lỗ hổng bảo mật là điểm yếu trong một hệ thống cho phép kẻ tấn công
khai thác gây tổn hại đến các thuộc tính tồn vẹn (integrity), bí mật

(confidentiality), sẵn sàng (availability) của hệ thống đó. Các lỗ hổng tồn tại
trong hệ thống máy chủ, lưu trữ tại các đơn vị trong hệ thống Bảo hiểm xã hội
Việt Nam có thể kể đến như sau:
Lỗ hổng bảo mật tồn tại trên máy chủ vật lý:
- Lỗ hổng phần cứng (máy chủ IBM3850X5: CVE-2013-4038, CVE2013-4037, CVE-2013-4031)
- Lỗ hổng trên phần mềm ảo hóa Vmware esxi 6.5: CVE-2020-3992,
CVE-2021-22045, CVE-2020-4005, CVE-2021-21974
Lỗ hổng bảo mật tồn tại trên máy chủ ảo hóa
- Lỗ hổng hệ điều hành:
+ Hệ điều hành Window (2012, 2016, 2019): CVE-2022-23284
(Windows Print Spooler), CVE-2022-21922 (Remote Procedure Call Runtime
Remote Code Execution Vulnerability), CVE-2022-21857 (Active Directory
Domain Services) , CVE-2022-21851(Remote Desktop Client Remote Code
Execution Vulnerability)
+ Hệ điều hành CentOs Linux 7: CVE-2020-5291, CVE-20171000253 (Overflow)
+Hệ điều hành Ubuntu 14.04.6 LTS: CVE-2019-7304 (Canonical
snapd), CVE-2019-3462, CVE-2018-18502 (Overflow Mem)
+ Oracle Linux Server 7.7: CVE-2021-2464, CVE-2021-3551
- Lỗ hổng trên các phần mềm ứng dụng
+ Zimbra Directory Service: CVE-2021-35209,CVE-2022-24682
+Sql Server 2008: CVE-2021-1636, CVE-2020-0618, CVE-20191068
+Oracle Database 12: CVE-2021-35558, CVE-2021-35551, CVE2017-10202
+ Fsecure Manager Proxy: CVE-2021-44228/CVE-2021-45046
(Log4J Vulnerabilities) , CVE-2011-1103, CVE-2011-1102…
1.2.2.2. Sự cố tấn công mạng

12


13

Sự tồn tại những điểm yếu trên phần cứng, phần mềm hoặc trên một dịch
vụ nào đó của hệ thống thơng tin có thể sẽ bị hacker lợi dụng để tiến hành các
cuộc tấn công mạng như sau:
- Tấn công từ chối dịch vụ (Dos hoặc DDOS): là một phương pháp được
sử dụng nhằm ngăn chặn những người dùng hợp lệ truy cập vào một mạng hoặc
một tài nguyên web. Thông thường, điều này được thực hiện bằng cách làm cho
mục tiêu tấn công bị quá tải (thường là máy chủ web) do gặp một lưu lượng truy
cập lớn, hoặc bằng cách gửi đi các yêu cầu độc hại làm cho mục tiêu tấn cơng bị
lỗi hoặc sập hồn tồn.
- Tấn công sử dụng mã độc
Mã độc (Malware hay Malicious software) là các chương trình máy tính
được tạo ra với mục đích làm tổn hại đến tính bảo mật, tính tồn vẹn hoặc tính
sẵn sàng của dữ liệu, ứng dụng và hệ điều hành của của hệ thống, có thể kể đến
như:
+ Virus: là phần mềm ngụy trang có khả năng tự sao chép và lây lan thông
qua các thiết bị lưu trữ như thẻ nhớ, USB hoặc qua email. Dấu hiệu dễ nhận
thấy nhất của virus là máy tính bị chậm đi dù khơng làm tác vụ gì q nặng hoặc
các file lạ tự nhiên xuất hiện trên máy.
+ Spyware: là phần mềm dùng để đánh cắp thông tin của người dùng, khi
đã xâm nhập máy chủ, spyware sẽ điều khiển máy chủ và bí mật chuyển dữ liệu
người dùng đến một máy khác
+ Botnet: Botnet là những máy tính bị nhiễm virus và bị điều khiển thơng
qua Trojan, virus… Tin tặc lợi dụng sức mạnh của những máy tính bị nhiễm
virus để thực hiện các hành vi phá hoại và ăn cắp thông tin
- Sự cố tấn công lừa đảo (Phishing)
Sự cố tấn công Phishing là việc tin tặc giả mạo thành một tổ chức uy tín
để lừa người dùng cung cấp thông tin cá nhân. Một số hình thức tấn cơng
phishing như giả mạo email, giả mạo website.
Tiểu kết Chương 1
13



14
Trong chương 1, chuyên đề đã đưa ra được đặc điểm về hệ thống máy
chủ, thiết bị lưu trữ tại các đơn vị thuộc Bảo hiểm xã hội Việt Nam, đồng thời đã
phân loại được một số loại sự cố an tồn thơng tin xảy ra trên hệ thống máy chủ
vật lý, máy chủ ảo hóa, đây là căn cứ cho việc xây dựng quy trình ứng cứu khi
có sự cố mất an tồn thơng tin xảy ra.

14


15
Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố hệ thống máy
chủ, lưu trữ mạng tại các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam

2.1. Tuân thủ các quy định về ứng cứu khẩn cấp sự cố an tồn thơng
tin
Việc xây dựng các quy trình ứng cứu cần tuân thủ các quy định về điều
phối, ứng cứu sự cố an toàn thông tin. Cụ thể:
2.1.1. Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo
đảm an toàn hệ thống thông tin theo cấp độ
Nghị định đã nêu ra những nguyên tắc xác định cấp độ và bảo đảm an
toàn thông tin cho các hệ thống thông tin theo cấp độ. Theo đó các hệ thống
thơng tin được đánh giá theo 5 cấp độ với những tiêu chí xác định cho từng cấp
độ.
2.1.2. Thông tư 03/2017/TT-BTTTT ngày ngày 24/04/2017 về việc quy
định chi tiết và hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP ngày
01/7/2016 của chính phủ về bảo đảm an tồn hệ thống thơng tin theo cấp độ
Thông tư hướng dẫn cụ thể xác định hệ thống thông tn cụ thể và hướng

dẫn cách xác định, thuyết minh cấp độ an tồn hệ thống thơng tin và những u
cầu bảo đảm an tồn hệ thống thơng tin theo cấp độ.
2.1.3. Quyết định 05/2017/QĐ-TTg ngày 16/03/2017 ban hành Quy định
về hệ thống phương án ứng cứu khẩn cấp bảo đảm An tồn thơng tin mạng
Quốc gia
Quyết định đã xác định phân cấp tổ chức thực hiện ứng cứu sự cố bảo
đảm an tồn thơng tin mạng Quốc gia và phương án ứng cứu các sự cố. Căn cứ
vào quyết định này, có thể xác định được phạm vi áp dụng, xây dựng quy trình
chung cho ứng cứu sự cố nghiêm trọng ảnh hưởng đến an tồn thơng tin mạng
Quốc gia. Tại Điều 9 đã phân nhóm sự cố an tồn thơng tin mạng, trong đó quy
định các tiêu chí của sự cố an tồn thơng tin mạng nghiêm trọng.

15


16
2.1.4. Thông tư số 20/2017/TT-BTTTT ngày 12/09/2017 về việc quy định
điều phối, ứng cứu sự cố an tồn thơng tin mạng trên tồn quốc
Thơng tư đã xác định phân cấp tổ chức thực hiện ứng cứu sự cố bảo đảm
an tồn thơng tin mạng trên tồn quốc và phương án ứng cứu các sự cố. Căn cứ
vào quyết định này, có thể xác định được phạm vi áp dụng, xây dựng quy trình
chung cho ứng cứu sự cố thơng thường.
2.1.5 Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 về việc ứng phó sự
cố bảo đảm an tồn thơng tin mạng trong ngành BHXH Việt Nam.
Kế hoạch đã đặt ra những mục đích, yêu cầu và quy định chung trong việc
ứng phó với sự cố an tồn thơng tin trong ngành BHXH Việt Nam.
2.2. Hiệu quả trong quá trình ứng cứu khẩn cấp sự cố an tồn thơng
tin
2.2.1. Xác định đối tượng áp dụng các quy trình ứng cứu sự cố an tồn
thơng tin

Xác định được các hệ thống thông tin của các đơn vị trong hệ thống Bảo
hiểm xã hội Việt Nam thuộc 2 loại hệ thống thông tin:
- Hệ thống thông tin phục vụ hoạt động nội bộ
- Hệ thống cơ sở hạ tầng thông tin
2.2.2. Xác định các thành phần tham gia điều phối, ứng cứu sự cố an tồn
thơng tin
Các thành phần tham gia điều phối ƯCSC an toàn thông tin, bao gồm:
- Chủ quản hệ thống thông tin: Cơ quan BHXH Việt Nam
- Đơn vị chuyên trách về ứng cứu sự cố ATTT mạng: Trung tâm Công
nghệ thông tin trực thuộc BHXH Việt Nam
- Đội ứng cứu sự cố ATTT mạng ngành BHXH Việt Nam.
- Đơn vị vận hành hệ thống thơng tin: Văn phịng BHXH Việt Nam, các
đơn vị sự nghiệp trực thuộc BHXH Việt Nam, BHXH các tỉnh, thành phố trực
thuộc Trung ương có quản lý trực tiếp hệ thống thông tin và các đơn vị được
thuê vận hành hệ thống thông tin.

16


17
- Cơ quan thường trực về ứng cứu khẩn cấp bảo đảm ATTT mạng quốc gia
là Bộ Thông tin và Truyền thông.
- Cơ quan điều phối quốc gia là Trung tâm Ứng cứu khẩn cấp máy tính
Việt Nam thuộc Bộ Thông tin và Truyền thông.
- Ban Chỉ đạo quốc gia về ứng cứu khẩn cấp bảo đảm ATTT mạng là Ban
Chỉ đạo an tồn thơng tin quốc gia đảm nhiệm chức năng chỉ đạo ứng cứu khẩn
cấp bảo đảm ATTT mạng.
- Đơn vị cung cấp dịch vụ ATTT mạng là nhà thầu cung cấp dịch vụ do
ngành BHXH thuê để thực hiện bảo đảm ATTT mạng cho ngành BHXH.
2.2.3. Xây dựng, xác định cụ thể các bước thực hiện điều phối, ứng cứu

sự cố an tồn thơng tin
Việc xây dựng quy trình và xác định cụ thể các bước thực hiện điều phối,
ứng cứu cần cụ thể, chi tiết, có thể áp dụng vào thực tiễn để bảo đảm hiệu quả
của q trình ứng cứu. Ngồi ra, chun đề cần phân loại chi tiết các loại sự cố
theo quy định của Thông tư 20/2017/TT-BTTTT
2.3. Thuận lợi, dễ dàng trong đào tạo, hướng dẫn, tác nghiệp
2.3.1 Triển khai huấn luyện, diễn tập, phòng ngừa sự cố, giám sát phát
hiện, bảo đảm các điều kiện sẵn sàng đối phó, ứng cứu, khắc phục sự cố.
Việc xây dựng được các quy trình ứng cứu sự cố cần góp phần thực hiện
huấn luyện, diễn tập các phương án đối phó, ứng cứu sự cố tương ứng với các
kịch bản, tình huống sự cố cụ thể; huấn luyện, diễn tập nâng cao kỹ năng, nghiệp
vụ phối hợp, ứng cứu, chống tấn công, xử lý mã độc, khắc phục sự cố; tham gia
huấn luyện, diễn tập vùng, miền, quốc gia, quốc tế.
2.3.2 Phương án đối phó, ứng cứu đối với một số tình huống sự cố cụ thể
Đối với mỗi hệ thống thơng tin, chương trình, ứng dụng, cần xây dựng
tình huống, kịch bản sự cố cụ thể và đưa ra phương án đối phó, ứng cứu sự cố
tương ứng. Trong phương án đối phó, ứng cứu phải đặt ra được các tiêu chí, quy
trình xử lý để có thể nhanh chóng xác định được tính chất, mức độ nghiêm trọng
của sự cố khi sự cố xảy ra. Việc xây dựng phương án đối phó, ứng cứu sự cố cần
đảm bảo các nội dung sau:
17


18
- Phương pháp, cách thức để xác định nhanh chóng, kịp thời nguyên nhân,
nguồn gốc sự cố nhằm áp dụng phương án đối phó, ứng cứu, khắc phục sự cố
phù hợp.
- Phương án đối phó, ứng cứu, khắc phục sự cố đối với một hoặc nhiều
tình huống.
- Cơng tác tổ chức, điều hành, phối hợp giữa các lực lượng, giữa các tổ

chức trong đối phó, ngăn chặn, ứng cứu, khắc phục sự cố.
- Phương án về nhân lực, trang thiết bị, phần mềm, phương tiện, công cụ,
và dự kiến kinh phí để thực hiện, đối phó, ứng cứu, xử lý đối với từng tình
huống sự cố
Tiểu kết Chương 2
Tại chương 2 đã đưa ra được các yêu cầu đối với việc xây dựng quy trình
ứng cứu sự cố hệ thống máy chủ, lưu trữ mạng tại các đơn vị trong hệ thống
Bảo hiểm xã hội Việt Nam, đảm bảo tuân thủ theo các quy định về ƯCSC cũng
như thuận lợi, hiệu quả trong quá trình thực hiện.

18


19
Chương 3. Xây dựng quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ
tại các đơn vị trong hệ thống Bảo hiểm xã hội Việt Nam
3.1. Phần quy định chung
3.1.1. Nguyên tắc, phương châm ứng cứu sự cố
Các nguyên tắc, phương châm ứng phó sự cố:
- Tuân thủ các quy định pháp luật về ứng cứu sự cố ATTT mạng
- Chủ động, kịp thời, chính xác và phối hợp chặt chẽ, đồng bộ, hiệu quả
giữa các tổ chức, đơn vị tham gia.
- Ứng cứu sự cố trước hết phải được thực hiện, xử lý bằng lực lượng tại
chỗ do Đơn vị vận hành hệ thống thông tin chịu trách nhiệm chính.
- Tuân thủ các điều kiện, nguyên tắc ưu tiên về duy trì hoạt động của hệ
thống thơng tin đã được cấp thẩm quyền phê duyệt.
- Thông tin trao đổi trong quá trình ứng cứu sự cố phải được kiểm tra, xác
minh đối tượng trước khi thực hiện các bước tác nghiệp tiếp theo.
- Bảo đảm bí mật thông tin biết được khi tham gia, thực hiện các hoạt
động ứng cứu sự cố.

3.1.2. Các lực lượng tham gia ứng phó sự cố của BHXH Việt Nam
Các lực lượng tham gia và vai trò của từng lực lượng
a. Ban chỉ đạo ngành Bảo hiểm xã hội
- Chỉ đạo công tác điều phối, ứng cứu sự cố trong ngành BHXH; chỉ đạo
các cơ quan, đơn vị trực thuộc phối hợp, tuân thủ yêu cầu của Cơ quan điều phối
quốc gia trong điều phối, ứng cứu sự cố.
- Chỉ đạo xây dựng, phê duyệt và giám sát thực hiện các phương án ứng
cứu sự cố do Đơn vị chuyên trách ứng cứu sự cố xây dựng và thực hiện.
- Triệu tập, chỉ đạo Đội ứng cứu sự cố theo đề xuất của Đơn vị chuyên
trách ứng cứu sự cố.
- Báo cáo tình hình và xin ý kiến của Ban Chỉ đạo quốc gia qua Cơ quan
thường trực quốc gia về các vấn đề phát sinh vượt thẩm quyền trong quá trình

19


20
thực hiện nhiệm vụ; chịu sự chỉ đạo, điều hành của Ban Chỉ đạo quốc gia qua
Cơ quan thường trực quốc gia và Cơ quan điều phối quốc gia.
b. Trung tâm CNTT; Đội ứng cứu sự cố ngành BHXH Việt Nam
- Tổ chức hoạt động ứng cứu sự cố trong ngành BHXH; xây dựng và thực
hiện các phương án ứng cứu sự cố theo kế hoạch và đột xuất.
- Tham gia hoạt động ứng cứu khẩn cấp bảo đảm ATTT mạng quốc gia
khi có yêu cầu từ Cơ quan thường trực quốc gia hoặc Cơ quan điều phối quốc gia.
- Xác định nguyên nhân, trách nhiệm gây ra sự cố ATTT mạng trong
ngành BHXH.
- Thiết lập kênh tiếp nhận thông tin về sự cố ATTT và hướng dẫn các đơn
vị phòng ngừa, khắc phục các sự cố ATTT.
c. Đơn vị vận hành hệ thống thông tin
- Bảo đảm ATTT mạng cho các hệ thống được giao quản lý, vận hành.

- Kịp thời báo cáo sự cố tới Cơ quan chủ quản, Đơn vị chuyên trách ứng
cứu sự cố, Cơ quan điều phối quốc gia và các cá nhân liên quan.
- Thường xuyên theo dõi, chủ động phát hiện các tấn công, sự cố đối với
hệ thống được giao quản lý, vận hành và kịp thời khắc phục các sự cố ATTT
mạng trong khả năng của mình.
- Phối hợp xác định nguyên nhân, trách nhiệm gây ra sự cố ATTT mạng
đối với các hệ thống được giao quản lý, vận hành.

20


21
3.2. Quy trình tởng thể ứng cứu sự cố thơng thường tại các đơn vị
trong hệ thống BHXH Việt Nam

Hình 1. Quy trình tổng thể ứng cứu sự cố thơng thường tại các đơn vị trong
hệ thống BHXH Việt Nam
21


22
a. Phát hiện/Tiếp nhận sự cố:
- Đơn vị chủ trì: Đơn vị vận hành HTTT.
- Đơn vị phối hợp: Trung tâm CNTT, Trung tâm vận hành HTTT; Đội ƯCSC
Ngành BHXH; Đơn vị cung cấp dịch vụ giám sát ATTT.
- Nội dung thực hiện: Theo dõi, tiếp nhận, phân tích các cảnh báo, dấu hiệu sự cố
từ các nguồn bên trong và bên ngồi. Khi phân tích, xác minh sự cố đã xảy ra,
cần tổ chức ghi nhận, thu thập chứng cứ, xác định nguồn gốc sự cố.
b. Triển khai các bước ưu tiên ứng cứu ban đầu:
- Đơn vị chủ trì: Đơn vị vận hành HTTT.

- Đơn vị phối hợp: Trung tâm vận hành HTTT; Đội ƯCSC Ngành BHXH; Đơn vị
cung cấp dịch vụ mạng; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung
cấp thiết bị, dịch vụ bảo hành, hỗ trợ kĩ thuật.
- Nội dung thực hiện: Theo dõi, tiếp nhận, phân tích các cảnh báo, dấu hiệu sự cố
từ các nguồn bên trong và bên ngồi. Khi phân tích, xác minh sự cố đã xảy ra,
cần tổ chức ghi nhận, thu thập chứng cứ, xác định nguồn gốc sự cố.
c. Báo cáo sự cố
- Đơn vị chủ trì: Đơn vị vận hành HTTT.
- Đơn vị phối hợp: Trung tâm vận hành HTTT; Đội ƯCSC Ngành BHXH; Đơn vị
cung cấp dịch vụ mạng; Đơn vị cung cấp dịch vụ giám sát ATTT; Đơn vị cung
cấp thiết bị, dịch vụ bảo hành, hỗ trợ kĩ thuật.
- Nội dung thực hiện: Sau khi đã triển khai các bước ưu tiên ứng cứu ban đầu,
Đơn vị vận hành HTTT báo cáo sự cố đến Trung tâm CNTT.
d. Triển khai ứng cứu, ngăn chặn và xử lý sự cố
- Đơn vị chủ trì: Đơn vị vận hành HTTT.
- Đơn vị phối hợp: Trung tâm CNTT, Trung tâm vận hành HTTT; Đội ƯCSC
Ngành BHXH; Đơn vị cung cấp dịch vụ mạng; Đơn vị cung cấp dịch vụ giám
sát ATTT; Đơn vị cung cấp thiết bị, dịch vụ bảo hành, hỗ trợ kĩ thuật.
- Nội dung thực hiện:
o Triển khai thu thập chứng cứ, phân tích, xác định phạm vi, đối tượng bị ảnh
hưởng.
o Triển khai phân tích, xác định nguồn gốc tấn công, tổ chức ứng cứu và ngăn
chặn, giảm thiểu tác động, thiệt hại đến hệ thống thông tin.
e. Xử lý sự cố, gỡ bỏ và khôi phục
- Đơn vị chủ trì: Đơn vị vận hành HTTT.

22


23

- Đơn vị phối hợp: Trung tâm CNTT, Trung tâm vận hành HTTT; Đội ƯCSC
Ngành BHXH; Đơn vị cung cấp dịch vụ mạng; Đơn vị cung cấp dịch vụ giám
sát ATTT; Đơn vị cung cấp thiết bị, dịch vụ bảo hành, hỗ trợ kĩ thuật.
- Nội dung thực hiện: Sau khi đã triển khai ngăn chặn sự cố, Đơn vị vận hành
HTTT, Trung tâm CNTT, Trung tâm vận hành hệ thống thông tin, Đội ƯCSC
Ngành BHXH triển khai tiêu diệt, gỡ bỏ các mã độc, phần mềm độc hại khắc
phục các điểm yếu an tồn thơng tin của hệ thống thông tin.
f. Khôi phục hoạt động hệ thống
- Đơn vị chủ trì: Đơn vị vận hành HTTT.
- Đơn vị phối hợp: Trung tâm CNTT, Trung tâm vận hành HTTT; Đội ƯCSC
Ngành BHXH; Đơn vị cung cấp dịch vụ mạng; Đơn vị cung cấp dịch vụ giám
sát ATTT; Đơn vị cung cấp thiết bị, dịch vụ bảo hành, hỗ trợ kĩ thuật.
- Nội dung thực hiện: Đơn vị vận hành HTTT chủ trì phối hợp với các đơn vị liên
quan triển khai các hoạt động khôi phục hệ thống thông tin dữ liệu và kết nối;
cấu hình hệ thống an tồn; bổ sung các thiết bị, phần cứng phần mềm bảo đảm
an tồn thơng tin cho hệ thống thơng tin.
g. Kiểm tra, đánh giá hệ thống thông tin
- Đơn vị chủ trì: Đơn vị vận hành HTTT.
- Đơn vị phối hợp: Trung tâm CNTT, Trung tâm vận hành HTTT; Đội ƯCSC
Ngành BHXH; Đơn vị cung cấp dịch vụ mạng; Đơn vị cung cấp dịch vụ giám
sát ATTT; Đơn vị cung cấp thiết bị, dịch vụ bảo hành, hỗ trợ kĩ thuật.
- Nội dung thực hiện: Đơn vị vận hành HTTT và các đơn vị liên quan triển khai
kiểm tra, đánh giá hoạt động của tồn bộ hệ thống thơng tin sau khi khắc phục
sự cố. Trường hợp hệ thống chưa hoạt động ổn định, cần tiếp tục tổ chức thu
thập, xác minh lại nguyên nhân để xử lý dứt điểm, khôi phục hoạt động bình
thường của hệ thống thơng tin.
h. Tổng kết, đánh giá
- Đơn vị chủ trì: Đơn vị vận hành HTTT.
- Đơn vị phối hợp: Trung tâm CNTT, Trung tâm vận hành HTTT; Đội ƯCSC
Ngành BHXH.

- Nội dung thực hiện: Đơn vị vận hành HTTT phối hợp với Trung tâm CNTT, Đội
ƯCSC Ngành BHXH triển khai tổng hợp toàn bộ các thơng tin, báo cáo, phân
tích có liên quan đến sự cố, công tác triển khai phương án ứng cứu sự cố; tổ
chức phân tích nguyên nhân, rút kinh nghiệm trong hoạt động xử lý sự cố và đề
xuất các biện pháp bổ sung nhằm phòng ngừa, ứng cứu đối với các sự cố tương
tự trong tương lai.

23


24
3.3. Quy trình ứng cứu sự cố hệ thống máy chủ, lưu trữ
a. Phát hiện/Tiếp nhận sự cố:
- Đơn vị chủ trì: Đơn vị vận hành HTTT.
- Đơn vị phối hợp: Trung tâm CNTT; Đội vận hành hệ thống máy chủ, lưu trữ;
Đội ƯCSC Ngành BHXH; Đơn vị cung cấp thiết bị, dịch vụ bảo hành, hỗ trợ kĩ
thuật.
- Nội dung thực hiện: Theo dõi, tiếp nhận, phân tích các cảnh báo, dấu hiệu sự cố
từ các nguồn bên trong và bên ngồi. Khi phân tích, xác minh sự cố đã xảy ra,
cần tổ chức ghi nhận, thu thập chứng cứ, xác định nguồn gốc sự cố. Cụ thể:
o Đối với máy chủ: Sử dụng hệ thống quản trị tập trung máy chủ ảo hóa và máy
chủ vật lý như vCenter, PRTG, HP Omni, Manage Engine…. Các hệ thống giám
sát này cần được tinh chỉnh các thông tin cần theo dõi và cài đặt cảnh báo để tối
ưu hóa việc theo dõi.
o Đối với thiết bị lưu trữ: Sử dụng hệ thống theo dõi tập trung, cài đặt ngưỡng
cảnh báo hợp lý để sớm đưa ra những cảnh báo kịp thời.
o Cần xác minh các thông tin về trạng thái các thiết bị trong hệ thống mạng:
nguồn điện, cổng kết nối, kênh truyền, tải thiết bị. Đối với từng loại thiết bị, cần
những thông tin khác nhau:
 Máy chủ: thông số tải thiết bị về RAM, CPU, Disk, số nhiệm vụ phải thực hiện

trong khoảng thời gian của máy chủ vật lý, máy chủ ảo hóa.
 Lưu trữ: thơng số tải thiết bị về IOPS (tốc độ đọc, ghi), băng thông, độ trễ, độ
khả dụng của từng volume đã cấp.
o Thu thập thông tin logs thiết bị.
o Xác định mức độ, phạm vi ảnh hưởng Xác định máy thành phần, module xảy ra
sự cố (nguồn, RAM, ổ đĩa…).
o Thu thập thông tin các bản sao lưu:
 Đối với máy chủ ảo hóa, kiểm tra các bản sao lưu cấu hình (snapshot) gần nhất.
 Đối với thiết bị lưu trữ, kiểm tra các bản sao lưu dữ liệu gần nhất.
o Xác định phạm vi ảnh hưởng:
 Đối với máy chủ vật lý: Xác định các máy chủ ảo hóa đang sử dụng trên thiết bị
và xác định ảnh hưởng đến hệ thống thơng tin nào.
 Đối với máy chủ ảo hóa: Xác định vai trò của máy chủ trong hệ thống, xác định
các node tương tự, có thể đảm nhận vai trò tương đương.
 Đối với thiết bị lưu trữ, xác định loại dữ liệu đang được lưu trữ, những máy chủ,
hệ thống thông tin nào đang sử dụng thiết bị đó để lưu trữ thơng tin.
24


25
b. Triển khai các bước ưu tiên ứng cứu ban đầu:
- Đơn vị chủ trì: Đơn vị vận hành HTTT.
- Đơn vị phối hợp: Đội vận hành hệ thống máy chủ, lưu trữ; Đội ƯCSC Ngành
BHXH; Đơn vị cung cấp thiết bị, dịch vụ bảo hành, hỗ trợ kĩ thuật.
- Nội dung thực hiện: Theo dõi, tiếp nhận, phân tích các cảnh báo, dấu hiệu sự cố
từ các nguồn bên trong và bên ngồi. Khi phân tích, xác minh sự cố đã xảy ra,
cần tổ chức ghi nhận, thu thập chứng cứ, xác định nguồn gốc sự cố. Cụ thể:
o Thu thập thông tin nhật ký (logs) thiết bị, phần mềm quản lý.
o Từ những cảnh báo trên thiết bị, nhật ký (log) hay phần mềm quản lý tập trung
xác định nguyên nhân gây ra sự cố.

o Xác định các cảnh báo trên thiết bị về nguồn điện, băng thông, kết nối…
o Xác định thành phần gây ra cảnh báo, sự cố.
o Xác định thơng tin bảo hành, bảo trì, hỗ trợ kỹ thuật của thiết bị.
c. Báo cáo sự cố
Thực hiện như Quy trình tổng thể ứng cứu sự cố thông thường tại các đơn
vị trong hệ thống BHXH Việt Nam.
d. Triển khai ứng cứu, ngăn chặn và xử lý sự cố
- Đơn vị chủ trì: Đơn vị vận hành HTTT.
- Đơn vị phối hợp: Trung tâm CNTT; Đội vận hành hệ thống máy chủ, lưu trữ;
Đội ƯCSC Ngành BHXH; Đơn vị cung cấp thiết bị, dịch vụ bảo hành, hỗ trợ kĩ
thuật.
- Nội dung thực hiện:
o Triển khai thu thập chứng cứ, phân tích, xác định phạm vi, đối tượng bị ảnh
hưởng.
o Triển khai phân tích, xác định nguồn gốc sự cố, tổ chức ứng cứu, giảm thiểu tác
động, thiệt hại đến hệ thống thông tin.
o Kiểm tra các thiết bị dự phòng, bản sao lưu phần mềm, bản sao lưu cấu hình.
o Kiểm tra thời điểm xảy ra sự cố và thời gian bảo hành, hỗ trợ kĩ thuật của thiết
bị.
e. Xử lý sự cố, gỡ bỏ và khơi phục
- Đơn vị chủ trì: Đơn vị vận hành HTTT.
- Đơn vị phối hợp: Trung tâm CNTT; Đội vận hành hệ thống máy chủ, lưu trữ;
Đội ƯCSC Ngành BHXH; Đơn vị cung cấp thiết bị, dịch vụ bảo hành, hỗ trợ kĩ
thuật.
25