BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Xây dựng quy trình ứng cứu sự cố an tồn thơng tin nghiêm trọng
tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Người thực hiện: Nguyễn Quang Dũng

Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn

Hà Nội - 2022


BẢO HIỂM XÃ HỘI VIỆT NAM
----------

CHUYÊN ĐỀ
Xây dựng quy trình ứng cứu sự cố an tồn thơng tin
tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam

Đề tài:
XÂY DỰNG HỆ THỐNG QUY TRÌNH ỨNG CỨU KHẨN CẤP SỰ CỐ
AN TỒN THƠNG TIN NGÀNH BẢO HIỂM XÃ HỘI VIỆT NAM

Chủ nhiệm: KS. Lê Vũ Toàn

Hà Nội - 2022

Mục lục
Danh mục từ viết tắt......................................................................................
Danh mục các bảng.......................................................................................
Danh mục các hình........................................................................................
Phần mở đầu..................................................................................................1
Chương 1. Một số vấn đề về sự cố an tồn thơng tin tại Trung tâm dữ liệu
ngành Bảo hiểm xã hội Việt Nam.................................................................4
1.1 Đặc điểm về hệ thống an tồn thơng tin tại Trung tâm dữ liệu
ngành Bảo hiểm xã hội Việt Nam.............................................................4
1.1.1. Danh sách hệ thống thông tin.....................................................4
1.1.1.1 Hệ thống thông tin sử dụng nội bộ..........................................4
1.1.1.2 Hệ thống thông tin phục vụ người dân, doanh nghiệp............5
1.1.1.3 Hệ thống cơ sở hạ tầng thông tin là tập hợp trang thiết bị,
đường truyền dẫn kết nối phục vụ chung hoạt động của nhiều cơ quan,
tổ chức.................................................................................................6
1.1.2. Mô hình giải pháp bảo đảm an tồn thơng tin Ngành BHXH 6
1.1.1 Giải pháp lớp mạng....................................................................6
1.1.2 Giải pháp lớp ứng dụng..............................................................7
1.1.3 Giải pháp lớp dữ liệu..................................................................7
1.1.4 Giải pháp lớp endpoint (người dùng cuối).................................7
1.1.3. Cấp độ các hệ thống thông tin....................................................7
1.2 Xác định sự cố an tồn thơng tin nghiêm trọng................................9
1.3 Các loại tấn công mạng phổ biến.......................................................9
1.3.1. Sự cố tấn công mã độc (Malware).................................................9
1.3.1.1. Định nghĩa..............................................................................9
1.3.1.2. Các bước cơ bản xử lý sự cố tấn công mã độc.......................10
1.3.1.3. Các loại mã độc......................................................................11
1.3.1.4. Cách xác định mã độc............................................................12

1.3.1.5. Cô lập mã độc.........................................................................12


3
1.3.1.6. Cách gỡ bỏ mã độc.................................................................13
1.3.1.7. Ngăn chặn, xử lý hậu quả sự cố tấn công mã độc..................13
1.3.1.8. Phân tích mã độc....................................................................13
1.3.2. Sự cố tấn công thay đổi giao diện (Deface)..................................14
1.3.2.1. Khái niệm...............................................................................14
1.3.2.2. Các bước cơ bản xử lý sự cố tấn công thay đổi giao diện......15
1.3.2.3. Thu thập thông tin về sự cố tấn công thay đổi giao diện........16
1.3.2.4. Phân tích thông tin về sự cố tấn công thay đổi giao diện.......16
1.3.2.5. Xử lý ban đầu sự cố tấn công thay đổi giao diện...................16
1.3.2.6. Xử lý sự cố tấn công thay đổi giao diện.................................16
1.3.2.7. Khắc phục sự cố tấn công thay đổi giao diện.........................17
1.3.3. Sự cố tấn công lừa đảo..................................................................18
1.3.3.1. Định nghĩa..............................................................................18
1.3.3.2. Các bước cơ bản xử lý sự cố tấn công lừa đảo.......................19
1.3.3.2. Thu thập thông tin tấn công lừa đảo.......................................19
1.3.3.3. Cách xử lý sự cố tấn công lừa đảo.........................................20
1.3.3.4. Cách ngăn chặn, xử lý hậu quả tấn công lừa đảo...................21
1.3.4. Sự cố tấn công từ chối dịch vụ (DoS/DDoS)................................21
1.3.4.1. Định nghĩa..............................................................................21
1.3.4.2. Các bước cơ bản xử lý sự cố tấn công từ chối dịch vụ...........22
1.3.4.3. Các loại tấn công từ chối dịch vụ...........................................22
1.3.4.4. Xác minh sự cố tấn công từ chối dịch vụ...............................23
1.3.4.5. Cô lập sự cố tấn công từ chối dịch vụ....................................23
1.3.4.6. Xử lý sự cố tấn công từ chối dịch vụ......................................24
1.3.4.7. Phục hồi hệ thống bị tấn công................................................24
Tiểu kết chương 1..........................................................................................25

Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố an tồn
thơng tin tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam...........26
2.1. Tuân thủ các quy định về ứng cứu sự cố an tồn thơng tin..................26


4
2.1.1. Nghị định số 85/2016/NĐ-CP ngày 01 tháng 7 năm 2016 về bảo
đảm an tồn hệ thống thơng tin theo cấp độ............................................26
2.1.2. Thông tư 03/2017/TT-BTTTT ngày ngày 24/04/2017 về việc quy
định chi tiết và hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP
ngày 01/7/2016 của chính phủ về bảo đảm an tồn hệ thống thơng tin
theo cấp độ...............................................................................................26
2.1.3. Quyết định 05/2017/QĐ-TTg ngày 16/03/2017 ban hành Quy định
về hệ thống phương án ứng cứu khẩn cấp bảo đảm An toàn thông tin
mạng Quốc gia.........................................................................................26
2.1.4. Thông tư số 20/2017/TT-BTTTT ngày 12/09/2017 về việc quy
định điều phối, ứng cứu sự cố an tồn thơng tin mạng trên tồn quốc....27
2.1.5 Kế hoạch số 3280/KH-BHXH ngày 29/08/2018 về việc ứng phó sự
cố bảo đảm an tồn thơng tin mạng trong ngành BHXH Việt Nam........27
2.2. Hiệu quả trong quá trình ứng cứu khẩn cấp sự cố an tồn thơng tin....27
2.2.1. Xác định đối tượng áp dụng các quy trình ứng cứu sự cố an tồn
thơng tin...................................................................................................27
2.2.2. Xác định các thành phần tham gia điều phối, ứng cứu sự cố an
tồn thơng tin...........................................................................................28
2.2.3. Xây dựng, xác định cụ thể các bước thực hiện điều phối, ứng cứu
sự cố an tồn thơng tin.............................................................................28
2.3. Thuận lợi, dễ dàng trong đào tạo, hướng dẫn, tác nghiệp....................29
2.3.1 Triển khai huấn luyện, diễn tập, phòng ngừa sự cố, giám sát phát
hiện, bảo đảm các điều kiện sẵn sàng đối phó, ứng cứu, khắc phục sự cố.
.................................................................................................................29

2.3.2 Phương án đối phó, ứng cứu đối với một số tình huống sự cố cụ thể
.................................................................................................................29
Chương 3. Xây dựng quy trình ứng cứu sự cố an tồn thơng tin nghiêm
trọng tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam.................30
3.1. Phần quy định chung............................................................................30
3.1.1. Nguyên tắc chung trong ứng cứu sự cố.........................................30


5
3.1.2. Nguyên tắc trong việc báo cáo sự cố............................................30
3.1.3 Nguyên tắc trong tiếp nhận, phát hiện, phân loại và xử lý ban đầu
sự cố an tồn thơng tin mạng...................................................................32
3.1.4. Các lực lượng tham gia ứng phó sự cố..........................................34
3.2. Quy trình ứng cứu sự cố an tồn thơng tin nghiêm trọng.....................34
3.2.1. Quy trình xử lý sự cố nghiêm trọng tấn cơng mã độc (Malware)
.............................................................................................................34
3.2.2. Quy trình xử lý sự cố nghiêm trọng thay đổi giao diện (Deface)
.............................................................................................................42
3.2.3. Quy trình xử lý sự cố nghiêm trọng tấn công chối dịch vụ
(DoS/DDoS)........................................................................................49
Kết luận..........................................................................................................56
DANH MỤC TÀI LIỆU THAM KHẢO.....................................................57


Danh mục từ viết tắt
TT
1
2
3
4

5
6
7
8
9
10

Danh mục
An tồn thơng tin
Ứng cứu khẩn cấp
Bảo hiểm xã hội
Bảo hiểm y tế
Bảo hiểm thất nghiệp
Công nghệ thông tin
Cơ sở dữ liệu
Bảo hiểm xã hội
Denial of Service
Distributed Denial of Service

Chữ viết tắt, rút gọn
ATTT
ƯCKC
BHXH
BHYT
BHTN
CNTT
CSDL
BHXH
DoS
DDoS



Danh mục các bảng
Bảng 1: Danh sách hệ thống thông tin nội bộ..................................................5
Bảng 2. Danh sách hệ thống thông tin phục vụ người dân, doanh nghiệp.......5
Bảng 3. Hệ thống cơ sở hạ tầng........................................................................6


Danh mục các hình

Hình 3. Các bước cơ bản xử lý sự cố tấn cơng mã độc..................................10
Hình 4. Các bước cơ bản xử lý sự cố tấn công thay đổi giao diện.................15
Hình 5. Các bước cơ bản xử lý sự cố tấn cơng lừa đảo..................................19
Hình 6. Các bước cơ bản xử lý sự cố tấn công từ chối dịch vụ......................22


1

Phần mở đầu
i. Sự cần thiết
Các sự cố an toàn thông tin đang dần trở thành mối lo ngại rất lớn đối
với các tổ chức, đơn vị với bối cảnh hiện nay. Đặc biệt, với sự xuất hiện ngày
càng nhiều các mã độc mới như mã độc siêu đa hình, mã độc tống tiền, mã
độc tấn cơng có chủ đích hay nhiều những hình thức tấn cơng tinh vi… đặt ra
vấn đề cấp thiết phải điều phối, ứng cứu, xử lý sự cố mã độc toàn diện, triệt
để trong hệ thống mạng để loại bỏ, hạn chế các rủi ro từ loại hình tấn cơng
này. Từ đó việc xây dựng được những quy trình điều phối, ứng cứu sự cố an
tồn thơng tin sẽ giúp cho việc xác định, xử lý được nhanh chóng, hiệu quả
đảm bảo hoạt động thơng suốt cho những hệ thống thông tin.
ii. Mục tiêu nghiên cứu

 Mục tiêu chung: Xác định các loại sự cố an tồn thơng tin, mức độ
nghiêm trọng đối với hệ thống thơng tin tại Trung tâm dữ liệu từ đó xây
dựng những quy trình ứng cứu sự cố cụ thể.
 Mục tiêu cụ thể:
o Nghiên cứu, xây dựng quy trình chung ứng cứu sự cố tại Trung
tâm dữ liệu Ngành BHXH.
o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn công mã độc.
o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn cơng thay đổi
giao diện.
o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn cơng lừa đảo
(Phishing).
o Nghiên cứu, xây dựng quy trình ứng cứu sự cố tấn công từ chối
dịch vụ (DoS/DDoS).
iii. Đối tượng và phạm vi nghiên cứu
 Đối tượng nghiên cứu: Các khái niệm sự cố, cách phát hiện và xử lý sự
cố an tồn thơng tin tại Trung tâm dữ liệu Ngành BHXH.


2
 Phạm vi nghiên cứu:
o Không gian: Trung tâm dữ liệu và Trung tâm dữ liệu dự phòng
Ngành BHXH.
o Thời gian: Từ 01/01/2020 đến 01/07/2021.
iv. Cách tiếp cận và phương pháp nghiên cứu
 Cách tiếp cận: Thông qua việc thu thập thông tin của Trung tâm dữ liệu
về cơ sở hạ tầng, an tồn thơng tin và việc nghiên cứu các sự cố an tồn
thơng tin cùng với tham khảo các văn bản pháp luật hướng dẫn cách
ứng cứu sự cố để xây dựng quy trình ứng cứu sự cố an tồn thơng tin.
 Phương pháp nghiên cứu: Phân tích, xử lý số liệu để lựa chọn thông tin,
tài liệu phục vụ cơng tác nghiên cứu đề tài.

v. Những đóng góp mới và những vấn đề mà chuyên đề chưa thực
hiện được
 Những đóng góp mới của chuyên đề
o Đưa ra được quy trình ứng chung cho các sự cố an tồn thơng tin
tại Trung tâm dữ liệu Ngành BHXH.
o Xây dựng được 6 quy trình ứng cứu sự cố tiêu biểu, có khả năng
xảy ra cao đối với các hệ thống thông tin.
o Áp dụng các văn bản pháp luật, văn bản hướng dẫn vào việc xây
dựng, thực hiện quy trình ứng cứu sự cố an tồn thơng tin.
 Những vấn đề mà chuyên đề chưa thực hiện được:
o Chuyên đề chưa xây dựng được quy trình ứng cứu cho một số
loại sự cố như tấn cơng có chủ đích, sự cố do thiên tai, hiểm họa
thiên nhiên…
vi. Kết cấu chuyên đề
Ngoài phần mở đầu và kết luận, Chuyên đề được chia thành 3 chương,
cụ thể như sau:


3
Chương 1. Một số vấn đề về sự cố an tồn thơng tin tại Trung tâm dữ
liệu ngành Bảo hiểm xã hội Việt Nam
Chương 2. Yêu cầu đối với việc xây dựng quy trình ứng cứu sự cố an
tồn thơng tin tại Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam
Chương 3. Xây dựng quy trình ứng cứu sự cố an tồn thơng tin tại
Trung tâm dữ liệu ngành Bảo hiểm xã hội Việt Nam


4

Chương 1. Một số vấn đề về sự cố an tồn thơng tin tại Trung tâm dữ liệu

ngành Bảo hiểm xã hội Việt Nam

1.1

Đặc điểm về hệ thống an toàn thông tin tại Trung tâm dữ liệu
ngành Bảo hiểm xã hội Việt Nam

1.1.1. Danh sách hệ thống thông tin
Căn cứ theo Nghị định 85/2016/NĐ-CP của Chính phủ ngày 01/7/2016
của Chính phủ về bảo đảm an tồn hệ thống thơng tin theo cấp độ và Thông tư
03/2017/TT-BTTTT ngày ngày 24/04/2017 về việc quy định chi tiết và
hướng dẫn một số điều của nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của
chính phủ về bảo đảm an tồn hệ thống thơng tin theo cấp độ. Những hệ
thống thông tin của BHXH Việt Nam đặt tại Trung tâm dữ liệu và Trung tâm
dữ liệu dự phịng được xác định như sau:
1.1.1.1

Hệ thống thơng tin sử dụng nội bộ

Danh sách các hệ thống thông tin nội bộ
ST
T
1
2
3
4
5
6
7
8

9
10
11
12
13
14

Tên hệ thống
Hệ thống Cấp mã số BHXH và Quản lý BHYT Hộ gia đình
Hệ thống Quản lý Thu và Sổ - Thẻ
Hệ thống Xét duyệt chính sách
Hệ thống Kế toán tập trung
Hệ thống Quản lý đầu tư quỹ
Hệ thống Thẩm định quyết toán
Hệ thống Quản lý nhân sự
Hệ thống Quản lý hoạt động thanh tra, kiểm tra
Hệ thống Thi đua khen thưởng
Hệ thống Tổng hợp và phân tích dữ liệu tập trung ngành BHXH
Hệ thống Lưu trữ hồ sơ điện tử ngành BHXH
Hệ thống Đào tạo trực tuyến
Hệ thống Quản lý văn bản và điều hành
Hệ thống Thư điện tử


5

15

Hệ thống Quản lý định danh và truy cập (IAM)
Bảng 1: Danh sách hệ thống thông tin nội bộ


1.1.1.2

Hệ thống thông tin phục vụ người dân, doanh nghiệp

Danh sách các hệ thống thông tin phục vụ người dân, doanh nghiệp:
STT
1
2
3
4
5
6
7
8

Tên hệ thống thông tin
Cổng thông tin điện tử ngành BHXH (bao gồm cổng tiếng Việt,
cổng tiếng Anh, cổng thành phần của BHXH tỉnh, thành phố)
Cổng Dịch vụ công và phần mềm một cửa điện tử ngành BHXH
(Hệ thống Giao dịch BHXH điện tử và phần mềm tiếp nhận và
quản lý hồ sơ)
Hệ thống ứng dụng dịch vụ thông tin trên nền tảng thiết bị di
động (VssID)
Hệ thống thông tin Giám định BHYT (Cổng tiếp nhận dữ liệu,
phần mềm giám định BHYT, phần mềm giám sát hệ thống)
Hệ thống Quản lý đấu thầu thuốc
Hệ thống Chăm sóc khách hàng (tổng đài)
Hệ thống tương tác đa phương tiện giữa người dân và doanh
nghiệp với cơ quan BHXH (SMS)

Hệ thống Thu nộp, chi trả BHXH điện tử (bao gồm Quản lý tài
khoản đầu tư tự động)

Bảng 2. Danh sách hệ thống thông tin phục vụ người dân, doanh nghiệp


6

1.1.1.3

Hệ thống cơ sở hạ tầng thông tin là tập hợp trang thiết bị,
đường truyền dẫn kết nối phục vụ chung hoạt động của nhiều
cơ quan, tổ chức

ST
T

Tên hệ thống

1

Hệ thống cơ sở hạ tầng (bao gồm Trung tâm dữ liệu Ngành và
Trung tâm dữ liệu dự phòng)
Bảng 3. Hệ thống cơ sở hạ tầng

Hệ thống cơ sở hạ tầng bao gồm các thành phần sau:
- Mạng nội bộ, mạng diện rộng, mạng truyền số liệu chuyên dùng.
- Hệ thống cơ sở dữ liệu, trung tâm dữ liệu, điện toán đám mây.
- Hệ thống xác thực điện tử, chứng thực điện tử, chữ ký số.
- Hệ thống kết nối liên thông, trục tích hợp các hệ thống thông tin.

- Hệ thống hỗ trợ giám sát bảo vệ các hệ thống thơng tin khác.
1.1.2. Mơ hình giải pháp bảo đảm an tồn thơng tin Ngành BHXH
1.1.1.1

Giải pháp lớp mạng

- Có phân vùng hạ tầng mạng thành các phân vùng khác nhau tùy theo
yêu cầu, mục đích sử dụng.
- Có phương án sử dụng thiết bị có chức năng tường lửa để ngăn chặn
truy cập trái phép giữa các vùng mạng với mạng Internet
- Có phương án xác thực tài khoản quản trị trên các thiết bị mạng quan
-

trọng.
Giải pháp Phát hiện, ngăn chặn các kết nối trái phép
Giải pháp tường lửa lớp mạng
Giải pháp quản lý, phản hồi sự cố
Giải pháp quản lý, tối ưu chính sách tường lửa
Giải pháp phòng chống tấn cơng có chủ đích
Giải pháp tấn cơng từ chối dịch vụ
Giải pháp truy vết các cuộc tấn công
1.1.1.2

Giải pháp lớp ứng dụng

- Tường lửa cho hệ thống cho các hệ thống ứng dụng trên nền tảng web
(Web Application Firewall)
- Giải pháp quản lý bản vá



7
- Tường lửa cho hệ thống thư điện tử (Email Firewall)
- Hệ thống kiểm soát người truy cập web
- Giải pháp kiểm tra, đánh giá an tồn thơng tin mạng
1.1.1.3

Giải pháp lớp dữ liệu

- Tường lửa cho hệ thống cơ sở dữ liệu (Database Firewall)
- Giải pháp chống thất thoát dữ liệu (DLP)
- Giải pháp mã hóa, an tồn dữ liệu lưu
1.1.1.4
-

Giải pháp lớp endpoint (người dùng cuối)

Giải pháp Anti virus
Giải pháp kiểm soát truy cập mạng
Giải pháp phát hiện và phản hồi các loại tấn công chưa được biết đến
Giải pháp quản lý bản vá

1.1.3. Cấp độ các hệ thống thông tin
Danh sách cấp độ đề xuất của các hệ thống thông tin tại Trung tâm dữ
liệu BHXH Việt Nam:
ST
T
1

2


3
4

5
6
7
8

Tên hệ thống
Cổng thông tin điện tử ngành BHXH (bao gồm cổng tiếng
Việt, cổng tiếng Anh, cổng thành phần của BHXH tỉnh,
thành phố)
Cổng Dịch vụ công và phần mềm một cửa điện tử ngành
BHXH (Hệ thống Giao dịch BHXH điện tử và phần mềm
tiếp nhận và quản lý hồ sơ)
Hệ thống ứng dụng dịch vụ thông tin trên nền tảng thiết bị
di động (VssID)
Hệ thống thông tin Giám định BHYT (Cổng tiếp nhận dữ
liệu, phần mềm giám định BHYT, phần mềm giám sát hệ
thống)
Hệ thống Quản lý đấu thầu thuốc
Hệ thống Chăm sóc khách hàng (tổng đài)
Hệ thống tương tác đa phương tiện giữa người dân và
doanh nghiệp với cơ quan BHXH (SMS)
Hệ thống Thu nộp, chi trả BHXH điện tử (bao gồm Quản lý
tài khoản đầu tư tự động)

Cấp độ

3


4
4
4
3
3
4
4


8

9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24

1.2


Hệ thống Cấp mã số BHXH và Quản lý BHYT Hộ gia đình
Hệ thống Quản lý Thu và Sổ - Thẻ
Hệ thống Xét duyệt chính sách
Hệ thống Kế toán tập trung
Hệ thống Quản lý đầu tư quỹ
Hệ thống Thẩm định quyết toán
Hệ thống Quản lý nhân sự
Hệ thống Quản lý hoạt động thanh tra, kiểm tra
Hệ thống Thi đua khen thưởng
Hệ thống Tổng hợp và phân tích dữ liệu tập trung ngành
BHXH
Hệ thống Lưu trữ hồ sơ điện tử ngành BHXH
Hệ thống Đào tạo trực tuyến
Hệ thống Quản lý văn bản và điều hành
Hệ thống Thư điện tử
Hệ thống Quản lý định danh và truy cập (IAM)
Hệ thống cơ sở hạ tầng (bao gồm Trung tâm dữ liệu Ngành
và Trung tâm dữ liệu dự phịng)

4
4
3
3
3
3
3
3
3
3

3
3
3
3
3
4

Xác định sự cố an tồn thông tin nghiêm trọng
Trong Quyết định 05/2017/QĐ-TTg tại Điều 9 đã phân nhóm sự cố an tồn

thơng tin mạng, trong đó quy định sự cố an tồn thơng tin mạng nghiêm trọng
là sự cố đáp ứng đồng thời các tiêu chí sau:
- Hệ thống thông tin bị sự cố là hệ thống thông tin cấp độ 4, cấp độ 5
hoặc thuộc Danh mục hệ thống thông tin quan trọng quốc gia và bị một
trong số các sự cố sau:
o Hệ thống bị gián đoạn dịch vụ;
o Dữ liệu tuyệt mật hoặc bí mật nhà nước có khả năng bị tiết lộ;
o Dữ liệu quan trọng của hệ thống không bảo đảm tính tồn vẹn và
khơng có khả năng khơi phục được;
o Dữ liệu quan trọng của hệ thống không bảo đảm tính tồn vẹn và
khơng có khả năng khơi phục được;
o Hệ thống bị mất quyền điều khiển;


9
o Sự cố có khả năng xảy ra trên diện rộng hoặc gây ra các ảnh
hưởng dây chuyền, làm tổn hại cho các hệ thống thông tin cấp độ
4 hoặc cấp độ 5 khác.
- Chủ quản hệ thống thông tin khơng đủ khả năng tự kiểm sốt, xử lý
được sự cố.

Căn cứ vào Quyết định 05/2017/QĐ-TTg, những sự cố đáp ứng các tiêu
chí trên được xác định là sự cố nghiêm trọng.
1.3

Các loại tấn công mạng phổ biến

1.3.1. Sự cố tấn công mã độc (Malware)
1.3.1.1. Định nghĩa
Mã độc là phần mềm độc hại (malware hay malacious software) nhằm
thực hiện một quy trình trái phép có tác động bất lợi đến tính bảo mật, tính
toàn vẹn hoặc tính khả dụng của hệ thống thông tin. Một số ví dụ về mã độc
là Virus, Worm, Trojan Horse. Phần mềm gián điệp và một số hình thức phần
mềm quảng cáo cũng là ví dụ về mã độc.
Sự cố tấn công mã độc là khi các máy chủ, máy trạm của hệ thống đã
nhiễm mã độc và thực hiện.


10
1.3.1.2. Các bước cơ bản xử lý sự cố tấn cơng mã độc

Hình 1. Các bước cơ bản xử lý sự cố tấn công mã độc

1.3.1.3. Các loại mã độc
Một số loại mã độc thông thường là Virus, Trojan horse, Rootkits,
Worm. Ransomware.


11
- Virus: Một phần mềm độc hại có khả năng ẩn, tự sao chép và lây nhiễm
từ một chương trình khác. Virus chỉ có thể chạy cùng một chương trình

của máy chủ, máy trạm chứ không thể tự hoạt động.
- Trojan horse: Một chương trình giả mạo một phần mềm hữu ích, nhưng
cũng có chức năng ẩn và có khả năng che giấu, tránh phát hiện bởi các
cơ chế bảo mật để có thể đánh cắp thơng tin, chiếm quyền điều khiên.
Trojan không thể tự nhân bản, lây lan mà phải phát tán qua thư điện tử
hoặc phần mềm khác.
- Spyware: Thường được gọi là phần mềm gián điệp, là một dạng mã độc
nhằm theo dõi hoạt động của người dùng để gửi dữ liệu, thông tin tới
máy chủ điều khiển. Spyware thường được cài đặt bí mật vào máy chủ,
máy trạm khi mở một tập tin văn bản hoặc cài đặt một ứng dụng khác.
- Worm: Là mã độc có khả năng tự sao chép tự phát tán thơng qua mạng
(thường là email, lỗ hổng bảo mật) mà không cần chương trình của máy
chủ, máy trạm hoặc bất kỳ sự can thiệp nào của người dùng để sao
chép, lây nhiễm.
- Ransomware: Thường được gọi là mã độc tống tiền, là loại mã độc thực
hiện từ chối truy cập vào dữ liệu của máy chủ, máy trạm thường bằng
cách mã hóa dữ liệu với mục tiêu là tống tiền nạn nhân.
- Rootkit: Một bộ công cụ, đoạn mã độc được sử dụng bởi kẻ tấn cơng
sau khi có quyền truy cập “root” vào máy chủ để che giấu các hoạt
động của kẻ tấn công trên máy chủ và cho phép kẻ tấn cơng duy trì truy
cập dưới quyền “root” vào máy chủ thông qua các phương tiện bí mật.
- Botnet: Là một mạng lưới các máy chủ, máy trạm, thiết bị đã nhiễm mã
độc và bị điều khiển bởi kẻ tấn công. Botnet cho phép kẻ tấn công truy
cập, điều khiển hệ thống máy nạn nhân để thực hiện các cuộc tấn công
mạng trên diện rộng.
1.3.1.4. Cách xác định mã độc
a. Xác định máy chủ, máy trạm lây nhiễm
- Xác định các cảnh báo tấn công mã độc, lỗ hổng bảo mật trên thiết bị,
máy chủ, máy trạm qua các tường lửa hay phần mềm, thiết bị chuyên
dụng.



12
- Xác định các máy chủ, máy trạm có kết nối nghi ngờ đến các máy chủ
điều khiển mã độc (C&C server).
- Xác định các tiến trình, tập tin đáng nghi: Sử dụng các phần mềm EDR,
Antivirus để phát hiện các cảnh báo. Ngồi ra sử dụng các cơng cụ
miễn phí có bản quyền như TCPView, Autoruns, Process Explorer,
Process Hacker,... hay những công cụ trực tuyến như VirusTotal,
Kaspersky (chỉ sử dụng hàm băm chứ không đưa trực tiếp mẫu tập tin
nghi ngờ)... để xác định những tiến trình, hành vi khả nghi.
- Kiểm tra các tập tin lạ, nghi ngờ chứa mã độc với các dấu hiệu như
khơng có thơng tin nhà phát hành, chữ ký số, ngày khởi tạo lệch với
ngày khởi tạo tập tin hệ thống...
- Đối với các tập tin chứa dữ liệu quan trọng, bí mật nhà nước: Không
được sử dụng các công cụ trực tuyến, cơng cụ mã ng̀n mở và khơng
an tồn để xác định tập tin nghi ngờ chứa mã độc.
b. Lấy mẫu mã độc:
- Tắt tiến trình nghi ngờ, ngắt kết nối mạng nếu cần.
- Nén tập tin mã độc cần lấy có đặt mật khẩu, sao chép vào thiết bị dùng
riêng để lưu mã độc.
1.3.1.5. Cô lập mã độc
- Cô lập các khu vực bị nhiễm mã độc và ngắt kết nối với các phân vùng
khác. Nếu vùng lây nhiễm không thể bị ngắt kết nối mạng thì phải có
biện pháp kỹ thuật đảm bảo không lây nhiễm sang các vùng khác.
- Thu thập thông tin các kết nối bất thường của khu vực bị nhiễm mã độc
và ngắt các kết nối đến các địa chỉ máy chủ điều khiển mã độc.
- Cập nhật bản vá, bổ sung các IOC (Indicators of Compromise) của mã
độc trên các giải pháp an toàn thông tin đảm bảo xác định, ngăn chặn
được các hoạt động, kết nối của mã độc.

1.3.1.6. Cách gỡ bỏ mã độc
- Xóa các tập tin mã độc đã được xác định và sử dụng các phần mềm diệt
mã độc có bản quyền để quét mã độc trên thiết bị.
- Kiểm tra lại các tiến trình chạy trên hệ thống bằng một trong các phần
mềm như EDR, Antivirus hay các công cụ như Autoruns, Process


13
Explorer, TCP View, Process Hacker, XueTr, Powertools … để xem kết
quả xử lý mã độc.
- Kiểm tra các cảnh báo trên các tường lửa, thiết bị chuyên dụng.
- Khởi động hệ thống (nếu được phép) và kiểm tra lại tập tin tiến trình
mã độc đã xác định để đảm bảo mã độc đã được gỡ bỏ hoàn toàn.
1.3.1.7. Ngăn chặn, xử lý hậu quả sự cố tấn công mã độc
- Sử dụng các biện pháp nghiệp vụ kỹ thuật sửa lỗi gây ra sự cố, cài lại các
phầm mềm bị lỗi và khôi phục dữ liệu.
- Kiểm tra các kết nối, lưu lượng mạng liên quan đến vùng nhiễm mã độc.
- Bỏ những chính sách cô lập vùng lây nhiễm mã độc
- Thay đổi tài khoản, mật khẩu của hệ thống một cách an toàn, sử dụng mật
khẩu mạnh cho toàn bộ tài khoản.
1.3.1.8. Phân tích mã độc
- Khởi động và kiểm tra tình trạng hoạt động của cơng cụ phân tích mã độc
đảm bảo hoạt động bình thường với hệ điều hành sạch (không nhiễm mã
độc).
- Thực hiện phân tích bằng phần mềm, giải pháp chuyên phân tích mã độc
tự động.
- Sử dụng kỹ thuật phân tích mã chuyên sâu như dịch ngược mã ng̀n để
có thể phát hiện được loại mã độc mới, chưa phổ biến như.
- Phối hợp, gửi mẫu mã độc thu được đến những đơn vị có khả năng
chun mơn để tiến hành phân tích mã độc nếu như không thể tự thực

hiện.


14
1.3.2. Sự cố tấn công thay đổi giao diện (Deface)
1.3.2.1. Khái niệm
Một trong những hình thức tấn cơng (defacement) được biết rộng rãi
nhất là tấn công thay đổi nội dung, giao diện của Website. Hình thức tấn cơng
này thường sử dụng các mã độc (virus, worm, trojan…) để xóa bỏ, sửa đổi,
hoặc thay thế nội dung các trang Web trên hệ thống (Webserver). Lỗ hổng
Website là mục tiêu tiềm tàng của việc tấn cơng vì các mục đích khác nhau.
Những kẻ phá hoại có các cơng cụ để tìm kiếm các lỗ hổng Website một cách
sâu rộng và nhanh chóng, tiếp theo sẽ tiến hành khai thác những điểm yếu đó.


15
1.3.2.2. Các bước cơ bản xử lý sự cố tấn cơng thay đổi giao diện

Hình 2. Các bước cơ bản xử lý sự cố tấn công thay đổi giao diện


16
1.3.2.3. Thu thập thông tin về sự cố tấn công thay đổi giao diện
- Thu thập thông tin nhật ký từ máy chủ, các thiết bị lưu trữ, ứng dụng và
các thành phần khác.
- Thu thập thông tin sự kiện từ các hệ thống bảo vệ, giám sát an tồn
thơng tin mạng.
1.3.2.4. Phân tích thông tin về sự cố tấn công thay đổi giao diện
- Kiểm tra các thông tin cố định của các tệp tin như: ngày thay đổi nội
dung, giá trị băm của file,…

- Kiểm tra, phân tích các nội dung được nhúng từ trang tin điện tử khác.
- Kiểm tra các đường dẫn trong trang tin điện tử (src, meta, css, script,
…).
- Kiểm tra, phân tích các file nhật ký.
- Rò quét cơ sở dữ liệu để phát hiện các nội dung chứa mã độc.
1.3.2.5. Xử lý ban đầu sự cố tấn công thay đổi giao diện
- Cô lập hệ thống bị sự cố thay đổi giao diện:
o Ngắt các kết nối, tiến trình, ứng dụng trên máy chủ, thiết bị định
tuyến chạy các trang bị tấn công.
o Kiểm tra các tài khoản trên hệ thống trang tin điện tử, nếu phát
hiện tài khoản có truy cập bất thường hoặc tài khoản mới được
tạo ra thì thu thập thơng tin và tắt hoặc xóa bỏ. Đổi tất cả các
thông tin tài khoản quản trị, bao gồm: tài khoản trang tin điện tử,
cơ sở dữ liệu, tài khoản quản lý hosting, FTP…
o Nếu khơng có trang dự phịng để thay thế: Chuyển trang bị tấn
công thành trang thông báo đang nâng cấp, bảo trì.
- Chuyển hoạt động sang hệ thống dự phòng:
o Kích hoạt hệ thống dự phòng và điều hướng truy cập người dùng
vào trang tin điện tử dự phòng đã được chuẩn bị.
o Theo dõi hoạt động của hệ thống dự phòng.
1.3.2.6. Xử lý sự cố tấn công thay đổi giao diện
- Trong trường hợp chưa có hệ thống dự phịng, chuẩn bị một máy chủ
web tạm thời. Nội dung của máy chủ tạm thời này giống với nội dung
của máy chủ bị tấn công hoặc ít nhất chứa những thông tin phù hợp.
Những nội dung trên máy chủ tạm thời này là những nội dung tĩnh, chỉ