TĂNG CƯỜNG ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HOẠT ĐỘNG CÁC CƠ QUAN NHÀ NƯỚC TỈNH QUẢNG NGÃI GIAI ĐOẠN 2018-2020 VÀ ĐỊNH HƯỚNG ĐẾN NĂM 2025
Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (481.01 KB, 41 trang )
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
DỰ THẢO
ỦY BAN NHÂN DÂN TỈNH QUẢNG NGÃI
SỞ THÔNG TIN VÀ TRUYỀN THÔNG
ĐỀ ÁN
TĂNG CƯỜNG ĐẢM BẢO AN TOÀN THÔNG TIN TRONG HOẠT
ĐỘNG CÁC CƠ QUAN NHÀ NƯỚC TỈNH QUẢNG NGÃI
GIAI ĐOẠN 2018-2020 VÀ ĐỊNH HƯỚNG ĐẾN NĂM 2025
Quảng Ngãi, năm 2017
1
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
MỤC LỤC
THUYẾT MINH CÁC TỪ VIẾT TẮT......................................................................................5
GIẢI THÍCH TỪ NGỮ................................................................................................................6
PHẦN I...........................................................................................................................................8
MỞ ĐẦU.........................................................................................................................................8
I. CĂN CỨ XÂY DỰNG ĐỀ ÁN.................................................................................................8
1. Căn cứ pháp lý...............................................................................................................................8
1.1.1.1. Văn bản của cơ quan Trung ương....................................................................................8
1.1.1.1. Văn bản của cơ quan Trung ương.........................................................................................8
1.1.1.2. Văn bản của UBND tỉnh Quảng Ngãi..............................................................................9
1.1.1.2. Văn bản của UBND tỉnh Quảng Ngãi..................................................................................9
2. Căn cứ thực tiễn.............................................................................................................................9
II. MỤC TIÊU CỦA ĐỀ ÁN......................................................................................................10
1. Mục tiêu chung............................................................................................................................10
2. Mục tiêu cụ thể............................................................................................................................10
PHẦN 2.........................................................................................................................................11
ĐÁNH GIÁ HIỆN TRẠNG.......................................................................................................11
III. PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG......................................................................11
1. Hiện trạng về tình hình an toàn, an ninh thông tin trong nước và tại Quảng Ngãi...................11
1.1. Tình hình chung thế giới và trong nước...............................................................................11
1.1. Tình hình chung thế giới và trong nước...................................................................................11
1.1.1.1. Tình hình chung tại tỉnh Quãng Ngãi.............................................................................11
1.1.1.1. Tình hình chung tại tỉnh Quãng Ngãi.................................................................................11
2. Hiện trạng về an toàn, an ninh thông tin tại các đơn vị..............................................................12
2.1. Hạ tầng......................................................................................................................................12
2.2. Nguồn lực.................................................................................................................................13
2.3. Cơ chế chính sách An toàn an ninh thông tin..........................................................................13
3. Tồn tại và hạnchế........................................................................................................................14
3.1. Phần cứng.................................................................................................................................14
IV. PHÂN TÍCH&ĐỊNH HƯỚNG CÔNG NGHỆ................................................................16
1. Hệ thống tường lửa......................................................................................................................16
1.1. Tổng quan............................................................................................................................16
1.1. Tổng quan.................................................................................................................................16
1.2. Các tính năng nổi bật...........................................................................................................17
1.2. Các tính năng nổi bật...............................................................................................................17
1.3. Tính năng đáp ứng...............................................................................................................17
1.3. Tính năng đáp ứng....................................................................................................................17
2. Hệ thống chuyển mạch trung tâm và nhánh...............................................................................18
2.1. Tổng quan............................................................................................................................18
2.1. Tổng quan.................................................................................................................................18
2.2.Tính năng đáp ứng................................................................................................................19
2.2.Tính năng đáp ứng.....................................................................................................................19
3. Hệ thống định tuyến tích hợp.................................................................................................19
3. Hệ thống định tuyến tích hợp......................................................................................................19
3.1. Tổng quan............................................................................................................................19
3.1. Tổng quan.................................................................................................................................19
3.2. Tính năng đáp ứng...............................................................................................................20
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
3.2. Tính năng đáp ứng....................................................................................................................20
4. Phần mềm Antivirus....................................................................................................................20
4.1. Tổng quan............................................................................................................................20
4.1. Tổng quan.................................................................................................................................20
4.2. Tính năng đáp ứng...............................................................................................................20
4.2. Tính năng đáp ứng....................................................................................................................20
4.3. Mô tả giải pháp....................................................................................................................21
4.3. Mô tả giải pháp.........................................................................................................................21
5. License bản quyền Windows Server...........................................................................................21
PHẦN 3.........................................................................................................................................22
NỘI DUNG ĐỀ ÁN.....................................................................................................................22
V. QUAN ĐIỂM XÂY DỰNG ĐỀ ÁN......................................................................................22
1. Tầm nhìn......................................................................................................................................22
2. Sứ mạng.......................................................................................................................................22
3. Giá trị cốt lõi................................................................................................................................22
VI. NỘI DUNG ĐỀ ÁN..............................................................................................................23
Mô hình chuẩn hạ tầng CNTT tại các đơn vị hành chính, sự nghiệp của tỉnh Quảng Ngãi..........23
2. Mô hình cho các xã, phường, thị trấn:........................................................................................29
3. Xây dựng hạ tầng kết nối và phát triển hệ thống CNTT cho các đơn vị...................................30
3.1. Mục tiêu...............................................................................................................................30
3.1. Mục tiêu....................................................................................................................................30
3.2. Mô hình triển khai...............................................................................................................30
3.2. Mô hình triển khai....................................................................................................................30
3.3. Nội dung phương án triển khai............................................................................................31
3.3. Nội dung phương án triển khai................................................................................................31
3.4.Thiết bị dùng cho các đơn vị................................................................................................31
3.4.Thiết bị dùng cho các đơn vị.....................................................................................................31
3.5. Kết quả dự kiến....................................................................................................................32
3.5. Kết quả dự kiến........................................................................................................................32
4. Đẩy mạnh công tác tuyên truyền nâng cao ý thức về an toàn an ninh thông tin trong tình hình
mới....................................................................................................................................................32
4.1. Mục tiêu...............................................................................................................................32
4.1. Mục tiêu....................................................................................................................................32
4.2. Nội dung phương án triển khai............................................................................................33
4.2. Nội dung phương án triển khai................................................................................................33
4.2.1.Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin qua các
phương tiện thông tin đại chúng, truyền thông xã hội................................................................33
4.2.1.Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin qua các
phương tiện thông tin đại chúng, truyền thông xã hội....................................................................33
4.2.2. Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin qua
các hệ thống thông tin cơ sở........................................................................................................33
4.2.2. Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin qua các
hệ thống thông tin cơ sở...................................................................................................................33
5. Đào tạo nâng cao trình độ CNTT về an toàn thông tin..............................................................33
5.1. Mục tiêu...............................................................................................................................33
5.1. Mục tiêu....................................................................................................................................33
5.2. Nội dung phương án triển khai............................................................................................33
5.2. Nội dung phương án triển khai................................................................................................33
VII. NHU CẦU KINH PHÍ THỰC HIỆN ĐỀ ÁN.................................................................34
1. Tổng mức đầu tư thực hiện đề án:..............................................................................................34
2. Phân kỳ kinh phí:.........................................................................................................................36
3. Nguồn kinh phí thực hiện đề án:.................................................................................................36
3
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
VIII. LỘ TRÌNH THỰC HIỆN.................................................................................................36
PHẦN 4.........................................................................................................................................38
HIỆU QUẢ CỦA ĐỀ ÁN...........................................................................................................38
1. Hiệu quả về kỹ thuật...................................................................................................................38
2. Hiệu quả về kinh tế.....................................................................................................................38
3. Hiệu quả, tác động về xã hội.......................................................................................................39
PHẦN 5.........................................................................................................................................40
TỔ CHỨC THỰC HIỆN...........................................................................................................40
1. Sở Thông tin và Truyền thông....................................................................................................40
2. Sở Tài chính.................................................................................................................................40
3. Sở Kế hoạch và Đầu tư...............................................................................................................40
4. Thủ trưởng các sở, ban ngành, đơn vị có liên quan và Chủ tịch UBND các huyện, thành phố
..........................................................................................................................................................40
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
THUYẾT MINH CÁC TỪ VIẾT TẮT
STT
Từ viết tắt
Diễn giải
1
UBND
Uỷ Ban Nhân Dân
2
Quảng Ngãi
Tỉnh Quảng Ngãi
3
CNTT
Công nghệ thông tin
4
ATTT
An Toàn Thông Tin
5
TTTT
Thông Tin Truyền Thông
6
ANTT
An Ninh Thông Tin
7
TT TTDLĐT
Trung tâm Thông tin dữ liệu điện tử
8
CPĐT
Chính phủ điện tử
9
CQĐT
Chính quyền điện tử
10
CQNN
Cơ quan nhà nước
11
CSDL
Cơ sở dữ liệu
12
CNTT-TT
Công nghệ thông tin - Truyền thông
13
TT&TT
Thông tin và Truyền thông
14
VPN
Mạng riêng ảo (Virtual Private
Network)
15
WAN
Mạng diện rộng (Wide Area Network)
16
LAN
Mạng nội bộ (Local Area Network)
17
MAN
Mạng đô thị (Metropolitan Area
Network)
18
SAN
Vùng mạng lưu trữ dữ liệu (Storage
Area Network)
5
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
GIẢI THÍCH TỪ NGỮ
Mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước
(mạng TSLCD): là mạng truyền dẫn tốc độ cao, sử dụng phương thức chuyển
mạch nhãn đa giao thức trên nền giao thức liên mạng (IP/MPLS) sử dụng riêng
trong hoạt động ứng dụng công nghệ thông tin của các cơ quan Đảng và Nhà
nước do Tập đoàn Bưu chính Viễn thông Việt Nam xây dựng, vận hành.
Địa chỉ mạng (IP): Dùng để nhận dạng các máy tính, thiết bị trong môi
trường mạng, giúp các thiết bị trao đổi dữ liệu nhau.
Theo các giá trị của các con số, người ta chia các địa chi mạng thành các
địa chỉ lớp A, địa chỉ lớp B, địa chỉ lớp C... Theo phạm vi sử dụng, người ta còn
phân biệt:
- Địa chỉ Public (IP công cộng): là địa chỉ dùng để gán cho các thiết bị hoạt
động trên môi trường Internet, mỗi địa chỉ này được xem như duy nhất.
- Địa chỉ Private (IP dành riêng): là địa chỉ dùng để gán cho các thiết bị
hoạt động trong phạm vi mạng nội bộ nhằm giao tiếp, trao đổi dữ liệu.
Routing/ Router: Routing là kỹ thuật tìm đường và chọn đường đi cho gói
tin trên mạng, được thực hiện bởi các thiết bị lớp 3 (OSI layer 3), thường là
Router. Các Router sẽ xây dựng bảng định tuyến. Khi đi qua Router, các gói tin
sẽ được tra cứu địa chỉ trong bảng định tuyến và được chuyển cho các Router
khác cho đến khi gặp địa chỉ đích.
NAT (Network Address Translation): là kỹ thuật dùng để chuyển đổi một
dải địa chỉ ở một phân vùng mạng này thành một (hoặc một dải hẹp) địa chỉ ở
một phân vùng mạng khác. Người ta thường dùng NAT để chia sẻ một kết nối
Internet cho nhiều máy tính trong mạng nội bộ.
Firewall (Tường lửa): là thiết bị dùng ngăn chặn các truy cập trái phép
giữa các phân vùng mạng, thường phân thành 02 loại: tường lửa cứng và mềm.
-Tường lửa cứng: thiết bị được cài đặt phần mềm nhúng, thường được tích
hợp chức năng định tuyến và đặt ngay điểm giao tiếp giữa vùng mạng ngoài và
các vùng bên trong. Chức năng phổ biến của tường lửa cứng là tập trung kiểm
tra, lọc các gói tin.
- Tường lửa mềm: máy chủ được cài đặt phần mềm tường lửa, có thể được
đặt giữa các phân vùng mạng khác nhau. Tường lửa mềm vừa có thể kiểm tra
lọc gói tin ở mức mạng vừa có thể kiểm tra được nội dung của gói tin, có tính
linh hoạt cao: Có thể thêm, bớt nhiều quy tắc, chức năng.
IDS /IPS (Intrusion Detection System / Intrusion Prevention System):
là thiết bị hoặc phần mềm dùng để phát hiện tấn công và xâm nhập trên môi
trường mạng. IDS /IPS hoạt động chủ yếu vào các nhận dạng có sẵn trong hệ
thống để phân biệt các kết nối nguy hiểm với các kết nối bình thường. Trong
trường hợp phát hiện ra kết nối đó không an toàn cho hệ thống , IDS/IPS sẽ phát
ra cảnh báo cho người quản trị hoặc ngắt kết nối đó.
DMZ (Demilitarized Zone): là một phân vùng mạng được dùng để đặt các
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
máy chủ cung cấp các dịch vụ: Web Server, Ftp Server, Mail Server... ra môi
trường Internet cho người dùng khai thác. Phân vùng mạng DMZ được đặt tách
biệt với vùng mạng nội bộ, giúp cho vùng mạng nội bộ được bảo vệ an toàn.
VPN (Virtual Private Network): mạng riêng ảo, được thiết lập giữa các
máy tính hoặc các thiết bị mạng bằng cách tạo một kênh truyền riêng được mã
hóa trong môi trường mạng diện rộng.
VLAN (Virtual Local Area Network): là một kỹ thuật cho phép tạo lập
các phân vùng mạng độc lập, giúp giảm thiểu vùng quảng bá (broadcast
domain), tiết kiệm băng thông mạng, tăng khả năng bảo mật và có tính linh
động cao
SAN (Storage Area Network): là thiết bị lưu trữ dữ liệu ứng dụng trên
nền tảng mạng mà quá trình truyền dữ liệu trên mạng tương tự như quá trình
truyền dữ liệu từ các thiết bị trên máy chủ như: thiết bị lưu dữ liệu chuẩn ATA,
SATA, SCSI…
Log file: là tập tin được tạo ra bởi một phần mềm hay máy chủ (Web
Server, DNS Server, DHCP Server.) chứa thông tin cần thiết về các hoạt động
trên phần mềm hay máy chủ đó. Một số dạng log file: log file của hệ thống, log
file truy cập mạng, log file truy cập các tài nguyên đặc biệt, log file trong từng
ứng dụng. làm cơ sở để phân tích, đánh giá mọi hoạt động liên quan đến hệ
thống thông tin.
7
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
PHẦN I
MỞ ĐẦU
I. CĂN CỨ XÂY DỰNG ĐỀ ÁN
1. Căn cứ pháp lý
1.1.1.1.
Văn bản của cơ quan Trung ương
Căn cứ Luật Công nghệ thông tin ngày 29/06/2006;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10/04/2007 của Chính phủ về việc
ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Quyết định số 63/QĐ-TTg ngày 13/01/2010 của Thủ tướng Chính phủ phê duyệt
Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020;
Quyết định số 80/2014/QĐ-TTg ngày 30/12/2014 của Thủ tướng Chính phủ quy
định thí điểm về thuê dịch vụ công nghệ thông tin trong cơ quan nhà nước;
Nghị quyết số 26/NQ-CP ngày 15/4/2015 của Chính phủ ban hành Chương trình
hành động của Chính phủ thực hiện Nghị quyết số 36-NQ/TW ngày 01 tháng 7
năm 2014 của Bộ Chính trị về đẩy mạnh ứng dụng, phát triển công nghệ thông tin
đáp ứng yêu cầu phát triển bền vững và hội nhập quốc tế;
Công văn số 1178/BTTTT-THH ngày 21/4/2015 của Bộ Thông tin và Truyền
thông ban hành Khung Kiến trúc Chính phủ điện tử Việt Nam, Phiên bản 1.0;
Quyết định số 714/QĐ-TTg ngày 22/5/2015 của Thủ tướng Chính phủ ban hành
Danh mục cơ sở dữ liệu quốc gia cần ưu tiên triển khai tạo nền tảng phát triển
chính phủ điện tử;
Công văn số 2634/BTTTT-THH ngày 17/8/2015 của Bộ Thông tin và Truyền
thông về hướng dẫn xây dựng kế hoạch ứng dụng CNTT trong hoạt động CQNN
giai đoạn 2016-2020;
Nghị quyết số 36a/NQ-CP ngày 14/10/2015 của Chính phủ về Chính phủ điện
tử;
Quyết định số 1819/QĐ-TTg ngày 26/10/2015 của Thủ tướng Chính phủ về việc
phê duyệt Chương trình quốc gia về ứng dụng công nghệ thông tin trong hoạt động
của cơ quan nhà nước giai đoạn 2016 – 2020;
Nghị định số 85/2016/NĐ-CP ngày 01/07/2016 của Chính phủ về bảo đảm an
toàn hệ thống thông tin theo cấp độ;
Quyết định số 05/2017/QĐ-TTg ngày 16/03/2017 của Thủ tướng Chính phủ Ban
hành quy định về hệ thống phương án ứng cứu khẩn cấp bảo đảm an toàn thông tin
mạng quốc gia.
8
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
1.1.1.2.
Văn bản của UBND tỉnh Quảng Ngãi
Quyết định số 1759/QĐ-UBND ngày 09/8/2007 của Chủ tịch UBND tỉnh Quảng
Ngãi về việc phê duyệt Quy hoạch phát triển CNTT tỉnh Quảng Ngãi giai đoạn
2007 - 2015 và định hướng đến năm 2020;
Quyết định số 1505/QĐ-UBND ngày 15/10/2013 về việc phê duyệt điều chỉnh
một số nội dung của Quy hoạch phát triển công nghệ thông tin tỉnh Quảng Ngãi
đến năm 2020;
Quyết định số 42/2012/QĐ-UBND ngày 20/11/2012 của UBND tỉnh Ban hành
Quy định về tăng cường hoạt động ứng dụng và phát triển công nghệ thông tin
trong cơ quan nhà nước tỉnh Quảng Ngãi;
Quyết định số 1676/QĐ-UBND ngày 13/11/2014 của Chủ tịch UBND tỉnh về
Ban hành kế hoạch thực hiện Chỉ thị số 15/CT-TTg ngày 17/6/2014 của Thủ tướng
Chính phủ về tăng cường công tác bảo đảm an ninh và an toàn thông tin mạng
trong tình hình mới;
Kế hoạch số 1881/KH-UBND ngày 25/4/2015 của Chủ tịch UBND tỉnh Quảng
Ngãi về việc thực hiện chương trình hành động số 57-CTr/TU ngày 23/12/2014 của
Ban Thường vụ Tỉnh ủy Quảng Ngãi;
Quyết định số 916/QĐ-UBND ngày 26/5/2016 của Chủ tịch UBND tỉnh Quảng
Ngãi về việc ứng dụng công nghệ thông tin trong hoạt động của các cơ quan nhà
nước tỉnh Quảng Ngãi giai đoạn 2016 – 2020.
2. Căn cứ thực tiễn
Sự bùng nổ của Internet và Thương mại điện tử đã tạo ra những cơ hội to lớn
trong công tác quản lý, điều hành của các cơ quan chính phủ, doanh nghiệp và tổ
chức nhưng bên cạnh đó cũng là những nguy cơ rủi ro mất an toàn thông tin, ảnh
hưởng trực tiếp đến nền kinh tế và xã hội hiện đại.
Công tác kiểm soát an toàn, an ninh thông tin chủ yếu lệ thuộc vào các giải pháp
kỹ thuật phần cứng và phần mềm (do các nhà cung ứng phần cứng, phần mềm
khuyến cáo) mà chưa chú trọng đến yếu tố con người, chính sách và quy trình an
toàn thông tin áp dụng tại cơ quan phải tuân thủ. Con người tham gia vào hệ thống
công nghệ thông tin ở đây được hiểu là tất cả bộ phân liên quan tham gia sử dụng,
vận hành hệ thống và các đối tác bên thứ ba cung cấp dịch vụ công nghệ thong tin
cần gán trách nhiệm và nghĩa vụ an toàn thông tin.
Hiện trạng an toàn, an ninh thông tin ở tỉnh Quảng Ngãi nói riêng vẫn còn yếu,
trong đó nhận thức về tầm quan trọng của an toàn thông tin của các tổ chức, doanh
nghiệp vẫn chưa cao và đa số không chú trọng đến lĩnh vực này. Hầu hết tổ chức,
doanh nghiệp chưa có quy chế về an toàn, an ninh thông tin nội bộ và quy trình
phản ứng khi có sự cố.
Nhìn chung kiến thức về an toàn, an ninh thông tin của các cơ quan, tổ chức,
doanh nghiệp trên địa bàn còn hạn chế, chưa thấy được thiệt hại kinh tế lẫn chưa
9
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
tiên lượng được những mất mát do sự cố không đảm bảo về an toàn, an ninh thông
tin gây ra.
II. MỤC TIÊU CỦA ĐỀ ÁN
1. Mục tiêu chung
Xây dựng và chuẩn hóa hạ tầng CNTT đồng bộ từ cấp tỉnh đến cấp xã trên địa
bàn tỉnh Quảng Ngãi với giải pháp công nghệ, thiết bị tiên tiến. Mục đích nhằm
nâng cao khả năng bảo mật, an toàn cho hệ thống trước các mối nguy nguy cơ tấn
công mạng, đồng thời kiểm soát máy tính của cán bộ công chức, viên chức truy cập
internet, các phần mềm ứng dụng, tăng cường hiệu quả trong công tác cải cách
hành chính.
Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin
cho đội ngũ lãnh đạo, cán bộ, công chức, viên chức, người lao động trong cac cơ
quan, tổ chức, doanh nghiệp và các tầng lớp nhân dân trên địa bàn tỉnh, góp phần
giữ vững an ninh chính trị, trật tự xã hội, đảm bảo an ninh quốc phòng, thúc đẩy
phát triển kinh tế xã hội.
Phân công nhiệm vụ cụ thể, tạo sự phối hợp chặt chẽ giữa các cấp, các ngành, cơ
quan, tổ chức trong việc thực hiện các nhiệm vụ của Đề án. Việc tuyên truyền, phổ
biến, nâng cao nhận thức và trách nhiệm về an toàn thông tin phải được thực hiện
thường xuyên, tần suất phù hợp; đảm bảo có trọng tâm, trọng điểm, với nội dung,
hình thức phù hợp; gắn việc tuyên truyền về an toàn thông tin với tuyên truyền các
nhiệm vụ kinh tế - xã hội, đảm bảo an ninh quốc phòng trên địa bàn tỉnh.
2. Mục tiêu cụ thể
Thiết kế, xây dựng giải pháp ATTT đối với hạ tầng CNTT mang tính đồng bộ,
thống nhất với khả năng bảo mật mạnh, khả năng sẵn sàng cao, có thể nâng cấp và
mở rộng dễ dàng, phù hợp với các tiêu chuẩn bảo mật của thế giới. Giải pháp này
có khả năng quản trị tập trung tại Trung tâm dữ liệu tỉnh Quảng Ngãi và phân cấp
quản lý cho các địa phương.
Đầu tư thay thế, bổ sung thiết bị và triển khai mô hình bảo mật cho 40 Sở ban
ngành và 14 Huyện, Thành phố. Đồng thời có hướng dẫn đến các cấp đơn vị giải
pháp mô hình, kỹ thuật công nghệ nhằm đồng bộ hạ tầng CNTT, bảo mật hệ thống
từ cấp tỉnh đến cấp xã và kiểm soát việc sử dụng máy tính của công chức, viên
chức cấp xã, huyện, tỉnh ra vào mạng internet, tăng cường công tác cải cách hành
chính.
Đào tạo đội ngũ nhân lực phụ trách ATTT có các kỹ năng chuyên sâu về kiến
trúc hạ tầng cơ sở và an ninh mạng như kỹ năng thiết kế, triển khai, duy trì hoạt
động và phòng chống và khắc phục các sự cố về ATTT của hệ thống thông tin tại
cơ quan, đơn vị. Nâng cao nhận thức về ATTT cho các cán bô công chức, viên chức
trong các cơ quan, đơn vị trên địa bàn tỉnh.
10
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
PHẦN 2
ĐÁNH GIÁ HIỆN TRẠNG
III. PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG
1. Hiện trạng về tình hình an toàn, an ninh thông tin trong nước và tại Quảng
Ngãi
1.1. Tình hình chung thế giới và trong nước
An toàn thông tin mạng (ATTT) đang là vấn đề “nóng” và đang được nhiều nước
trên thế giới, nhiều tổ chức và cộng đồng đặc biệt quan tâm. Thời gian qua tin tặc
liên tục tấn công bằng mã độc qua thư điện tử, khai thác lỗ hổng bảo mật, tấn công
từ chối dịch vụ, phân tán virus với quy mô lớn, có tổ chức vào các hệ thống mạng,
cổng thông tin điện tử của Việt Nam chiếm quyền điều khiển, thay đổi nội dung,
chiếm đoạt tài liệu, gây đình trệ các hệ thống thông tin. Đặc biệt, một số tin tặc, mã
độc chuyển hướng qua tấn công vào các cơ quan thuộc hệ thống chính trị để khai
thác, đánh cắp dữ liệu, tài liệu bí mật của nhà nước.
Ngoài ra, sự bùng nổ của Internet và Thương mại điện tử đã tạo ra những cơ hội
to lớn trong công tác quản lý, điều hành của các cơ quan chính phủ, doanh nghiệp
và tổ chức nhưng bên cạnh đó cũng là những nguy cơ rủi ro mất an toàn thông tin,
ảnh hưởng trực tiếp đến nền kinh tế và xã hội hiện đại.
Công tác kiểm soát an toàn, an ninh thông tin chủ yếu lệ thuộc vào các giải pháp
kỹ thuật phần cứng và phần mềm (do các nhà cung ứng phần cứng, phần mềm
khuyến cáo) mà chưa chú trọng đến yếu tố con người, chính sách và quy trình an
toàn thông tin áp dụng tại cơ quan phải tuân thủ. Con người tham gia vào hệ thống
công nghệ thông tin ở đây được hiểu là tất cả bộ phân liên quan tham gia sử dụng,
vận hành hệ thống và các đối tác bên thứ ba cung cấp dịch vụ công nghệ thong tin
cần gán trách nhiệm và nghĩa vụ an toàn thông tin.
1.1.1.1. Tình hình chung tại tỉnh Quãng Ngãi
Hiện trạng an toàn, an ninh thông tin ở tỉnh Quảng Ngãi nói riêng vẫn còn yếu,
trong đó nhận thức về tầm quan trọng của an toàn thông tin của các tổ chức, doanh
nghiệp vẫn chưa cao và đa số không chú trọng đến lĩnh vực này. Hầu hết tổ chức,
doanh nghiệp chưa có quy chế về an toàn, an ninh thông tin nội bộ và quy trình
phản ứng khi có sự cố.
Nhìn chung kiến thức về an toàn, an ninh thông tin của các cơ quan, tổ chức,
doanh nghiệp trên địa bàn còn hạn chế, chưa thấy được thiệt hại kinh tế lẫn chưa
tiên lượng được những mất mát do sự cố không đảm bảo về an toàn, an ninh thông
tin gây ra.
Mô hình kết nối hệ thống tại tỉnh, đặc biệt các Sở ban ngành, các cấp huyện và
xã, đang rời rạc, phân tán và chưa tập trung. Nguyên nhân là do các đơn vị tự xây
dựng và trang bị nên chưa có sự liên kết với nhau.
11
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
Tại các Sở ban ngành, các cấp huyện và xã, việc sử dụng đường truyền Internet
chung với hệ thống dùng chung của tỉnh dễ gây nguy cơ mất an toàn thông tin của
tỉnh, nguyên nhân có thể bắt nguồn từ người sử dụng ở cấp huyện và cấp xã.
Hạ tầng CNTT còn rời rạc, chưa tập trung, chưa có hệ thống quản lý cơ sở dữ
liệu và cơ chế giám sát chung cho toàn tỉnh nên khó khăn trong việc xác định và
ngăn ngừa nguy cơ mất an toàn thông tin từ đâu. Đồng thời việc triển khai các ứng
dụng cũng khó khăn.
Việc liên thông văn bản từ Văn phòng Chính phủ xuống huyện, xã chưa được
đảm bảo an toàn vì chưa có mạng diện rộng đúng nghĩa, đảm bảo an toàn mạng của
tỉnh.
Việc triển khai một số dịch vụ công trực tuyến cho người dân và doanh nghiệp
còn khó khăn do hệ thống mạng hiện tại không đảm bảo liên thông dữ liệu các cấp
về trung tâm tích hợp dữ liệu được nên việc truy xuất còn chậm, không an toàn và
bảo mật thông tin.
2. Hiện trạng về an toàn, an ninh thông tin tại các đơn vị
2.1. Hạ tầng
Hầu hết các cơ quan đã trang bị đủ máy vi tính, thiết lập và khai thác hệ thống
mạng LAN, sử dụng Internet tốc độ cao để phục vụ công tác chuyên môn và điều
hành. Đến nay có khoảng 60% hệ thống mạng LAN được trang bị hệ thống bảo
mật, an ninh mạng (Firewall) và giải pháp bảo mật, tuy nhiên nhìn chung còn ở
mức thấp, chủ yếu sử dụng các giải pháp kỹ thuật tích hợp sẵn trong phần cứng mà
chưa quan tâm đến các giải pháp phần mềm nâng cao.
Tỷ lệ máy vi tính được cài đặt phần mềm phòng, chống virus chiếm khoảng
80%, tuy nhiên chủ yếu dùng các sản phẩm lậu và phi thương mại (Free) của nhiều
hãng sản xuất khác nhau, chưa quan tâm và đầu tư hệ thống chống virus chung cho
toàn bộ hệ thống.
Hầu hết các cơ quan nhà nước đều đã bố trí cán bộ lãnh đạo và cán bộ phụ trách
về CNTT, tuy nhiên phần lớn là làm việc kiêm nhiệm và phụ trách nhiều công việc
khác nên hiệu quả tham mưu cho công tác về đảm bảo an toàn, an ninh thông tin
cho hệ thống mạng LAN và Internet của cơ quan, địa phương còn còn nhiều hạn
chế và bất cập. Nguồn nhân lực này cần phải được tiếp tục tập huấn, bồi dưỡng
kiến thức, kỹ thuật về đảm bảo an toán, an ninh thông tin mạng hàng năm để đáp
ứng nhu cầu phát triển của khoa học CNTT và xã hội.
Về triển khai mạng Truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà
nước: UBND tỉnh Quảng Ngãi đã ban hành Quyết định số 34/2014/QĐ-UBND
ngày 9/7/2014 về quy chế quản lý, vận hành và sử dụng Mạng truyền số liệu
chuyên dùng của các cơ quan Đảng, Nhà nước trên địa bàn tỉnh Quảng Ngãi. Sở
Thông tin và Truyền thông đang phối hợp tham mưu các bước tiếp theo nhằm đưa
hệ thống đi vào sử dụng đồng bộ, thống nhất và đảm bảo tính an toàn, bảo mật
trong các cơ quan nhà nước của tỉnh.
12
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
Nhằm tăng cường an toàn thông tin trong các cơ quan nhà nước, UBND tỉnh
cũng đã ban hành Quy chế quản lý, sử dụng Hệ thống thư điện tử công vụ tỉnh
Quảng Ngãi (QĐ số 51/2015/QĐ-UBND) và cấp phát địa chỉ thư điện tử cho hầu
hết CBCCVC của tỉnh (theo tên miền: ) và cũng đã ban
hành nhiều công văn nhằm tăng cường nhận thức và sử dụng thư điện tử trong phục
vụ công tác chuyên môn và điều hành. Tuy nhiên tỷ lệ CBCCVC sử dụng thư điện
tử thường xuyên và văn bản trao đổi được trao đổi qua hệ thống thư điện tử công
vụ nhìn chung vẫn còn thấp và chưa đạt được hiệu quả cao.
Hầu hết các cơ quan, địa phương chưa có sự quan tâm đúng mức và chưa xây
dựng quy chế nội bộ về quản lý, sử dụng và khai thác hệ thống mạng LAN và
Internet nên các công tác, quy định đảm bảo về an toàn, an ninh thông tin còn nhiều
hạn chế.
Về đảm bảo an toàn, an ninh thông tin cho Cổng thông tin điện tử tỉnh Quảng
Ngãi và các Cổng thành phần, hiện nay do Sở Thông tin và Truyền thông làm chủ
đầu tư thực hiện đã được quan tâm và đầu tư đầy đủ về trang thiết bị phần cứng và
các giải pháp phần mềm bảo mật có liên quan để phòng và chống các nguy cơ trên
mạng Internet.
Hiện nay, Sở Thông tin và Truyền thông cũng đang đầu tư thực hiện Dự án Xây
dựng trung tâm dữ liệu tỉnh Quảng Ngãi (Datacenter), gồm các hệ thống máy chủ,
hệ thống lưu nguồn điện dự phòng (UPS và máy phát điện dự phòng), các hệ thống
backup khôi phục dữ liệu và chương trình phần mềm, nơi cung cấp dịch vụ lưu trữ
dữ liệu và các ứng dụng đảm bảo tính an toàn trong việc trao đổi thông tin và hợp
nhất dữ liệu của người sử dụng, nhằm giảm thiểu chi phí quản lý chung của CNTT,
đảm bảo an toàn, an ninh thông tin cho ứng dụng và các dịch vụ CNTT.
Đầu tư Trung tâm dữ liệu tỉnh Quảng Ngãi với hạ tầng kỹ thuật và hệ thống thiết
bị CNTT-TT hiện đại, đạt tiêu chuẩn tốt nhất hiện nay, đáp ứng nhu cầu ứng dụng
và phát triển tối thiểu về CNTT của tỉnh Quảng Ngãi đến năm 2020 và có khả năng
đầu tư nâng cấp, mở rộng sau đó.
2.2. Nguồn lực
Trong những năm gần đây, tỉnh cũng chú trọng đào tạo, bồi dưỡng tập huấn liên
quan đến công tác an toàn, an ninh thông tin, các hội thảo định hướng phát triển
công nghệ thông tin, thành lập Tổ ứng phó sự cố máy tính, tuy nhiên, nguồn nhân
lực công nghệ thông tin trong các cơ quan Nhà nước cấp tỉnh và huyện chưa đáp
ứng được nhu cầu, vẫn còn thiếu cán bộ lãnh đạo và cán bộ chuyên trách công nghệ
thông tin. Nguồn nhân lực công nghệ thông tin tại các cơ quan nhà nước cấp xã còn
yếu, chưa có khả năng triển khai các hệ thống ứng dụng tác nghiệp, chưa có nhân
lực chuyên trách công nghệ thông tin mà phần lớn là kiêm nhiệm, chưa được qua
đào tạo về nghiệp vụ quản trị mạng nên gặp rất nhiều khó khăn trong việc quản trị,
vận hành hệ thống mạng nhằm ứng dụng và phát triển công nghệ thông tin tại đơn
vị.
2.3. Cơ chế chính sách An toàn an ninh thông tin
13
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
Chỉ số đánh giá về đào tạo, nhận thức: 58% (Tổ chức có cán bộ có chứng chỉ liên
quan đến ATTT; phổ biến nâng cao nhận thức cua người sử dung về ATTT nhưng
đa số tham gia các khoá đào tạo, tập huấn, tài liệu tuyên truyền từ đơn vị ngành tổ
chức, ít có kế hoạch đào tạo, tập huấn riêng đối với các cơ quan khối sự nghiệp.)
Tổ chức, nhân lực:65%(có lãnh đạo phụ trách và có cán bộ chuyên trách nhiều
hơn cán bộ bán chuyên trách)
Chính sách, kinh phí: 55% (về quy chế, quy định đa số các đơn vị có quan tâm và
ban hành quy chế, quy định về bảo đảm ATTT nhưng hầu như chưa có ban hành
quy chế, quy định bảo vệ thông tin cá nhân; đầu tư cho ATTT:tỷ lệ kinh phí ATTT
so với CNTT đa số 1% - 5%)
Biện pháp quản lý: 60%(Việc quản lý cán bộ vận hành, khai thác sử dụng hệ
thống có tuân thủ chính sách về ATANTT; khi hệ thống gặp sự cố mất ATANTT
đều có báo cáo lên lãnh đạo, cơ quan cấp trên và tổ chức hỗ trợ xử lý; tuy nhiên vẫn
còn một số hạn chế hầu hết tổ chức triển khai hệ thống quản lý ATANTT chưa theo
một tiêu chuẩn nào, chưa có quy trình đánh giá, quản lý và xử lý rủi ro)
Biện pháp kỹ thuật:58%(các đơn vị ngành dọc như Hải quan, cục thuế, kho bạc
và khối sở ban ngành có sự quan tâm về các biện pháp kỹ thuật để bảo đảm an toàn
về mặt vật lý, việc sử dụng chữ ký số để bảo đảm an toàn trong khi giao dịch điện tử
cũng được sử dụng, vùng mạng được quy hoạch theo chức năng, sử dụng các biện
pháp kỹ thuật công nghệ để bảo đảm ATANTT(bộ lọc chống thư rác, kiểm soát truy
cập), dữ liệu được sao lưu.. ; Khối huyện, thị: chưa được quan tâm nhiều về các
biện pháp kỹ thuật về mặt vật lý(chống sét, có hệ thống camera giám sát; chưa sử
dụng chữ ký số để bảo đảm an toàn cho các giao dịch điện tử mà chủ yếu đầu tư
phần mềm duyệt virus, tường lửa).
Khả năng nhận biết bị tấn công mạng (tính từ tháng 1/2015 đến nay):
+ Có bị tấn công và được theo dõi đẩy đủ<20%
+ Có bị tấn công nhưng không rõ số lần:>20%
+ Không bị tấn công chiếm khoảng trên >50%
+ Không biết có bị tấn công hay không hoặc không trả lời cho mục này:
>40%.
3. Tồn tại và hạnchế
3.1. Phần cứng
Trong Báo cáo tóm tắt “Chỉ số sẵn sàng cho phát triển và ứng dụng CNTT-TT
Việt Nam” trong 3 năm gần nhất tỉnh Quảng Ngãi có các vị thứ sau:
- Năm 2014: Tỉnh Quảng Ngãi xếp vị thứ 38
- Năm 2015:Tỉnh Quảng Ngãi xếp vị thứ 43
- Năm 2016:Tỉnh Quảng Ngãi xếp vị thứ 35
14
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
Một số thông tin về Báo cáo tóm tắt “Chỉ số sẵn sàng cho phát triển và ứng dụng
CNTT-TT Việt Nam” năm 2016 như sau:
- Tỷ lệ CQNN kết nối WAN của tỉnh: 0%
- Tỷ lệ CQNN kết nối CPNet: 7,8%
- Triển khai các ứng dụng cơ bản (các phần mềm dùng chung): 10,44 (điểm
cao nhất 19,72)
- Dịch vụ công trực tuyến: 0,4524 (chỉ số cao nhất là 1,000)
Đa phần các máy chủ của hệ thống đều không được cài đặt các phần mềm có
bảng quyền, dẫn đến nguy cơ bị tấn công và đánh cắp dữ liệu cũng như không có
cơ chế tự động sao lưu phục hồi khi có sự cố xảy ra.
3.2. Phần mềm
Dịch vụ công trực tuyến đạt mức độ 2, một số dịch vụ công trực tuyến cung cấp
ở mức độ 3, tuy nhiên sự tham gia của người dân chưa nhiều.
Mô hình một cửa điện tử hiện đại được triển khai tại 7/14 địa phương cấp huyện.
So với mặt bằng chung cả nước tỉnh Quảng Ngãi vẫn còn xếp hạng ở mức thấp về
việc triển khai ứng dụng mô hình một cửa hiện đại và hiệu quả, kết quả xử lý công
việc tại bộ phận một cửa hiện đại.
3.3. Cơ chế giám sát
Các phần mềm tuy đã triển khai tập huấn và vận hành nhưng lại chưa đi kèm với
việc ban hành quy chế vận hành và các chế tài kèm theo.
Chưa có sự giám sát, đánh giá việc vận hành phần mềm đối với các cá nhân, tổ
chức được giao vận hành phần mềm.
3.4. Nguyên nhân
Công nghệ thông tin là một lĩnh vực khoa học công nghệ cao và có sự phát triển,
thay đổi nhanh, vì vậy trong quá trình ứng dụng và phát triển luôn nảy sinh những
vấn đề bất cập, nhất là kỹ năng tiếp cận và sử dụng công nghệ;
Vẫn còn một bộ phận lãnh đạo các cấp chưa nhận thức đầy đủ về vai trò, tầm
quan trọng của CNTT trong công tác chỉ đạo, điều hành; chưa thể hiện đầy đủ trách
nhiệm của người đứng đầu trong quá trình ứng dụng và phát triển CNTT tại đơn vị
và xã hội.
Giữa các ngành, địa phương chưa có sự phối hợp chặt chẽ, chưa gắn kết giữa
quá trình ứng dụng công nghệ thông tin với cải cách hành chính, đi tắt đón đầu
trong quá trình CNH, HĐH đất nước;
Việc đầu tư phát triển cơ sở hạ tầng, thiết bị về CNTT còn dàn trải nên thiếu
đồng bộ và hoàn chỉnh. Chưa kết nối mạng diện rộng WAN của tỉnh, nên việc triển
khai các ứng dụng còn mang tính đơn lẻ, thiếu thống nhất và đồng bộ.
15
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
IV. PHÂN TÍCH&ĐỊNH HƯỚNG CÔNG NGHỆ
1. Hệ thống tường lửa
1.1. Tổng quan
Ngày nay, khi kết nối Internet đã trở thành một phần không thể thiếu của mỗi
doanh nghiệp, thì vấn đề an ninh mạng đã trở thành yếu tố không thể thiếu được
của một hệ thống mạng. Cùng với sự đa dạng hoá của các ứng dụng mạng hiện nay,
sự mở rộng quy mô mạng của các doanh nghiệp qua các hệ thống mở như kết nối
Internet, kết nối VPN, kết nối wireless, các lỗ hổng mạng cũng đa dạng hơn, khó
kiểm soát hơn. Vì vậy các tấn công mạng cũng trở lên phức tạp, nguy hiểm và khó
kiểm soát hơn rất nhiều. Các tấn công có thể diễn ra với nhiều mục đích khác nhau
như: lấy cắp dữ liệu, làm hỏng dữ liệu, chiếm quyền kiểm soát, chiếm dụng băng
thông, làm ngừng dịch vụ…..
Với các cách tấn công mạng trước đây, một Firewall chỉ cần tính năng NAT và
lọc gói tin dựa trên thông tin phần tiêu đề gói tin lớp 3 (IP), lớp 4 (TCP/IP) là đủ.
Nhưng hiện nay, các tấn công mạng có thể núp bóng dưới rất nhiều ứng dụng khác
nhau như: IM, email… Tuy nhiên với nhu cầu hiện nay, đối với nhiều doanh nghiệp
các ứng dụng như Email, sky, yahoo… lại được sử dụng như là phương tiện truyền
thông chính của doanh nghiệp, vì vậy việc chặn các cổng giao thức như firewall
truyền thống là không thể. Do vậy, đòi hỏi hệ thống bảo mật của doanh nghiệp phải
có khả năng nhận biết các ứng dụng, lọc bỏ các gói tin chứa mã độc được núp bóng
bởi các ứng dụng sạch. Các gói tin này thường được coi là thuộc các lưu lượng
không xác định (Unidentified traffice) như SaaS, Web 2.0, IM, P2P….
Ngoài ra khi hệ thống công nghệ thông tin đã trở thành một trong nhưng công cụ
cần thiết của một doanh nghiệp, các yêu cầu về bảo mật gia tăng, yêu cầu về phân
quyền, thiết lập quy chế cho các người dùng cũng phức tạp hơn. Do vậy các hệ
thống mạng thế hệ mới cần phải hỗ trợ các yêu cầu sau:
- Khả năng phân cấp, phân quyền truy cập đến các tài nguyên khác nhau trong
hệ thống chi tiết hơn, chặt chẽ hơn để hỗ trợ các quy chế bảo mật của công ty.
- Băng thông mạng phải được đảm bảo trong cả tình huống mạng đang chịu các
sự tấn công từ bên ngoài.
- Sự quản trị dễ dàng để phù hợp với những quản trị mạng ít kinh nghiệm của
các doanh nghiệp nhỏ, hoặc khả năng quản trị linh hoạt, tập trung cho những doanh
nghiệp lớn với đội ngũ IT tập trung.
Thông thường để làm được điều này, trong hệ thống mạng của mỗi doanh nghiệp
chúng ta phải sử dụng đồng thời hệ thống bảo mật gồm:
- Firewall để ngăn chặn các truy cập trái phép, lọc gói tin dựa trên phần tiêu đề,
ngăn chặn các tấn công lớp mạng, lớp giao vận.
16
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
- Sử dụng IPS/IDS để phát hiện và ngăn chặn Worms, ngăn chặn tấn công qua
các lỗ hổng bảo mật của các phần mềm thông thường (windows, office,
explorer…), ngăn chặn các tấn công khác lớp ứng dụng.
- Sử dụng Proxy để để phân quyền truy cập ứng dụng theo quy chế của công ty,
ngăn chặn các tấn công đến từ lớp ứng dụng.
1.2. Các tính năng nổi bật
-
Tính năng phòng vệ, bảo mật
o Tính năng tường lửa chuyên dụng
o Tính năng phòng chống tấn công DDos (IPS/IDS), tấn công có chủ
đích (APT)
o Tính năng phòng chống virus, malware, spyware
o Tính năng bảo mật dành cho web, email, ứng dụng
-
Tính năng mạng
o Hỗ trợ tính năng cân bằng tải đường truyền
o Hỗ trợ tính năng định tuyến, phân chia VLAN, Zone
o Phát hành các dịch vụ công cộng (NAT)
o Hỗ trợ các tính năng VPN, quản lý băng thông, đường truyền, thiết
bị wireless
o Hỗ trợ tính năng mã hóa đường truyền
-
Tính năng quản trị người dùng
o Quản lý người dùng thông qua máy chủ định danh (AD)
o Quản lý truy cập website của người dùng
o Quản lý truy cập ứng dụng của người dùng
-
Tính năng Quản trị
o Quản trị qua giao diện web
o Hỗ trợ quản trị tập trung nhiều thiết bị tường lửa
o Giám sát trạng thái thiết bị và cảnh báo
o Hỗ trợ các báo cáo, dữ liệu hệ thống (log)
1.3. Tính năng đáp ứng
Thiết bị tường lửa (Firewall UTM)
Yêu cầu phần cứng Rackmount 1U
1
Kích thước (w*d*h): 438 x 292 x 44 (mm)
17
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
Số lượng kết nối: 6 x 1Gbps
Dung lượng lưu trữ: 320GB
Bộ nhớ RAM: 8GB
2
Yêu cầu về kết nối
Băng thông tường lửa: 11Gbps
Băng thông VPN: 1Gbps
Băng thông IPS: 2Gbps
Băng thông AV: 500Mbps
Lượng truy cập đồng thời: 4,000,000
3
Tính năng sản phẩm
Có khả năng triển khai các tính năng NAT, Network
Firewall, DHCP, VLAN, Load Balancing
Đáp ứng các tính năng bảo mật và phòng chống tấn
công: APT, IPS, Dos Protection, Antivirus,
malware, spyware.
Có khả năng quản lý truy cập theo URL, ứng dụng
Hỗ trợ các kết nối VPN site-to-site, client-to-site
Tích hợp tính năng báo cáo, log, SNMP
Có khả năng quản lý băng thông và QoS
2. Hệ thống chuyển mạch trung tâm và nhánh
2.1. Tổng quan
Với một hệ thống chuẩn hóa đòi hỏi phải có một thiết bị chuyên dụng đóng vai
trò chuyển mạch và quản lý các truy cập, kết nối các vùng dữ liệu với nhau, do đó
dòng thiết bị chuyển mạch lớp 3 (switch layer 3) ra đời, có khả năng vận hành tốt
trong thời gian dài, có khả năng mở rộng cao trong thời gian tới và không ảnh
hưởng đến khả năng chịu tải của hệ thống. Switch layer 3 thực hiện tốt các chính
sách truy cập giữa các Vlan đã được phân chia và vận hành tốt tính năng Switching,
Routing, ACLs, Spanning Tree, … giúp cho hệ thống hoạt động hiệu quả.
Switch layer 2 là chuỗi các thiết bị chuyển mạch Ethernet thông minh dành cho
các mạng của doanh nghiệp mới được thành lập, doanh nghiệp cỡ vừa và văn
phòng chi nhánh cung cấp dịch vụ mạng LAN mở rộng. Sản phẩm có thể cấu hình
cố định, độc lập và cung cấp kết nối 10/100 Fast Ethernet và 10/100/1000 Gigabit
18
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
Ethernet cho các vùng mạng trong công ty.Cung cấp quản lý mạng tập trung cho
các thiết bị chuyển mạch, định tuyến và các điểm truy nhập vô tuyến. Hỗ trợ giúp
lập các cấu hình dễ sử dụng để đơn giản hóa đáng kể việc triển khai mạng nội bộ và
các dịch vụ phần vùng mạng riêng biệt.
2.2.Tính năng đáp ứng
1
Thiết bị chuyển mạch trung tâm (Switch layer 3)
Thiết kế
Rackmount 1U
Cổng kết nối
24-Port 1GbE, 4x 1G SFP Slot
Stacking
Stacking với thông lượng 160Gbps
Switching capacity
88Gbps
VLAN IDs
4000
MAC Address
32000
Flash memory
2GB
DRAM
4GB
SVIs
1000
Triển khai và điều khiển: IP SLA, DHCP auto
configuration, autoQoS, DTP, PAgP, LACP,
UDLD, VTP v3, TFTP, NTP, IGMP v3,
RSPAN, RMON
Bảo mật: Port security, DHCP snooping,
Tính năng
Dynamic ARP inspection, SPAN port, 802.1X,
MAC authentication bypass, Radius, private
VLAN, ACLs, SNMPv3, TACACS+
Giao thức định tuyến: static, RIPv1, RIPv2,
RIPng, EIGRP stub
Wireless Bandwidth 20 Gbps
Hỗ trợ lên đến 25 Access Points/switch
Wireless
Hỗ trợ lên đến 1000 Wireless clients/switch
Hỗ trợ 64 WLANs/switch
Chiều cao: 1U 44 (mm)
Kích thước
Chiều rộng: nhỏ hơn 450 (mm)
Chiều sâu: nhỏ hơn 450 (mm)
Trọng lượng
Nhỏ hơn 8 kg
Điện năng tiêu thụ
Nhỏ hơn 90W (100% traffic)
Nguồn
350W AC PS, C14-C15 power cord
3. Hệ thống định tuyến tích hợp
3.1. Tổng quan
Router tích hợp là chuỗi các thiết bị định tuyến tích hợp các tính năng bảo mật,
phòng chống và bảo vệ hệ thống mạng khỏi các cuộc tấn công từ bên ngoài. Thiết
19
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
bị cung cấp đầy đủ các tính năng của một thiết bị định tuyến chuyên dụng (Routing
(RIPv1, RIPv2, EIGRP, OSPF, Static), VPN, ACLs, NAT, DNS spoofing,… ) và
bảo mật chuyên dụng (Firewall, IPS/IDS, QoS,…).
Ngoài ra, thiết bị này còn tích hợp thêm tính năng chuyển mạch (switching) và
cung cấp 8 – 24 cổng (port) kết nối, phù hợp cho các văn phòng, chi nhánh với số
lượng người ít.
3.2. Tính năng đáp ứng
1
Thiết bị định tuyến tích hợp (Router tích hợp)
Thiết kế
Rackmount 1U
24-Port 1GbE, 2-Port 1G SFP
Cổng kết nối
DRAM
512MB
Triển khai và điều khiển: IP SLA, DHCP, QoS,
SSH, CLI, HTTP Management
Port security, Accesslist, NAT, DNS, MAC
Tính năng
filtering, SPAN port, VPN, IDS/IPS
Giao thức định tuyến: static, RIPv1, RIPv2,
EIGRP, OSPF
Chiều cao: 1U 46 (mm)
Kích thước
Chiều rộng: nhỏ hơn 440 (mm)
Chiều sâu: nhỏ hơn 304 (mm)
Trọng lượng
Nhỏ hơn 5 kg
Điện năng tiêu thụ
Nhỏ hơn 50W (100% traffic)
Nguồn
125W AC PS, C14-C15 power cord
4. Phần mềm Antivirus
4.1. Tổng quan
Vì phần mềm độc hại đang trở nên ngày càng tinh vi, các biện pháp bảo vệ
truyền thống không còn đủ để đảm bảo bảo vệ đầy đủ.Bên cạnh khả năng chống
phần mềm độc hại giành được nhiều giải thưởng, phần mềm Antivirus bao gồm
công nghệ quét lỗ hổng và công nghệ quản lý bản vá lỗi để giúp tiêu diệt các lỗ
hổng trong hệ điều hành và phần mềm ứng dụng.
Hơn nữa, chức năng mã hóa linh hoạt giúp bảo vệ dữ liệu của cơ quan trong
trường hợp máy tính xách tay hoặc thiết bị lưu trữ có thể tháo rời bị mất hoặc bị
đánh cắp.
4.2. Tính năng đáp ứng
- Phòng chống Anti-Malware và HIPS
- Tính năng Firewall dành cho máy chủ
- Hỗ trợ Application Control
20
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
- Hỗ trợ Application Whitelist
- Hỗ trợ Web Control
- Hỗ trợ Device Control
- Hỗ trợ File Server Protection
- Hỗ trợ Mobile Device Management
- Hỗ trợ Mobile Endpoint Security
- Hỗ trợ mã hóa
- Hỗ trợ System Configuration và Deployment
- Hỗ trợ Vulnerability Scanning
4.3. Mô tả giải pháp
Phần mềm quản lý tập trung Antivirus sẽ được triển khai tại TTDL và tích hợp
với hệ thống kết nối WAN để quản lý, cài đặt và điều chỉnh các phần mềm
Antivirus tại các máy trạm ở các đơn vị.
Phần mềm Antivirus sẽ được triển khai tại các máy trạm của người dùng bằng
cách cài đặt từ xa từ phần mềm quản lý tập trung Antivirus nhằm phục vụ mục tiêu
ngăn chặn, phòng chống lây lan virus, malware, spyware; đồng thời giới hạn các
thiết bị được phép truy cập và mã hóa các tập tin quan trọng.
5. License bản quyền Windows Server
Thực hiện bổ sung license bản quyền hệ điều hành Windows Server dành cho
các máychủ ứng dụng và dịch vụ công trong hệ thống.
Tăng cường nâng cấp hệ điều hành và cập nhật các bản vá lỗi, bản nâng cấp để
hạn chế các lỗ hổng của hệ điều hành máy chủ.
21
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
PHẦN 3
NỘI DUNG ĐỀ ÁN
V. QUAN ĐIỂM XÂY DỰNG ĐỀ ÁN
1. Tầm nhìn
Ngày nay, việc đảm bảoan ninh an toàn thông tin cho các hệ thống của cơ quan
nhà nước đặt ra nhiều thách thức. Đảng và Nhà nước rất quan tâm và có nhiều Nghị
quyết, kế hoạch và chỉ đạo tăng cường đảm bảo an toàn thông tin mạng trong đó
đặc biệt là hệ thống thông tin của các cơ quan nhà nước.
Với những hạn chế và hiện trạng đã nêu ở trên, việc đề xuất mô hình kết nối an
toàn sẽ xây dựng được hệ thống mạng kết nối liên thông từ tỉnh xuống xã, thuận
tiện, dễ dàng trong việc quản lý, triển khai các ứng dụng dùng chung, các dịch vụ
công trực tuyến, đồng thời đảm bảo an toàn thông tin chung cho toàn bộ hệ thống
của tỉnh. Do đó việc tổ chức xây dựng hạ tầng mạng diện rộng (WAN) của tỉnh (từ
tỉnh xuống xã) đảm bảo an toàn thông tin phục vụ cải cách hành chính, đẩy mạnh
ứng dụng CNTT trong các cơ quan nhà nước tỉnh Quảng Ngãi, xây dựng Chính
quyền điện tử của tỉnh hiện nay là hết sức cần thiết.
2. Sứ mạng
ATTT là sự bảo vệ thông tin và hệ thống thông tin tránh bị truy nhập, sử dụng,
tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn,
tính bảo mật và tính khả dụng của thông tin.
Theo đó, nhiệm vụ ATTT là bảo vệ, phòng ngừa, tránh các tác động phát sinh
(truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép) ảnh hưởng
đến ATTT hệ thống (tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin);
ứng cứu, xử lý, khắc phục sự cố ATTT.
Cơ bản có 3 nhóm nhiệm vụ ATTT:
- ATTT mạng: bao gồm ATTT các hệ thống mạng trong hệ thống CQNN như
ATTT mạng Internet (bên ngoài vào bên trong hệ thống CQNN); ATTT hệ thống
mạng WAN; ATTT hệ thống mạng LAN và máy tính, thiết bị CNTT cơ quan;
ATTT hệ thống Trung tâm dữ liệu;
- ATTT ứng dụng: bao gồm áp dụng các biện pháp kỹ thuật trong các ứng dụng
và CSDL thành phần của hệ thống CQNN bảo đảm được các tiêu chuẩn về ATTT
chung: chứng thực truy cập; phân quyền truy cập; mã hóa dữ liệu; chữ ký số; ghi và
giám sát nhật ký truy cập; phòng chống phần mềm độc hại;…
- ATTT cá nhân: bao gồm các áp dụng về đào tạo; cơ chế chính sách ATTT; tổ
chức quản lý nhằm hướng các cá nhân cụ thể tham gia hệ thống CQĐT có ý thức,
năng lực và trách nhiệm bảo đảm được các tiêu chuẩn ATTT.
3. Giá trị cốt lõi
22
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
Việc đảm bảo an toàn an ninh thông tin bên cạnh việc phát triển CNTT vào hoạt
động của các cơ quan Nhà nước trên địa bàn tỉnh là một trong những nhiệm vụ ưu
tiên trong chiến lược phát triển CNTT và xây dựng chính quyền điện tử tại tỉnh
Quảng Ngãi, là nền tảng thực hiện đưa tỉnh Quảng Ngãi sớm trở thành tỉnh mạnh về
ứng dụng CNTT.
Nâng cao khả năng bảo mật, an toàn cho hệ thống trước các mối nguy hại và
nguy cơ tấn công từ bên ngoài đồng thời tăng khả năng sẵn sàng của hệ thống trước
các sự cố bất ngờ. Đặc biệt là đối với các thiết bị điện tử, máy tính được sử dụng
truyền và lưu trữ thông tin bí mật nhà nước trên địa bàn tỉnh Quảng Ngãi.
Nâng cao các kỹ năng và kiến thức chuyên sâu về kiến trúc hạ tầng cơ sở và an
toàn thông tin mạng, cũng như kỹ năng thiết kế, triển khai, duy trì hoạt động của hạ
tầng CNTT cho đội ngũ nhân lực phụ trách ATTT tại cơ quan, đơn vị.
Tăng cường tuyên truyền, đào tạo, tập huấn nâng cao kỹ năng, nhận thức, kiến
thức về an toàn thông tin, khai thác ứng dụng CNTT trong thực tiễn cuộc sống,
trong tuyên truyền, phổ biến khoa học kỹ thuật, sản xuất kinh doanh, trao đổi thông
tin với các cơ quan nhà nước qua cổng thông tin điện tử, sử dụng các dịch vụ công
trực tuyến.
VI. NỘI DUNG ĐỀ ÁN
Mô hình chuẩn hạ tầng CNTT tại các đơn vị hành chính, sự nghiệp của
tỉnh Quảng Ngãi
1. Mô hình cho các cơ quan hành chính, đơn vị sự nghiệp cấp tỉnh, cấp
huyện, Ủy ban nhân dân (UBND) huyện, thành phố:
Chúng tôi đề xuất 02 mô hình mạng nội bộ cho các cơ quan hành chính, đơn
vị sự nghiệp cấp tỉnh, cấp huyện, Ủy ban nhân dân (UBND) huyện, thành phố
(đính kèm phia dưới). Các mô hình này đáp ứng được hầu hết các nhu cầu kết
nối và triển khai ứng dụng trong các cơ quan, đơn vị hiện nay.
MÔ HÌNH 1:
- Đối tượng áp dụng
Mô hình được áp dụng cho các cơ quan hành chính, đơn vị sự nghiệp cấp tỉnh,
cấp huyện, Ủy ban nhân dân (UBND) huyện, thành phố có yêu cầu ứng dụng
công nghệ thông tin như sau:
• Kết nối các máy tính nội bộ của cơ quan để chia sẻ dữ liệu, máy in và
sử dụng các ứng dụng dùng chung như phần mềm quản lý văn bản, phần mềm
một cửa…
• Các máy tính cục bộ kết nối với Internet nhằm đáp ứng nhu cầu làm
việc của công chức, nhân viên.
• Kết nối với hạ tầng mạng chuyên ngành (nếu có) như: mạng của hệ
Đảng, lực lượng vũ trang hoặc các ngành dọc từ trung ương.
23
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
- Đặc điểm
Mô hình mạng được chia ra làm 2 phân vùng:
• Vùng mạng ngoài (Internet)
• Vùng mạng trong (nội bộ) bao gồm các máy tính cá nhân, máy chủ
của cơ quan, đơn vị.
• Các thiết bị trong mạng nội bộ chỉ có thể truy cập Internet một chiều
từ trong ra ngoài nhờ sự ngăn cách của tường lửa.
• Đối với những đơn vị, cơ quan có sử dụng đường truyền kết nối mạng
chuyên ngành được áp dụng với một số máy tính tạo thành vùng mạng chuyên
ngành. Các máy tính nằm trong những khu vực khác trong đơn vị, cơ quan
không được truy cập vào vùng mạng dành riêng này.
• Các máy chủ nội bộ được đặt vào trong một VLAN riêng và cung cấp
dịch vụ cho các máy tính cho các VLAN phòng ban khác (các dịch vụ mà
máy chủ cung cấp chỉ sử dụng nội bộ).
- Đường truyền, thiết bị sử dụng
Đường truyền
Hệ thống không có yêu cầu cao về tính liên tục của kết nối mạng và không
public các dịch vụ ra bên ngoài nên chỉ cần trang bị 1 đường truyền kết nối
Internet để dễ quản lý.
Nếu đơn vị, cơ quan sử dụng đường truyền chuyên ngành thì sẽ triển khai
theo hướng dẫn chuyên ngành.
Tường lửa
24
“Đề án tăng cường an toàn an ninh thông tin cho hệ thống CNTT tỉnh Quảng Ngãi”
Có thể sử dụng 1 trong 2 loại tường lửa sau:
o Tường lửa mềm
o Tường lửa cứng
Hệ thống chuyển mạch
Sử dụng hệ thống chuyển mạch 2 lớp:
o Hệ thống chuyển mạch trung tâm (sử dụng Switch Core lớp 3) đóng
vai trò định tuyến giữa các phân vùng mạng cục bộ và phân quyền truy
cập cho các phân vùng mạng khác nhau. Cần trang bị 2 Switch Core trở
lên để làm nhiệm vụ cân bằng tải và dự phòng.
o Hệ thống chuyển mạch lớp 2 (sử dụng Access Switch) cung cấp kết
nối từ các máy tính trong mạng đến hệ thống chuyển mạch trung tâm và
phân chia các phân vùng mạng.
Các máy chủ
Hệ thống máy chủ được thiết kế theo nhu cầu làm việc và sử dụng của đơn vị,
cơ quan. Các máy chủ được đặt tập trung trong một VLAN riêng để dễ quản lý.
- Access Point (Wireless)
Hệ thống Wireless sử dụng nội bộ chỉ sử dụng cho công chức, viên chức
thuộc đơn vị, cơ quan và được đặt bên trong mạng nội bộ. Nếu có nhu cầu cung
cấp Wifi cho khách cần thiết lập hệ thống Wireless dành riêng và đặt ở bên ngoài
mạng nội bộ để đảm bảo an toàn thông tin.
- Cài đặt, cấu hình
• Hệ thống chuyển mạch
Hệ thống chuyển mạch được cấu hình để cung cấp các tính năng sau:
o Máy tính của người dùng ở các phân vùng mạng cục bộ có thể kết nối
và truy cập Internet.
o Các máy tính trong mạng nội bộ có thể truy suất được các dịch vụ
được cung cấp bởi các server nội bộ.
o Chỉ cho phép các máy tính nằm trong phân vùng mạng chuyên ngành
trong nội bộ có thể liên lạc được với vùng mạng chuyên ngành bên
ngoài.
o Không cho phép các máy tính ở các phân vùng mạng nội bộ khác
nhau liên lạc với nhau.
o Có thể thiết lập các tính năng phòng chống tấn công mạng cục bộ.
• Tường lửa
Tường lửa được cấu hình chức năng định tuyến (Route hoặc NAT) để các máy
tính bên trong mạng nội bộ có thể truy cập Internet.
Cấu hình tường lửa cho phép hoặc cấm các truy cập tùy theo nhu cầu của đơn
vị, cơ quan.
25
