Đảm bảo an toàn thông tin cho các hệ thống thông tin của ngành Tài chính
15:37 | 23/01/2017 | CHÍNH SÁCH - CHIẾN LƯỢC
Do đặc thù hoạt động nghiệp vụ của ngành Tài chính, nhu cầu sử dụng thiết bị công nghệ thông tin để hỗ trợ công việc đã xuất hiện từ rất sớm. Năm 1989, Bộ Tài chính đã thành lập Tổ tin học trực thuộc Văn phòng Bộ, với nhiệm vụ nghiên cứu, ứng dụng tin học vào chuyên môn nghiệp vụ của ngành. Đến năm 1999 bắt đầu triển khai hệ thống mạng diện rộng kết nối tất cả các đơn vị của ngành Tài chính. Năm 2004 triển khai dự án tích hợp hệ thống thông tin kho bạc ngân sách nhà nước (TABMIS)….
Cùng với việc tin học hóa hoạt động nghiệp vụ, việc cung cấp dịch vụ công trực tuyến trong các lĩnh vực tài chính cũng được đặt ra từ rất sớm, thậm chí từ trước khi khái niệm này được hình thành rõ nét tại Việt Nam. Tại Tổng cục Hải quan, những kênh kết nối, trao đổi thông tin trực tiếp với doanh nghiệp được thiết lập từ cuối thập niên 90 và liên tục phát triển cho đến ngày nay. Năm 2010, Tổng cục Thuế đã phối hợp với VNPT thử nghiệm triển khai dịch vụ khai thuế qua mạng áp dụng chữ ký số. Giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng đầu tiên tại Việt Nam cho VNPT đã được cấp.
Hiện tại, Bộ Tài chính và các đơn vị thuộc Bộ đang cung cấp hơn 40 dịch vụ từ mức 3 trở lên. Trong đó, một số dịch vụ công trực tuyến điển hình như: Kê khai và nộp thuế qua mạng; Hải quan điện tử; Đăng ký mở và sử dụng tài khoản tại Kho bạc Nhà nước; Đăng ký chào bán, phát hành cổ phiếu, trái phiếu; Cấp mã số đơn vị có sử dụng ngân sách....
Các dịch vụ công trực tuyến của ngành Thuế, Hải quan và Kho bạc đã có tác động rất lớn tới doanh nghiệp, được Chính phủ đưa vào danh sách các dịch vụ ưu tiên đẩy mạnh và mở rộng triển khai, phục vụ Chính phủ điện tử.
Bên cạnh các dịch vụ công trực tuyến, hầu hết các hoạt động nghiệp vụ của Bộ Tài chính đã được tin học hóa. Để phục vụ công tác quản lý nội bộ, Bộ Tài chính đã triển khai sử dụng hệ thống quản lý văn bản điều hành có tích hợp chữ ký số. Hệ thống này đã và đang phát huy tác dụng, góp phần giúp Bộ Tài chính xử lý khối lượng lớn các văn bản, giấy tờ phát sinh hàng ngày.
Công tác bảo đảm an toàn thông tin của ngành tài chính
Việc đảm bảo an toàn thông tin (ATTT) trên môi trường máy tính và mạng máy tính đã được Lãnh đạo Bộ Tài chính nhận thức và chỉ đạo thực hiện đồng thời với công tác tin học hóa. Từ cuối những năm 1990, Bộ Tài chính đã “đặt hàng” Ban Cơ yếu Chính phủ xây dựng phần mềm mã hóa dữ liệu để mã hóa dữ liệu giữa các đơn vị kho bạc và tài chính trao đổi trên đường truyền. Việc trang bị các giải pháp an toàn như tường lửa mạng và phần mềm phòng/diệt virus quản lý tập trung đã được thực hiện từ năm 2003. Năm 2004, Đề án tư vấn đảm bảo ATTT của Bộ Tài chính đã đề cập đến việc triển khai tiêu chuẩn ISO/IEC 17799 (nay là ISO/IEC 27002). Năm 2009, Kho bạc Nhà nước tiên phong triển khai công tác quản lý ATTT theo tiêu chuẩn ISO/IEC 27001:2005.
Về nguồn nhân lực
Nhận thức đầy đủ các yếu tố mang lại thành công cho công tác đảm bảo ATTT bao gồm Con người, Chính sách và Công nghệ, năm 2012, bên cạnh việc triển khai các dự án đầu tư nâng cấp hệ thống đảm bảo ATTT, Bộ Tài chính đã tăng cường đầu tư vào vấn đề con người và chính sách.
Về yếu tố con người, năm 2013, Bộ Tài chính đã thành lập các phòng quản lý ATTT. Đến nay, có 5 phòng quản lý về ATTT thuộc các đơn vị: Cục Tin học và Thống kê tài chính - Bộ Tài chính, Cục CNTT - Tổng cục Thuế, Cục CNTT - Tổng cục Hải quan, Cục CNTT - Kho bạc Nhà nước, Cục CNTT - Ủy ban Chứng khoán Nhà nước, với 25 cán bộ chuyên trách ATTT trên tổng số 2.600 cán bộ CNTT (~0,1%). Cục CNTT của Tổng cục Dự trữ Nhà nước chưa thành lập phòng Quản lý ATTT.
Các phòng Quản lý ATTT đã góp phần đẩy mạnh công tác đảm bảo ATTT của Bộ Tài chính và các đơn vị thuộc Bộ. Bên cạnh đó, mỗi cán bộ ngành Tài chính cũng có trách nhiệm tham gia quản lý, sử dụng hệ thống thông tin một cách an toàn. Trong đó, có trách nhiệm cao nhất, tham gia vào công tác đảm bảo ATTT là bộ phận Quản trị mạng và Quản trị hệ thống, tiếp đó là các bộ phận Phát triển ứng dụng, Triển khai dự án, Hỗ trợ kỹ thuật, Hỗ trợ người dùng.... Hàng năm, Bộ Tài chính đều tổ chức các khóa đào tạo chuyên sâu về ATTT cho các cán bộ tin học thuộc các bộ phận trên. Cán bộ, nhân viên tham gia vào hệ thống CNTT cũng thường xuyên được tuyên truyền, nâng cao nhận thức về ATTT. Từ năm 2013, Bộ đã tổ chức các lớp đào tạo kiến thức, kỹ năng cơ bản về ATTT cho toàn thể cán bộ của Bộ Tài chính. Năm 2016, Bộ Tài chính tổ chức cập nhật kiến thức về ATTT cho hầu hết cán bộ của Bộ.
Việc tuyển dụng cán bộ giỏi luôn là thách thức đối với cơ quan nhà nước, đặc biệt trong lĩnh vực CNTT và ATTT. Để giải quyết việc thiếu hụt nhân lực trình độ cao trong lĩnh vực ATTT, Bộ Tài chính đã phối hợp với các cơ quan như Bộ Thông tin và Truyền thông, Bộ Công an, Ban Cơ yếu Chính phủ và các doanh nghiệp ATTT để triển khai các hoạt động đảm bảo ATTT cho hệ thống CNTT của Bộ.
Về yếu tố chính sách
Năm 2012, Bộ Tài chính đã ban hành Quy định về việc đảm bảo ATTT trên môi trường máy tính và mạng máy tính áp dụng trong ngành Tài chính và cập nhật quy định này trong năm 2014. Năm 2015, Bộ Tài chính đã ban hành Khung quy trình ứng cứu sự cố khẩn cấp ATTT; Yêu cầu kiến thức, kỹ năng ATTT đối với cán bộ ngành Tài chính. Trên cơ sở các quy định chung này, các đơn vị thuộc Bộ đã cụ thể hóa thành các quy trình quản lý, vận hành các hệ thống thông tin do đơn vị trực tiếp quản lý. Hàng năm, Bộ tổ chức kiểm tra việc thực hiện quy định đảm bảo ATTT tại các đơn vị, đảm bảo tính hiệu lực, tác dụng của các quy định này.
Về yếu tố công nghệ
Bộ đã đặt ra yêu cầu phải triển khai và khai thác tối đa các giải pháp công nghệ mang tính nền tảng, truyền thống, rồi mới triển khai tiếp các giải pháp nâng cao. Các giải pháp công nghệ mang tính nền tảng trong ngành Tài chính bao gồm:
- Tường lửa mạng kết hợp với phân hoạch mạng: Việc phân hoạch mạng chặt chẽ và kiểm soát luồng dữ liệu vào/ra giữa các vùng giảm thiểu rất nhiều rủi ro. Đặc biệt, các máy quản trị hệ thống phải được phân hoạch trong vùng mạng riêng và chỉ các cán bộ có quyền quản trị hệ thống mới được tiếp cận vùng mạng này. Các máy này sẽ không được sử dụng để thực hiện các công việc khác và không được kết nối Internet.
- Cập nhật bản vá an toàn cho hệ điều hành: Đây là công việc ưu tiên hàng đầu, được kiểm tra thường xuyên và được tiến hành thông qua quy trình đảm bảo an toàn cho ứng dụng.
- Hệ thống phòng chống mã độc tập trung: đã được triển khai từ năm 2003 và được giám sát thường xuyên việc cập nhật. Các đợt bùng phát nhiễm virus được bộ phận quản trị hỗ trợ xử lý nhanh chóng do có kinh nghiệm và phối hợp chặt chẽ; thực hiện tốt việc khoanh vùng nguồn mã độc, điều chỉnh chỉnh sách hạn chế truy cập dịch vụ kịp thời, thực hiện lấy/gửi mẫu cho hãng và cập nhật nhanh mẫu virus.
- Hệ thống phòng chống tấn công mức IPS: được Bộ triển khai từ năm 2010. Hệ thống này đã ngăn ngừa có hiệu quả nhiều cuộc tấn công từ bên ngoài (Internet) và ngay trong nội bộ mạng của Bộ Tài chính (từ các máy nhiễm mã độc trên mạng diện rộng của ngành Tài chính).
- Lọc email: triển khai hệ thống lọc email (malware, spam) từ năm 2009. Hệ thống này đã ngăn chặn hầu hết các mã độc gửi qua email vào tên miền email mof.gov.vn của Bộ Tài chính.
Để chống lại tấn công từ chối dịch vụ DDoS, tấn công khai thác điểm yếu của ứng dụng web, tấn công có chủ đích APT, Bộ đã trang bị các giải pháp kỹ thuật tương ứng. Để đảm bảo về an toàn ứng dụng, công cụ dò quét điểm yếu bảo mật ứng dụng được trang bị từ năm 2013, sử dụng công cụ này để đánh giá và khắc phục điểm yếu bảo mật của ứng dụng trước khi đưa vào sử dụng và định kỳ đánh giá trong suốt quá trình sử dụng. Hệ thống Tường lửa ứng dụng được trang bị, bao gồm tính năng mã hóa kênh HTTPS và chống DDoS mức ứng dụng.Việc ngăn chặn DDoS mức mạng được thực hiện thông qua tính năng chống DDoS của tường lửa mạng. Một số đơn vị thuộc Bộ đã trang bị hệ thống chống DDoS chuyên dụng.
Việc chống tấn công APT được thực hiện từ gốc thông qua kiểm soát các kết nối Internet. Từ năm 2013, Bộ Tài chính đã triển khai mô hình truy cập Internet gián tiếp: Người dùng truy cập Internet thông qua các máy chủ Remote Desktop. Mô hình này tạo ra một bức tường ngăn cách giữa máy tính của người dùng và Internet, tin tặc rất khó thiết lập kết nối từ Internet với các phần mềm trên máy tính của người dùng, do đó không thực hiện được các lệnh điều khiển từ xa. Mô hình truy cập Internet gián tiếp đã được triển khai tại các cơ quan Bộ Tài chính từ năm 2013 và toàn ngành Thuế trong năm 2016. Các đơn vị khác thuộc Bộ đang sử dụng các biện pháp khác, trong đó bao gồm tách mạng vật lý riêng cho truy cập Internet để ngăn chặn các tấn công có chủ đích. Mô hình trung tâm giám sát an toàn thông tin (Security Operating Center - SOC) cũng đang được nghiên cứu để đưa vào triển khai.
Có thể nói, bất kỳ giải pháp an toàn, an ninh thông tin nào khi triển khai đều phải quan tâm đến 3 khía cạnh là con người, chính sách và công nghệ, thiếu một trong 3 yếu tố này, thì giải pháp nào cũng không mang lại hiệu quả mong muốn.
Một số đề xuất
Một là, Chính phủ cần sửa đổi Nghị định 26/2007/NĐ-CP quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số. Theo đó, tách loại chứng thư số do Ban CYCP cấp cho các cơ quan thuộc hệ thống chính trị ra khỏi nhóm chứng thư số chuyên dùng nói chung và đưa ra định nghĩa riêng cho loại chứng thư số này, đồng thời quy định rõ các cơ quan nhà nước phải ký số bằng chứng thư số do Ban CYCP cấp cho mọi loại giao dịch điện tử có sử dụng chữ ký số.
Hiện tại, theo định nghĩa chứng thư số chuyên dùng của Nghị định 26/2007/NĐ-CP, chứng thư số do Ban CYCP cấp cho các cơ quan thuộc hệ thống chính trị chỉ có thể dùng để trao đổi trong giao dịch giữa các cơ quan này với nhau, không giao dịch được với các tổ chức, cá nhân ngoài hệ thống chính trị.
Hai là, nâng cấp các dịch vụ về chứng thực chữ ký số và các dịch vụ kèm theo (ví dụ cấp dấu thời gian) để có thể phục vụ nhu cầu ngày càng tăng của cơ quan, tổ chức đối với các dịch vụ này.
Ba là, cung cấp hướng dẫn cài đặt chứng thư số RootCA của Ban CYCP trên các loại hệ điều hành, web browsers cho các cơ quan thuộc hệ thống chính trị và yêu cầu các đơn vị thực hiện cài đặt chuẩn hóa trên máy tính làm việc của các đơn vị, đảm bảo sẵn sàng cho việc tiếp nhận xử lý các văn bản có ký số sử dụng chứng thư số của Ban CYCP. Bên cạnh đó, cần đẩy mạnh đồng thời tuyên truyền cho xã hội về việc sử dụng chứng thư số của Ban CYCP.
Bốn là, nghiên cứu, hướng dẫn việc mã hóa thông tin bí mật nhà nước lưu trữ hoặc truyền nhận trên hệ thống máy tính, mạng máy tính, mạng viễn thông bằng mật mã của Cơ yếu, theo quy định tại Pháp lệnh Bảo vệ bí mật nhà nước.
