An toàn thông tin đối với hệ thống dịch vụ công trực tuyến của Bộ Giao thông Vận tải tham gia Cơ chế một cửa quốc gia
10:19 | 10/10/2016 | GIẢI PHÁP KHÁC
Ứng dụng Công nghệ thông tin tham gia Cơ chế một cửa quốc gia của Bộ Giao thông Vận tải được triển khai toàn diện với các hạng mục từ cơ sở hạ tầng thông tin hiện đại đáp ứng nhu cầu sử dụng doanh nghiệp; hệ thống phần mềm tiếp nhận, xử lý hồ sơ, trả kết quả, thanh toán đều là trực tuyến, trả hóa đơn thu phí, lệ phí qua điện tử.
Hệ thống dịch vụ công trực tuyến của Bộ Giao thông Vận tải tham gia Cơ chế một cửa quốc gia được triển khai thống nhất trên toàn quốc, đảm bảo kết nối thông suốt với Cổng thông tin một cửa quốc gia. Hệ thống tích hợp nhiều thành phần và nhiều dịch vụ từ các nhà cung cấp dịch vụ khác nhau. Hệ thống có số lượng người sử dụng lớn, đảm bảo trực tuyến 24/7 và lưu trữ các dữ liệu của doanh nghiệp, các cơ quan cấp phép cũng như các kết quả cấp phép trực tiếp liên quan tới lợi ích và trách nhiệm của doanh nghiệp cũng như các cơ quan nhà nước.
Việc đảm bảo an toàn thông tin cho hệ thống được coi trọng, thiết kế ngay từ bước lập dự án, nên các giải pháp về an toàn, an ninh thông tin đã được triển khai khá toàn diện. Các giải pháp này bao gồm vấn đề về chính sách an toàn, an ninh hệ thống; cơ sở hạ tầng vận hành hệ thống; mã hóa và an toàn dữ liệu và bảo đảm an toàn cho phần mềm hệ thống, phần mềm dịch vụ công trực tuyến tham gia cơ chế một cửa Quốc gia.
Về chính sách an toàn, an ninh hệ thống
Quy định về cơ chế truy cập, khai thác hệ thống: quy định cụ thể trách nhiệm, quyền hạn của các cá nhân có quyền truy cập và khai thác hệ thống phân theo 2 chiều là đơn vị thực hiện và vị trí công tác của từng cá nhân. Theo quy định này, các cá nhân có quyền truy cập hệ thống để thực hiện xử lý hồ sơ thủ tục hành chính sẽ được ghi lại toàn bộ quá trình truy cập và thao tác trên hệ thống (logging). Trong quá trình làm việc, nếu có các truy cập bất hợp pháp vượt qua các giải pháp phân quyền của hệ thống, hệ thống giám sát (hệ thống monitor) sẽ tự động cảnh báo cho cán bộ quản trị theo thời gian thực để tiến hành khoanh vùng, hạn chế quyền truy cập và tiến hành các biện pháp an toàn, an ninh thông tin.
Quy định về chế độ cấp phát, quản lý tài khoản truy cập hệ thống: Quy định này đảm bảo các cán bộ được cấp phát tài khoản truy cập theo quy trình đã được ban hành theo đề xuất của cơ quan chủ quản và đơn vị quản trị hệ thống. Trong trường hợp cán bộ thay đổi vị trí công tác sẽ có quy trình khóa tài khoản để đảm bảo an toàn. Nếu trong quá trình truy cập có hiện tượng lộ thông tin tài khoản (tên truy cập, mật khẩu) do người có tài khoản hoặc hệ thống giám sát thông báo sẽ tiến hành khóa ngay tài khoản và thông báo cho cán bộ quản trị để xử lý theo quy trình thống nhất.
Quy trình ứng cứu xử lý sự cố: Bộ Giao thông vận tải đã xây dựng quy trình ứng cứu xử lý sự cố để khi có hiện tượng truy cập bất hợp pháp, thay đổi giao diện và thông tin hệ thống, hiệu năng hệ thống có hiện tượng giảm bất thường và các trường hợp ảnh hưởng an toàn khác. Quy trình này có sự tham gia thực hiện của đơn vị quản lý hệ thống là Trung tâm CNTT, các đơn vị thực hiện thủ tục hành chính trên hệ thống, các cơ quan có trách nhiệm của Tổng cục Hải quan, Bộ Thông tin và Truyền thông và Bộ Công an, các nhà cung cấp dịch vụ hạ tầng và phần mềm. Bởi vậy, khi có sự cố các đơn vị đã phối hợp xử lý kịp thời.
Về hạ tầng CNTT
Hạ tầng CNTT của Bộ bao gồm hệ thống máy chủ, đường truyền và các thiết bị an toàn, an ninh thông tin. Hiện tại, hệ thống chính được đặt tại một ISP với Trung tâm Dữ liệu (DC) chuyên nghiệp theo tiêu chuẩn Tier-3. Hệ thống nghiệp vụ được đặt tại các cơ quan trực tiếp xử lý thủ tục hành chính hoặc đặt cùng với hệ thống chính. Hệ thống dự phòng (được đặt tại Trung tâm CNTT, Bộ GTVT) có trách nhiệm sao lưu dữ liệu định kỳ và đảm bảo hoạt động khi hệ thống chính có sự cố.
Các đặc điểm cơ bản của hệ thống hạ tầng CNTT bao gồm:
- Hệ thống chính được đặt tại ISP, sử dụng với dịch vụ đặt chỗ, nghĩa là các máy chủ và thiết bị đảm bảo an toàn, an ninh thông tin bao gồm firewall, IDS, storage, server và các thiết bị khác được đặt tại ISP và các thiết bị này hoàn toàn thuộc quyền sở hữu và quản trị của Trung tâm CNTT. ISP chịu trách nhiệm cung cấp đường truyền tốc độ cao, điện lưới và máy phát điện, cung cấp dịch vụ an ninh vòng ngoài.
- Mô hình triển khai của hạ tầng được chia thành 3 lớp: lớp truy cập được từ Internet bao gồm các máy chủ web, proxy; lớp ứng dụng và lớp cơ sở dữ liệu. Hệ thống được thiết kế đảm bảo không thể truy cập trực tiếp tới các cơ sở dữ liệu từ Internet. Các công cụ quản trị hệ thống truy cập qua VPN và được quản trị theo địa chỉ IP để chỉ có một số máy được xác định là có quyền truy cập ở mức độ quản trị.
- Kết nối trực tiếp từ hệ thống chính và hệ thống dự phòng đến các hệ thống nghiệp vụ sử dụng đường truyền riêng, không kết nối qua Internet.
- Kết nối từ hệ thống Một cửa Quốc gia đến ISP của hệ thống chính và hệ thống dự phòng sử dụng đường truyền riêng từ Tổng cục Hải quan đến Bộ Giao thông vận tải, không kết nối Internet.
- Hệ thống sao lưu dữ liệu định kỳ 1 ngày/1 lần, thực hiện sao lưu toàn bộ các máy chủ ảo (VM), cơ sở dữ liệu và ứng dụng.
- Theo quy định, hệ thống có cảnh báo truy cập bất hợp pháp từ các IP không nằm trong danh sách được xác định về quyền quản trị và cảnh báo qua SMS, email tới cán bộ quản trị để có biện pháp xử lý kịp thời.
- Định kỳ rà soát mã độc tại các máy chủ của hệ thống 1 lần/tuần và tiến hành xử lý sự cố ngay khi có các cảnh báo của Bộ Thông tin và Truyền thông và Bộ Công an.
- Toàn bộ hệ thống được giám sát tập trung tại Trung tâm CNTT thông qua màn hình giám sát và hệ thống cảnh báo truy cập trái phép.
Mã hóa dữ liệu
Toàn bộ dữ liệu của hệ thống đều được mã hóa theo tiêu chuẩn quốc tế, đảm bảo nếu có sự thay đổi nội dung dữ liệu bất hợp pháp hoặc khai thác trái phép thì dữ liệu sẽ không sử dụng được.
Việc mã hóa dữ liệu được thực hiện ở mức độ ứng dụng, có nghĩa là chỉ có các ứng dụng được phép mới có thể giải mã và dữ liệu lưu giữ đều mã hóa.
Thuật toán và tiêu chuẩn mã hóa là thông tin mật của hệ thống, chỉ được phân quyền cho các cán bộ có trách nhiệm.
Phần mềm hệ thống và phần mềm ứng dụng
Các phần mềm hệ thống được cập nhật các bản vá lỗi theo tần suất 1 tháng/1 lần hoặc theo chế độ cập nhật của đơn vị phát hành phần mềm một cách tự động.
Phần mềm ứng dụng chỉ được cài đặt trên hệ thống theo quy trình như sau:
- Đơn vị phát triển ứng dụng gửi mã nguồn và hướng dẫn cập nhật cho Trung tâm CNTT.
- Trung tâm CNTT tiến hành rà soát mã nguồn đảm bảo không có các mã độc hoặc các mã gửi thông tin đến các máy chủ không nằm trong danh sách an toàn. Vì hệ thống được xây dựng trên các phần mềm mã nguồn mở, nên không chấp nhận nhà cung cấp dịch vụ phần mềm đưa các thư viện đã biên dịch (mà không kiểm soát mã nguồn, do các nhà cung cấp dịch vụ phần mềm đưa vào) vào hệ thống chính thức.
- Trung tâm CNTT cài đặt phần mềm lên vùng kiểm thử (Staging server) và tiến hành kiểm thử lại phần mềm cả về phương diện chức năng và an toàn. Sau khi đã qua các bước kiểm tra an toàn, phần mềm sẽ được cài đặt lên vùng chính thức (Production server).
Để phòng chống các tấn công thay đổi nội dung, giao diện phần mềm và các truy cập bất hợp pháp khác, Trung tâm CNTT đảm bảo hệ thống dữ liệu sao lưu sẽ được chuyển thành hệ thống chính không quá 30 phút (từ khi phát hiện sự cố).
Tất cả các dịch vụ của các nhà cung cấp khác như thanh toán trực tuyến, xác thực chữ ký số và các dịch vụ khác đều không được phép kết nối trực tiếp tới các máy chủ ứng dụng, mà phải qua firewall để đảm bảo xác thực IP và kiểm tra tính đúng đắn của các dịch vụ trước khi được sử dụng.
Các dịch vụ web kết nối giữa hệ thống Một cửa quốc gia và hệ thống nghiệp vụ của Bộ Giao thông vận tải không được sử dụng kết nối qua Internet mà dùng đường truyền riêng giữa hai hệ thống. Hệ thống phần mềm có chức năng gửi lại, giám sát các bản tin và tự động truyền lại khi một trong hai hệ thống có sự cố kết nối. Tất cả các bản tin đều được mã hóa.
Kết luận
Với các biện pháp an toàn, an ninh thông tin đã triển khai, từ khi bắt đầu hoạt động đến nay, hệ thống dịch vụ công trực tuyến tham gia Cơ chế một cửa quốc gia của Bộ Giao thông Vận tải hoạt động an toàn, ổn định, đảm bảo thực hiện các dịch vụ một cách thông suốt.
Tuy nhiên, trước tình hình các cuộc tấn công mạng ngày càng tinh vi, việc đảm bảo an toàn, an ninh thông tin đang trở nên cấp thiết và cần được quan tâm thường xuyên. Trong thời gian tới, Trung tâm CNTT tiếp tục tăng cường các biện pháp đảm bảo an toàn, an ninh thông tin theo hướng dẫn của các cơ quan chuyên trách trong lĩnh vực này; hoàn thiện các hệ thống dự phòng để duy trì chất lượng tốt, hiệu quả của hệ thống dịch vụ công trực tuyến của Bộ Giao thông Vận tải nói riêng và các hệ thống thông tin của Bộ nói chung.
