Professional Documents
Culture Documents
QUYẾT ĐỊNH
Về việc phê duyệt Đề án "Đảm bảo an toàn thông tin cho hệ thống
thông tin của Tập đoàn Điện lực quốc gia Việt Nam giai đoạn 2023 – 2028"
- Yêu cầu rà soát, sửa đổi bổ sung các quy định, tài liệu đảm bảo ATTT;
- Yêu cầu đối với hoạt động kiểm tra tuân thủ, đánh giá ATTT.
2. Giải pháp kỹ thuật, thiết kế định hướng đảm bảo ATTT cho các hệ
thống công nghệ thông tin, viễn thông dùng riêng và tự động hóa điều khiển
giai đoạn 2023 – 2028:
a. Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các hệ thống thông tin
của Tổng công ty Truyền tải điện Quốc gia và các Công ty Truyền tải điện;
b. Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các hệ thống thông tin
của các Tổng công ty Điện lực và các Công ty Điện lực tỉnh/thành phố;
c. Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các hệ thống thông tin
của các Tổng công ty Phát điện và các đơn vị thành viên;
d. Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các hệ thống thông tin
của Trung tâm Điều độ hệ thống điện Quốc gia và các Trung tâm Điều độ miền;
e. Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các hệ thống thông tin
của các Công ty phát điện/Nhà máy điện trực thuộc EVN;
f. Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các hệ thống thông tin
của Công ty Viễn thông Điện lực và Công nghệ thông tin.
(nội dung chi tiết như Đề án kèm theo)
Điều 2. Quyết định này có hiệu lực kể từ ngày ký và thay thế cho Quyết định
số 758/QĐ-EVN ngày 11/8/2016.
Điều 3. Các Phó Tổng giám đốc, Chánh Văn phòng, Trưởng các Ban Tập
đoàn Điện lực Việt Nam; người đứng đầu các đơn vị trực thuộc EVN, các công ty
con do EVN nắm giữ 100% vốn điều lệ; các Công ty TNHH MTV cấp III, Người
đại diện phần vốn của EVN và Công ty TNHH MTV cấp II tại các công ty cổ
phần, công ty trách nhiệm hữu hạn; các tổ chức, cá nhân có liên quan chịu trách
nhiệm thi hành Quyết định này./.
Nơi nhận: KT. TỔNG GIÁM ĐỐC
- Như Điều 3;
PHÓ TỔNG GIÁM ĐỐC
- HĐTV (để b/c);
- TGĐ (để b/c);
- Lưu: VT, VTCNTT.
Võ Quang Lâm
ĐỀ ÁN
ĐẢM BẢO AN TOÀN THÔNG TIN
CHO HỆ THỐNG THÔNG TIN
CỦA TẬP ĐOÀN ĐIỆN LỰC QUỐC GIA VIỆT NAM
GIAI ĐOẠN 2023 – 2028
1
2
Bảng 35. Phân vùng mạng hệ thống IT Nhà máy thuộc GENCO ............................................ 106
Bảng 36. Giải pháp kỹ thuật yêu cầu cho hệ thống IT Nhà máy thuộc GENCO...................... 107
Bảng 37. Giải pháp kỹ thuật cho hệ thống DCS tại Genco ...................................................... 109
Bảng 38. Giải pháp kỹ thuật cho hệ thống TTĐKX thuộc Genco ............................................ 112
Bảng 39. Phân vùng mạng hệ thống IT Thị trường điện A0..................................................... 115
Bảng 40. Giải pháp kỹ thuật cho hệ thống IT Thị trường điện A0 ........................................... 116
Bảng 41. Phân vùng mạng hệ thống IT Văn phòng A0/Ax ....................................................... 118
Bảng 42. Giải pháp kỹ thuật cho hệ thống IT Văn phòng A0/Ax ............................................. 119
Bảng 43. Giải pháp kỹ thuật cho hệ thống SCADA/EMS tại A0/Ax ......................................... 123
Bảng 44. Phân vùng mạng hệ thống IT tại Công ty/NMĐ trực thuộc EVN ............................. 126
Bảng 45. Giải pháp kỹ thuật cho hệ thống IT tại Công ty/NMĐ trực thuộc EVN .................... 127
Bảng 46. Giải pháp kỹ thuật cho hệ thống LAN/TTĐ tại Công ty/NMĐ trực thuộc EVN........ 130
Bảng 47. Giải pháp kỹ thuật yêu cầu đối với hệ thống DCS tại Công ty/NMĐ ....................... 132
Bảng 48. Giải pháp kỹ thuật yêu cầu đối với hệ thống TTĐKX Công ty/NMĐ trực thuộc EVN
.................................................................................................................................................. 135
Bảng 49. Phân vùng mạng hệ thống IT truyền thống tại EVN/EVNICT .................................. 138
Bảng 50. Giải pháp kỹ thuật cho hệ thống IT truyền thống tại EVN/EVNICT......................... 139
Bảng 51. Phân vùng mạng Private Cloud hệ thống IT tại EVN/EVNICT ................................ 143
Bảng 52. Giải pháp kỹ thuật cho với Private Cloud hệ thống IT tại EVN/EVNICT ................ 144
Bảng 53. Giải pháp kỹ thuật cho mạng VTDR ......................................................................... 149
4
- Các mô hình đề xuất của Đề án 758 chưa nhấn mạnh đến các biện pháp giám
sát và các phân tích các sự kiện an ninh thông tin để từ đó tìm ra các hiện tượng
bất thường trong hệ thống và đưa ra các khuyến cáo;
- Đề án 758 chưa đề cập đến các mô hình đảm bảo ANBM cho các mô hình
mới mà EVN đã triển khai áp dụng trong thời gian qua và/hoặc sẽ triển khai trong
giai đoạn sắp tới;
- Đề án 758 còn một số điểm bất cập, khó áp dụng tại các đơn vị;
- Đề án được phê duyệt sau khi các hệ thống đã hình thành tại các đơn vị
nhưng không có hướng dẫn lộ trình chuyển đổi mô hình sang mô hình tiêu chuẩn;
- Chưa có mô hình trung gian, tuy chưa đúng theo mô hình trong Đề án 758
nhưng vẫn đảm bảo ANBM ở mức chấp nhận được cho các hệ thống không thể
chuyển đổi;
- Chưa nêu rõ đặc điểm kỹ thuật, tính năng cần thiết, giải thích chi tiết các
thành phần trong mô hình; dẫn đến các đơn vị phải tự suy đoán, lựa chọn công
nghệ dựa vào các tư vấn của các đối tác nên có thể không phản ánh đúng tinh thần
của Đề án 758.
Đề án 758 là một trong những căn cứ quan trọng của EVN trong công tác
ATTT, nên cần được rà soát, hiệu chỉnh lại nhằm định hướng mô hình ATTT trong
EVN phù hợp với kế hoạch phát triển CNTT giai đoạn 2023 – 2028 nói riêng, cũng
như yêu cầu phát triển của CNTT, VTDR và TĐH nói chung.
Mục tiêu xây dựng Đề án
Rà soát, cập nhật, hiệu chỉnh Đề án "An toàn an ninh thông tin cho các hệ
thống CNTT, VTDR và TĐH của EVN" ban hành kèm theo Quyết định số
758/QĐ-EVN ngày 11/8/2016. Từ đó đưa ra khuyến nghị về danh mục các quy
định, chính sách an toàn an ninh thông tin cần phải có và đề xuất hiệu chỉnh, bổ
sung, cập nhật mô hình kiến trúc và thiết kế định hướng cho các giải pháp đảm bảo
ATTT trong Tập đoàn Điện lực Quốc gia Việt Nam phù hợp với tình hình mới,
đảm bảo các yêu cầu sau:
- Tuân thủ các quy định hiện hành của EVN và của Nhà nước.
- Phù hợp với xu hướng công nghệ, tình hình hiện tại và định hướng phát triển
CNTT giai đoạn 2023 – 2028 của EVN.
- Tuân thủ các quy định về ATTT và tham chiếu đến các tiêu chuẩn hiện hành
của Quốc tế và Việt Nam về ATTT.
- Khắc phục các tồn tại hạn chế của Đề án 758 đã nêu ở trên.
Phạm vi, quy mô Đề án
- Khuyến nghị danh mục các quy định, chính sách ATTT cần phải xây dựng
và ban hành;
- Đề xuất hiệu chỉnh, bổ sung, cập nhật mô hình kiến trúc, thiết kế định hướng
cho các giải pháp đảm bảo ATTT đối với các hệ thống IT, hệ thống OT và VTDR
10
tại các Tổng công ty Điện lực, các Tổng công ty Phát điện, Tổng công ty Truyền
tải điện Quốc gia, Công ty mẹ - EVN;
- Đề xuất yêu cầu kỹ thuật về ATTT cho các nhà máy điện khi kết nối vào hệ
thống SCADA/EMS và hệ thống điều khiển TBA;
- Thiết kế mô hình kết nối giao tiếp chia sẻ thông tin, ứng cứu sự cố giữa EVN
với các đơn vị chức năng như Cục ATTT- Bộ Thông tin và Truyền thông; Bộ Tư
lệnh 86 – Bộ Quốc phòng; Cục A05 – Bộ Công an;
- Đề xuất các giải pháp tăng cường ATTT và quy trình quản lý vận hành ATTT
cho hệ thống OT tại các nhà máy điện phù hợp với hiện trạng của EVN;
- Đề xuất giải pháp tăng cường ATTT cho HTTT chưa thể chuyển đổi sang
mô hình kiến trúc, thiết kế định hướng.
11
1 EVNHCMC 93%
2 EVNCPC 84%
3 EVNNLDC 78%
4 EVN/EVNICT 77%
5 EVNHANOI 52%
6 EVNSPC 49%
7 EVNNPC 45%
8 EVNGENCO2 17%
9 EVNGENCO3 17%
10 EVNNPT 0%
Ghi chú: các đơn vị được Tư vấn khảo sát, đánh giá
Hình 1. Biểu đồ phân tích mức độ hoàn thành triển khai Đề án 758
12
II.1.2. Hiện trạng hoàn thành triển khai các giải pháp đảm bảo ATTT
Bảng 2. Phân tích mức độ triển khai giải pháp
Số lượng đơn Số lượng
Hệ thống Giải pháp vị được yêu đơn vị đã Tỷ lệ
cầu triển khai triển khai
Firewall biên (FW
8 8 100%
biên)
Firewall lõi (FW
7 7 100%
core)
Tường lửa web
bên ngoài (WAF 7 7 100%
External)
Tường lửa web
bên trong (WAF 7 6 85,71%
Internal)
Tường lửa CSDL
7 7 100%
(DBS)
Hệ thống IT Chống tấn công
từ chối dịch vụ 7 5 71,43%
(Anti – DDoS)
Xác thực 2 yếu tố
7 5 71,43%
(2FA)
Phòng chống tấn
công máy tính
8 8 100%
người dùng cuối
(EPS)
Quản lý tài khoản
7 6 85,71%
đặc quyền (PIM)
Thu thập sự kiện
7 5 71,43%
ATTT (SIEM)
Kiểm soát vào ra
vật lý (Physical 15 13 86,67%
Control)
Tiêu chí
Đơn vị
Thiết kế phân vùng mạng Giải pháp định hướng
EVNHCMC 93% 92%
EVNCPC 89% 79%
EVNICT 78% 75%
EVNNLDC 74% 83%
EVNHANOI 61% 44%
EVNSPC 55% 43%
EVNNPC 34% 55%
CTTĐ Sơn La 17% 50%
CTTĐ Hòa Bình 17% 50%
NMNĐ Vĩnh Tân 4 17% 50%
CTTĐ Tuyên Quang 17% 33%
EVNGENCO2 17% 17%
EVNGENCO3 17% 17%
PTC1 15% 63%
EVNNPT N/A N/A
Đơn vị hoàn thành trên 75% EVNHCMC, EVNCPC, EVNNLDC, EVNHCMC,
yêu cầu đề án EVNICT EVNCPC, EVNICT
EVNGENCO2, EVNGENCO3,
Đơn vị hoàn thành dưới 25% EVNGENCO2,
CTTĐ Sơn La, Hòa Bình, Tuyên
yêu cầu đề án EVNGENCO3
Quang; NMNĐ Vĩnh Tân 4
Hình 4. Biểu đồ phân tích mức độ đáp ứng theo phân loại hệ thống
Đánh giá về Đề án "Đảm bảo an toàn an ninh thông tin cho các hệ thống
CNTT, VTDR và TĐH của EVN " ban hành năm 2016 so với các yêu cầu
quản lý hiện tại
Căn cứ các yêu cầu của Đề án 758, Quy định "Đảm bảo an toàn thông tin
trong Tập đoàn Điện lực Quốc gia Việt Nam" ban hành kèm theo Quyết định số
99/QĐ-EVN ngày 18/01/2021 (Quy định số 99/QĐ-EVN), tiêu chuẩn ISO
27002:2013 và hướng dẫn NIST SP 800-82 Rev.2, đơn vị Tư vấn đã thực hiện
tham chiếu để làm rõ sự phù hợp của Đề án 758 với hiện trạng của EVN, đồng thời
đưa ra các vấn đề, nội dung cần cập nhật, bổ sung và chỉnh sửa của Đề án.
II.2.1. Căn cứ theo Quy định số 99/QĐ-EVN
Bảng 5: Tham chiếu yêu cầu của Đề án theo Quy định số 99/QĐ-EVN
Đối với các hệ thống CNTT và TĐH ĐK của EVNNLDC và các Trung tâm Điều độ miền
Hệ thống SCADA/EMS của EVNNLDC
Giải pháp định hướng
Kiểm soát vật lý N/A
Cổng bảo mật một chiều (USG) Điểm b, khoản 3, Điều 19
Cổng bảo mật hai chiều (BSG) Điểm b, khoản 3, Điều 19
Quản lý tài khoản đặc quyền (PIM) N/A
Hệ thống CNTT phục vụ TTĐ của EVNNLDC
Thiết kế và phân vùng mạng Điểm a, khoản 3, Điều 18
Giải pháp định hướng
Tường lửa thế hệ mới bảo vệ vùng mạng biên (FW/VPN/IPS) Điểm c, khoản 3, Điều 18
17
Tường lửa thế hệ mới bảo vệ vùng mạng nội bộ (FW/IPS) Điểm c, khoản 3, Điều 18
Tường lửa ứng dụng Web quảng bá (WAF) Khoản 5, Điều 18
Tường lửa ứng dụng Web nội bộ (WAF) Khoản 5, Điều 18
Giải pháp bảo mật cho cơ sở dữ liệu (DBS) Khoản 8, Điều 18
Giải pháp giảm thiểu tấn công từ chối dịch vụ (Anti-DDoS) Mục c, khoản 3, Điều 18
Giải pháp xác thực mạng (2FA) Khoản 4, Điều 18
Giải pháp bảo mật cho máy chủ và máy trạm (EPS) Mục c, khoản 3, Điều 18
Giải pháp quản lý tài khoản đặc quyền (PIM) Khoản 4, Điều 18
Giải pháp quản lý và phân tích nhật ký an ninh (SIEM) Khoản 6, 7, Điều 18
Hệ thống SCADA/EMS của các Trung tâm Điều độ điện miền
Giải pháp định hướng
Kiểm soát vật lý N/A
Cổng bảo mật một chiều (USG) Điểm b, khoản 3, Điều 19
Cổng bảo mật hai chiều (BSG) Điểm b, khoản 3, Điều 19
Quản lý tài khoản đặc quyền (PIM) N/A
Đối với các hệ thống TĐH ĐK của GENCOs
Hệ thống DCS NMĐ của GENCOs
Giải pháp định hướng
Kiểm soát vật lý N/A
Cổng bảo mật hai chiều (BSG) Mục b, khoản 3, Điều 19
Giải pháp tường lửa thế hệ mới bảo vệ mạng Core (FW/IPS) N/A
Giải pháp bảo mật cho máy chủ và máy trạm (EPS) N/A
Giải pháp lưu trữ nhật ký tập trung (Logger) Khoản 2, Điều 19
Giải pháp xác thực mạng (2FA) N/A
TTĐKX cụm nhà máy thuộc GENCOs
Giải pháp định hướng
Kiểm soát vật lý N/A
Cổng bảo mật một chiều (USG) Mục b, khoản 3, Điều 19
Cổng bảo mật hai chiều (BSG) Mục b, khoản 3, Điều 19
Giải pháp tường lửa thế hệ mới bảo vệ mạng Core (FW/IPS) N/A
Giải pháp bảo mật cho máy chủ và máy trạm (EPS) N/A
Giải pháp xác thực mạng (2FA) N/A
Giải pháp lưu trữ nhật ký tập trung (Logger) Khoản 2, Điều 19
Giải pháp quản lý tài khoản đặc quyền (PIM) N/A
Đối với các hệ thống DCS NMĐ của các Công ty phát điện/NMĐ trực thuộc EVN
Giải pháp định hướng
18
Giải pháp bảo mật cho máy chủ và máy trạm (EPS) Mục c, khoản 3, Điều 18
Giải pháp quản lý tài khoản đặc quyền (PIM) Khoản 4, Điều 18
Giải pháp quản lý và phân tích nhật ký an ninh (SIEM) Khoản 6, 7, Điều 18
Hệ thống mini SCADA của TCTĐL TP Hà Nội và TP Hồ Chí Minh
Giải pháp định hướng
Kiểm soát vật lý N/A
Cổng bảo mật một chiều (USG) Điểm b, khoản 3, Điều 19
Cổng bảo mật hai chiều (BSG) Điểm b, khoản 3, Điều 19
Giải pháp tường lửa thế hệ mới bảo vệ mạng Core (FW/IPS) N/A
Giải pháp bảo mật cho máy chủ và máy trạm (EPS) N/A
Giải pháp xác thực mạng (2FA) N/A
Giải pháp lưu trữ nhật ký tập trung (Logger) Khoản 2, Điều 19
Giải pháp quản lý tài khoản đặc quyền (PIM) N/A
Hệ thống tự động hóa TBA phân phối (SAS) của 2 TCTĐL TP Hà Nội và TP Hồ Chí Minh
Giải pháp định hướng
Kiểm soát vật lý N/A
Cổng bảo mật hai chiều (BSG) Điểm b, khoản 3, Điều 19
Giải pháp tường lửa thế hệ mới bảo vệ mạng Core (FW/IPS) N/A
Giải pháp bảo mật cho máy chủ và máy trạm (EPS) N/A
Giải pháp lưu trữ nhật ký tập trung (Logger) Khoản 2, Điều 19
Giải pháp xác thực mạng (2FA) N/A
TTĐKX nhóm TBA phân phối thuộc 2 TCTĐL TP Hà Nội và TP Hồ Chí Minh
Giải pháp định hướng
Kiểm soát vật lý N/A
Cổng bảo mật một chiều (USG) Điểm b, khoản 3, Điều 19
Cổng bảo mật hai chiều (BSG) Điểm b, khoản 3, Điều 19
Giải pháp tường lửa thế hệ mới bảo vệ mạng Core (FW/IPS) N/A
Giải pháp bảo mật cho máy chủ và máy trạm (EPS) N/A
Giải pháp xác thực mạng (2FA) N/A
Giải pháp lưu trữ nhật ký tập trung (Logger) Khoản 2, Điều 19
Giải pháp quản lý tài khoản đặc quyền (PIM) N/A
Đối với các hệ thống TĐHĐK và CNTT của các TCTĐL miền và CTĐL tỉnh/thành phố
Hệ thống CNTT trọng yếu và văn phòng của các TCTĐL miền và CTĐL tỉnh/thành phố
03 TCT ĐL miền
Thiết kế và phân vùng mạng Điểm a, khoản 3, Điều 18
Giải pháp định hướng
20
Giải pháp tường lửa thế hệ mới bảo vệ vùng mạng biên
Điểm c, khoản 3, Điều 18
(FW/VPN/IPS)
Giải pháp tường lửa thế hệ mới bảo vệ mạng Core (FW/IPS) Điểm c), khoản 3, Điều 18
Tường lửa ứng dụng Web quảng bá (WAF) Khoản 5, Điều 18
Tường lửa ứng dụng Web nội bộ (WAF) Khoản 5, Điều 18
Giải pháp bảo mật cho cơ sở dữ liệu (DBS) Khoản 8, Điều 18
Giải pháp giảm thiểu tấn công từ chối dịch vụ (Anti-DDoS) Điểm c, khoản 3, Điều 18
Giải pháp xác thực mạng (2FA) Khoản 4, Điều 18
Giải pháp bảo mật cho máy chủ và máy trạm (EPS) Điểm c, khoản 3, Điều 18
Giải pháp quản lý tài khoản đặc quyền (PIM) Khoản 4, Điều 18
Giải pháp quản lý và phân tích nhật ký an ninh (SIEM) Khoản 6 và 7, Điều 18
CTĐL tỉnh/thành phố
Giải pháp định hướng
Kiểm soát vật lý N/A
Cổng bảo mật một chiều (USG) Điểm b, khoản 3, Điều 19
Cổng bảo mật hai chiều (BSG) Điểm b, khoản 3, Điều 19
Giải pháp tường lửa thế hệ mới bảo vệ mạng Core (FW/IPS) N/A
Giải pháp bảo mật cho máy chủ và máy trạm (EPS) N/A
Giải pháp xác thực mạng (2FA) N/A
Giải pháp lưu trữ nhật ký tập trung (Logger) Khoản 2, Điều 19
Giải pháp quản lý tài khoản đặc quyền (PIM) N/A
Hệ thống tự động hóa TBA SAS phân phối của các TCTĐL miền
Giải pháp định hướng
Kiểm soát vật lý N/A
Cổng bảo mật hai chiều (BSG) Điểm b, khoản 3, Điều 19
Giải pháp tường lửa thế hệ mới bảo vệ mạng Core (FW/IPS) N/A
Giải pháp bảo mật cho máy chủ và máy trạm (EPS) N/A
Giải pháp lưu trữ nhật ký tập trung (Logger) Khoản 2, Điều 19
Giải pháp xác thực mạng (2FA) N/A
TTĐKX nhóm TBA phân phối thuộc các TCTĐL miền
Giải pháp định hướng
Kiểm soát vật lý N/A
Cổng bảo mật một chiều (USG) Điểm b, khoản 3, Điều 19
Cổng bảo mật hai chiều (BSG) Điểm b, khoản 3, Điều 19
Giải pháp tường lửa thế hệ mới bảo vệ mạng Core (FW/IPS) N/A
Giải pháp bảo mật cho máy chủ và máy trạm (EPS) N/A
21
Đánh giá về rủi ro gây mất ATTT của các hệ thống IT, VTDR, TĐHĐK
Bảng 8. Danh sách các hạn chế gây mất ATTT và biện pháp đề xuất
1
EVN-HCxx: Hạn chế thứ [xx] của [đơn vị]
30
Dữ liệu nhạy cảm có khả năng bị thất thoát do chưa Hệ thống ngăn ngừa thất
EVN-HC05
có giải pháp phát hiện, ngăn chặn thất thoát dữ liệu thoát dữ liệu DLP
Chưa có các biện pháp kiểm soát bảo vệ cho các máy Hệ thống bảo vệ cho máy
EVN-HC06 tính người dùng cuối nhằm đảm bảo ATTT khi kết tính người dùng cuối khi
nối từ xa vào hệ thống kết nối vào mạng VP từ xa
Một số đơn vị ngoài kết nối vào hệ thống VTDR của Hệ thống tường lửa kiểm
EVN-HC07 ICT, có nguy cơ cao bị lây nhiễm mã độc hoặc bị tấn soát kết nối từ các đơn vị về
công từ các đơn vị EVNICT
Theo yêu cầu về việc chuyển dữ liệu VTDR sang
Hệ thống tường lửa 1 chiều
mạng IT nhằm phục vụ giám sát, nếu không thực
đảm bảo dữ liệu chỉ đi 1
EVN-HC08 hiện kiểm soát kết nối này, sẽ tạo điều kiện cho mã
chiều từ hệ thống VTDR về
độc và các tấn công từ mạng IT sang mạng VTDR,
mạng IT phục vụ giám sát
khiến cho hệ thống này bị gián đoạn.
b Rủi ro từ mô hình mới của EVN
EVNICT là đơn vị chuyên trách ATTT cho Công ty Công cụ nhằm đánh giá, dò
mẹ EVN, chịu trách nhiệm đánh giá, giám sát các hệ quét tự động các hệ thống
EVN-HC09 thống trong nội bộ EVN và các đơn vị định kỳ. Rủi nhằm đảm bảo tối ưu hóa
ro liên quan đến việc thiếu nhân sự trong khi thực và giảm thiểu tối đa nguồn
hiện các trọng trách lớn theo quy định của Tập đoàn. lực nhân sự thực hiện
Yêu cầu về việc đào tạo ATTT và diễn tập, huấn
luyện nhận thức ATTT cho nội bộ và các đơn vị
trong Tập đoàn một các tập trung, có kiểm soát là 1 Hệ thống mô phỏng đào tạo
EVN-HC10
trong các yêu cầu của Tập đoàn EVN. Tuy nhiên việc và diễn tập ATTT
thực hiện các nội dung này phụ thuộc vào thuê các
bên thứ 3.
Hệ thống đang phòng, chống tấn công một cách bị Hệ thống Threat
động do chưa có hệ thống chủ động tìm kiếm, nhận Intelligence - tình báo
EVN-HC11 diện các nguồn tấn công, mối đe dọa mới thông qua thông tin, chủ động thu
mạng lưới tình báo thông tin, thu thập, phân tích chủ thập, phân tích, nhận diện
động các thông tin đe dọa sớm các mối đe dọa
Một số hệ thống ứng dụng quan trọng phục vụ người
dùng nội bộ chỉ sử dụng 1 phương pháp xác thực như
Hệ thống xác thực mạnh
EVN-HC12 định danh người dùng và mật khẩu. Xác thực một
(2FA)
yếu tố tạo ra nguy cơ kẻ xấu vét cạn, dò tìm ra được
mật khẩu và chiếm quyền truy cập hệ thống
Dữ liệu nhạy cảm trong cơ sở dữ liệu không được mã
EVN-HC13 hóa, khi bị kẻ xấu tấn công có thể tiếp cận trái phép, Mã hóa CSDL quan trọng
đánh cắp và lộ lọt ra bên ngoài
Hệ thống chưa có biện pháp phòng, chống tấn công
tiên tiến có chủ đích (APT). Kẻ xấu có thể lên kế
Hệ thống chống tấn công
EVN-HC14 hoạch tấn công sử dụng malware mới được thiết kế
APT / Sandboxing
có chủ đích riêng với EVN mà các biện pháp bảo vệ
hiện tại có thể không phát hiện
EVNNLDC và các Trung tâm điều độ miền (ĐĐ)
Đối với hệ thống mạng văn phòng và CNTT
a Rủi ro do chưa đáp ứng yêu cầu của đề án
31
PCm-HC03 Một số thiết bị IoT (công tơ) kết nối WAN về mạng Hệ thống kiểm soát thiết bị
các Điện lực quận/huyện chưa có kiểm soát dẫn tới IoT
33
Hệ thống mail có thể gặp phải những vấn đề về thư Hệ thống bảo vệ thư điện tử
PT-HC04
rác, spam, thư giả mạo, malware,.. MailSec
Người dùng mạng LAN truy cập Internet vào các
Hệ thống bảo vệ an toàn
PT-HC05 trang web xấu, độc hại, tạo các rủi ro nhiễm mã độc
truy cập Web (WSG)
spyware, adware
Đối với hệ điều hành Window, đối với các hệ điều
hành và ứng dụng khác, việc quản lý bản vá được
PT-HC06 Hệ thống quản lý bản vá
thực hiện bởi cán bộ quản trị, dẫn tới rủi ro không
kịp thời cập nhật bản vá, tồn tại điểm yếu hệ thống.
Hệ thống mạng chưa có khả năng phát hiện và giảm
thiểu các nguy cơ bị dò quét, tấn công trái phép.
Ngoài ra trong một số trường hợp có những tài
nguyên quan trọng (máy chủ, ứng dụng chuyên biệt)
không thể vá, cập nhật hoặc thay thế, đóng các lỗ
PT-HC07 Hệ thống IPS
hổng quan trọng trong thời gian chờ hãng sản xuất
cung cấp bản vá hoặc không thể có bản vá lỗi. Hiện
tại đơn vị đang sử dụng hệ thống phòng, chống tấn
công xâm nhập được tích hợp cùng với hệ thống
tường lửa thế hệ mới.
Dữ liệu có khả năng bị thất thoát do chưa có cơ chế
Hệ thống ngăn ngừa thất
PT-HC08 phòng, chống thất thoát dữ liệu ở các mức: mức
thoát dữ liệu (DLP)
người dùng cuối cũng như mức mạng, mức email
Chưa có Giải pháp đăng nhập một lần (SSO - Single
Hệ thống đăng nhập một
PT-HC09 Sign On) đảm bảo giảm thiểu các tác động vào hệ
lần (SSO - Single Sign On)
thống.
Một số hệ thống ứng dụng quan trọng phục vụ người
dùng nội bộ chỉ sử dụng 1 phương pháp xác thực như
Hệ thống xác thực mạnh
PT-HC10 định danh người dùng và mật khẩu. Xác thực một
(2FA)
yếu tố tạo ra nguy cơ kẻ xấu vét cạn, dò tìm ra được
mật khẩu và chiếm quyền truy cập hệ thống
Đối với hệ thống mạng IoT
Mạng Giám sát đo lường sử dụng chung router với
PT-HC11 mạng VP CNTT, tiềm ẩn các rủi ro từ mạng CNTT FW phân tách vùng mạng
tác động lên hệ thống mạng giám sát đo lường
Bảo vệ mạng giám sát đo
Các rủi ro bị tấn công từ các thiết bị đầu cuối (công
lường (công tơ, sensor
tơ, sensor TBA như đo dầu, đo tình trạng hoạt động
PT-HC12 TBA như đo dầu, đo tình
TBA, camera,..) có thể gây mất ATTT cho mạng
trạng hoạt động TBA,
giám sát đo lường
camera,…)
Đối với hệ thống TĐH ĐK
a Rủi ro do chưa đáp ứng yêu cầu của đề án
Mạng LAN IT tại TBA có kết nối Internet có nguy
PT-HC13 Hệ thống FW tại TBA
cơ cao nhưng chưa có FW bảo vệ
PT-HC14 Các phân vùng mạng như Operation và EWS đã phân FW phân tách vùng mạng
nhóm tại các phòng khác nhau, tuy nhiên vẫn trong
38
Chưa cung cấp kênh làm việc an toàn cho đối tác hỗ
Kênh làm việc an toàn cho
GEN-HC11 trợ gây ra rủi ro khi các đối tác có nhu cầu phối hợp
đối tác
làm việc từ xa mà lại phải tác động vào hệ thống.
b Rủi ro từ mô hình mới của EVN
Rủi ro gây mất ATTT khi các kết nối từ các Nhà máy
về mạng SCADA của A0 không có bảo vệ. Tại Hệ thống FW bảo vệ giữa
GEN-HC12 Genco2, các dự án chuyển đổi từ giao thức 101 sang mạng OT của NM về mạng
giao thức 104 đã xác định và xây dựng hệ thống FW SCADA của A0
trong yêu cầu đảm bảo ATTT
Có rủi ro chưa giám sát, quản lý các hệ thống thuộc Hệ thống giám sát hệ thống
GEN-HC13
mạng TĐH ĐK trong Trung tâm điều khiển TĐHĐK
Chưa thực hiện quản lý tài sản (version, patching,…)
GEN-HC14 Hệ thống quản lý tài sản
trong hệ thống tự động hóa điều khiển
Do hệ thống TĐH ĐK có rất nhiều thiết bị và giao Hệ thống PI (quản lý và
GEN-HC15 thức công nghiệp khác nhau, dẫn đến các khó khăn chuẩn hóa các giao thức
khi quản lý, giám sát hệ thống công nghiệp).
Việc cắm USB vào hệ thống nhằm phục vụ việc trao
đổi thông tin, dữ liệu cấu hình hệ thống, cũng như
Hệ thống USB KIOS
GEN-HC16 phục vụ việc cập nhật hệ thống chưa có các biện pháp
Scanner
kiểm soát kỹ thuật khiến cho hệ thống bị ảnh hưởng
nếu bị lây nhiễm mã độc từ USB
Nhà máy đa mục tiêu (NM)
Đối với hệ thống mạng CNTT
a Rủi ro do chưa đáp ứng yêu cầu của đề án
Mạng đã phân tách nhưng chưa phân tích đầy đủ Phân tách vùng APP,
NM-HC01
(chưa phân tách app, CSDL, DEV, UAT,..) CSDL, DEV/APP
Các máy chủ ứng dụng không được đặt tại đúng vị
Phân vùng cho các hệ thống
trí phân hoạch. Ví dụ máy chủ cung cấp dịch ra bên
NM-HC02 ứng dụng theo tiêu chuẩn,
ngoài đối tác/internet đặt tại mạng core thay vì mạng
vị trí phân hoạch
DMZ
Hệ thống tường lửa mạng (FW) đã trang bị nhưng
vẫn Thiếu như kiểm soát kết nối WAN về chi nhánh,
Hệ thống FW kết nối về các
NM-HC03 có những đường kết nối internet Chưa có bảo vệ
chi nhánh
(đường kết nối truyền dữ liệu bão lũ nhà máy Tuyên
Quang)
Hệ thống mail có thể gặp phải những vấn đề về thư Hệ thống bảo vệ thư điện tử
NM-HC04
rác, spam, thư giả mạo, malware,.. (Mail-Sec)
Người dùng mạng LAN truy cập Internet vào các
Hệ thống bảo vệ an toàn
NM-HC05 trang web xấu, độc hại, tạo các rủi ro nhiễm mã độc
truy cập Web (WSG)
spyware, adware
Đối với hệ điều hành Window và đối với các hệ điều
hành và ứng dụng khác, việc quản lý bản vá được
NM-HC06 Hệ thống quản lý bản vá
thực hiện bởi cán bộ quản trị, dẫn tới rủi ro không
kịp thời cập nhật bản vá, tồn tại điểm yếu hệ thống.
41
thái, vị trí và hình thức nào. Các đối tượng sau cần được kiểm soát dù ở bất kể
trạng thái, vị trí và hình thức nào, cụ thể là: (i) Con người/User; (ii) Thiết bị; (iii)
Network; (iv) Workload (máy chủ, ứng dụng, máy ảo, Container,…); (v) Dữ liệu.
Từ hiện trạng thực tế các hệ thống tại EVN và các đơn vị, sự phát triển và tính
ứng dụng cao, việc thiết kế kiến trúc bảo mật cho các hệ thống CNTT của EVN và
các đơn vị dựa trên triết lý Zero-trust. Kiến trúc mới bao gồm các phân vùng tổng
thể (thiết kế phù hợp với hiện trạng của các đơn vị):
TTDL/Private Cloud: là nơi vận hành các ứng dụng chính của EVN và các
đơn vị. Hạ tầng mạng, bảo mật và máy chủ cần được ảo hóa giúp tối ưu về tài
nguyên và chi phí.
Public Cloud: một phần ứng dụng và dữ liệu có thể chuyển lên Public cloud
nhằm giảm bớt áp lực về đầu tư và quản lý hạ tầng, tăng cường tính sẵn sàng. Ứng
dụng và dữ liệu trên Public cloud cần được bảo vệ bởi các giải pháp Cloud Security
do nhà cung cấp dịch vụ cloud hoặc bên thứ ba cung cấp.
Mobile User: người dùng di động làm việc từ xa, có thể truy cập dịch vụ và dữ
liệu tại TTDL/Private Cloud hoặc Public Cloud từ bất kì nơi đâu, song vẫn đảm
bảo các biện pháp kiểm soát ATTT cho người dùng. Các giải pháp trên cloud như
Dịch vụ truy cập vùng biên an toàn (SASE - Secure Access Service Edge), thay
thế cho VPN truyền thống, cung cấp dịch vụ truy cập từ xa đồng thời bảo vệ người
dùng di động.
Mạng Văn phòng: mạng LAN người dùng tại văn phòng.
Các hệ thống TĐH ĐK được thiết kế đảm bảo ATTT theo mô hình bảo mật
chiều sâu (Defense-in-Depth) phù hợp với thực tế hệ thống điều khiển của các đơn
vị.
III.1.3. Nguyên tắc thiết kế hệ thống TĐH ĐK (Hệ thống OT)
Với yêu cầu đặc thù về yêu cầu thiết kế và bảo mật đối với hệ thống OT, duy
trì thiết kế đảm bảo ATTT theo mô hình bảo mật chiều sâu (Defense-in-Depth),
đồng thời sửa đổi, hoàn thiện mô hình đề xuất để phù hợp với thực tế hệ thống điều
khiển của các đơn vị.
III.1.3.a. Đối với hệ thống tự động hóa TBA (SAS)
Kiến trúc an ninh cho hệ thống tự động hóa TBA (SAS) được phân tầng từ thấp
lên cao, các lớp càng thấp càng có mức bảo vệ cao, các lớp càng cao hơn càng có
nguy cơ cao như sau:
Lớp lõi:
Lớp 0: các thiết bị trường – Field devices.
Lớp 1: các thiết bị điều khiển trường – Field controllers như RTU, PLC,…v.v.
45
Lớp 3: lớp điều khiển – phòng điều khiển gồm các máy tính HMI, máy chủ điều
khiển, máy chủ HIS, máy tính kỹ thuật EWS.
Lớp trung gian/gateway:
Lớp 4: các vùng mạng trung gian, mạng giao tiếp với bên ngoài.
- Gateway: các gateway giao tiếp, nhận và gửi số liệu với hệ thống điều khiển
ngoài, tới TTĐKX.
- Mạng trung gian: các máy tính, máy chủ, thiết bị được triển khai mới ngoài hệ
thống điều khiển như máy phục vụ giám sát và bảo vệ ATTT hệ thống điều khiển
cần được đặt ở vùng mạng này, phân tách với các lớp mạng điều khiển vận hành
TBA.
Đối với hệ thống giám sát điều khiển nhà máy (DCS)
Kiến trúc an ninh cho hệ thống DCS được phân tầng từ thấp lên cao, các lớp
càng thấp càng có mức bảo vệ cao, các lớp càng cao hơn càng có nguy cơ cao như
sau:
Lớp lõi DCS:
Lớp 0: các thiết bị trường – Field devices.
Lớp 1: các thiết bị điều khiển thiết bị trường – Field controllers như RTU,
PLC,…v.v.
Lớp 2: các máy tính giao diện người máy nội bộ (local HMI) điều khiển trực
tiếp nhóm các thiết bị trường.
Lớp 3: lớp điều khiển trung tâm (Control Center) – phòng điều khiển trung tâm,
gồm các máy HMI, máy chủ điều khiển, HIS, máy vận hành, máy cấu hình (EWS).
Lớp đệm/SCADA gateway
Lớp 4: các vùng mạng đệm, mạng giao tiếp với bên ngoài.
SCADA GW: các gateway giao tiếp, nhận và gửi số liệu với hệ thống điều khiển
ngoài, như Mini SCADA tới TTĐKX của Tổng công ty (nếu có), EVN SCADA
tới Trung tâm Điều độ (Ax).
Mạng trung gian: các máy tính, máy chủ, thiết bị được triển khai mới ngoài hệ
thống DCS như các thiết bị bảo mật, backup,… các truy cập hệ thống DCS từ đối
tác, đơn vị dịch vụ ngoài cần sử dụng máy trung gian từ mạng này.
Lớp mạng cung cấp số liệu DCS ra ngoài / Replica (nếu có kết nối cung cấp số
liệu ra ngoài hệ thống) – thông qua giải pháp truyền dữ liệu một chiều USG/Data
Diode, các máy chủ replica chứa dữ liệu là bản sao, đồng bộ với các dữ liệu trên
các máy chủ của hệ thống DCS. Các hệ thống bên ngoài (CNTT) kết nối với các
máy chủ Replica để lấy các số liệu của hệ thống DCS.
46
Hình 5. Mô hình phân công vai trò trách nhiệm về ATTT tại các nhóm đơn vị
- Nhân sự quản trị, vận hành HTTT:
a) Đầu mối triển khai, xây dựng hệ thống giải pháp đảm bảo ATTT cho đơn vị;
b) Vận hành, quản lý, duy trì hệ thống ATTT, CNTT, TĐH ĐK, VTDR theo các
quy trình quy định có liên quan;
c) Tiếp nhận, phối hợp với nhân sự chuyên trách về ATTT và các nhân sự khác
có liên quan xây dựng, cải tiến các quy trình, tài liệu hướng dẫn vận hành;
d) Phối hợp với nhân sự chuyên trách đảm bảo ATTT tìm hiểu, nghiên cứu và
đề xuất các giải pháp đảm bảo ATTT cho hệ thống CNTT của đơn vị;
e) Phối hợp với thành viên được phân công đánh giá ATTT, kiểm soát tuân thủ
thực hiện, xử lý, khắc phục các vấn đề về ATTT có liên quan tới quá trình vận hành
f) Tham gia các khóa đào tạo về nhận thức ATTT, khóa đào tạo năng lực chuyên
môn theo nhiệm vụ được phân công;
g) Thực hiện các nhiệm vụ khác do Lãnh đạo phân công.
- Nhân sự chuyên trách đảm bảo ATTT:
a) Xây dựng chiến lược về ATTT, cập nhật các xu thế, ứng dụng mới về ATTT
trong lĩnh vực Cơ sở hạ tầng trọng yếu;
b) Nghiên cứu, đề xuất các xu thế, ứng dụng, giải pháp đảm bảo ATTT với Lãnh
đạo phụ trách CNTT, TĐH ĐK, VTDR;
c) Xây dựng nội dung, kế hoạch tuyên truyền, đào tạo nhận thức về ATTT cho
toàn bộ CBNV tại đơn vị;
d) Tham gia các khóa đào tạo về nhận thức ATTT, khóa đào tạo năng lực chuyên
môn theo nhiệm vụ được phân công;
e) Quy hoạch, xây dựng các chính sách, quy trình, quy định, hướng dẫn về đảm
bảo ATTT cho đơn vị;
f) Giám sát, theo dõi, phân tích nhật ký an ninh của hệ thống CNTT;
g) Theo dõi, phản ứng và khắc phục với các sự cố ATTT xảy ra trong đơn vị;
48
h) Phối hợp với Nhân sự quản trị, vận hành HTTT khắc phục các sự cố xảy ra
đối với hệ thống CNTT;
i) Phối hợp với các đơn vị chuyên trách bên ngoài để xử lý, khắc phục các sự cố
ATTT;
j) Thực hiện các nhiệm vụ khác do Lãnh đạo phân công.
- Nhân sự chuyên trách thực hiện đánh giá ATTT, kiểm soát tuân thủ:
a) Xây dựng quy trình, quy định đánh giá ATTT, kiểm soát tuân thủ, diễn tập
ATTT đối với các hệ thống thuộc phạm vi quản lý của đơn vị
b) Xây dựng, triển khai kế hoạch thực hiện diễn tập, dò quét điểm yếu, đánh giá
rủi ro ATTT, đánh giá nội bộ và kiểm soát tuân thủ hệ thống CNTT, TĐH ĐK,
VTDR tại đơn vị lên Ban lãnh đạo;
c) Định kỳ đánh giá dò quét điểm yếu, kiểm thử xâm nhập các hệ thống thông
tin thuộc phạm vi quản lý của đơn vị và báo cáo kết quả lên Ban lãnh đạo
d) Phối hợp với các bên liên quan xử lý các rủi ro công nghệ liên quan tới việc
dò quét điểm yếu, đánh giá rủi ro ATTT;
e) Nghiên cứu, tìm hiểu, cập nhật liên tục các điểm yếu, rủi ro về ATTT;
f) Phối hợp với Nhân sự chuyên trách đảm bảo ATTT đưa các nội dung liên
quan đến những điểm yếu, rủi ro ATTT nổi cộm vào chương trình đào tạo nhận
thức ATTT.
g) Tham gia các khóa đào tạo về nhận thức ATTT, khóa đào tạo năng lực chuyên
môn theo nhiệm vụ được phân công;
h) Thực hiện các nhiệm vụ khác do Tổ trưởng và Ban lãnh đạo phân công.
ii) Tuyển dụng nhân sự (QL02)
- Rà soát, xem xét bổ sung số lượng nhân sự vận hành, quản trị HTTT trên số
lượng hệ thống thực tế đảm bảo hoạt động vận hành không bị gián đoạn.
- Rà soát, xem xét bổ sung nhân sự chuyên trách đảm bảo ATTT tương thích
với số lượng nhân sự quản trị, vận hành HTTT.
- Rà soát, xem xét bổ sung nhân sự chuyên trách thực hiện đánh giá rủi ro ATTT,
kiểm soát tuân thủ chính sách, quy trình quy định tại nội bộ đơn vị.
- Khuyến nghị yêu cầu năng lực đối với nhân sự chuyên trách như sau:
- Nhân sự quản trị, vận hành HTTT:
a) Tốt nghiệp hệ chính quy các trường Đại học trong nước hoặc nước ngoài;
b) Chuyên ngành đào tạo: CNTT, Toán tin, Điện tử viễn thông, Tự động hóa
hoặc tương đương;
c) Có kinh nghiệm quản trị, vận hành các HTTT như hệ thống CNTT (mạng,
máy chủ, CSDL, ứng dụng...), hệ thống TĐH ĐK, hệ thống VTDR;
d) Có hiểu biết chuyên môn về các hệ điều hành như Windows Server, Linux...,
hệ thống mạng, các hệ thống tự động hóa, hệ thống điện toán đám mây;
49
e) Có chứng nhận hoàn thành khóa học hoặc chứng chỉ liên quan tới hãng, giải
pháp được phân công như: CCSA, CCSE, MCSA, MCSE… hoặc các chứng chỉ
tương đương.
- Nhân sự chuyên trách đảm bảo ATTT:
a) Tốt nghiệp hệ chính quy các trường Đại học trong nước hoặc nước ngoài;
b) Chuyên ngành đào tạo: CNTT, Toán tin, Điện tử viễn thông, Tự động hóa
hoặc tương đương;
c) Có kinh nghiệm trong việc xây dựng các kế hoạch ngắn, trung và dài hạn
trong lĩnh vực CNTT, ATTT,…;
d) Có các chứng nhận hoàn thành khóa học hoặc chứng chỉ liên quan như:
CISSP, PCI DSS, CISM, chứng chỉ liên quan tới quản lý dự án như PMP, Project+,
ITIL… hoặc các chứng chỉ tương đương;
e) Có kinh nghiệm trong việc xây dựng hệ thống quy trình, quy định tuân thủ
các tiêu chuẩn như ISO 27001:2013 và các quy định của Pháp luật về ATTT như
Luật An ninh mạng, Luật An toàn thông tin mạng và các Nghị định, Thông tư
hướng dẫn liên quan;
f) Có các chứng nhận hoàn thành khóa học hoặc chứng chỉ liên quan tới ATTT
như CISSP, Security+, CHFI… hoặc các chứng chỉ tương đương;
g) Có kinh nghiệm giám sát, quản lý nhật ký an ninh hệ thống CNTT;
h) Có chứng nhận hoàn thành khóa học hoặc chứng chỉ liên quan tới giám sát hệ
thống, phản ứng và khắc phục sự cố như Server +, CISSP, CEH, LPI… hoặc các
chứng chỉ tương đương.
- Nhân sự chuyên trách thực hiện đánh giá ATTT, kiểm soát tuân thủ:
a) Tốt nghiệp hệ chính quy các trường Đại học trong nước hoặc nước ngoài;
b) Chuyên ngành đào tạo: CNTT, Toán tin, Điện tử viễn thông, Tự động hóa
hoặc tương đương;
c) Có kinh nghiệm trong hoạt động đánh giá an ninh bảo mật, dò quét điểm yếu,
đánh giá rủi ro ATTT, kiểm soát tuân thủ ATTT;
d) Có hiểu biết chuyên môn về mã độc, webshell..., Pentest;
e) Có chứng nhận hoàn thành khóa học hoặc chứng chỉ liên quan tới đánh giá,
kiểm thử hệ thống như CEH, PenTest+, CPT… hoặc các chứng chỉ tương đương;
f) Có chứng nhận hoàn thành khóa học hoặc chứng chỉ liên quan tới quản trị rủi
ro như CRISC, CHFI, Security+ … hoặc các chứng chỉ tương đương;
g) Có chứng chỉ liên quan tới đánh giá nội bộ như ISO 27001:2013 Lead Auditor,
Internal Auditor - ISO/IEC 27001:2013 Information Security Management,
CISSP, CISA …v.v hoặc các chứng chỉ tương đương.
iii) Đào tạo nhận thức về ATTT định kỳ (QL03)
- Đối với các cán bộ, nhân viên nói chung:
50
Xây dựng các kế hoạch đào tạo về ATTT cho các cán bộ, nhân viên nhằm
nâng cao ý thức, trách nhiệm, kiến thức cơ bản và kỹ năng ATTT;
Việc đào tạo nhận thức về ATTT phải được thực hiện định kỳ hàng năm
nhằm đảm bảo tính liên tục của các hoạt động ATTT;
Tất cả các cán bộ, nhân viên cần đọc và hiểu rõ các vấn đề được quy định
trong các quy định ATTT;
Cá nhân sử dụng hệ thống CNTT đều phải tuân thủ các yêu cầu được đề
cập đến trong Quy chế, quy định ATTT.
- Nội dung đào tạo nhận thức ATTT bao gồm nhưng không giới hạn các nội
dung sau:
Tổng quan về ATTT;
Hiện trạng ATTT tại đơn vị, Việt Nam cũng như trên thế giới;
Các quy trình, quy định, chính sách đảm bảo ATTT người dùng cần tuân
thủ;
Các vấn đề ATTT có thể gặp phải đối với người dùng;
Khuyến nghị đảm bảo ATTT đối với người dùng.
(Chi tiết tham khảo Phụ lục 04)
- Sau mỗi khóa huấn luyện nhận thức, huấn luyện đặc biệt về ATTT, cần có các
cơ chế kiểm tra, đánh giá mức độ hiểu, nắm bắt được các thông tin thu được từ
khóa học, đồng thời có các cơ chế khen thưởng để khuyến khích các cán bộ, nhân
viên tham gia các khóa học một cách đầy đủ và trách nhiệm.
iv) Đào tạo chuyên môn về ATTT (Hệ thống CNTT) (QL04)
Đối với vai trò quản lý đảm bảo ATTT
- Nhân sự được phân công bắt buộc phải tham gia các lớp nhận thức tối thiểu
bao gồm: các lớp đào tạo chuyển giao hệ thống quản lý ATTT, các tiêu chuẩn
ATTT áp dụng đối với hệ thống CNTT, hệ thống quản lý ATTT.
- Đội ngũ cán bộ quản lý CNTT/ATTT phải thường xuyên được huấn luyện về
các lỗ hổng, nguy cơ về ATTT và sản phẩm ATTT.
- Tham gia và hoàn thành các khóa đào tạo chuyên môn bao gồm nhưng không
giới hạn những nội dung sau:
Đào tạo triển khai, vận hành, duy trì, cải tiến hệ thống quản lý ATTT tuân
thủ tiêu chuẩn ISO 27001.
Đào tạo nhận thức ATTT tổng thể thông qua các khóa học chứng nhận quốc
tế như Security+, ITIL Foundation, Certified Ethical Hacker...v.v.
Đối với vai trò quản trị, vận hành giải pháp ATTT
- Cần thực hiện các khóa huấn luyện nâng cao về ATTT để giảm thiểu rủi ro
của các sự cố về ATTT cho đội ngũ quản trị, vận hành các hệ thống sản xuất và hệ
thống văn phòng.
51
- Đội ngũ cán bộ quản trị, vận hành CNTT/ATTT phải thường xuyên được huấn
luyện về các lỗ hổng, nguy cơ về ATTT và sản phẩm ATTT.
- Bắt buộc tham gia các khóa đào tạo chuyển giao công nghệ, giải pháp ATTT
tại đơn vị.
- Tham gia và hoàn thành các khóa đào tạo chuyên môn bao gồm nhưng không
giới hạn những nội dung sau:
Đào tạo nhận thức ATTT tổng thể thông qua các khóa học chứng nhận quốc
tế như Security+, Certified Ethical Hacker...;
Đào tạo chứng chỉ giải pháp an ninh bảo mật quốc tế như CCSP, CCSE,
PCNSA, PGCET, Network+, ECSA...;
Đào tạo vận hành, triển khai các giải pháp ATTT như Firewall, IPS/IDS,
AntiVirus, PIM/PAS...v.v.
Đối với vai trò đánh giá ATTT, kiểm soát tuân thủ ATTT
- Cán bộ, nhân viên đánh giá nội bộ về tuân thủ ATTT cần hiểu rõ về quy trình
đánh giá tuân thủ ATTT, các nguyên tắc thực hiện, các yêu cầu đối với đánh giá
viên nội bộ.
- Đội ngũ cán bộ quản trị, vận hành CNTT/ATTT phải thường xuyên được huấn
luyện về các lỗ hổng, nguy cơ về ATTT và sản phẩm ATTT.
- Tham gia các khóa đào tạo kỹ năng đánh giá rủi ro ATTT, kiểm soát tuân thủ
ATTT bao gồm nhưng không giới hạn như ISO 27005, ISO 31000, Kỹ năng đánh
giá nhân viên nội bộ, Internal Audit ISO 27001, Lead Auditor ISO 27001...
- Tham gia các khóa đánh giá an ninh bảo mật, dò quét điểm yếu bao gồm nhưng
không giới hạn như Top 10 OWASP, CEH, CHFI, Security +, Pentest +,...v.v.
- Sau mỗi khóa huấn luyện nhận thức, huấn luyện đặc biệt về ATTT, cần có các
cơ chế kiểm tra, đánh giá mức độ hiểu, nắm bắt được các thông tin thu được từ
khóa học, đồng thời có các cơ chế khen thưởng để khuyến khích các cán bộ, nhân
viên tham gia các khóa học một cách đầy đủ và trách nhiệm.
v) Đào tạo chuyên môn về ATTT đối với Hệ thống OT (QL05)
- Cần thực hiện các khóa huấn luyện nâng cao về ATTT để giảm thiểu rủi ro
của các sự cố về ATTT cho đội ngũ quản trị, vận hành các hệ thống sản xuất.
- Đội ngũ cán bộ quản lý ATTT hệ thống OT phải thường xuyên được huấn
luyện về các lỗ hổng, nguy cơ về ATTT và sản phẩm ATTT.
- Bắt buộc tham gia các khóa đào tạo chuyển giao công nghệ, giải pháp ATTT
hệ thống OT.
- Tham gia và hoàn thành các khóa đào tạo chuyên môn bao gồm nhưng không
giới hạn những nội dung sau:
52
+ Tham gia các khóa đào tạo ATTT chuyên môn đối với hệ thống OT như
CSSA, GICSP, GRID, GCIP...
+ Tham gia các khóa đào tạo ATTT cơ bản đối với hệ thống OT như
ICS/SCADA Fundamentals, ICS/SCADA Cyber Security, ICS/SCADA
Security Essentials...v.v.
III.1.4.b. Biện pháp kiểm soát liên quan đến quy trình/quy định
i) Rà soát, cập nhật quy định đảm bảo ATTT (QL06)
- Rà soát, cập nhật Chính sách ATTT, Quy định đảm bảo ATTT trong phạm vi
Văn phòng EVNICT, Tổng công ty, Nhà máy/Công ty điện trực thuộc (dưới đây
được gọi là Văn phòng các Khối đơn vị) phù hợp với sự thay đổi quy định của pháp
luật về đảm bảo ATTT; sự thay đổi về mô hình, cơ cấu tổ chức của EVN và các
đơn vị;
- Cập nhật, bổ sung các lĩnh vực kiểm soát bao gồm: quy định quản lý nhà cung
cấp, quy định đảm bảo tính liên tục trong hoạt động HTTT, quy định đánh giá kiểm
soát tuân thủ;
- Cập nhật, bổ sung các nội dung liên quan đến giám sát, đảm bảo ATTT trên
hạ tầng Điện toán đám mây;
- Rà soát, cập nhật, làm rõ vai trò phối hợp của các đơn vị trong EVN và
EVNICT trong hoạt động triển khai, vận hành, giám sát, quản lý đảm bảo ATTT;
- Rà soát, bổ sung quy định phối hợp trong hoạt động bảo trì, bảo dưỡng, sửa
chữa các thiết bị HTTT điều khiển công nghiệp giữa các bên có liên quan;
- Triển khai, duy trì, cải tiến liên tục hệ thống quản lý ATTT đáp ứng theo các
tiêu chuẩn quốc tế hiện hành;
- Cập nhật, bổ sung các chính sách, quy trình, quy định đảm bảo tuân thủ kịp
thời các yêu cầu của ISO/IEC 27001:2022 (Phiên bản mới).
Quy trình quy định cần cập nhật/sửa đổi bao gồm:
Chính sách ATTT chung;
Quy định phân tách trách nhiệm nghiệp vụ và trách nhiệm bảo mật thông
tin;
Quy định về trách nhiệm của bộ phận quản lý;
Quy định/hướng dẫn hoạt động liên hệ với các cơ quan chức năng, các bên
có thẩm quyền về ATTT, chuyên gia;
Quy định về bảo mật thông tin trong quản lý dự án;
Quy định về sử dụng/kiểm kê/bàn giao tài sản, các trường hợp ngoại lệ khi
sử dụng tài sản;
Quy định về phân loại/gán nhãn/trao đổi thông tin;
Quy định về quản lý định danh, xác thực, quản lý truy cập;
Quy định quản lý Nhà cung cấp;
53
Quy định về quản lý (lập kế hoạch, đánh giá, xem xét, ứng phó, rút kinh
nghiệm) sự cố ATTT;
Quy định đảm bảo ATTT trong thời gian gián đoạn;
Quy định tuân thủ các yêu cầu pháp lý, hợp đồng, quy định về quyền sở
hữu trí tuệ;
Quy định đảm bảo quyền riêng tư và thông tin định danh cá nhân;
Quy định/quy đình đánh giá ATTT độc lập;
Các quy định, quy trình, hướng dẫn trong hoạt động tuyển dụng, đào tạo,
sử dụng nhân sự;
Quy định đối với hoạt động làm việc từ xa;
Quy định đối với hoạt động quản lý, giám sát an toàn vật lý khu vực ra
vào/làm việc; phòng, chống thiên tai;
Quy định trong việc xử lý/tái sử dụng thiết bị; sử dụng thiết bị bên ngoài;
Quy định quản lý các truy cập đặc quyền, truy cập vào mã nguồn;
Quy định quản lý cấu hình hardening, quản lý điểm yếu kỹ thuật;
Quy định đối với hoạt động sao lưu thông tin;
Quy định về dự phòng đối với các thiết bị xử lý thông tin;
Quy định đảm bảo an toàn khi cài đặt các phần mềm trên hệ thống đang
vận hành;
Quy định đảm bảo an toàn mạng/dịch vụ mạng và phân tách mạng;
Quy định cho hoạt động phát triển phần mềm/ứng dụng an toàn;
Quy định cho hoạt động phát triển phần mềm thuê ngoài; phân tách các môi
trường DEV/UAT;
Quy trình quản lý thay đổi.
Quy trình/chính sách cần bổ sung mới bao gồm:
Quy trình quản lý hoạt động tình báo thông tin về các mối đe dọa (Threat
Intelligence);
Quy định đảm bảo ATTT khi sử dụng các dịch vụ điện toán đám mây;
Quy định đảm bảo tính sẵn sàng của hạ tầng CNTT;
Quy định/hướng dẫn giám sát an toàn vật ký;
Quy định/hướng dẫn quản lý cấu hình, bao gồm cấu hình an toàn;
Quy định, yêu cầu trong hoạt động xóa bỏ thông tin (Data deletion), che
giấu dữ liệu (data masking);
Quy định về phòng ngừa, ngăn chặn thất thoát dữ liệu;
Quy định đối với các hoạt động giám sát;
Hướng dẫn hoạt động lọc các truy cập web/Internet;
Hướng dẫn sử dụng mã hóa an toàn trong phát triển phần mềm.
ii) Các quy định ATTT đối với hệ thống IT (QL07)
Căn cứ theo Báo cáo kết quả khảo sát, yêu cầu của các tiêu chuẩn quốc tế như
ISO 27002, ISO 27017 và những nội dung được quy định tại Quy định số 99/QĐ-
54
EVN, EVN/EVNICT cần xem xét xây dựng và ban hành các quy định, quy trình
ATTT chi tiết để áp dụng trong phạm vi Tập đoàn, cũng như khởi tạo một hệ thống
quản lý ATTT chung giúp các đơn vị thuộc Tập đoàn có định hướng xây dựng hệ
thống quản lý phù hợp, bao gồm nhưng không giới hạn các nội dung sau đây:
- Quản lý tài liệu, hồ sơ;
- Quản lý rủi ro ATTT;
- Đánh giá nội bộ ATTT;
- Quản lý tài sản CNTT;
- Quản lý đảm bảo an toàn vật lý và môi trường (bao gồm khu vực làm việc,
khu vực an ninh cao...);
- Kiểm soát truy cập mạng (bao gồm hoạt động kết nối mạng làm việc từ xa);
- Quản lý định danh người dùng;
- Quản lý thiết bị lưu trữ và sao lưu;
- Quản lý đảm bảo ATTT khi làm việc với đối tác, nhà cung cấp;
- Quy trình quản lý, ứng phó sự cố ATTT (ban hành kèm theo Quyết định số
1828/QĐ-EVN ngày 30/12/2022);
- Các tiêu chuẩn cấu hình hệ thống (mạng, máy chủ, thiết bị an ninh...).
iii) Các quy định ATTT đối với hệ thống OT (QL08)
Căn cứ theo Báo cáo kết quả khảo sát, yêu cầu của các tiêu chuẩn quốc tế như
NIST SP 800 82 Rev.2, ANSI/ISA-62443-2-1 và những nội dung quy định đảm
bảo ATTT đối với HTTT trọng yếu trong Tập đoàn Điện lực Quốc gia Việt Nam
tại Quy định số 99/QĐ-EVN, Tập đoàn cần xem xét xây dựng và ban hành bộ các
quy định chung đảm bảo ATTT đối với hệ thống điều khiển công nghiệp (ICS),
bao gồm nhưng không giới hạn các nội dung sau đây2:
- Sổ tay đảm bảo ATTT đối với hệ thống ICS (hướng dẫn đảm bảo ATTT trong
hoạt động vận hành ICS, đào tạo nhận thức ATTT..);
- Quản lý thay đổi và đánh giá lỗ hổng đối với các hệ thống ICS;
- Quản lý an ninh vật lý và môi trường (bao gồm quản lý phòng máy chủ, khu
vực cơ sở hạ tầng OT, phòng giám sát...);
2
Tham khảo theo tài liệu “Recommended Cybersecurity Practices for Industrial Control Systems” do
Cybersecurity & Infrastructure Security Agency (CISA) phát hành năm 2020 và Bộ Tiêu chuẩn “Critical
Infrastructure Protection (CIP)” do North American Electric Reliability Corporation (NERC) phát hành.
55
Các giải pháp chính cho các hệ thống IT bao gồm như bảng dưới đây (mô tả
chi tiết các giải pháp tại V.1.1. Phụ lục 01):
Bảng 10. Các giải pháp kỹ thuật cho hệ thống CNTT (IT)
Giải pháp phòng, chống tấn công Phát hiện các mã độc zeroday bằng
IT.01 APT
tiên tiến, có chủ đích phân tích Sandbox
Giải pháp mô phỏng và đào tạo Huấn luyện, nâng cao nhận thức
IT.05 CIST
An ninh trên không gian mạng người dùng
IT.32 Tường lửa -Security Gateway SGW Phân tách và bảo vệ vùng mạng
IT.33 Tường lửa ứng dụng Web và API WAAP Bảo vệ ứng dụng
Các giải pháp kỹ thuật đề xuất đối với mỗi hệ thống được mô tả chi tiết về khái
niệm và phương thức hoạt động tại Phần V1. Phụ lục 01.
Mỗi yêu cầu giải pháp tại từng hệ thống được làm rõ:
Yêu cầu cũ – là yêu cầu đã được đưa vào Đề án giai đoạn trước và đề xuất tiếp
tục duy trì triển khai;
Yêu cầu sửa đổi – là yêu cầu cũ được cập nhật, sửa đổi, vẫn đảm bảo chức
năng chính khi triển khai nhằm phù hợp với hiện trạng hệ thống;
Yêu cầu mới – là yêu cầu đề xuất mới.
Để đảm bảo sự tuân thủ, các yêu cầu đề xuất được tham chiếu với các tiêu chuẩn
quốc tế và quy định của pháp luật mà EVN và các đơn vị trực thuộc phải tuân thủ,
cụ thể bao gồm:
61
- Tiêu chuẩn: ISO/IEC 27002:2013 về Quy tắc thực hiện các kiểm soát ATTT;
NIST SP 800-82 Rev 2, Guide to Industrial Control Systems (ICS) Security, May
2015.
- Quy định số 99/QĐ-EVN về Đảm bảo ATTT trong Tập đoàn Điện lực Quốc
gia Việt Nam.
- Tiêu chuẩn Quốc gia TCVN 11930:2017 về Công nghệ thông tin – Các kỹ
thuật an toàn – Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ.
Các tham chiếu được thể hiện tại Phần V2. Phụ lục 2.
Yêu cầu định hướng về Quản lý ATTT
Bảng 12. Danh sách các yêu cầu về Quản lý ATTT
Mức độ ưu
STT Yêu cầu về QLATTT Vị trí/phạm vi triển khai
tiên
Con người
Thực hiện phân tách vai trò, trách
Các bộ phận vận hành,
nhiệm giữa cán bộ vận hành, quản trị Ưu tiên mức
QL.01 quản trị và bộ phận chuyên
và cán bộ chuyên trách đảm bảo cao
trách đảm bảo ATTT
ATTT hệ thống
Rà soát, cập nhật quy định đảm bảo Phạm vi văn phòng Ưu tiên mức
QL.06
ATTT chung Cao
Mức độ ưu
STT Yêu cầu về QLATTT Vị trí/phạm vi triển khai
tiên
Thực hiện rà soát, xây dựng bổ sung
các tài liệu vận hành hệ thống, tài liệu
vận hành, quản trị, các tiêu chuẩn hệ Ưu tiên mức
QL.08 Phạm vi văn phòng
thống, tài liệu đáp ứng đảm bảo ATTT Cao
đối với hệ thống TĐHĐK theo Quy
định 99/QĐ-EVN
Đánh giá ATTT, Kiểm tra tuân thủ Ưu tiên mức
QL.09 Phạm vi văn phòng
quy trình, quy định nội bộ Trung bình
Mô tả phương pháp thiết kế tổng quát, các phân vùng mạng chính được thể hiện
tại mục III.1.2.
ii) Thiết kế chi tiết đảm bảo ATTT cho hệ thống IT truyền thống
Mô hình thiết kế:
Trong quá trình chuyển đổi lên mô hình Cloud, mô hình IT truyền thống vẫn
duy trì hoạt động song song với Private Cloud và Public Cloud.
Vùng mạng công cộng Cung cấp ứng dụng/dịch vụ public ra bên
1
DMZ/Internet ngoài Internet
Thiết bị
PT- Phát hiện và phản hồi các đe Trung Yêu cầu
IT.12 người dùng
YC37 dọa trên endpoint bình mới
cuối
Các giải pháp về Quản lý, phân tích
67
Vùng mạng công cộng Cung cấp ứng dụng/dịch vụ public ra bên
1
DMZ/Internet (Public) ngoài Internet
Vùng mạng nội bộ - Dùng chung Cung cấp ứng dụng/dịch vụ dùng chung
3
(Internal) trong nội bộ toàn mạng TCT
Yêu cầu
PT-YC45 IT.21 Xác thực mạnh User Cao
mới
Quản lý định danh và
phân quyền tập trung Yêu cầu
PT-YC46 IT.15 User Cao
(Identity and Access mới
Management)
Giải pháp quản lý tài Quản trị Yêu cầu
PT-YC47 IT.27 Cao
khoản đặc quyền viên mới
Lọc nội dung truy cập Yêu cầu
PT-YC48 IT.31 User Cao
Internet mới
Giải pháp dịch vụ an
Mobile Yêu cầu
PT-YC49 IT.30 toàn truy cập cho người Cao
User mới
dùng làm việc từ xa
Các giải pháp kiểm soát về Workload (máy chủ, ứng dụng)
Yêu cầu
PT-YC50 Máy chủ Cao
Giải pháp phòng, chống mới
IT.02
virus/mã độc Workload/ Yêu cầu
PT-YC51 Cao
Container mới
Ứng dụng Yêu cầu
PT-YC52 Cao
Web/API mới
Ứng dụng
Tường lửa ứng dụng
IT.33 Web/API
Web và API Yêu cầu
PT-YC53 trên kênh Thấp
mới
mạng nội
bộ
Rà quét điểm yếu ứng Workload/
Trung Yêu cầu
PT-YC54 IT.06 dụng đang chạy - Container/
bình mới
Dynamic Analysis Ứng dụng
Rà quét điểm yếu code Workload/
Trung Yêu cầu
PT-YC55 IT.28 ứng dụng - Static Code Container/
bình mới
Analysis Ứng dụng
Các giải pháp kiểm soát về Dữ liệu
Giải pháp giám sát và
Dữ liệu hệ Yêu cầu
PT-YC56 IT.08 bảo vệ CSDL/Non- Cao
thống mới
SQL/BigData
Giải pháp mã hóa, biến Dữ liệu hệ Trung Yêu cầu
PT-YC57 IT.07
đổi, che dữ liệu thống bình mới
70
Dữ liệu
Trung Yêu cầu
PT-YC58 IT.11 Chống thất thoát dữ liệu người dùng
bình mới
cuối
Dữ liệu
Phân loại dữ liệu (Data Yêu cầu
PT-YC59 IT.09 người dùng Thấp
Classification) mới
cuối
Yêu cầu
PT-YC77 IT.18 Quản lý tài sản Thiết bị Thấp
mới
Thiết bị
Giải pháp phòng, chống Yêu cầu
PT-YC78 IT.13 người dùng Cao
virus/mã độc mới
cuối
Bảo mật thiết bị di động Thiết bị di Trung Yêu cầu
PT-YC79 IT.22
- Mobile Security động bình mới
Thiết bị
Giải pháp bảo vệ thiết bị Trung Yêu cầu
PT-YC80 IT.16 công tơ,
IoT bình mới
camera
Thiết bị
Phát hiện và phản hồi Trung Yêu cầu
PT-YC81 IT.12 người dùng
các đe dọa trên endpoint bình mới
cuối
Hệ thống
Giám sát trạng thái hoạt mạng, dịch Trung Yêu cầu
PT-YC85 IT.20
động mạng và dịch vụ vụ ứng bình mới
dụng
Quản lý, Trung Yêu cầu
PT-YC86 IT.19 Quản lý dịch vụ IT
Phân tích bình mới
III.3.3.a. Hệ thống IT tại các PTC thành viên
i) Thiết kế chi tiết đảm bảo ATTT
Mô hình thiết kế:
PT- Thu thập, quản lý và phân tích Quản lý, Phân Yêu cầu
IT.29 Cao
YC97 nhật ký sự kiện an ninh tích mới
III.3.3.b. Hệ thống mạng giám sát đo lường (GSĐL)/IoT thuộc EVNNPT
i) Thiết kế chi tiết đảm bảo ATTT
74
Mạng IoT: vùng mạng IoT, kết nối mạng đo lường giám sát tại các TBA.
Các giải pháp kỹ thuật:
Bảng 20. Giải pháp kỹ thuật cho hệ thống GSĐL thuộc NPT/PTC
Yêu cầu Đối tượng Mức ưu Ghi chú
STT Giải pháp kỹ thuật yêu cầu
chung bảo vệ tiên
Các giải pháp kiểm soát về Workload (máy chủ, ứng dụng)
Hình 11. Phương pháp thiết kế hệ thống SAS TBA Truyền tải
Mô tả phương pháp thiết kế, các phân vùng mạng chính cho hệ thống điều khiển
TBA được thể hiện tại mục III.1.3
ii) Thiết kế chi tiết đảm bảo ATTT
Mô hình thiết kế:
Tại các lớp mạng và giữa các lớp mạng cần có các biện pháp kiểm soát ATTT.
Chi tiết thiết kế các phân vùng mạng và các kiểm soát như sau:
Hình 15. Phương pháp thiết kế tổng quát hệ thống IT tại các TCTĐL
80
Mô tả phương pháp thiết kế tổng quát, các phân vùng mạng chính được thể hiện
tại mục III.1.2
ii) Thiết kế chi tiết đảm bảo ATTT cho hệ thống IT truyền thống
Trong quá trình chuyển đổi lên mô hình Cloud, mô hình IT truyền thống vẫn
duy trì hoạt động song song với Private Cloud và Public Cloud.
Mô hình thiết kế:
4.3 + SOC/NOC server Vùng mạng các máy chủ phục vụ TT giám sát
Vùng mạng hạn chế truy cập Gồm các máy chủ dữ liệu/CSDL, ứng dụng
5
(Restricted Data) quan trọng của hệ thống
DMZ/
PC- Tường lửa - Security Gateway (gồm Yêu cầu
IT.32 Internet Cao
YC19 tính năng FW, IPS, AV, App control,..) sửa đổi
Inbound
83
iii) Thiết kế chi tiết đảm bảo ATTT cho Private Cloud
Mô hình thiết kế:
Mạng Public Cloud: áp dụng trường hợp nếu có ứng dụng, dữ liệu được đẩy lên
Public cloud (IaaS).
Văn phòng di động (Mobile Users): người dùng làm việc từ xa từ bất kỳ nơi
đâu, được truy cập các dịch vụ cần thiết cũng như được bảo vệ đầy đủ như thể làm
việc tại Văn phòng cơ quan/TTDL. Trường hợp người dùng được phép truy cập
các ứng dụng và dữ liệu giống như người dùng trong mạng Văn phòng cố định, thì
cần áp dụng biện pháp kiểm soát và bảo vệ người dùng đầy đủ, ví dụ sử dụng dịch
vụ cloud (Cloud Security Services/SASE).
Mạng Văn phòng: vùng mạng LAN cho người dùng.
Mạng IoT: các thiết bị công tơ, camera.
Các giải pháp kỹ thuật:
Bảng 26. Giải pháp kỹ thuật cho mạng Private Cloud hệ thống IT tại TCTĐL
Yêu cầu Đối tượng Mức ưu Ghi chú
TT Giải pháp kỹ thuật yêu cầu
chung bảo vệ tiên
Các giải pháp kiểm soát về Con người
PC- Yêu cầu
IT.14 Lọc nội dung email cho người dùng User Cao
YC49 mới
PC- Yêu cầu
IT.21 Xác thực mạnh User Cao
YC50 mới
Quản lý định danh và phân quyền tập Yêu cầu
PC-
IT.15 trung (Identity and Access User Cao mới
YC51
Management)
PC- Giải pháp quản lý tài khoản đặc Quản trị Yêu cầu
IT.27 Cao
YC52 quyền viên mới
PC- Yêu cầu
IT.31 Lọc nội dung truy cập Internet User Cao
YC53 mới
PC- Giải pháp dịch vụ an toàn truy cập Mobile Yêu cầu
IT.30 Cao
YC54 cho người dùng làm việc từ xa User mới
87
TTDL-
PC- Yêu cầu
SOC/NOC Cao
YC72 mới
room
PC- Yêu cầu
LAN VP Cao
YC73 mới
PC- Public Yêu cầu
Cao
YC74 cloud mới
PC- TTDL- Yêu cầu
Cao
YC75 DMZ mới
PC- TTDL- Trung Yêu cầu
YC76 Partner bình mới
TTDL-Nội
PC- Yêu cầu
bộ dùng Cao
YC77 mới
IT.17 Phòng, chống xâm nhập chung
TTDL -Nội
PC- bộ hệ thống, Yêu cầu
Cao
YC78 SOC/SOC, mới
DEV/UAT
PC- TTDL - Yêu cầu
Cao
YC79 Data mới
89
Vùng mạng nội bộ - Dùng chung Cung cấp ứng dụng/dịch vụ dùng chung trong
3
(Internal) nội bộ toàn mạng PC miền (WAN)
4 Vùng mạng nội bộ hệ thống TTDL (Sensitive Internal Systems)
Gồm các máy chủ phục vụ hệ thống TTDL
4.1 + System:
như DNS, Domain Controller,..
Bảng 28. Giải pháp kỹ thuật cho hệ thống IT CTĐL tỉnh/thành phố
Yêu cầu Đối tượng Mức ưu Ghi chú
STT Giải pháp kỹ thuật yêu cầu
chung bảo vệ tiên
Các giải pháp kiểm soát về Con người
PC- Yêu cầu
IT.14 Lọc nội dung email cho người dùng User Cao
YC95 mới
PC- Yêu cầu
IT.21 Xác thực mạnh User Cao
YC96 mới
PC- Giải pháp quản lý tài khoản đặc Quản trị Yêu cầu
IT.27 Cao
YC97 quyền viên mới
PC- Yêu cầu
IT.31 Lọc nội dung truy cập Internet User Cao
YC98 mới
Các giải pháp kiểm soát về Workload (máy chủ, ứng dụng)
PC- Giải pháp phòng, chống virus/mã Yêu cầu
IT.02 Máy chủ Cao
YC99 độc mới
PC- Ứng dụng Yêu cầu
IT.33 Tường lửa ứng dụng Web và API Cao
YC100 Web/API mới
Các giải pháp kiểm soát về Mạng, hạ tầng (Network)
Hình 19. Phương pháp thiết kế hệ thống SAS TBA thuộc TCTĐL/CTĐL
Mô tả phương pháp thiết kế, các phân vùng mạng chính cho hệ thống điều khiển
TBA được thể hiện tại mục III.1.3.
ii) Thiết kế chi tiết đảm bảo ATTT
Mô hình thiết kế:
Tại các lớp mạng và giữa các lớp mạng cần có các biện pháp kiểm soát ATTT.
Chi tiết thiết kế các phân vùng mạng và các kiểm soát như sau:
93
Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các HTTT của các
GENCOs và các đơn vị thành viên
III.5.1. Yêu cầu về Quản lý ATTT
Các yêu cầu về Quản lý ATTT bao gồm Con người, Quy trình/Quy định đề xuất
nhằm đảm bảo ATTT cho các GENCOs và các Nhà máy trực thuộc GENCOs được
mô tả tại mục III.2 với các yêu cầu từ QL01 đến QL09.
III.5.2. Mô hình/Giải pháp kỹ thuật
III.5.2.a. Hệ thống IT tại các GENCOs
i) Phương pháp thiết kế:
Việc thiết kế ATTT cho mạng Tổng công ty cần đảm bảo: (i) Tiếp cận kiến trúc
Zero-trust; (ii) Định hướng lên mô hình cloud nhưng vẫn phù hợp với mô hình
TTDL truyền thống hiện tại đang trong quá trình chuyển đổi (mô hình kết hợp,
TTDL truyền thống duy trì hoạt động song song với Private Cloud và Public
Cloud).
Hình 23. Phương phát thiết kế tổng quát hệ thống IT tại GENCOs
Mô tả phương pháp thiết kế tổng quát, các phân vùng mạng chính được thể hiện
tại mục III.1.2.
ii) Thiết kế chi tiết đảm bảo ATTT cho hệ thống tại TTDL
Mô hình thiết kế:
Trong quá trình chuyển đổi lên mô hình Cloud, mô hình TTDL truyền thống
vẫn duy trì hoạt động song song với Private Cloud và Public Cloud.
98
Vùng mạng hạn chế truy cập Gồm các máy chủ dữ liệu/CSDL, ứng dụng
5
(Restricted Data) quan trọng của hệ thống
Bảng 32. Giải pháp kỹ thuật cho hệ thống IT truyền thống tại GENCOs
Yêu cầu Đối tượng Mức
TT Giải pháp kỹ thuật yêu cầu Ghi chú
chung bảo vệ ưu tiên
Các giải pháp kiểm soát về Con người
Genco- Yêu cầu
IT.14 Lọc nội dung email cho người dùng User Cao
YC01 mới
Genco- Giải pháp dịch vụ an toàn truy cập cho Mobile Yêu cầu
IT.30 Cao
YC06 người dùng làm việc từ xa User mới
Các giải pháp kiểm soát về Workload (máy chủ, ứng dụng)
Genco- Yêu cầu
IT.02 Giải pháp phòng, chống virus/mã độc Máy chủ Cao
YC07 mới
Ứng dụng Yêu cầu
Genco-
Web/API Cao mới
YC08
công cộng
IT.33 Tường lửa ứng dụng Web và API Ứng dụng Yêu cầu
Web/API mới
Genco-
trên kênh Thấp
YC09
mạng nội
bộ
Genco- Rà quét điểm yếu ứng dụng đang chạy Trung Yêu cầu
IT.06 Ứng dụng
YC10 - Dynamic Analysis bình mới
Genco- Rà quét điểm yếu code ứng dụng - Trung Yêu cầu
IT.28 Ứng dụng
YC11 Static Code Analysis bình mới
Các giải pháp kiểm soát về Dữ liệu
Genco- Giải pháp giám sát và bảo vệ CSDL/ Dữ liệu hệ Yêu cầu
IT.08 Cao
YC12 Non-SQL/BigData thống mới
100
Genco- Giải pháp mã hóa, biến đổi, che dữ Dữ liệu hệ Trung Yêu cầu
IT.07
YC13 liệu thống bình mới
Dữ liệu
Genco- Yêu cầu
IT.11 Chống thất thoát dữ liệu người Cao
YC14 mới
dùng cuối
Dữ liệu
Genco- Phân loại dữ liệu (Data Yêu cầu
IT.09 người Thấp
YC15 Classification) mới
dùng cuối
Các giải pháp kiểm soát về mạng, hạ tầng (Network)
Hình 25. Thiết kế mạng Private Cloud cho hệ thống IT tại GENCOs
Phân vùng mạng Private Cloud
Mạng cần được phân tách theo chức năng và mức độ bảo mật, thực hiện kiểm
soát truy cập giữa các vùng mạng. Mạng được khuyến cáo phân tách càng nhỏ càng
tốt (Micro segmentation), sử dụng cơ chế mạng ảo hóa (Software Defined
Network) nếu có thể áp dụng được, tuy nhiên cần chia thành tối thiểu các vùng
theo mức độ bảo mật như sau:
Bảng 33. Phân vùng mạng Private Cloud hệ thống IT tại GENCOs
Mức Vùng mạng Chức năng
Vùng mạng nội bộ - Dùng chung Cung cấp ứng dụng/dịch vụ dùng chung trong
3
(Internal) nội bộ toàn mạng TCT
4 Vùng mạng nội bộ hệ thống TTDL (Sensitive Internal Systems)
Mạng Public Cloud: áp dụng trường hợp nếu có ứng dụng, dữ liệu được đẩy lên
Public cloud (IaaS).
103
Genco- Giải pháp giám sát và bảo vệ CSDL/ Dữ liệu Yêu cầu
IT.08 Cao
YC49 Non-SQL/BigData hệ thống mới
Dữ liệu
Genco- Yêu cầu
IT.11 Chống thất thoát dữ liệu người dùng Cao
YC51 mới
cuối
Dữ liệu
Genco- Yêu cầu
IT.09 Phân loại dữ liệu người dùng Thấp
YC52 mới
cuối
Genco- Bảo mật thiết bị di động - Mobile Thiết bị di Trung Yêu cầu
IT.22
YC68 Security động bình mới
Thiết bị
Genco- Phát hiện và phản hồi các đe dọa trên Trung Yêu cầu
IT.12 người dùng
YC69 endpoint bình mới
cuối
Các giải pháp về Quản lý, phân tích
Genco- Thu thập, quản lý và phân tích nhật Quản lý, Yêu cầu
IT.29 Cao
YC70 ký sự kiện an ninh Phân tích mới
Vùng mạng công cộng Cung cấp ứng dụng/dịch vụ public ra bên
1
DMZ/Internet ngoài Internet
III.5.2.c. Hệ thống giám sát điều khiển NMĐ (DCS) thuộc GENCOs
i) Phương pháp thiết kế
Kiến trúc thiết kế theo nguyên tắc phân tầng và phòng thủ theo chiều sâu
(Defense in Depth) tham khảo các hướng dẫn IEC 62443, DHS ICS-CERT như
sau:
Hình 27. Phương pháp thiết kế tổng quát hệ thống DCS tại Genco
Mô tả phương pháp thiết kế, các phân vùng mạng chính cho hệ thống giám sát
điều khiển được thể hiện tại mục III.1.3
ii) Thiết kế chi tiết đảm bảo ATTT
Mô hình thiết kế:
Tại các lớp mạng và giữa các lớp mạng cần có các biện pháp kiểm soát ATTT.
Chi tiết thiết kế các phân vùng mạng và các kiểm soát như sau:
109
Hình 29. Phương pháp thiết kế tổng quát hệ thống TTĐKX thuộc GENCO
Mô tả phương pháp thiết kế, các phân vùng mạng chính cho hệ thống điều khiển
tại TTĐKX được thể hiện tại mục III.1.3.
ii) Thiết kế chi tiết đảm bảo ATTT
Mô hình thiết kế:
Tại các lớp mạng và giữa các lớp mạng cần có các biện pháp kiểm soát ATTT.
Chi tiết thiết kế các phân vùng mạng và các kiểm soát như sau:
112
Genco- Lớp 4.4: Vùng Tường lửa công nghiệp/ Trung Yêu cầu
OT.10
YC132 huấn luyện, mô Bảo mật hai chiều bình sửa đổi
114
Hình 31. Phương pháp thiết kế tổng quát hệ thống IT tại A0/Ax
TTDL/Private Cloud: là nơi vận hành các ứng dụng chính của A0/Ax.
IoT: Vùng mạng kết nối các thiết bị công tơ, camera.
Mạng văn phòng: Mạng LAN người dùng tại văn phòng
ii) Thiết kế chi tiết đảm bảo ATTT cho hệ thống IT Thị trường điện A0
Mô hình thiết kế:
115
Mạng IoT: vùng mạng cho các thiết bị công tơ, camera, ...
Các giải pháp kỹ thuật:
116
Bảng 40. Giải pháp kỹ thuật cho hệ thống IT Thị trường điện A0
Yêu cầu Đối tượng Mức
STT Giải pháp kỹ thuật yêu cầu Ghi chú
chung bảo vệ ưu tiên
Các giải pháp kiểm soát về Con người
Ax- Yêu cầu
IT.14 Lọc nội dung email cho người dùng User Cao
YC01 mới
Ax-
IT.21 Xác thực mạnh User Cao Yêu cầu cũ
YC02
Ax- Quản lý định danh và phân quyền tập Yêu cầu
IT.15 User Cao
YC03 trung mới
Ax-
IT.27 Giải pháp quản lý tài khoản đặc quyền Quản trị viên Cao Yêu cầu cũ
YC04
Ax- Yêu cầu
IT.31 Lọc nội dung truy cập Internet User Cao
YC05 mới
Các giải pháp kiểm soát về Workload (máy chủ, ứng dụng)
Ax- Yêu cầu
IT.02 Giải pháp phòng, chống virus/mã độc Máy chủ Cao
YC06 sửa đổi
Ax- Ứng dụng Yêu cầu
IT.33 Tường lửa ứng dụng Web và API Cao
YC07 Web/API sửa đổi
Ax- Rà quét điểm yếu ứng dụng đang chạy Trung Yêu cầu
IT.06 Ứng dụng
YC08 (Dynamic Analysis) bình mới
Ax- Rà quét điểm yếu code ứng dụng Trung Yêu cầu
IT.28 Ứng dụng
YC09 (Static Code Analysis) bình mới
Các giải pháp kiểm soát về Dữ liệu
Ax- Giải pháp giám sát và bảo vệ Dữ liệu hệ Yêu cầu
IT.08 Cao
YC10 CSDL/Non-SQL/BigData thống sửa đổi
Giải pháp mã hóa, biến đổi, che dữ
Ax- Dữ liệu hệ Trung Yêu cầu
IT.07 liệu (Encryption/Tokenization/
YC11 thống bình mới
Masking)
Dữ liệu
Ax- Yêu cầu
IT.11 Chống thất thoát dữ liệu người dùng Cao
YC12 mới
cuối
Dữ liệu
Ax- Yêu cầu
IT.09 Phân loại dữ liệu người dùng Thấp
YC13 mới
cuối
Ax- Dữ liệu lưu Yêu cầu
IT.10 Xóa bỏ dữ liệu (Data Wiping) Thấp
YC14 trữ mới
Các giải pháp kiểm soát về Mạng, hạ tầng (Network)
Ax- Yêu cầu
IT.32 DMZ/ Cao
YC15 sửa đổi
117
Vùng mạng công cộng Cung cấp ứng dụng/dịch vụ public ra bên ngoài
1
Internet/DMZ (Public) Internet
Vùng mạng nội bộ, Cung cấp ứng dụng/dịch vụ dùng chung trong nội bộ
3
dùng chung (Internal) toàn mạng Thị trường điện (VCGM)
119
Ax- Giải pháp mã hóa, biến đổi, che dữ liệu Dữ liệu hệ Trung Yêu cầu
IT.07
YC44 (Encryption/Tokenization/Masking) thống bình mới
Dữ liệu
Ax- Trung Yêu cầu
IT.11 Chống thất thoát dữ liệu người dùng
YC45 bình mới
cuối
Dữ liệu
Ax- Yêu cầu
IT.09 Phân loại dữ liệu (Data Classification) người dùng Thấp
YC46 mới
cuối
Ax- Dữ liệu lưu Yêu cầu
IT.10 Xóa bỏ dữ liệu (Data Wiping) Thấp
YC47 trữ mới
Các giải pháp kiểm soát về Mạng, hạ tầng (Network)
TTDL-Nội
Ax- Yêu cầu
bộ dùng Cao
YC53 mới
chung
Ax- IT.17 Phòng, chống xâm nhập Yêu cầu
WAN Cao
YC54 mới
Ax- Yêu cầu
Core Cao
YC55 mới
Ax- Trung Yêu cầu
LAN VP
YC56 bình mới
Ax- Hệ thống Trung Yêu cầu
IT.25 Rà quét điểm yếu mạng, hệ thống
YC57 mạng bình mới
121
Ax- Bảo mật thiết bị di động - Mobile Thiết bị di Trung Yêu cầu
IT.22
YC62 Security động bình mới
Thiết bị
Ax- Phát hiện và phản hồi các đe dọa trên Trung Yêu cầu
IT.12 người dùng
YC63 endpoint bình mới
cuối
Các giải pháp về Quản lý, phân tích
Ax- Thu thập, quản lý và phân tích nhật ký Quản lý, Yêu cầu
IT.29 Cao
YC64 sự kiện an ninh Phân tích mới
Hình 34. Phương pháp thiết kế tổng quát hệ thống SCADA/EMS tại A0/Ax
Các vùng mạng chức năng Core:
- UAT: Vùng mạng huấn luyện, mô phỏng (Simulation/UAT).
- Điều độ: Vùng máy chủ phục vụ điều độ.
- SCADA Server: Vùng máy chủ SCADA.
- End User Apps: Vùng mạng ứng dụng người dùng.
- MGT: Vùng mạng quản trị/giám sát hệ thống mạng, bảo mật: Các máy chủ
quản trị, giám sát hệ thống mạng và bảo mật.
Các vùng mạng lớp biên, giao tiếp với các hệ thống ngoài:
- DAN: vùng thu thập số liệu, điều khiển các TBA, DCS nhà máy.
- Replica: Vùng mạng cung cấp số liệu ra bên ngoài.
- OT WAN: Vùng mạng OT nội bộ kết các Ax.
Các phân vùng mạng trên được thực hiện theo các vùng mạng cơ sở, đơn vị có
thể phân thành vùng mạng nhỏ hơn theo chức năng và mức độ bảo mật. Các vùng
mạng được phân tách cần có firewall kiểm soát truy cập.
ii) Thiết kế chi tiết đảm bảo ATTT
Mô hình thiết kế:
Tại các lớp mạng và giữa các lớp mạng cần có các biện pháp kiểm soát ATTT.
Chi tiết thiết kế các phân vùng mạng và các kiểm soát như sau:
123
Mô hình/giải pháp kỹ thuật đảm bảo ATTT đối với các HTTT của Công
ty/NMĐ trực thuộc EVN
III.7.1. Yêu cầu về Quản lý ATTT
Các yêu cầu về Quản lý ATTT bao gồm Con người, Quy trình/Quy định đề xuất
nhằm đảm bảo ATTT cho các Công ty/NMĐ trực thuộc EVN được mô tả tại mục
III.2 với các yêu cầu từ QL01 đến QL09.
III.7.2. Mô hình/Giải pháp kỹ thuật
III.7.2.a. Hệ thống IT các Công ty/NMĐ trực thuộc EVN
i) Phương pháp thiết kế
Thiết kế ATTT cho hệ thống IT tại các Công ty/NMĐ trực thuộc EVN tiếp cận
kiến trúc Zero-trust như sau:
Hình 36. Phương pháp thiết kế tổng quát hệ thống IT tại Công ty/NMĐ trực
thuộc EVN
Vùng mạng nội bộ NMĐ: là nơi vận hành các ứng dụng chính của A0.
Mạng văn phòng: mạng LAN người dùng tại văn phòng
ii) Thiết kế hệ thống đảm bảo ATTT
Mô hình thiết kế
126
Hình 37. Thiết kế hệ thống IT tại Công ty/NMĐ trực thuộc EVN
Phân vùng mạng:
Mạng cần được phân tách theo chức năng và mức độ bảo mật, thực hiện kiểm
soát truy cập giữa các vùng mạng. Mạng được khuyến cáo phân tách càng nhỏ càng
tốt nếu có thể áp dụng được, tuy nhiên cần chia thành tối thiểu các vùng theo mức
độ bảo mật như sau:
Bảng 44. Phân vùng mạng hệ thống IT tại Công ty/NMĐ trực thuộc EVN
Mức Vùng mạng Chức năng
Vùng mạng công cộng Cung cấp ứng dụng/dịch vụ public ra bên
1
Internet/DMZ ngoài Internet
Vùng mạng nội bộ, Cung cấp ứng dụng/dịch vụ dùng chung trong
3
dùng chung (Internal) nội bộ toàn mạng Công ty/NMĐ
4 Vùng mạng nội bộ hệ thống TTDL (Sensitive Internal Systems)
Gồm các máy chủ phục vụ hệ thống TTDL
4.1 + System:
như DNS, Domain Controller,..
Vùng mạng cho khối phát triển ứng dụng,
4.2 + DEV/UAT
kiểm thử, huấn luyện, đào tạo
Vùng mạng hạn chế
Gồm các máy chủ dữ liệu/CSDL, ứng dụng
5 truy cập (Restricted
quan trọng của hệ thống
Data)
Bảng 45. Giải pháp kỹ thuật cho hệ thống IT tại Công ty/NMĐ trực thuộc EVN
Yêu cầu Đối tượng Mức ưu
TT Giải pháp kỹ thuật yêu cầu Ghi chú
chung bảo vệ tiên
Các giải pháp kiểm soát về Con người
NMĐ- Lọc nội dung email cho người Yêu cầu
IT.14 User Cao
YC01 dùng mới
NMĐ- Yêu cầu
IT.21 Xác thực mạnh User Cao
YC02 mới
Quản lý định danh và phân
NMĐ- Yêu cầu
IT.15 quyền tập trung (Identity and User Cao
YC03 mới
Access Management)
NMĐ- Giải pháp quản lý tài khoản Yêu cầu
IT.27 Quản trị viên Cao
YC04 đặc quyền mới
NMĐ- Yêu cầu
IT.31 Lọc nội dung truy cập Internet User Cao
YC05 mới
Các giải pháp kiểm soát về Workload (máy chủ, ứng dụng)
Ứng dụng
NMĐ- Yêu cầu
Web/API Cao
YC07 mới
công cộng
Tường lửa ứng dụng Web và
IT.33 Ứng dụng
API
NMĐ- Web/API trên Yêu cầu
Thấp
YC08 kênh mạng mới
nội bộ
Rà quét điểm yếu ứng dụng
NMĐ- Trung Yêu cầu
IT.06 đang chạy (Dynamic Ứng dụng
YC09 bình mới
Analysis)
NMĐ- Rà quét điểm yếu code ứng Trung Yêu cầu
IT.28 Ứng dụng
YC10 dụng (Static Code Analysis) bình mới
Các giải pháp kiểm soát về Dữ liệu
NMĐ- Giải pháp giám sát và bảo vệ Dữ liệu hệ Yêu cầu
IT.08 Cao
YC11 CSDL/Non-SQL/BigData thống mới
Giải pháp mã hóa, biến đổi,
NMĐ- Dữ liệu hệ Trung Yêu cầu
IT.07 che dữ liệu (Encryption/
YC12 thống bình mới
Tokenization/Masking)
128
TTDL-Nội
NMĐ- Yêu cầu
bộ dùng Cao
YC19 mới
chung
NMĐ- IT.17 Phòng, chống xâm nhập Yêu cầu
WAN Cao
YC20 mới
NMĐ- Yêu cầu
Core Cao
YC21 mới
NMĐ- Trung Yêu cầu
LAN VP
YC22 bình mới
NMĐ- Rà quét điểm yếu mạng, hệ Hệ thống Trung Yêu cầu
IT.25
YC23 thống mạng bình mới
NMĐ- Hệ thống Trung Yêu cầu
IT.23 Kiểm soát truy cập mạng
YC24 mạng bình mới
NMĐ- Chống tấn công tiên tiến – Hệ thống Trung Yêu cầu
IT.01
YC25 phát hiện các mã độc zero-day mạng bình mới
Các giải pháp kiểm soát về Thiết bị
NMĐ- Yêu cầu
IT.18 Quản lý tài sản Thiết bị Thấp
YC14 mới
Thiết bị
NMĐ- Giải pháp phòng, chống Yêu cầu
IT.13 người dùng Cao
YC26 virus/mã độc mới
cuối
129
Hình 38. Thiết kế hệ thống LAN/TTĐ tại Công ty/NMĐ trực thuộc EVN
- Vùng mạng nội bộ dùng chung: cung cấp ứng dụng/dịch vụ dùng chung trong
nội bộ toàn mạng Công ty/NMĐ.
- Vùng mạng LAN cho người dùng.
- Vùng mạng IoT cho các thiết bị công tơ, camera.
Các giải pháp kỹ thuật:
130
Bảng 46. Giải pháp kỹ thuật cho hệ thống LAN/TTĐ tại Công ty/NMĐ trực thuộc
EVN
Yêu cầu Đối tượng bảo Mức
TT Giải pháp kỹ thuật yêu cầu Ghi chú
chung vệ ưu tiên
Các giải pháp kiểm soát về Con người
NMĐ- Yêu cầu
IT.21 Xác thực mạnh User Cao
YC35 mới
Các giải pháp kiểm soát về Workload (máy chủ, ứng dụng)
NMĐ- Giải pháp phòng, chống virus/mã Yêu cầu
IT.02 Máy chủ Cao
YC36 độc mới
Các giải pháp kiểm soát về Mạng, hạ tầng (Network)
Tường lửa - Security Gateway DMZ/Internet/
NMĐ- Yêu cầu
IT.32 (gồm tính năng FW, IPS, AV, Core/LAN/W Cao
YC37 mới
App control,..) AN
DMZ/Internet/
NMĐ- Yêu cầu
IT.17 Phòng, chống xâm nhập Core/LAN/ Cao
YC38 mới
WAN
Các giải pháp kiểm soát về Thiết bị
NMĐ- Giải pháp phòng, chống virus/mã Thiết bị người Yêu cầu
IT.13 Cao
YC39 độc dùng cuối mới
NMĐ- Thiết bị công Trung Yêu cầu
IT.16 Giải pháp bảo vệ thiết bị IoT
YC40 tơ, camera bình mới
III.7.2.c. Hệ thống Giám sát điều khiển NMĐ (DCS) tại Công ty/NMĐ trực
thuộc EVN
i) Phương pháp thiết kế
Kiến trúc thiết kế theo nguyên tắc phân tầng và phòng thủ theo chiều sâu
(Defense in Depth) dựa theo các hướng dẫn IEC 62443, DHS ICS-CERT như sau:
131
Hình 39. Phương pháp thiết kế tổng quát hệ thống DCS tại Công ty/NMĐ trực
thuộc EVN
Mô tả phương pháp thiết kế, các phân vùng mạng chính cho hệ thống giám sát
điều khiển được thể hiện tại mục III.1.3.
ii) Thiết kế chi tiết đảm bảo ATTT
Mô hình thiết kế:
Tại các lớp mạng và giữa các lớp mạng cần có các biện pháp kiểm soát ATTT.
Chi tiết thiết kế các phân vùng mạng và các kiểm soát như sau:
Hình 40. Thiết kế hệ thống DCS tại Công ty/NMĐ trực thuộc EVN
Các giải pháp kỹ thuật:
132
Bảng 47. Giải pháp kỹ thuật yêu cầu đối với hệ thống DCS tại Công ty/NMĐ
Yêu cầu Giải pháp kỹ thuật yêu Mức ưu Ghi chú
TT Vùng mạng
chung cầu tiên
Kiểm soát an ninh Triển khai các biện pháp
NMĐ- Yêu cầu
OT.01 vật lý cho toàn bộ an ninh vật lý quản lý việc Cao
YC41 mới
hệ thống DCS truy cập hệ thống DCS
Lớp 0-1: Thiết bị
NMĐ- Kiểm soát an ninh vật lý Yêu cầu
OT.01 trường/Điều khiển Cao
YC42 như trên mới
thiết bị trường
NMĐ- Tường lửa công Yêu cầu
OT.10 Thấp
YC43 nghiệp/Bảo mật hai chiều mới
NMĐ- Phòng, chống mã Trung Yêu cầu
OT.02 Lớp 2: Local HMI
YC44 độc/virus bình mới
NMĐ- Giám sát thay đổi/đóng Yêu cầu
OT.03 Thấp
YC45 băng cấu hình mới
NMĐ- Tường lửa công Trung Yêu cầu
OT.10
YC46 nghiệp/Bảo mật hai chiều bình mới
Giải pháp giám sát an
NMĐ- ninh, phát hiện tấn công Trung Yêu cầu
OT.05
YC47 xâm nhập, hành vi bất bình mới
thường trong hệ thống
NMĐ- Lớp 3: Control Phòng, chống mã Trung Yêu cầu
OT.02
YC48 Center độc/virus bình mới
NMĐ- Giám sát thay đổi/đóng Yêu cầu
OT.03 Thấp
YC49 băng cấu hình mới
NMĐ- Trung Yêu cầu
OT.09 Xác thực mạnh
YC50 bình mới
NMĐ- Trung Yêu cầu
OT.04 Quản lý định danh
YC51 bình mới
NMĐ- Tường lửa công Yêu cầu
OT.10 Cao
YC52 nghiệp/Bảo mật hai chiều mới
Giải pháp giám sát an
NMĐ- Lớp 4.1: ninh, phát hiện tấn công Trung Yêu cầu
OT.05
YC53 SCADA/GW xâm nhập, hành vi bất bình mới
thường trong hệ thống
NMĐ- Phòng, chống mã Trung Yêu cầu
OT.02
YC54 độc/virus bình mới
NMĐ- Lớp 4.2: Mạng Tường lửa công Trung Yêu cầu
OT.10
YC55 Trung gian nghiệp/Bảo mật hai chiều bình mới
133
III.7.2.d. Trung tâm điều khiển xa các Công ty/NMĐ trực thuộc EVN
i) Phương pháp thiết kế
Kiến trúc thiết kế theo nguyên tắc phân tầng và phòng thủ theo chiều sâu
(Defense in Depth) tham khảocác hướng dẫn IEC 62443, DHS ICS-CERT như sau:
134
Hình 41. Phương pháp thiết kế tổng quát đảm bảo ATTT cho hệ thống TTĐKX tại
Công ty/NMĐ trực thuộc EVN
Mô tả phương pháp thiết kế, các phân vùng mạng chính cho hệ thống điều khiển
tại TTĐKX được thể hiện tại mục III.1.3.
ii) Thiết kế chi tiết đảm bảo ATTT
Mô hình thiết kế:
Kiến trúc mạng TTĐKX được mô tả như hình vẽ trên cần tổ chức thành các
phân vùng mạng sau:
Hình 42. Thiết kế hệ thống TTĐKX tại Công ty/NMĐ trực thuộc EVN
Các giải pháp kỹ thuật:
135
Bảng 48. Giải pháp kỹ thuật yêu cầu đối với hệ thống TTĐKX Công ty/NMĐ trực
thuộc EVN
Kiểm soát an
Triển khai các biện pháp an
NMĐ- ninh vật lý cho
OT.01 ninh vật lý quản lý việc Cao Yêu cầu cũ
YC65 toàn bộ hệ thống
truy cập hệ thống DCS
DCS
NMĐ- Trung
OT.09 Xác thực mạnh Yêu cầu cũ
YC70 bình
Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các HTTT tại
EVNICT
III.8.1. Yêu cầu về Quản lý ATTT
Các yêu cầu về Quản lý ATTT bao gồm Con người, Quy trình/Quy định đề xuất
nhằm đảm bảo ATTT cho EVNICT được mô tả tại mục III.2 với các yêu cầu từ
QL01 đến QL09.
III.8.2. Mô hình/Giải pháp kỹ thuật
III.8.2.a. Hệ thống IT tại EVNICT
137
Hình 43. Phương pháp thiết kế tổng quát hệ thống IT tại EVN/EVNICT
Mô tả phương pháp thiết kế, các phân vùng mạng chính được thể hiện tại mục
III.1.2.
ii) Thiết kế chi tiết đảm bảo ATTT cho hệ thống IT truyền thống
Trong quá trình chuyển đổi lên mô hình Cloud, mô hình IT truyền thống vẫn
duy trì hoạt động song song với Private Cloud và Public Cloud.
Mô hình thiết kế:
138
Vùng mạng công cộng Cung cấp ứng dụng/dịch vụ public ra bên
1
DMZ (Public) ngoài Internet
Vùng mạng nội bộ, Cung cấp ứng dụng/dịch vụ dùng chung trong
3
dùng chung (Internal) nội bộ toàn mạng EVN (WAN)
Hình 45. Thiết kế mạng Private Cloud cho hệ thống IT tại EVN/EVNICT
Phân vùng mạng Private Cloud:
Mạng cần được phân tách theo chức năng và mức độ bảo mật, thực hiện kiểm
soát truy cập giữa các vùng mạng. Mạng được khuyến cáo phân tách càng nhỏ càng
tốt (Micro segmentation), sử dụng cơ chế mạng ảo hóa (Software Defined
Network) nếu có thể áp dụng được, tuy nhiên cần chia thành tối thiểu các vùng
theo mức độ bảo mật như sau:
Bảng 51. Phân vùng mạng Private Cloud hệ thống IT tại EVN/EVNICT
Mức Vùng mạng Chức năng
Vùng mạng công cộng Cung cấp ứng dụng/dịch vụ public ra bên
1
DMZ (Public) ngoài Internet
Cung cấp ứng dụng/dịch vụ cho các đối tác
bên ngoài của EVN như Banks, khối chính
Vùng mạng đối tác
2 phủ,..; các đơn vị chức năng bên ngoài (Cục
(Partner)
ATTT-Bộ TT&TT; Bộ Tư lệnh 86-BQP; Cục
A05-BCA)
Vùng mạng nội bộ, dùng Cung cấp ứng dụng/dịch vụ dùng chung trong
3
chung (Internal) nội bộ toàn mạng EVN (WAN)
4 Vùng mạng nội bộ hệ thống TTDL (Sensitive Internal Systems)
4.1 + System: Gồm các máy chủ phục vụ hệ thống TTDL
Vùng mạng cho khối phát triển ứng dụng,
4.2 + DEV/UAT
kiểm thử, huấn luyện, đào tạo
144
Mạng Public Cloud: áp dụng trường hợp nếu có ứng dụng, dữ liệu được đẩy lên
Public cloud (IaaS).
Văn phòng di động (Mobile Users): Người dùng làm việc từ xa từ bất kỳ nơi
đâu, được truy cập các dịch vụ cần thiết cũng như được bảo vệ đầy đủ như thể làm
việc tại Văn phòng cơ quan/TTDL. Trường hợp người dùng được phép truy cập
các ứng dụng và dữ liệu giống như người dùng trong mạng Văn phòng cố định, thì
cần áp dụng biện pháp kiểm soát và bảo vệ người dùng đầy đủ, ví dụ sử dụng dịch
vụ cloud (Cloud Security Services/SASE).
Mạng Văn phòng:
Mạng văn phòng cho người dùng EVN/EVNICT
- Vùng mạng LAN cho người dùng;
- Vùng mạng máy chủ phục vụ cho ứng dụng riêng của EVN/EVNICT.
Các giải pháp kỹ thuật:
Bảng 52. Giải pháp kỹ thuật cho với Private Cloud hệ thống IT tại EVN/EVNICT
Yêu cầu Đối tượng Mức
TT Giải pháp kỹ thuật yêu cầu Ghi chú
chung bảo vệ ưu tiên
Các giải pháp kiểm soát về Con người
EVN- Yêu cầu
IT.14 Lọc nội dung email cho người dùng User Cao
YC46 mới
EVN- Yêu cầu
IT.21 Xác thực mạnh User Cao
YC47 mới
Quản lý định danh và phân quyền
EVN- Yêu cầu
IT.15 tập trung (Identity and Access User Cao
YC48 mới
Management)
EVN- Giải pháp quản lý tài khoản đặc Yêu cầu
IT.27 Quản trị viên Cao
YC49 quyền mới
EVN- Yêu cầu
IT.31 Lọc nội dung truy cập Internet User Cao
YC50 mới
EVN- Giải pháp dịch vụ an toàn truy cập Yêu cầu
IT.30 Mobile User Cao
YC51 cho người dùng làm việc từ xa mới
145
EVN- Giải pháp phòng, chống virus/mã Thiết bị người Yêu cầu
IT.13 Cao
YC84 độc dùng cuối mới
EVN- Bảo mật thiết bị di động (Mobile Thiết bị di Trung Yêu cầu
IT.22
YC85 Security) động bình mới
EVN- Phát hiện và phản hồi các đe dọa trên Thiết bị người Trung Yêu cầu
IT.12
YC86 endpoint dùng cuối bình mới
Các giải pháp về Quản lý, phân tích
EVN- Thu thập, quản lý và phân tích nhật Quản lý, Phân Yêu cầu
IT.29 Cao
YC88 ký sự kiện an ninh tích mới
PHỤ LỤC
Phụ lục 01: Nội dung mô tả về các giải pháp kỹ thuật đảm bảo ATTT
V.1.1. Các giải pháp bảo mật cho hệ thống IT
V.1.1.a. Giải pháp tường lửa mạng (FW - Firewall)
Tường lửa là hệ thống an ninh cơ sở nhất với mục đích phân chia các vùng
mạng có mức độ tin cậy không giống nhau và thực hiện kiểm soát truy cập giữa
các vùng mạng này theo chính sách được định nghĩa. Thông thường, nó được đặt
giữa vùng mạng có nguy cơ cao hơn và vùng mạng nguy cơ thấp hơn, ngăn chặn
truy cập trái quyền, tấn công và lây nhiễm mã độc (mức kết nối và port) giữa các
vùng mạng.
Tường lửa triển khai các vị trí mà có thể phân chia các vùng mạng nhiều lớp,
theo chiều sâu, các truy cập giữa tất cả các máy chủ tại các vùng mạng khác nhau
phải đi qua kiểm soát của các lớp firewall.
Khi triển khai giải pháp tổ chức đạt được các mục đích sau:
- Kiểm soát truy cập (Access Control) với biện pháp kiểm soát chặt chẽ theo
người dùng, theo các giao thức, các ứng dụng trong hệ thống;
- Ngăn ngừa các tấn công khai thác điểm yếu của hệ điều hành, điểm yếu của
các ứng dụng…
- Mã hóa được các dữ liệu trên đường truyền (sử dụng kênh VPN) từ người
dùng bên ngoài kết nối vào hệ thống và từ chi nhánh/đối tác kết nối đến hệ thống;
- Theo dõi được hoạt động của hệ thống, của người dùng… theo thời gian thực.
V.1.1.b. Giải pháp ngăn chặn xâm nhập (IPS - Intrusion Prevention System)
Giải pháp ngăn chặn và phát hiện xâm nhập IPS (Intrusion Prevention System)
phép ngăn chặn các mối đe dọa xuất phát từ bên ngoài cũng như bên trong mạng.
Các thiết bị IPS cho phép làm việc và phân tích sâu vào phần nội dung của gói tin
điều này cho phép thực hiện ngăn chặn các tấn công trực tiếp, theo thời gian thực.
Các thiết bị IPS chuyên dụng ngày nay được thiết kế nhằm đáp ứng các nội
dung chính và quan trọng như sau: khả năng bảo vệ và ngăn chặn tấn công
(Security); hỗ trợ khả năng xử lý cao, độ trễ thấp (Performance); sự tin cậy
(Reliability); dễ dàng & hiệu quả trong quản trị (Management); khả năng mở rộng
(Extensibility); dễ dàng & mềm dẻo trong triển khai (Deployment).
Khi triển khai giải pháp tổ chức đạt được các mục đích sau:
- Ngăn chặn các tấn công, các mối đe dọa từ bên ngoài và từ bên trong.
- Ngăn chặn được các tấn công dạng Zero-day nhắm vào các lỗ hổng bảo mật
trên các ứng dụng, hệ điều hành… chưa kịp cập nhật bản vá.
- Bảo vệ người dùng trước các tấn công ngày một nhiều nhắm vào các ứng
153
dụng như: Office, Adobe PDF file, multimedia file và trình duyệt web.
- Giám sát, báo cáo và đảm bảo ngăn chặn tấn công theo thời gian thực cho hệ
thống.
V.1.1.c. Giải pháp bảo mật cho máy chủ, máy trạm (EPS - EndPoint Security)
Các máy tính người dùng hay máy chủ trong hệ thống luôn đứng trước nguy cơ
tấn công do virus, malware khi:
- Khi người dùng kết nối ra ngoài Internet, tiềm ẩn trong các trang web luôn
có những nguy cơ ảnh hưởng trực tiếp đến hệ thống và tài nguyên mạng. Thêm vào
đó là tấn công phishing và spyware nhằm ăn cắp thông tin nhạy cảm của người
dùng.
- Các loại Worm trên Internet liên tục rà quét các lỗ hổng của hệ thống nhằm
tấn công hệ thống mà không phải chờ bất cứ tác động nào từ người dùng trong hệ
thống.
- Các malware có thể tấn công qua các thiết bị Plug-in như USB, HDD di động.
Ngoài ra, các loại worm có thể tự động lây lan mạnh trong môi trường mạng LAN
gây nghẽn băng thông.
- Các server cơ sở dữ liệu, các ứng dụng, máy chủ FPT, cũng là mục tiêu tấn
công, nguồn lây nhiễm của các loại malware.
- Giải pháp EndPoint Security trên các máy chủ và máy trạm sẽ cho phép tăng
cường và ngăn chặn:
- Nguy cơ bị mất hiệu suất làm việc do bị virus tấn công gây nghẽn mạng,
chiếm dụng tài nguyên của máy tính.
- Thay đổi, xoá nội dung dữ liệu.
- Làm hỏng hóc máy tính, thiết bị mạng.
- Mất cắp, lộ dữ liệu.
- Trở thành mạng máy tính ma (botnet).
- Gây khó chịu cho người sử dụng bằng các đoạn phim, popup tự động chạy.
- Thay đổi trang chủ mặc định khi truy cập Internet.
- Làm hỏng ứng dụng, phần mềm (có thể gây hỏng cả phần mềm, hoặc gây
hỏng cơ sở dữ liệu, làm cho không đọc được hoặc không thể truy cập).
- Khi triển khai giải pháp tổ chức đạt được các mục đích sau:
- Cung cấp sự bảo vệ tức thời: ngăn chặn việc lây nhiễm bằng việc chặn truy
cập tới các file và các website ẩn chứa mã độc.
- Giảm nguy cơ cho doanh nghiệp: ngăn chặn lây nhiễm, trộm cắp thông tin cá
154
nhân, mất cắp dữ liệu, tê liệt hệ thống mạng, tê liệt hoạt động sản xuất và các hành
vi phá hoại khác.
- Giảm chi phí vận hành: giảm tải cho việc quản lý IT thông qua chức năng
kiểm tra độ tin cậy của file, tích hợp với hệ điều hành và hỗ trợ ảo hóa.
- Kiến trúc mở rộng: cho phép tích hợp vào giải pháp các tính năng phụ trợ
nhằm tăng cường tính bảo mật, tránh khỏi việc phải triển khai lại toàn bộ giải pháp.
V.1.1.d. Giải pháp tường lửa ứng dụng Web và API (Web Application and
API Protection - WAAP)
Một số ứng dụng chạy trên nền Web như Website, CMIS, E-office, HRMS, ...
Ứng dụng Web tự phát triển có những đặc thù riêng và tạo ra các điểm yếu chưa
biết, riêng biệt đối với ứng dụng đó. Các biện pháp dò quét và vá lỗi là cần thiết
nhưng không đạt hiệu quả cao như thời gian sửa chữa lỗ hổng lâu, ứng dụng quá
cũ hoặc do bên thứ ba phát triển không có khả năng được hỗ trợ phát triển để vá
lỗi, ứng dụng thay đổi tạo ra điểm yếu mới. Các giải pháp tường lửa thế hệ mới,
IPS chỉ hiệu quả với những tấn công đã biết với những ứng dụng đã biết. Tuy nhiên
với ứng dụng Web tự phát triển, các giải pháp này chỉ chống được 40% tấn công
như được nêu bởi tổ chức OWASP top 10.
Tường lửa bảo vệ ứng dụng Web và API (WAAP) là sản phẩm được thiết kế
chuyên để bảo vệ ứng dụng Web. Nó cung cấp bảo vệ cho ứng dụng bằng khả năng
phân tích và hiểu rất sâu vào tầng ứng dụng; nó có thể tự học và hiểu được cấu trúc
và cơ cấu hoạt động của website cụ thể của mỗi tổ chức; kiểm tra mọi thành phần
của ứng dụng như các tham số URL, cookies, trường nhập liệu, cũng như nhiều
yếu tố khác.. Nhờ vậy tường lửa có thể phát hiện và ngăn chặn cả tấn công khai
thác các điểm yếu chưa biết, riêng biệt đối với mỗi ứng dụng và những hành vi bất
thường trên ứng dụng.
V.1.1.e. Giải pháp bảo vệ thư điện tử (Email-S: Email Security)
Hiện hệ thống chưa có giải pháp Security cho phép lọc email spam, mã độc...
đối với hệ thống mail. Các nguy cơ về email spam và lừa đảo thông qua email là
một trong các nguy cơ có khả năng bị cao và đây cũng chính là con đường mà kẻ
tấn công thường sử dụng để tiếp cận mục tiêu, khai thác và tấn công. Hơn nữa việc
lừa đảo qua email là một trong 2 con đường chính mà các tổ chức tội phạm hiện
tại dùng để thực hiện tấn công kiểu APT hay Targeted attacks.
Khi triển khai giải pháp tổ chức đạt được các mục đích sau:
- Bảo vệ người dùng trước các nguy cơ từ việc nhận email có chứa các file
đính kèm, các đường liên kết nguy hiểm.
- Bảo vệ người dùng trước nguy cơ bị spam email.
- Tối ưu việc hiệu năng của ứng dụng email.
155
- Giảm nguy cơ thất thoát dữ liệu nhạy cảm qua môi trường Email.
V.1.1.f. Giải pháp xác thực đa yếu tố (MFA)
Hiện tại hầu hết các ứng dụng EVN đang sử dụng xác thực bằng mật khẩu bình
thường. Xác thực bằng mật khẩu có nhiều điểm yếu, do nhiều nguyên nhân như
người dùng đặt mật khẩu dễ đoán, để lộ mật khẩu hoặc các phần mềm gián
điệp/keylogger đánh cắp... Khi tài khoản đã bị lấy cắp, kẻ xấu có thể mạo danh
người sử dụng để thực hiện các hành vi xấu gây tổn hại về uy tín cũng như công
việc. Để giảm thiểu nguy cơ này, giải pháp xác thực mạnh hai yếu tố được đề xuất.
Máy chủ hệ thống xác thực mạnh sẽ đặt tại vùng mạng quản trị Management. Các
ứng dụng sẽ được tích hợp với hệ thống để thực hiện xác thực 2 yếu tố cho các
đăng nhập.
V.1.1.g. Giải pháp quản lý tài khoản đặc quyền (PIM/PAM)
EVN quản trị hạ tầng CNTT bao gồm nhiều thành phần khác nhau như: Máy
chủ, tường lửa, CSDL, các thiết bị mạng,… Tất cả các thành phần này được kiểm
soát, điều khiển bằng cách sử dụng một loạt các tài khoản đặc quyền (ví dụ tài
khoản root của máy chủ UNIX, tài khoản DBA của hệ thống CSDL Oracle, tài
khoản Administrator của máy chủ Windows,…).
Việc quản lý nhiều tài khoản này rất phức tạp và gây nhiều khó khăn. Các tài
khoản đặc quyền và cả mật khẩu thường không được quản lý và hiếm khi thay đổi.
Ngoài ra cũng không có sự giám sát chặt chẽ từ các cấp quản lý có thẩm quyền.
Trong một số trường hợp, các tài khoản này không chỉ do nhân viên IT trong nội
bộ của tổ chức nắm giữ mà còn được cung cấp cho bên thứ 3 khi phải thuê đối tác
thứ 3 quản trị hệ thống CNTT hoặc hỗ trợ kỹ thuật, khi đó EVN phải cung cấp các
tài khoản đặc quyền này cho đối tác. Hoặc các tài khoản/mật khẩu này cũng tồn tại
trong các ứng dụng tự phát triển, hoặc trong các scripts hoặc file .ini,… Mật khẩu
không được thay đổi thường xuyên.
EVN đã gặp phải các vấn đề quản lý mật khẩu như mật khẩu yếu, dễ đoán, để
trắng, mật khẩu được chia sẻ cho nhiều người, dùng chung cho nhiều hệ thống,...
Bên cạnh đó, đó người quản trị/người dùng đặc quyền sử dụng quyền, thực hiện
hành động không đúng mục đích và trái quy định trên các thiết bị máy chủ. Để giải
quyết vấn đề này, giải pháp quản lý mật khẩu đặc quyền và giám sát phiên làm việc
của quản trị (PIM) được đề xuất.
PIM quản lý các mật khẩu đặc quyền của các thiết bị trong hệ thống CNTT:
server, database, firewall, router,… giám sát, ghi hình ảnh và video phiên làm việc
của quản trị hay đối tác. Giải pháp đưa ra một cơ chế quản lý mật khẩu tập trung
an toàn nhất cho tổ chức/công ty, đồng thời giúp tổ chức/công ty đáp ứng được các
yêu cầu về tiêu chuẩn trong quản lý mật khẩu. Bên cạnh đó giải pháp còn đưa ra
cơ chế tự động thay đổi mật khẩu cho các thiết bị như: hệ điều hành, hệ quản trị cơ
156
sở dữ liệu, thiết bị mạng, thiết bị bảo mật,… có liên quan hoặc cần phải thực thi
các chính sách về mật khẩu mạnh của các tổ chức.
V.1.1.h. Giải pháp quản lý bản vá (Patch Management - PatchMGT)
Đảm bảo các máy tính trong hệ thống luôn được cập nhật đầy đủ các bản vá và
cập nhật mới nhất là vấn đề trong hệ thống. Phần lớn các lây nhiễm mã độc/virus
trong hệ thống là do các máy tính chưa được cập nhật các bản vá. Với số lượng
nhiều máy tính chạy nhiều hệ điều hành và ứng dụng , việc đảm bảo các máy tính
được quản lý luôn cài bản vá mới nhất là công việc khó khăn. Do vậy Giải pháp
quản lý bản vá được đề xuất cung cấp.
Khi triển khai giải pháp tổ chức đạt được các mục đích sau:
- Đánh giá, triển khai và quản lý bản vá cho các hệ điều hành và ứng dụng.
- Tự động hóa quá trình triển khai bản vá qua giao diện đơn.
- Tự động tạo chính sách quản lý bản vá và quyết định cài bản vá thích hợp
theo từng endpoint.
- Theo dõi, báo cáo thường xuyên tình trạng, tuân thủ chính sách cài bản vá
trên các endpoint.
- Triển khai phương án khắc phục cài đặt bản vá một cách nhanh chóng.
V.1.1.i. Giải pháp bảo vệ an toàn truy cập Web (SWG – Secure Web
Gateway)
Đường Internet cho người dùng tiềm ẩn nhiều nguy cơ nhữ mã độc, virus,
Phishing. Ngoài ra, phương thức tấn công hiện đại ngày nay thay vì tấn công vào
đường Internet dịch vụ (Internet Inbound) mà xu hướng chuyển sang nhằm vào
người dùng truy cập Internet (Internet Outbound) bằng các hình thức tấn công
Social Engineer, lừa đảo, làm cho người dùng truy cập vào Website và bị nhiễm
mã độc, từ đó kẻ tấn công có thể chiếm quyền điều khiển máy tính nạn nhân để
thực hiện việc đánh cắp dữ liệu hoặc thực hiện các xâm nhập vào hệ thống khác.
Bên cạnh vấn đề rủi ro, việc sử dụng Internet thiếu sự quản lý dẫn đến tình trạng
lạm dụng Internet, truy cập trang web nội dung xấu hoặc không phục vụ công việc
gây ảnh hưởng băng thông mạng và hoạt động của tổ chức, do vậy cần giải pháp
nhằm quản lý việc sử dụng và bảo vệ an toàn cho người dùng truy cập Internet.
Để ngăn chặn các nguy cơ từ việc truy cập Internet, giải pháp lọc nội dung và
bảo vệ an toàn truy cập Web (Secure Web Gateway - SWG) được đề xuất. SWG
thay thế thiết bị Microsoft ISA proxy, nó thực hiện việc lọc truy cập Web (lọc các
nội dung độc hại, virus, mã độc..), kiểm soát nội dung truy cập Internet từ người
dùng LAN.
Khi triển khai giải pháp tổ chức đạt được các mục đích sau:
157
- Quản lý việc sử dụng Internet hiệu quả, cho phép người dùng tận dụng hết
các lợi ích mà Internet mang lại trong khi vẫn kiểm soát được.
- Bảo vệ người dùng trước các nguy cơ từ internet, như chặn người dùng truy
cập các trang web có chứa mã độc hại, virus, keylogger, trang web lừa đảo.
- Đảm bảo năng suất lao động của nhân viên, ngăn chặn nhân viên truy cập
vào các trang web, sử dụng chat không phục vụ công việc trong thời gian làm việc.
- Tiết kiệm băng thông, do hạn chế việc lạm dụng Internet, download dữ liệu
film ảnh.. do vậy không phải đầu tư thêm đường truyền, hay nâng cấp băng thông,
tiết kiệm chi phí.
- Giảm nhẹ trách nhiệm pháp lý, ngăn chặn nhân viên truy cập web mà pháp
luật cấm như trang web mang nội dung đồi trụy, phản động...
- Giảm nguy cơ thất thoát dữ liệu nhạy cảm qua môi trường Web.
V.1.1.j. Giải pháp dò quét điểm yếu trên các ứng dụng đang phát triển (Static
Application Security Testing – SAST)
Hiện tại các ứng dụng trong tổ chức có nhiều nguồn gốc khác nhau như do tổ
chức tự phát triển, thuê các công ty phần mềm viết, mua các ứng dụng thương mại
hay là các ứng dụng dựa trên mã nguồn mở. Một thách thức đặt ra cho các tổ chức
là đảm bảo việc triển khai hiệu quả, an toàn cho các ứng dụng mà không cần quan
tâm đến nguồn gốc của các ứng dụng đó. Việc đảm bảo an toàn cho phần mềm là
một phương thức chủ động để đảm bảo rằng toàn bộ ứng dụng được kiểm soát về
bảo mật trong suốt quá trình phát triển phần mềm, bắt đầu từ khi thiết kế, lập trình,
thử nghiệm và đến khi triển khai thực tế. Một phần trong chương trình đảm bảo an
toàn cho phần mềm bao gồm việc đánh giá an toàn cho phần mềm ở mức mã nguồn
(Code level), việc này cho phép tổ chức phát hiện toàn bộ các điểm yếu an ninh
trong quá trình phát triển và cho phép tổ chức dễ dàng khắc phục, sửa chữa. Phương
thức này cho phép giảm thiểu các rủi ro về an ninh trong các ứng dụng bằng việc
cung cấp ngay lập tức các phản hồi đến người lập trình về các lỗi trong mã nguồn
trong quá trình phát triển phần mềm.
Static Application Security Testing là giải pháp kiểm thử bảo mật ứng dụng
tĩnh, cụ thể giải pháp này sẽ thực hiện phân tích mã nguồn (Source Code) ứng
dụng, nhận diện các vấn đề tiềm tàng và đưa ra hướng khắc phục các vấn đề này.
Giải pháp này cho phép tổ chức xác định và chỉ ra được nguyên nhân gốc rễ của
các điểm yếu an ninh trong mã nguồn và giúp tổ chức dễ dàng xử lý các điểm yếu
an ninh ngay tại giai đoạn phát triển.
Các lợi ích chính giải pháp mang lại:
- Giảm thiểu các rủi ro trong kinh doanh bằng việc nhận diện các điểm yếu có
thể gây ra các mối đe dọa & thiệt hại lớn.
158
- Nhận diện và loại bỏ các điểm yếu có khả năng khai thác nhanh chóng cùng
với quy trình được lặp lại.
- Giảm thiểu chi phí lập trình bằng việc nhận diện điểm yếu & khắc phục sớm
ngay trong khi phát triển phần mềm.
- Đào tạo lập trình viên biết cách đảm bảo an toàn cho mã nguồn trong khi làm
việc.
- Kết nối đội ngũ phát triển phần mềm và bộ phận đảm bảo an ninh lại với
nhau trong việc tìm và khắc phục các vấn đề an ninh trên phần mềm.
V.1.1.k. Giải pháp dò quét điểm yếu trên các ứng dụng đang hoạt động
(Dynamic Application Security Testing – DAST)
Quản lý các điểm yếu là hoạt động được thực hiện liên tục theo chu trình từ
phát triển, kiểm thử đến giai đoạn đưa vào hoạt động sản xuất. Trong quá trình ứng
dụng đang hoạt động, hệ thống ứng dụng cần thiết được đánh giá điểm yếu để xác
định nguyên nhân và khắc phục triệt để lỗ hổng để giúp ứng dụng hoạt động an
toàn hơn.
Giải pháp quản lý điểm yếu ứng dụng Web cho phép các tổ chức kiểm soát
được các điểm yếu ATTT trên ứng dụng Web bằng cách thực hiện việc dò quét
trên ứng dụng đang hoạt động, sau đó chỉ ra các điểm yếu đang tồn tại trong ứng
dụng, đồng thời cung cấp các hướng dẫn chi tiết để khắc phục điểm yếu. Giải pháp
dò quét điểm yếu ứng dụng Web có thể kết hợp với tường lửa ứng dụng Web
(WAAP) để tự động bảo vệ nhanh chóng các điểm yếu tồn tại trong ứng dụng khi
chưa kịp triển khai việc vá điểm yếu bằng biện pháp coding đòi hỏi nhiều thời gian.
Dynamic Application Security Testing (DAST) là giải pháp kiểm thử bảo mật
ứng dụng động, cho phép nhận diện các lỗ hổng an ninh được phát triển trên ứng
dụng Web và Web services. Giải pháp thực hiện giả lập Attacks trên các ứng
dụng/dịch vụ Web đang chạy để nhận diện các điểm yếu an ninh có thể khai thác
được.
Các lợi ích chính giải pháp mang lại như sau:
- Tự động và nhanh chóng phát hiện các lỗ hổng an ninh trên các ứng dụng
Web, Web-service trong thời gian ngắn từ khi triển khai đến khi sử dụng.
- Chủ động phương án phản ứng với các lỗ hổng an ninh sau khi được phân
tích, đánh giá như thay đổi ngay trên ứng dụng hay kết hợp với một giải pháp đảm
bảo an ninh khác.
- Chủ động và định kỳ thực hiện các đánh giá rủi ro, an toàn cho các ứng dụng
của tổ chức.
- Nâng cao khả năng bảo vệ cho hệ thống thông qua việc kết hợp giải pháp này
với các giải pháp như tường lửa ứng dụng Web (WAF).
159
khả năng kiểm soát sâu được các thao tác và câu lệnh SQL tác động lên đối tượng
dữ liệu (bảng, cột) trong CSDL để ngăn chặn các tấn công, các thao tác/lệnh trái
quyền và các vi phạm chính sách. Giải pháp cũng cung cấp khả năng giám sát và
audit một cách độc lập với hệ quản trị CSDL để ghi vết lại các hành động trên
CSDL từ ứng dụng, người dùng, đối tác và người quản trị CSDL (DBA) nhằm cảnh
báo các vi phạm, tạo báo cáo và cung cấp các chứng cứ tin cậy phục vụ cho điều
tra khi có sự cố an ninh.
V.1.1.n. Giải pháp mã hóa, che dữ liệu (DBE)
Mã hóa đóng vai trò hết sức quan trọng trong bối cảnh các vụ tấn công mạng
diễn ra liên tục và tăng dần về số lượng. Hơn nữa, những vụ vô tình rò rỉ thông tin
từ nội bộ chiếm hơn 50 % tổng số sự cố lộ lọt thông tin. Tương tự, nhiều ngành
nghề như ngân hàng, công nghệ, năng lượng và nhiều lĩnh vực nhạy cảm khác yêu
cầu bắt buộc phải mã hóa nhằm đáp ứng các tiêu chuẩn ATTT.
Mã hóa thông tin là phương pháp tốt nhất để bảo vệ chúng ta khỏi những vụ tấn
công có chủ đích hoặc vô tình phát tán, từ đó tránh khỏi nguy cơ thiệt hại về tài
chính, uy tín và đánh mất niềm tin của đối tác, khách hàng.
Dữ liệu cần phải được mã hóa an toàn cả khi truyền tải (Data-in-Motion) và lưu
trữ (Data-at-rest) như trường hợp lưu trữ trên server, thiết bị lưu trữ chuyên dụng.
Đây là phương thức quan trọng nhất bảo vệ chúng ta trước những cuộc tấn công
mạng và là phòng tuyến cuối cùng trong những hàng rào bảo vệ cần thiết.
Giải pháp cho phép che đậy, thay đổi một phần dữ liệu nhạy cảm
(Masking/Tokenization) trong khi vẫn cung cấp những phần dữ liệu khác, ví dụ
gửi danh sách khách hàng những trường số CCCD/CMT, số thẻ tín dụng sẽ bị thay
thế bằng dữ liệu không có giá trị khác. Tính năng này cho phép bảo vệ phần dữ
liệu nhạy cảm trong khi đáp ứng yêu cầu phân phối/cung cấp đầu đủ dữ liệu các
thành phần tham gia.
Chức năng mã hóa được thực thi trong suốt mà không yêu cầu thay đổi ứng
dụng, cơ sở hạ tầng trong khi dữ liệu đang được sử dụng mà không cần chuyển các
ứng dụng ra khỏi mạng.
Giải pháp sử dụng mã hóa mạng với các giao thức mã hóa tiêu chuẩn như AES
để mã hóa dữ liệu và ECC để trao đổi khóa (key exchange), FIPS 140-2 Level 1.
V.1.1.o. Giải pháp thu thập phân tích nhật ký an ninh (SIEM)
Hiện nay, trong một hệ thống lớn thì việc theo dõi, phân tích và phản ứng lại
các sự cố về ATTT là hết sức quan trọng. Người quản lý hệ thống thường gặp phải
một số khó khăn sau:
- Bị “tràn ngập” bởi các thông tin nhật ký được sinh ra từ nhiều hệ thống nên
một số thông tin cảnh báo quan trọng có thể bị bỏ qua, không được xử lý kịp thời;
162
- Việc điều tra về nguồn tấn công, đích tấn công, nguyên lý tấn công,… thường
phải làm thủ công, mất nhiều thời gian và công sức nhưng lại không có hiệu quả
kịp thời;
- Bị hạn chế, không có khả năng theo dõi, đánh giá tổng thể về vấn đề an ninh
đang diễn ra trong hệ thống;
- Thường gặp các cảnh báo giả về sự cố;
- Thông tin cảnh báo xuất hiện đơn lẻ trên các hệ thống độc lập như Firewall,
IDS/IPS, OS System,… khó có được cái nhìn tổng quát để trả lời các câu hỏi:
o Cái gì đang xảy ra?
o Ở đâu?
o Lúc nào?
o Ai gây ra?
o Xảy ra như thế nào?
- Có quá nhiều các định dạng nhật ký, gây khó khăn trong việc phân tích;
- Việc lưu trữ các thông tin cảnh báo không đồng đều, tập trung, lúc thừa lúc
thiếu;
- Các hệ thống cho phép ngăn chặn tấn công ngay lập tức như Firewall, IPS,…
không đảm bảo an toàn cho hệ thống trước các tấn công chậm (Slow attack).
Hình 48. Hệ thống giám sát cảnh báo sớm và phản ứng nhanh
Hệ thống giám sát cảnh báo sớm và phản ứng nhanh với các sự cố an toàn mạng
thực hiện các chức năng chính bao gồm:
- Thu thập nhật ký, sự kiện an ninh theo thời gian thực từ nhiều hệ thống;
- Thực hiện lưu trữ, tìm kiếm tập trung;
- Theo dõi, giám sát sự kiện an ninh tổng thể trong hệ thống tập trung vào các
vấn đề: IT Operation, Compliance, Security;
- Nhận dạng, xử lý nhanh, cảnh báo sớm các nguy cơ và sự cố an toàn mạng;
163
- Hỗ trợ điều hành phản ứng nhanh với các sự cố an toàn mạng.
V.1.1.p. Giải pháp Quản lý định danh và phân quyền tập trung – Identify and
Access Management (IAM)
Các công ty, doanh nghiệp lớn thường sở hữu một hệ thống gồm nhiều ứng
dụng CNTT. Theo thời gian, cùng với nhu cầu thay đổi và phát triển của doanh
nghiệp, hệ thống này sẽ ngày càng phát triển về quy mô cũng như về số lượng của
các ứng dụng. Tuy nhiên các ứng dụng này chạy phân tán và độc lập nhau. Mỗi
ứng dụng có một tập tài khoản người dùng độc lập. Số lượng tài khoản người dùng
trên toàn hệ thống sẽ phát triển theo cấp số nhân khi số lượng ứng dụng gia tăng.
Cùng một người dùng nhưng có nhiều tài khoản với nhiều lần đăng nhập khác nhau
trên các ứng dụng phân tán. Mỗi lần truy nhập một dịch vụ của hệ thống, người
dùng phải khai báo thông tin về mật khẩu và tên đăng nhập cho hệ thống xác thực.
Do vậy, người dùng phải nhớ rất nhiều cặp tên truy cập/mật khẩu khác nhau và
phải đăng nhập nhiều lần. Điều này gây khó khăn cho người dùng và nhà cung cấp
dịch vụ, người quản trị cũng phải đối mặt với một loạt vấn đề như bảo mật, mã
hóa, lưu trữ cơ sở dữ liệu.
Việc quản lý tài khoản và quyền truy cập của các tài khoản trên hệ thống là một
công việc vô cùng quan trọng, đặc biệt đối với các tổ chức có số lượng nhân viên
lớn thì việc quản lý định danh tài khoản ảnh hưởng mật thiết đến nghiệp vụ và hoạt
động kinh doanh. Các vấn đề như đảm bảo tài khoản và quyền cho tài khoản được
quản lý thống nhất cho toàn hệ thống, làm sao tài khoản và quyền được cấp đúng
theo yêu cầu kinh doanh, thu hồi/điều chỉnh tài khoản và quyền theo biến động
nhân sự và thay đổi hệ thống ứng dụng… là những bài toán khó.
Để giải quyết vấn đề này, giải pháp Quản lý định danh tập trung được đề xuất.
Giải pháp cho phép quản lý thống nhất cùng một người dùng, một tài khoản duy
nhất trên tất cả ứng dụng:
- Giải pháp cho phép xác thực một lần (SSO): xác thực người dùng đăng nhập
vào mọi hệ thống có tích hợp giải pháp SSO, vì vậy người dùng chỉ cần nhớ một
cặp tên truy cập/mật khẩu duy nhất. Khi cập nhật mật khẩu và tên đăng nhập, người
dùng chỉ cần cập nhật một lần cho toàn bộ các hệ thống có yêu cầu xác thực người
dùng. Khi đã đăng nhập vào một hệ thống chứa các hệ thống con có tích hợp giải
pháp SSO, người dùng có thể dễ dàng truy nhập vào các hệ thống con này mà
không cần phải xác thực lại trong một khoảng thời gian nào đó, tùy thuộc vào chính
sách quản trị.
- Kiểm soát người dùng truy cập vào tài nguyên CNTT dựa trên vai trò được
cụ thể.
- Cung cấp xác thực đa nhân tố (MFA) khi truy cập vào ứng dụng, tài nguyên
CNTT.
- Giải quyết các câu hỏi của bài toán quản trị định danh.
164
- Thiết lập quy trình (workflow) quản lý vòng đời tài khoản của từng cá nhân,
tự động hóa các tiến trình phê duyệt cấp quyền truy cập, cấp phát/thu hồi tài khoản
người dùng đối với từng hệ thống dựa theo yêu cầu kinh doanh/nghiệp vụ.
- Lập báo cáo để kiểm toán, giám sát quyền truy cập của người dùng trên toàn
bộ các hệ thống ứng dụng của doanh nghiệp.
- Giảm dung lượng cơ sở dữ liệu và tránh được các xung đột nảy sinh do phải
xử lý mật khẩu của các hệ thống khác nhau, tăng khả năng mở rộng và triển khai
các chiến lược bảo mật.
V.1.1.q. Giải pháp quản lý tập trung hoạt động hạ tầng, ứng dụng/dịch vụ
CNTT (ITOM)
IT Operation Management (ITOM) là giải pháp quản lý tập trung hạ tầng, ứng
dụng/dịch vụ CNTT tập trung. Giải pháp này cho phép tổ chức quản lý các đối
tượng như Operation system, Network devices, Database, Application,
Middleware, Big Data & Cloud.
Giải pháp cung cấp các nhóm chức năng giám sát chính như: thống kê quản lý
toàn bộ đối tượng trong hệ thống CNTT; theo dõi tình trạng hoạt động, quản lý lỗi,
quản lý thay đổi cấu hình, phân tích hiệu hiệu năng mạng, theo dõi và phân tích
hiệu suất hoạt động của ứng dụng; theo dõi, giám sát việc tuân thủ, quản lý hợp
nhất và tương quan dữ liệu trong hệ thống; tự động hóa phản ứng lại sự cố theo
workflow.
Các lợi ích khi triển khai giải pháp:
- Giảm thiểu thời gian Downtime, nâng cao mức độ sẵn sàng của dịch vụ.
- Giảm thiểu thời gian và nguồn lực cho IT Operation.
- Rút ngắn thời gian phát hiện và xử lý sự cố.
- Nâng cao chất lượng phục vụ khách hàng.
V.1.1.r. Giải pháp thông tin tình báo An ninh trên không gian mạng (Cyber
Threat Intelligence – CTI)
Giải pháp thông tin tình báo về các mối đe dọa trên không gian mạng - CTI là
một giải pháp nâng cao giúp cho tổ chức có thể thu thập các thông tin chi tiết về
các rủi ro theo ngữ cảnh, tình huống và từ đó có thể xâu chuỗi với bối cảnh cụ thể
của tổ chức.
Các giải pháp CTI thu thập dữ liệu thô từ nhiều nguồn khác nhau về các mối đe
dọa khẩn cấp hoặc đang tồn tại. Các dữ liệu này sẽ được phân tích và trích lọc để
tạo ra các thông tin quan trọng có thể được tích hợp và sử dụng bởi các giải pháp
kiểm soát bảo mật tự động đã được trang bị trong hệ thống.
Mục đích chính của CTI là đảm bảo các tổ chức luôn được thông báo về các dữ
liệu đã bị rò rì, các mối đe dọa về tấn công APT, lỗ hổng zero-day, các mã khai
165
thác và phương án chống lại các mối đe dọa này. CTI giúp các tổ chức nhận thức
được các nguy cơ của các mối đe dọa phổ biến và nguy hiểm nhất từ bên ngoài
(như các mối đe dọa zero-day, APT và các mã khai thác). CTI bao gồm các thông
tin chuyên sâu về các mối đe dọa cụ thể để giúp các tổ chức bảo vệ chính mình
trước các kiểu tấn công có thể gây ra thiệt hại lớn nhất.
Trong ngữ cảnh quân sự, kinh doanh hay an ninh bảo mật, thông tin tình báo là
các thông tin được cung cấp bởi một tổ chức với sự hỗ trợ việc ra quyết định và có
thể là một lợi thế mang tính chiến lược. CTI bao gồm các thông tin liên quan đến
việc bảo vệ tổ chức khỏi các mối đe dọa từ bên trong lẫn bên ngoài với các kỹ
thuật, chiến thuật, quy trình tấn công được thực thi một cách bài bản.
Khi được triển khai trong SOC, CTI có thể giúp đạt được các mục tiêu bao gồm
đảm bảo việc cập nhật thường xuyên và liên tục đối với số lượng khổng lồ các mối
đe dọa từ không gian mạng, bao gồm các phương thức tấn công, các lỗ hổng bảo
mật, các mục tiêu được nhắm đến cũng như thông tin về các nhóm tội phạm mạng;
đảm bảo việc các chuyên gia của SOC trở nên chủ động hơn đối với các hiểm họa
trên không gian mạng trong tương lai; giúp cho các nhân sự có liên quan và người
dùng được cảnh báo về các mối nguy hại mới nhất và các rủi ro khi phải đối mặt
với các tấn công này, đồng thời xây dựng được các báo cáo an ninh theo nhu cầu.
Bên cạnh đó các lãnh đạo, đặc biệt là lãnh đạo CNTT và ATTT có thể đưa ra các
quyết sách, định hướng và chiến lược xây dựng đội ngũ và đầu tư công nghệ, nhằm
mục tiêu tối ưu hóa hiệu quả đầu tư.
Môi trường tội phạm mạng ngày nay bao gồm các chiến thuật và kỹ thuật có
thể tàn phá hệ thống mạng của một tổ chức trong một khoảng thời gian rất ngắn.
Những mối đe dọa này có tầm với rất xa, không phân biệt ngành nào hay phân loại
cơ sở hạ tầng. Với tốc độ này, bắt buộc các tổ chức, đặc biệt là các SOC, phải triển
khai một chương trình CTI toàn diện để hoàn thiện nền tảng điều phối và phản ứng
tập trung, đồng thời cho phép các tổ chức tích cực giải quyết các mối đe dọa liên
tục thay đổi như một nỗ lực kết hợp.
V.1.1.s. Giải pháp mô phỏng và đào tạo an ninh trên không gian mạng
(Cyber Information Security Training Platform)
Không gian mạng chứa đựng nhiều mối đe dọa đối với các quốc gia và các tổ
chức. Do đó, nhân sự được đào tạo với kỹ thuật cao trong việc nhận thức, phòng,
chống các rủi ro an ninh mạng là yếu tố then chốt cho bất kỳ tổ chức, quốc gia nào
trong nỗ lực chống lại mối đe dọa an ninh nguy hiểm được tạo ra bởi các cuộc tấn
công mạng. Để đáp ứng yêu cầu này, giải pháp cung cấp giải pháp cho phép hỗ trợ,
xây dựng hệ thống Mô phỏng và đào tạo an ninh trên không gian mạng.
Nền tảng Cyber Information Security Training cho phép tổ chức giả lập mạng
(Network), lưu lượng (Traffic) và kịch bản tấn công (Attack Scenarios), để phục
166
vụ việc đào tạo, kiểm tra con người, các công nghệ và thủ tục trong môi trường
cộng tác và an toàn.
Giải pháp cung cấp hạ tầng để đào tạo cho từng cá nhân, các nhóm trên môi
trường mạng thực tế. Các phiên đào tạo có thể được thực hiện bởi Huấn luyện viên
hoặc được thực hiện bởi học viên (Self-training).
Giải pháp giả lập Network, traffic, các mối đe dọa (Threats) thông qua máy ảo
(Virtual machines). Môi trường mô phỏng được đưa vào dữ liệu traffic giả lập theo
các traffic như User Emails, Web và trao đổi giữa các máy chủ. Ngoài ra các kịch
bản tấn công được đưa vào môi trường mô phỏng sử dụng thư viện các kịch bản
được xây dựng sẵn cũng như các kịch bản được tùy biến.
Học viên được cung cấp thông tin phản hồi theo thời gian thực thông qua một
quá trình bao gồm: các cột mốc, mục tiêu, câu hỏi, các bước thực hiện khi học viên
phát hiện và phản ứng lại các Cyber Events. Các phiên đào tạo được ghi lại và tài
liệu hóa theo timeline, có thể sử dụng để xem lại, đánh giá trong khi phỏng vấn sau
mỗi phiên đào tạo. Các kỹ năng, năng lực của học viên được đánh giá để tham khảo
và đào tạo nhiều hơn. Bất kỳ phiên đào tạo nào có thể lặp lại. Giải pháp cung cấp
khả năng mô phỏng cả OT Network trong đó sử dụng phần cứng vật lý OT và hỗ
trợ các kịch bản đào tạo cho từng cá nhân và theo nhóm.
Giải pháp cung cấp tùy chọn cho phép khách hàng tùy biến mô hình mạng đạo
tạo, kịch bản đào tạo với các Module nâng cao. Do đó khách hàng có thể xây dựng
và tạo mới các mô hình mạng đào tạo và kịch bản đào tạo.
V.1.1.t. Giải pháp mô phỏng vi phạm và tấn công (Breach and Attack
Simulation – BAS)
Breach and Attack Simulation (BAS) - là giải pháp mô phỏng vi phạm và tấn
công, giúp tổ chức dễ dàng nhận biết và tối ưu tình trạng bảo mật của tổ chức mọi
lúc, mọi nơi. Giải pháp thực hiện hoàn toàn tự động và có thể tùy chỉnh. BAS đặt
ra thách thức cho các giải pháp phòng thủ của tổ chức thông qua khả năng giả lập
hàng nghìn tấn công mạng và các tấn công này bao phủ toàn bộ các giai đoạn của
một cuộc tấn công tiên tiến như APT, Ransomware.
Giải pháp cho phép tổ chức kiểm tra khả năng phòng thủ bên trong và bên ngoài,
các tấn công giả lập sẽ cho tổ chức biết chính xác vị trí đang bị lộ và cách khắc
phục điều đó, giúp bảo mật nhanh chóng, liên tục và là một phần của các hoạt động
hàng ngày.
167
Giải pháp BAS cho phép giả lập nhiều Attack Vector như: Email, Web
Gateway, Web Application, Phishing, EndPoint, Lateral movement, Data
Exfiltration và giả lập các tấn công ở tất cả các giai đoạn của một cuộc tấn công.
Hình 49. BAS mô phỏng các giai đoạn của một cuộc tấn công
V.1.1.u. Giải pháp quản lý tài sản CNTT (ITAM)
Số lượng các thiết bị, phần mềm trong hệ thống lớn hơn so với thời điểm đầu
tư hoặc hết hạn license, bảo hành và hỗ trợ kỹ thuật khác nhau gây khó khăn cho
công tác quản lý. Tổ chức khó xác định trong hệ thống đang có những trang thiết
bị nào, khi nào hết hạn license và bảo hành để gia hạn, khi nào hết khấu hao để
thay thế, để đảm bảo hệ thống hoạt động liên tục và ổn định.
Giải pháp quản lý tài sản HTTT giúp giải quyết các vấn đề trên với các tính
năng tự động khám phá các tài sản CNTT, quản lý vòng đời trang thiết bị, ngày hết
hạn license, bảo hành, giúp tổ chức kịp thời lên kế hoạch đầu tư gia hạn hoặc thay
thế sản phẩm, để giúp hệ thống hoạt động liên tục.
V.1.2. Các giải pháp bảo mật cho hệ thống OT
V.1.2.a. Giải pháp cổng an ninh một chiều/Data diode (USG – Unidirectional
Security Gateway)
Hệ thống tự động hóa và điều khiển công nghiệp như nhà máy phát điện, TBA
đóng vai trò đặc biệt quan trọng. Hệ thống cần được bảo vệ nghiêm ngặt. Bất kể
sự cố nào đến hệ thống có thể gây ra những hậu quả nghiêm trọng, ảnh hưởng đến
sản xuất và kinh tế, an ninh quốc gia, thậm chí tới sinh mạng. Chính vì vậy hệ
thống được cô lập vật lý với các hệ thống mạng khác. Tuy nhiên, trước các nhu cầu
không thể thiếu về việc khai thác dữ liệu của hệ thống điều khiển – tự động hóa
phục vụ cho công việc bảo trì/bảo dưỡng, vận hành, nâng cao năng lực quản lý và
điều hành sản xuất kinh doanh, hệ thống tự động hóa & điều khiển không thể mãi
cô lập tách biệt với các hệ thống xung quanh.
168
Giải pháp Cổng bảo mật một chiều cho phép truyền dữ liệu một chiều từ hệ
thống tự động hóa & điều khiển ra các mạng bên ngoài khác nhưng vẫn đảm bảo
tuyệt đối không có truy cập ngược lại từ ngoài về hệ thống.
Cổng một chiều USG (Unidirectional Security Gateway) đảm bảo tuyệt đối
100% về mặt vật lý dữ liệu chỉ có thể truyền một chiều nhờ kiến trúc như sau:
Hỗ trợ nhận diện nhiều thiết bị IoT, hỗ trợ nhiều giao thức điều khiển công
nghiệp như, IEC, MMS, ModBus, OPC DA & UA,…
Tính tin cậy tiêu chuẩn công nghiệp
Thiết bị đươcj thiết kế với tính tin cậy cao đạt tiêu chuẩn công nghiệp, cho phép
hoạt động trong môi trường công nghiệp, nhà máy như chịu được độ rung lắc, nhiệt
độ cao,…
V.1.2.c. Giải pháp giám sát an ninh, phát hiện tấn công xâm nhập, hành vi bất
thường trong hệ thống.
Giải pháp phát hiện, ngăn chặn các hành vi dò quét, tấn công, khai thác điểm
yếu hệ thống OT hoặc các hành động sai quyền lên các thiết bị điều khiển.
Thiết bị triển khai tại biên giữa mạng bên ngoài và mạng ICS/OT, chống các đe
dọa từ bên ngoài. Thiết bị triển khai tại tầng phía dưới gần mạng điều khiển cục
bộ, mạng tủ điều khiển (Controller/PCL), hoặc đặt trước nhóm máy điều khiển
quan trọng, nhằm phát hiện các tấn công/truy cập, lệnh sai quyền từ nội bộ.
Thiết bị có khả năng phát hiện, nhận diện các thiết bị OT được sử dụng, hỗ trợ
nhiều giao thức điều khiển công nghiệp như Modbus, Melsec/SLMP, CC-Link IE,
Profinet, S7COMM, HSMS/SECS-II…
Cho phép áp dụng chính sách kiểm soát tới câu lệnh điều khiển thiết bị OT, cho
quyền chỉ đọc hoặc full quyền đọc/ghi tới thiết bị.
V.1.2.d. Giải pháp giám sát thay đổi/đóng băng cấu hình (Configuration
harderning – CFG MGT)
Các điểm yếu phổ biến của hệ thống TĐH ĐK các thiết bị/máy tính hệ thống sử
dụng phiên bản cũ, cấu hình mặc định ban đầu, không thể nâng cấp, cập nhật bản
vá, cài chương trình AV, sử dụng giao thức yếu… Điều này cho phép các tấn công
như malware lây nhiễm qua mạng hoặc qua thiết bị USB không được quản lý cắm
vào hệ thống. Các thay đổi cấu hình, cài đặt ứng dụng trái quyền lên hệ thống của
người dùng nội bộ hoặc nhà cung cấp trong quá trình hỗ trợ không được kiểm soát
làm ảnh hưởng hệ thống, tạo ra các điểm yếu mới.
Các khuyến cáo biện pháp kỹ thuật chủ yếu bởi các tiêu chuẩn như DHS ICS
CERT, NIST.. cũng đã đưa ra đó là cấu hình thiết bị cần được hardnening, chỉ cho
phép cấu hình, ứng dụng được xác định được bật (Application Whitelist),…
Giải pháp cung cấp các tính năng chính sau:
Quản lý tiến trình, ứng dụng
Chỉ cho phép các tiến trình, ứng dụng trong white list chạy, chặn các tiến trình
lạ, bảo vệ tính toàn vẹn của các tiến trình thực thi bình thường. Quản lý tiến trình
theo tên file và đường dẫn và theo hash value/digital signature của ứng dụng (kiểm
soát trường hợp ứng dụng thay đổi tên).
170
Có khả năng tự động xây dựng while list nhờ khả năng quét và học các tiến
trình đang chạy.
Quản lý file, dữ liệu
Kiểm tra tính toàn vẹn của các file dữ liệu, cấu hình của hệ thống. Cảnh báo,
ngăn chặn các hành động sửa đổi dữ liệu trái quyền. Cho phép ngăn chặn malware
thay đổi file cấu hình, hoặc người dùng vô ý hoặc cố ý thay đổi dữ liệu nhạy cảm.
Quản lý cấu hình
Quản lý các settings/cấu hình của hệ thống. Ngăn chặn sửa đổi settings, registry
trái quyền.
Quản lý cổng ngoại vi
Kiểm soát việc sử dụng các thiết bị ngoại vi trên máy tính/thiết bị như USB
flash drive, CD/DVD drive. Chỉ cho phép những thiết bị ngoại vi đã đăng ký được
sử dụng.
V.1.2.e. Phòng, chống mã độc hại/virus (AV)
Các biện pháp phòng, chống mã độc/Virus đối với hệ thống TĐH ĐK điển hình
bao gồm:
- Cài đặt chương trình quét virus trên các máy tính.
- Thiết lập một trạm quét trung gian (Scanner Kios) quét file dữ liệu trước khi
được copy vào hệ thống OT.
- Thiết bị USB di động cài chương trình quét virus được phép, cho phép quét
virus trên các máy tính trong hệ thống DCS qua cổng USB.
Tổ chức có thể áp dụng một trong các biện pháp trên phù hợp với hệ thống. Tuy
nhiên biện pháp cài đặt chương trình AV trên các máy tính hệ thống OT thường rất
hạn chế vì hệ thống sử dụng các hệ điều hành cũ, tối giản, tài nguyên thấp, không
được cập nhật và không hỗ trợ chạy chương trình AV. Việc cài đặt chương trình
AV có thể gây ảnh hưởng hiệu năng máy tính và không được cập nhật mẫu malware
mới do hệ thống ICS hạn chế kết nối Internet. Do vậy giải pháp sử dụng Scanner
Kios hoặc sử dụng thiết bị USB đã cài sẵn chương trình Anti-Malware cắm vào
máy tính cho phép quét virus trên máy đó thường dễ thực thi hơn.
171
Phụ lục 02. Tham chiếu các yêu cầu đề xuất với các tài liệu cơ sở hiện
hành
Tham chiếu các yêu cầu đề xuất trong Đề án ATTT với các tiêu chuẩn, quy định
hiện hành áp dụng cho các HTTT tại các đơn vị thuộc EVN, bao gồm tiêu chuẩn
ISO 27002:2013, hướng dẫn NIST SP 80082, Quy định số 99/QĐ-EVN.
- Control 12.2.1,
Rà quét điểm yếu - Điểm f),
Category 12.2 và
ứng dụng đang Khoản 5,
17 Control 12.6.1,
chạy - Dynamic Điều 18, Mục
Category 12.6,
Analysis 2, Chương IV
Clause 12
Giải pháp mã hóa,
- Điểm a),
biến đổi, che dữ
Khoản 6, CĐ-
18 liệu N/A
Điều 18, Mục 2/3/4/5
(Encryption/Tokeni
2, Chương IV
zation/Masking)
- Control 8.2.3,
Category 8.2,
Giải pháp giám sát - Điểm a),
Clause 8
và bảo vệ Khoản 6, CĐ-
19 - Control 18.1.3
CSDL/Non-SQL/ Điều 18, Mục 3/4/5
và 18.1.4,
BigData 2, Chương IV
Category 18.1,
Clause 18
- Điểm a),
Phân loại dữ liệu - Control 8.2.1,
Khoản 6,
20 (Data Category 8.2,
Điều 18, Mục
Classification) Clause 8
2, Chương IV
- Điểm a),
- Control 13.1.1,
Chống thất thoát dữ Khoản 6, CĐ-
21 Category 13.1,
liệu Điều 18, Mục 3/4/5
Clause 13
2, Chương IV
- Điểm i),
Phát hiện và phản
Khoản 3,
22 hồi các đe dọa trên N/A
Điều 18, Mục
endpoint
2, Chương IV
Giải pháp phòng, - Điểm i),
- Control 12.2.1,
chống virus/mã độc Khoản 3, Tất cả
23 Category 12.2,
cho thiết bị người Điều 18, Mục cấp độ
Clause 12
dùng cuối 2, Chương IV
- Control 13.2.3, - Khoản 8,
Lọc nội dung email
24 Category 13.2, Điều 18, Mục
cho người dùng
Clause 13 2, Chương IV
Quản lý định danh - Khoản 4,
- Category 9.2,
25 và phân quyền tập Điều 18, Mục
Clause 9
trung (Identity and 2, Chương IV
174
Access
Management)
- Control 9.1.2,
Category 9.1 và
Kiểm soát truy cập
32 Control 9.4.1, N/A
mạng
Category 9.4,
Clause 9
- Control 12.1.2,
Quản lý cấu hình
33 Category 12.1, N/A
chính sách an ninh
Clause 12
175
- Control 12.2.1,
Category 12.2 và
Rà quét điểm yếu
34 Control 12.6.1, N/A
mạng, hệ thống
Category 12.6,
Clause 12
- Điểm c), e,
Giải pháp quản lý - Control 9.2.3, f), g), Khoản
35 tài khoản đặc Category 9.2, 4, Điều 18, CĐ-4/5
quyền Clause 9 Mục 2,
Chương IV
- Control 12.2.1,
Rà quét điểm yếu - Điểm f),
Category 12.2 và
code ứng dụng - Khoản 5,
36 Control 12.6.1,
Static Code Điều 18, Mục
Category 12.6,
Analysis 2, Chương IV
Clause 12
Giải pháp dịch vụ
an toàn truy cập
37 N/A N/A
cho người dùng
làm việc từ xa
- Điểm c),
- Control 13.1.1,
Tường lửa - Khoản 3, Tất cả
38 Category 13.1,
Security Gateway Điều 18, Mục cấp độ
Clause 13
2, Chương IV
- Control 16.1.1,
Thu thập, quản lý - Khoản 7,
16.1.2 và 16.1.3, CĐ-
39 và phân tích nhật Điều 18, Mục
Category 16.1, 2/3/4/5
ký sự kiện an ninh 2, Chương IV
Clause 16
- Điểm i),
Lọc nội dung truy Khoản 3, CĐ-
40 N/A
cập Internet Điều 18, Mục 3/4/5
2, Chương IV
- Control 13.1.1
Tường lửa ứng và 13.1.2, Tất cả
41 N/A
dụng Web và API Category 13.1, cấp độ
Clause 13
Giải pháp kỹ thuật cho hệ thống điều khiển
Phân tách các phân
42 vùng mạng trong
hệ thống
176
- Chapter 5.2:
Kiểm soát an ninh
43 Boundary
vật lý
Protection
- Section
Phòng, chống mã
44 6.2.17, Chapter
độc/virus
6.2
Phòng, chống mã - Section 6.2.5,
45
độc/virus Chapter 6.2
- Section 6.2.1,
46 Quản lý định danh
Chapter 6.2
Giải pháp giám sát
an ninh, phát hiện
- Section 6.2.8,
47 tấn công xâm nhập,
Chapter 6.2
hành vi bất thường
trong hệ thống
Thu thập và quản
- Section 6.2.3,
48 lý nhật ký sự kiện
Chapter 6.2
an ninh
- Article
6.2.7.3,
49 Xác thực mạnh
Section 6.2.7,
Chapter 6.2
Tường lửa công - Chapter 5.2,
50
nghiệp 5.3
Quản lý tài sản hệ
51 N/A
thống OT
Giải pháp giám sát
- Section 6.2.7,
52 người dùng đặc
Chapter 6.2
quyền
Phụ lục 03. Nội dung mô tả hoạt động Quản lý rủi ro ATTT
V.3.1. Mục đích
Hoạt động quản lý rủi ro ATTT là quá trình nhận dạng, phân tích, đo lường và
đánh giá rủi ro ATTT có thể xảy ra đối với hoạt động nghiệp vụ của đơn vị. Hoạt
động này bao gồm việc xác định danh sách các rủi ro có thể xảy ra, sau đó phân
tích khả năng xảy ra và hệ quả/tác động của rủi ro đối với tài sản và hoạt động
nghiệp vụ của đơn vị.
Hoạt động quản lý rủi ro ATTT được thiết lập và thực hiện tại EVN/EVNICT
và các đơn vị nhằm mục đích:
- Xác định rủi ro đối với tài sản thông tin (bao gồm các tài sản đến từ việc sử
dụng CNTT) của đơn vị.
- Lượng hóa mức độ rủi ro, xác định mức độ ưu tiên trong việc xử lý các rủi ro
có thể xảy ra.
- Làm cơ sở cho việc lựa chọn và áp dụng các biện pháp kiểm soát, nhằm ngăn
ngừa, hạn chế rủi ro đối với tài sản thông tin và giảm thiểu khả năng cũng như hậu
quả khi xảy ra rủi ro đối với hoạt động nghiệp vụ của đơn vị.
- Làm cơ sở để xây dựng kế hoạch triển khai các biện pháp kiểm soát kỹ thuật.
V.3.2. Phương pháp rà soát và đánh giá rủi ro
Phạm vi rà soát: Rủi ro ATTT có thể được ghi nhận thì các nguồn sau (nhưng
không giới hạn):
- Báo báo kết quả quá trình đánh giá rủi ro định kỳ của đơn vị;
- Các báo cáo, kết luận của kiểm toán, thanh tra, kiểm tra;
- Báo cáo kết quả hoạt động kiểm thử, đánh giá dò quét điểm yếu, lỗ hổng được
đơn vị thực hiện hoặc thuê ngoài;
- Các báo cáo, kết quả của kiểm soát tuân thủ;
- Các biện pháp kiểm soát đang được áp dụng tại các đơn vị.
Phương pháp thực hiện: Hoạt động phân tích, đo lường, đánh giá rủi ro tại
EVN/EVNICT và các đơn vị được thực hiện theo hướng dẫn của các tài liệu do
EVN ban hành liên quan đến hoạt động quản lý rủi ro, có thể sử dụng các hướng
dẫn, tài liệu tham khảo từ các tiêu chuẩn ISO/IEC 27005 (Information security risk
management), ISO 31000 (Risk management),…
Nguyên tắc phân loại mức độ rủi ro: Phân loại các mức độ rủi ro tùy thuộc
theo thực tế và hoạt động nghiệp vụ của đơn vị như:
- Rủi ro mức Cao;
- Rủi ro mức Trung bình;
178
02 giờ Hiện trạng đảm bảo ATTT tại đơn vị, tại Việt Nam và thế giới
- Các biện pháp kiểm soát ATTT đang được triển khai áp dụng tại đơn vị
- Những sự quan tâm, chính sách, cơ chế phát triển môi trường ATTT trong
phạm vi Tập đoàn Điện lực Việt Nam cũng như tại Việt Nam.
- Những vấn đề, xu hướng phát triển ATTT trên thế giới trong lĩnh vực
CNTT, Cơ sở hạ tầng trọng yếu.
02 giờ Các quy trình, quy định ATTT đã được ban hành
- Các quy định, quy trình liên quan đến ATTT đã được ban hành tại Tập
đoàn và tại đơn vị
- Các lĩnh vực kiểm soát ATTT:
An ninh nhân sự
Quản lý tài sản thông tin
Kiểm soát truy cập
Quản lý mã hóa
An ninh vật lý và môi trường
An ninh thông tin trong vận hành
An ninh mạng
Kiểm soát quá trình tiếp nhận, phát triển và bảo trì hệ thống
Kiểm soát các nhà cung cấp
Quản lý sự cố ATTT
Đảm bảo sự liên tục của ATTT
Kiểm soát tuân thủ
179
V.4.1. Nội dung đào tạo chuyên môn về ATTT (Hệ thống CNTT)
Thời lượng Nội dung
04 giờ Tình hình ATTT
- Xu hướng tấn công mạng trên thế giới và tại Việt Nam, tình hình đảm
bảo ATTT cho các hệ thống sản xuất, văn phòng của Tập đoàn và các đơn
vị thành viên.
- Các công nghệ và thiết bị bảo mật mới.
- Các hình thức tấn công mạng, các lỗ hổng bảo mật mới xuất hiện và
phương pháp phát hiện, phòng tránh.