QĐ Phe Duyet de An ATTT 2023-2028 (220223)

TẬP ĐOÀN CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM
ĐIỆN LỰC VIỆT NAM Độc lập - Tự do - Hạnh phúc

Số:
Số:168/QĐ-EVN
/QĐ-EVN Hà
HàNội,
Nội,ngày
ngày23tháng
tháng02
02năm
năm2023
2023
QUYẾT ĐỊNH
Về việc phê duyệt Đề án "Đảm bảo an toàn thông tin cho hệ thống
thông tin của Tập đoàn Điện lực quốc gia Việt Nam giai đoạn 2023 – 2028"
TỔNG GIÁM ĐỐC TẬP ĐOÀN ĐIỆN LỰC VIỆT NAM

Căn cứ Nghị định số 26/2018/NĐ-CP ngày 28/02/2018 của Chính phủ về
Điều lệ tổ chức và hoạt động của Tập đoàn Điện lực Việt Nam;
Căn cứ Quyết định số 99/QĐ-EVN ngày 18/01/2021 của Tập đoàn Điện
lực Việt Nam về việc ban hành Quy định "Đảm bảo an toàn thông tin trong Tập
đoàn Điện lực Quốc gia Việt Nam";
Căn cứ Quyết định số 909/QĐ-EVN ngày 01/7/2020 của Tập đoàn Điện lực
Việt Nam về việc phê duyệt đề cương - dự toán chi phí thuê tư vấn rà soát và cập
nhật Đề án "Đảm bảo an toàn thông tin cho các hệ thống công nghệ thông tin,
viễn thông dùng riêng và tự động hóa điều khiển của Tập đoàn Điện lực Việt Nam
giai đoạn 2020 – 2025";
Căn cứ Tờ trình số 01/TTr-EVNICT ngày 03/01/2023 của Công ty Viễn thông
Điện lực và Công nghệ thông tin về việc phê duyệt Đề án "Đảm bảo an toàn thông
tin cho các hệ thống công nghệ thông tin, viễn thông dùng riêng và tự động hóa
điều khiển của Tập đoàn Điện lực quốc gia Việt Nam giai đoạn 2023 – 2028";
Theo đề nghị của Trưởng ban Viễn thông và Công nghệ thông tin.
QUYẾT ĐỊNH:
Điều 1. Phê duyệt Đề án "Đảm bảo an toàn thông tin cho hệ thống thông tin
của Tập đoàn Điện lực quốc gia Việt Nam giai đoạn 2023 – 2028" với một số nội
dung chính như sau:
1. Yêu cầu về quản lý an toàn thông tin (ATTT) đối với các hệ thống
công nghệ thông tin, viễn thông dùng riêng và tự động hóa điều khiển:
a. Các yêu cầu đối với con người;
- Xác định và phân tách vai trò trách nhiệm liên quan đến ATTT;
- Tuyển dụng nhân sự chuyên trách về ATTT;
- Hoạt động đào tạo nhận thức và chuyên môn về ATTT.
b. Các yêu cầu về quy trình/quy định.
2
- Yêu cầu rà soát, sửa đổi bổ sung các quy định, tài liệu đảm bảo ATTT;
- Yêu cầu đối với hoạt động kiểm tra tuân thủ, đánh giá ATTT.
2. Giải pháp kỹ thuật, thiết kế định hướng đảm bảo ATTT cho các hệ
thống công nghệ thông tin, viễn thông dùng riêng và tự động hóa điều khiển
giai đoạn 2023 – 2028:
a. Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các hệ thống thông tin
của Tổng công ty Truyền tải điện Quốc gia và các Công ty Truyền tải điện;
b. Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các hệ thống thông tin
của các Tổng công ty Điện lực và các Công ty Điện lực tỉnh/thành phố;
c. Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các hệ thống thông tin
của các Tổng công ty Phát điện và các đơn vị thành viên;
d. Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các hệ thống thông tin
của Trung tâm Điều độ hệ thống điện Quốc gia và các Trung tâm Điều độ miền;
e. Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các hệ thống thông tin
của các Công ty phát điện/Nhà máy điện trực thuộc EVN;
f. Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các hệ thống thông tin
của Công ty Viễn thông Điện lực và Công nghệ thông tin.
(nội dung chi tiết như Đề án kèm theo)
Điều 2. Quyết định này có hiệu lực kể từ ngày ký và thay thế cho Quyết định
số 758/QĐ-EVN ngày 11/8/2016.
Điều 3. Các Phó Tổng giám đốc, Chánh Văn phòng, Trưởng các Ban Tập
đoàn Điện lực Việt Nam; người đứng đầu các đơn vị trực thuộc EVN, các công ty
con do EVN nắm giữ 100% vốn điều lệ; các Công ty TNHH MTV cấp III, Người
đại diện phần vốn của EVN và Công ty TNHH MTV cấp II tại các công ty cổ
phần, công ty trách nhiệm hữu hạn; các tổ chức, cá nhân có liên quan chịu trách
nhiệm thi hành Quyết định này./.
Nơi nhận: KT. TỔNG GIÁM ĐỐC
- Như Điều 3;
PHÓ TỔNG GIÁM ĐỐC
- HĐTV (để b/c);
- TGĐ (để b/c);
- Lưu: VT, VTCNTT.
Võ Quang Lâm
ĐỀ ÁN
ĐẢM BẢO AN TOÀN THÔNG TIN
CHO HỆ THỐNG THÔNG TIN
CỦA TẬP ĐOÀN ĐIỆN LỰC QUỐC GIA VIỆT NAM
GIAI ĐOẠN 2023 – 2028
1
2
DANH MỤC BẢNG

Bảng 1. Phân tích tổng thể mức độ hoàn thành triển khai Đề án 758 ....................................... 11
Bảng 2. Phân tích mức độ triển khai giải pháp .......................................................................... 12
Bảng 3. Phân tích mức độ đáp ứng các yêu cầu ........................................................................ 13
Bảng 4. Phân tích mức độ đáp ứng theo phân loại hệ thống ..................................................... 15
Bảng 5: Tham chiếu yêu cầu của Đề án theo Quy định số 99/QĐ-EVN .................................... 16
Bảng 6: Tham chiếu yêu cầu của đề án theo Tiêu chuẩn ISO 27002:2013 ............................... 21
Bảng 7: Tham chiếu yêu cầu của đề án theo NIST SP-80082 Rev.2 .......................................... 24
Bảng 8. Danh sách các hạn chế gây mất ATTT và biện pháp đề xuất ....................................... 29
Bảng 9. Mô tả kiểm soát theo nhóm đối tượng ........................................................................... 55
Bảng 10. Các giải pháp kỹ thuật cho hệ thống CNTT (IT)......................................................... 56
Bảng 11. Các giải pháp kỹ thuật cho hệ thống OT..................................................................... 59
Bảng 12. Danh sách các yêu cầu về Quản lý ATTT................................................................... 61
Bảng 13. Phân vùng hệ thống IT truyền thống EVNNPT ........................................................... 63
Bảng 14. Giải pháp kỹ thuật cho hệ thống IT truyền thống EVNNPT ....................................... 64
Bảng 15. Phân vùng mạng Private Cloud hệ thống IT tại EVNNPT ......................................... 68
Bảng 16. Giải pháp kỹ thuật cho Private Cloud hệ thống IT tại EVNNPT ................................ 68
Bảng 17. Phân vùng mạng IT tại các PTC ................................................................................. 72
Bảng 18. Giải pháp kỹ thuật cho hệ thống IT cho các PTC ....................................................... 73
Bảng 19. Phân vùng mạng GSĐL thuộc NPT/PTC .................................................................... 74
Bảng 20. Giải pháp kỹ thuật cho hệ thống GSĐL thuộc NPT/PTC............................................ 74
Bảng 21. Giải pháp kỹ thuật yêu cầu đối với hệ thống SAS TBA Truyền tải ............................. 76
Bảng 22. Giải pháp cho hệ thống TTĐKX thuộc EVNNPT ........................................................ 77
Bảng 23. Phân vùng mạng hệ thống IT truyền thống tại TCTĐL .............................................. 80
Bảng 24. Giải pháp kỹ thuật cho hệ thống IT truyền thống tại TCTĐL ..................................... 81
Bảng 25. Phân vùng mạng Private Cloud hệ thống IT tại TCTĐL ............................................ 85
Bảng 26. Giải pháp kỹ thuật cho mạng Private Cloud hệ thống IT tại TCTĐL ......................... 86
Bảng 27. Phân vùng mạng IT tại CTĐL Tỉnh/Thành phố .......................................................... 90
Bảng 28. Giải pháp kỹ thuật cho hệ thống IT CTĐL Tỉnh/Thành phố ....................................... 91
Bảng 29. Giải pháp kỹ thuật cho hệ thống SAS TBA TCTĐL/CTĐL ......................................... 93
Bảng 30. Giải pháp kỹ thuật cho hệ thống TTĐKX thuộc TCTĐL/CTĐL ................................. 95
Bảng 31. Phân vùng hệ thống IT truyền thống tại GENCOs ..................................................... 98
Bảng 32. Giải pháp kỹ thuật cho hệ thống IT truyền thống tại GENCOs .................................. 99
Bảng 33. Phân vùng mạng Private Cloud hệ thống IT tại GENCOs ....................................... 102
Bảng 34. Giải pháp kỹ thuật cho Private Cloud hệ thống IT tại GENCOs .............................. 103
3
Bảng 35. Phân vùng mạng hệ thống IT Nhà máy thuộc GENCO ............................................ 106
Bảng 36. Giải pháp kỹ thuật yêu cầu cho hệ thống IT Nhà máy thuộc GENCO...................... 107
Bảng 37. Giải pháp kỹ thuật cho hệ thống DCS tại Genco ...................................................... 109
Bảng 38. Giải pháp kỹ thuật cho hệ thống TTĐKX thuộc Genco ............................................ 112
Bảng 39. Phân vùng mạng hệ thống IT Thị trường điện A0..................................................... 115
Bảng 40. Giải pháp kỹ thuật cho hệ thống IT Thị trường điện A0 ........................................... 116
Bảng 41. Phân vùng mạng hệ thống IT Văn phòng A0/Ax ....................................................... 118
Bảng 42. Giải pháp kỹ thuật cho hệ thống IT Văn phòng A0/Ax ............................................. 119
Bảng 43. Giải pháp kỹ thuật cho hệ thống SCADA/EMS tại A0/Ax ......................................... 123
Bảng 44. Phân vùng mạng hệ thống IT tại Công ty/NMĐ trực thuộc EVN ............................. 126
Bảng 45. Giải pháp kỹ thuật cho hệ thống IT tại Công ty/NMĐ trực thuộc EVN .................... 127
Bảng 46. Giải pháp kỹ thuật cho hệ thống LAN/TTĐ tại Công ty/NMĐ trực thuộc EVN........ 130
Bảng 47. Giải pháp kỹ thuật yêu cầu đối với hệ thống DCS tại Công ty/NMĐ ....................... 132
Bảng 48. Giải pháp kỹ thuật yêu cầu đối với hệ thống TTĐKX Công ty/NMĐ trực thuộc EVN
.................................................................................................................................................. 135
Bảng 49. Phân vùng mạng hệ thống IT truyền thống tại EVN/EVNICT .................................. 138
Bảng 50. Giải pháp kỹ thuật cho hệ thống IT truyền thống tại EVN/EVNICT......................... 139
Bảng 51. Phân vùng mạng Private Cloud hệ thống IT tại EVN/EVNICT ................................ 143
Bảng 52. Giải pháp kỹ thuật cho với Private Cloud hệ thống IT tại EVN/EVNICT ................ 144
Bảng 53. Giải pháp kỹ thuật cho mạng VTDR ......................................................................... 149
4
DANH MỤC BIỂU ĐỒ/BẢN VẼ/MÔ HÌNH

Hình 1. Biểu đồ phân tích mức độ hoàn thành triển khai Đề án 758 ......................................... 11
Hình 2. Biểu đồ phân tích mức độ triển khai giải pháp ............................................................. 13
Hình 3. Biểu đồ phân tích mức độ đáp ứng yêu cầu .................................................................. 15
Hình 4. Biểu đồ phân tích mức độ đáp ứng theo phân loại hệ thống ......................................... 16
Hình 5. Mô hình phân công vai trò trách nhiệm về ATTT tại các nhóm đơn vị ......................... 47
Hình 6. Phương pháp thiết kế tổng quát hệ thống IT EVNNPT ................................................. 62
Hình 7. Thiết kế hệ thống IT truyền thống EVNNPT .................................................................. 63
Hình 8. Thiết kế mạng Private Cloud cho hệ thống IT tại EVNNPT.......................................... 67
Hình 9. Thiết kế hệ thống IT tại các PTC ................................................................................... 72
Hình 10. Thiết kế hệ thống GSĐL thuộc NPT/PTC .................................................................... 74
Hình 11. Phương pháp thiết kế hệ thống SAS TBA Truyền tải ................................................... 75
Hình 12. Thiết kế hệ thống SAS TBA Truyền tải ........................................................................ 75
Hình 13. Phương pháp thiết kế hệ thống TTĐKX thuộc EVNNPT............................................. 77
Hình 14. Thiết kế hệ thống TTĐKX thuộc EVNNPT .................................................................. 77
Hình 15. Phương pháp thiết kế tổng quát hệ thống IT tại các TCTĐL ...................................... 79
Hình 16. Thiết kế hệ thống IT truyền thống tại TCTĐL ............................................................. 80
Hình 17. Thiết kế Private Cloud cho hệ thống IT tại TCTĐL .................................................... 85
Hình 18. Thiết kế hệ thống IT tại CTĐL Tỉnh/Thành phố .......................................................... 90
Hình 19. Phương pháp thiết kế hệ thống SAS TBA thuộc TCTĐL/CTĐL .................................. 92
Hình 20. Thiết kế hệ thống SAS TBA TCTĐL/CTĐL.................................................................. 93
Hình 21. Phương pháp thiết kế hệ thống TTĐKX thuộc TCTĐL/CTĐL .................................... 94
Hình 22. Thiết kế hệ thống TTĐKX thuộc TCTĐL/CTĐL .......................................................... 95
Hình 23. Phương phát thiết kế tổng quát hệ thống IT tại GENCOs........................................... 97
Hình 24. Thiết kế hệ thống IT truyền thống tại GENCOs .......................................................... 98
Hình 25. Thiết kế mạng Private Cloud cho hệ thống IT tại GENCOs ..................................... 102
Hình 26. Thiết kế hệ thống IT Nhà máy thuộc Genco .............................................................. 106
Hình 27. Phương pháp thiết kế tổng quát hệ thống DCS tại Genco ........................................ 108
Hình 28. Thiết kế hệ thống DCS tại Genco .............................................................................. 109
Hình 29. Phương pháp thiết kế tổng quát hệ thống TTĐKX thuộc Genco ............................... 111
Hình 30. Thiết kế hệ thống TTĐKX thuộc Genco ..................................................................... 112
Hình 31. Phương pháp thiết kế tổng quát hệ thống IT tại A0/Ax ............................................. 114
Hình 32. Thiết kế hệ thống IT Thị trường điện A0 ................................................................... 115
Hình 33. Thiết kế hệ thống IT Văn phòng A0/Ax ...................................................................... 118
Hình 34. Phương pháp thiết kế tổng quát hệ thống SCADA/EMS tại A0/Ax ........................... 122
5
Hình 35. Thiết kế hệ thống SCADA/EMS tại A0/Ax ................................................................. 123

Hình 36. Phương pháp thiết kế tổng quát hệ thống IT tại Công ty/NMĐ trực thuộc EVN ...... 125
Hình 37. Thiết kế hệ thống IT tại Công ty/NMĐ trực thuộc EVN ............................................ 126
Hình 38. Thiết kế hệ thống LAN/TTĐ tại Công ty/NMĐ trực thuộc EVN ................................ 129
Hình 39. Phương pháp thiết kế tổng quát hệ thống DCS tại Công ty/NMĐ trực thuộc EVN .. 131
Hình 40. Thiết kế hệ thống DCS tại Công ty/NMĐ trực thuộc EVN ........................................ 131
Hình 41. Phương pháp thiết kế tổng quát đảm bảo ATTT cho hệ thống TTĐKX tại Công ty/NMĐ
trực thuộc EVN ......................................................................................................................... 134
Hình 42. Thiết kế hệ thống TTĐKX tại Công ty/NMĐ trực thuộc EVN ................................... 134
Hình 43. Phương pháp thiết kế tổng quát hệ thống IT tại EVN/EVNICT ................................ 137
Hình 44. Thiết kế hệ thống IT truyền thống tại EVN/EVNICT ................................................. 138
Hình 45. Thiết kế mạng Private Cloud cho hệ thống IT tại EVN/EVNICT .............................. 143
Hình 46. Phương pháp thiết kế tổng quát mạng VTDR............................................................ 148
Hình 47. Thiết kế mạng VTDR ................................................................................................. 149
Hình 48. Hệ thống giám sát cảnh báo sớm và phản ứng nhanh .............................................. 162
Hình 49. BAS mô phỏng các giai đoạn của một cuộc tấn công ............................................... 167
Hình 50. Tường lửa một chiều .................................................................................................. 168
6
CÁC TỪ VIẾT TẮT

Từ viết tắt Giải thích
AES Advanced Encryption Standard - tiêu chuẩn mã hóa nâng cao
ATTT An toàn thông tin
Ax Trung tâm Điều độ hệ thống điện miền
Check Point Certified Security Administrator/Engineer - khoá học cơ
CCSA/CCSE
bản về bảo mật cơ bản trong hệ thống chứng chỉ của Check Point
CEH, Security+,
Hệ thống các chứng chỉ quốc tế về ATTT liên quan tới giám sát, phản
CHFI, CISA,
ứng, khắc phục sự cố, quản trị rủi ro…
CRISC…
Certified Information Security Manager – chứng chỉ về an ninh bảo
CISM
mật cao cấp
Certified Information Systems Security Professional - chứng chỉ bảo
CISSP
mật hệ thống thông tin chuyên nghiệp
CNTT Công nghệ thông tin
CSDL Cơ sở dữ liệu
CTĐL Công ty Điện lực
CTNĐ Công ty Nhiệt điện
CTTĐ Công ty Thủy điện
DCS Hệ thống giám sát điều khiển
Elliptic Curve Cryptography - mật mã đường cong Elliptic là một trong
ECC
những loại mật mã mạnh nhất hiện nay
EVN Tập đoàn Điện lực Việt Nam
EVNCPC Tổng công ty Điện lực miền Trung
EVNGENCO1 Tổng công ty Phát điện 1
EVNHANOI Tổng công ty Điện lực Thành phố Hà Nội
EVNHCMC Tổng công ty Điện lực Thành phố Hồ Chí Minh
EVNNLDC (A0) Trung tâm Điều độ hệ thống điện Quốc gia
EVNNPC Tổng công ty Điện lực miền Bắc
EVNNPT Tổng công ty Truyền tải điện Quốc gia
EVNSPC Tổng công ty Điện lực miền Nam
EWS Máy tính kỹ sư cấu hình hệ thống điều khiển
GENCOs Các Tổng công ty Phát điện
GSĐL Giám sát đo lường
HIS Máy chủ lưu trữ nhật ký hệ thống điều khiển
HMI Giao diện đầu cuối của hệ thống điều khiển
Hệ thống thông tin (được định nghĩa tại Quy định quản lý, khai thác
HTTT HTTT ban hành kèm theo Quyết định số 1268/QĐ-EVN ngày
18/9/2021)
IoT Internet of Things – thiết bị kết nối Internet (Internet vạn vật)
IT Hệ thống công nghệ thông tin
7
Từ viết tắt Giải thích

Information Technology Infrastructure Library – thư viện cơ sở hạ tầng
ITIL
CNTT
Microsoft Certified Systems Administrator/Engineer, là chứng chỉ
MCSA/MCSE quốc tế cài đặt, vận hành, bảo trì hệ thống mạng máy tính trên nền tảng
Microsoft Windows Server.
OT Hệ thống tự động hóa điều khiển – TĐH ĐK
Payment Card Indutry Data Security Standard - là tiêu chuẩn bảo mật
PCI DSS
dành cho các đơn vị cung cấp dịch vụ thanh toán
Project Management Professional - chứng chỉ quản lý dự án chuyên
PMP
nghiệp
PTC Công ty Truyền tải điện
QLATTT Quản lý an toàn thông tin
SAS Substation Automation System - Hệ thống tự động hóa trạm biến áp
Supervisory Control and Data Acquisition - Giám sát điều khiển và thu
SCADA
thập dữ liệu
TBA Trạm biến áp
TCT Tổng công ty
TCTĐL Tổng công ty Điện lực
TĐH Tự động hóa
TTĐKX Trung tâm điều khiển xa
TTDL Trung tâm dữ liệu
VTDR Viễn thông dùng riêng
8
GIỚI THIỆU TỔNG QUAN VỀ ĐỀ ÁN

Cơ sở lập Đề án
I.1.1. Căn cứ pháp lý
- Căn cứ Bộ luật Dân sự số 91/2015/QH13 ngày 24/11/2015 của Quốc hội;
- Căn cứ Luật Đấu thầu số 43/2013/QH13 của Quốc hội;
- Căn cứ Nghị định số 63/2014/NĐ-CP ngày 26/6/2014 của Chính phủ quy
định chi tiết thi hành một số điều của Luật Đấu thầu về lựa chọn nhà thầu;
- Căn cứ Hợp đồng số 14/2021/HĐ-EVNICT-MISOFT ngày 22/02/2021 giữa
Công ty Viễn thông Điện lực và Công nghệ thông tin – Chi nhánh Tập đoàn Điện
lực Việt Nam (EVNICT) và Công ty Cổ phần Phát triển phần mềm và Hỗ trợ công
nghệ (MISOFT);
- Căn cứ Văn bản số 1769/EVN-VTCNTT ngày 08/4/2021 của Tập đoàn Điện
lực Việt Nam về việc khảo sát xây dựng đề án thiết kế hướng dẫn đảm bảo ATTT
cho các HTTT của EVN giai đoạn 2023 – 2028;
- Căn cứ Quyết định số 99/QĐ-EVN ngày 18/01/2021 của Tập đoàn Điện lực
Việt Nam về việc ban hành Quy định "Đảm bảo an toàn thông tin trong Tập đoàn
Điện lực Quốc gia Việt Nam".
I.1.2. Các tiêu chuẩn ATTT tham chiếu
- ISO/IEC 27001:2013 (ISO/IEC 27001:2022) về Hệ thống quản lý an toàn
thông tin;
- ISO/IEC 27002:2013 về Quy tắc thực hiện các kiểm soát an toàn thông tin;
- NIST SP 800-82 Rev 2, Guide to Industrial Control Systems (ICS) Security,
May 2015;
- ANSI/ISA-62443-2-1 (99.02.01)-2009 - Security for Industrial Automation
and Control Systems: Establishing an Industrial Automation and Control Systems
Security Program (www.isa.org/standards);
- NERC Critical Infrastructure Protection (NERC CIP) Standards approved
by the Federal Energy Regulatory Commission (FERC) in 2008;
- Kilman, D. and Stamp, J. "Framework for SCADA Security Policy", Sandia
Corporation. 2005;
- Tiêu chuẩn quốc gia TCVN 11930:2017 về Công nghệ thông tin – Các kỹ
thuật an toàn – Yêu cầu cơ bản về an toàn HTTT theo cấp độ.
Sự cần thiết của Đề án
Đề án "An toàn an ninh thông tin cho các hệ thống CNTT, VTDR và TĐH
của EVN" được phê duyệt tại Quyết định số 758/QĐ-EVN ngày 11/8/2016 (sau
đây gọi tắt là Đề án 758). Đề án 758 đã đạt được một số kết quả đáng kể, nhưng
sau gần 04 năm ban hành vẫn còn một số điểm hạn chế, chưa phù hợp và chưa theo
kịp với thực tế, cụ thể là:
- Phương thức tấn công mạng, xu hướng công nghệ và phương pháp tiếp cận
trong xây dựng trang bị các hệ thống ATTT đã có nhiều thay đổi;
9
- Các mô hình đề xuất của Đề án 758 chưa nhấn mạnh đến các biện pháp giám
sát và các phân tích các sự kiện an ninh thông tin để từ đó tìm ra các hiện tượng
bất thường trong hệ thống và đưa ra các khuyến cáo;
- Đề án 758 chưa đề cập đến các mô hình đảm bảo ANBM cho các mô hình
mới mà EVN đã triển khai áp dụng trong thời gian qua và/hoặc sẽ triển khai trong
giai đoạn sắp tới;
- Đề án 758 còn một số điểm bất cập, khó áp dụng tại các đơn vị;
- Đề án được phê duyệt sau khi các hệ thống đã hình thành tại các đơn vị
nhưng không có hướng dẫn lộ trình chuyển đổi mô hình sang mô hình tiêu chuẩn;
- Chưa có mô hình trung gian, tuy chưa đúng theo mô hình trong Đề án 758
nhưng vẫn đảm bảo ANBM ở mức chấp nhận được cho các hệ thống không thể
chuyển đổi;
- Chưa nêu rõ đặc điểm kỹ thuật, tính năng cần thiết, giải thích chi tiết các
thành phần trong mô hình; dẫn đến các đơn vị phải tự suy đoán, lựa chọn công
nghệ dựa vào các tư vấn của các đối tác nên có thể không phản ánh đúng tinh thần
của Đề án 758.
Đề án 758 là một trong những căn cứ quan trọng của EVN trong công tác
ATTT, nên cần được rà soát, hiệu chỉnh lại nhằm định hướng mô hình ATTT trong
EVN phù hợp với kế hoạch phát triển CNTT giai đoạn 2023 – 2028 nói riêng, cũng
như yêu cầu phát triển của CNTT, VTDR và TĐH nói chung.
Mục tiêu xây dựng Đề án
Rà soát, cập nhật, hiệu chỉnh Đề án "An toàn an ninh thông tin cho các hệ
thống CNTT, VTDR và TĐH của EVN" ban hành kèm theo Quyết định số
758/QĐ-EVN ngày 11/8/2016. Từ đó đưa ra khuyến nghị về danh mục các quy
định, chính sách an toàn an ninh thông tin cần phải có và đề xuất hiệu chỉnh, bổ
sung, cập nhật mô hình kiến trúc và thiết kế định hướng cho các giải pháp đảm bảo
ATTT trong Tập đoàn Điện lực Quốc gia Việt Nam phù hợp với tình hình mới,
đảm bảo các yêu cầu sau:
- Tuân thủ các quy định hiện hành của EVN và của Nhà nước.
- Phù hợp với xu hướng công nghệ, tình hình hiện tại và định hướng phát triển
CNTT giai đoạn 2023 – 2028 của EVN.
- Tuân thủ các quy định về ATTT và tham chiếu đến các tiêu chuẩn hiện hành
của Quốc tế và Việt Nam về ATTT.
- Khắc phục các tồn tại hạn chế của Đề án 758 đã nêu ở trên.
Phạm vi, quy mô Đề án
- Khuyến nghị danh mục các quy định, chính sách ATTT cần phải xây dựng
và ban hành;
- Đề xuất hiệu chỉnh, bổ sung, cập nhật mô hình kiến trúc, thiết kế định hướng
cho các giải pháp đảm bảo ATTT đối với các hệ thống IT, hệ thống OT và VTDR
10
tại các Tổng công ty Điện lực, các Tổng công ty Phát điện, Tổng công ty Truyền
tải điện Quốc gia, Công ty mẹ - EVN;
- Đề xuất yêu cầu kỹ thuật về ATTT cho các nhà máy điện khi kết nối vào hệ
thống SCADA/EMS và hệ thống điều khiển TBA;
- Thiết kế mô hình kết nối giao tiếp chia sẻ thông tin, ứng cứu sự cố giữa EVN
với các đơn vị chức năng như Cục ATTT- Bộ Thông tin và Truyền thông; Bộ Tư
lệnh 86 – Bộ Quốc phòng; Cục A05 – Bộ Công an;
- Đề xuất các giải pháp tăng cường ATTT và quy trình quản lý vận hành ATTT
cho hệ thống OT tại các nhà máy điện phù hợp với hiện trạng của EVN;
- Đề xuất giải pháp tăng cường ATTT cho HTTT chưa thể chuyển đổi sang
mô hình kiến trúc, thiết kế định hướng.
11
HIỆN TRẠNG HỆ THỐNG

Hiện trạng HTTT, Hệ thống Quản lý ATTT và Hệ thống ATTT
Căn cứ theo kết quả khảo sát được trình bày trong tài liệu Báo cáo khảo sát,
nội dung phân tích và đánh giá hiện trạng hệ thống tại các đơn vị được khảo sát
dựa trên mức độ hoàn thành triển khai Đề án 758 được thể hiện theo các nội dung
dưới đây:
II.1.1. Hiện trạng hoàn thành triển khai Đề án 758
Bảng 1. Phân tích tổng thể mức độ hoàn thành triển khai Đề án 758
TT Đơn vị Tổng điểm
1 EVNHCMC 93%
2 EVNCPC 84%
3 EVNNLDC 78%
4 EVN/EVNICT 77%
5 EVNHANOI 52%
6 EVNSPC 49%
7 EVNNPC 45%
8 EVNGENCO2 17%
9 EVNGENCO3 17%
10 EVNNPT 0%
Ghi chú: các đơn vị được Tư vấn khảo sát, đánh giá
Hình 1. Biểu đồ phân tích mức độ hoàn thành triển khai Đề án 758
12
II.1.2. Hiện trạng hoàn thành triển khai các giải pháp đảm bảo ATTT
Bảng 2. Phân tích mức độ triển khai giải pháp
Số lượng đơn Số lượng
Hệ thống Giải pháp vị được yêu đơn vị đã Tỷ lệ
cầu triển khai triển khai
Firewall biên (FW
8 8 100%
biên)
Firewall lõi (FW
7 7 100%
core)
Tường lửa web
bên ngoài (WAF 7 7 100%
External)
Tường lửa web
bên trong (WAF 7 6 85,71%
Internal)
Tường lửa CSDL
7 7 100%
(DBS)
Hệ thống IT Chống tấn công
từ chối dịch vụ 7 5 71,43%
(Anti – DDoS)
Xác thực 2 yếu tố
7 5 71,43%
(2FA)
Phòng chống tấn
công máy tính
8 8 100%
người dùng cuối
(EPS)
Quản lý tài khoản
7 6 85,71%
đặc quyền (PIM)
Thu thập sự kiện
7 5 71,43%
ATTT (SIEM)
Kiểm soát vào ra
vật lý (Physical 15 13 86,67%
Control)
Hệ thống OT/ Cổng bảo mật 1

8 6 75,00%
SCADA chiều (USG)
Cổng bảo mật 2
15 8 53,33%
chiều (BSG)
Firewall lõi OT 14 4 28,57%
13
Số lượng đơn Số lượng

Hệ thống Giải pháp vị được yêu đơn vị đã Tỷ lệ
cầu triển khai triển khai
Phòng chống tấn
công máy tính
14 12 85,71%
người dùng cuối
(EPS)
Xác thực 2 yếu tố
14 1 7,14%
(2FA)
Quản lý nhật ký
14 2 14,29%
truy cập (Logger)
Quản lý tài khoản
8 1 12,50%
Trong hệ thống OT/SCADA: Cổng
bảo mật 2 chiều, tường lửa lõi hệ
Giải pháp có tỷ lệ triển khai dưới 50% thống, xác thực 2 yếu tố, quản lý
nhật ký truy cập, quản lý tài khoản
đặc quyền.
Chống từ chối dịch vụ, tường lửa
biên, tường lửa lõi, tường lửa CSDL,
chống tấn công máy tính người dùng
cuối hệ thống IT và OT, quản lý tài
Giải pháp có tỷ lệ triển khai trên 50%
khoản đặc quyền hệ thống IT, thu
thập sự kiện ATTT, xác thực 2 yếu
tố, tường lửa web bên trong/bên
ngoài, kiểm soát vào ra vật lý.
Hình 2. Biểu đồ phân tích mức độ triển khai giải pháp

II.1.3. Hiện trạng hoàn thành triển khai Đề án 758 dựa trên yêu cầu
Bảng 3. Phân tích mức độ đáp ứng các yêu cầu
14
Tiêu chí
Đơn vị
Thiết kế phân vùng mạng Giải pháp định hướng
EVNHCMC 93% 92%
EVNCPC 89% 79%
EVNICT 78% 75%
EVNNLDC 74% 83%
EVNHANOI 61% 44%
EVNSPC 55% 43%
EVNNPC 34% 55%
CTTĐ Sơn La 17% 50%
CTTĐ Hòa Bình 17% 50%
NMNĐ Vĩnh Tân 4 17% 50%
CTTĐ Tuyên Quang 17% 33%
EVNGENCO2 17% 17%
EVNGENCO3 17% 17%
PTC1 15% 63%
EVNNPT N/A N/A
Đơn vị hoàn thành trên 75% EVNHCMC, EVNCPC, EVNNLDC, EVNHCMC,
yêu cầu đề án EVNICT EVNCPC, EVNICT
EVNGENCO2, EVNGENCO3,
Đơn vị hoàn thành dưới 25% EVNGENCO2,
CTTĐ Sơn La, Hòa Bình, Tuyên
yêu cầu đề án EVNGENCO3
Quang; NMNĐ Vĩnh Tân 4
Ghi chú: N/A – Đề án 758 không yêu cầu triển khai

15
Hình 3. Biểu đồ phân tích mức độ đáp ứng yêu cầu

II.1.4. Hiện trạng hoàn thành triển khai Đề án 758 dựa trên phân loại hệ thống
Bảng 4. Phân tích mức độ đáp ứng theo phân loại hệ thống
Loại HTTT
Đơn vị
Hệ thống CNTT Hệ thống TĐH - ĐK
EVNHCMC 95% 92%
EVNICT 95% 58%
EVNNPC 95% 28%
EVNNLDC 90% 66%
EVNHANOI 85% 42%
EVNSPC 80% 38%
EVNCPC 100% 79%
CTTĐ Sơn La N/A 33%
CTTĐ Hòa Bình N/A 33%
CTTĐ Tuyên Quang N/A 25%
EVNGENCO2 N/A 17%
EVNGENCO3 N/A 17%
PTC1 N/A 11%
EVNNPT N/A N/A
Ghi chú: N/A – Đề án 758 không yêu cầu triển khai

16
Hình 4. Biểu đồ phân tích mức độ đáp ứng theo phân loại hệ thống
Đánh giá về Đề án "Đảm bảo an toàn an ninh thông tin cho các hệ thống
CNTT, VTDR và TĐH của EVN " ban hành năm 2016 so với các yêu cầu
quản lý hiện tại
Căn cứ các yêu cầu của Đề án 758, Quy định "Đảm bảo an toàn thông tin
trong Tập đoàn Điện lực Quốc gia Việt Nam" ban hành kèm theo Quyết định số
99/QĐ-EVN ngày 18/01/2021 (Quy định số 99/QĐ-EVN), tiêu chuẩn ISO
27002:2013 và hướng dẫn NIST SP 800-82 Rev.2, đơn vị Tư vấn đã thực hiện
tham chiếu để làm rõ sự phù hợp của Đề án 758 với hiện trạng của EVN, đồng thời
đưa ra các vấn đề, nội dung cần cập nhật, bổ sung và chỉnh sửa của Đề án.
II.2.1. Căn cứ theo Quy định số 99/QĐ-EVN
Bảng 5: Tham chiếu yêu cầu của Đề án theo Quy định số 99/QĐ-EVN
Yêu cầu của đề án 758 Căn cứ theo QĐ 99
Đối với các hệ thống CNTT và TĐH ĐK của EVNNLDC và các Trung tâm Điều độ miền
Hệ thống SCADA/EMS của EVNNLDC
Giải pháp định hướng
Kiểm soát vật lý N/A
Cổng bảo mật một chiều (USG) Điểm b, khoản 3, Điều 19
Cổng bảo mật hai chiều (BSG) Điểm b, khoản 3, Điều 19
Quản lý tài khoản đặc quyền (PIM) N/A
Hệ thống CNTT phục vụ TTĐ của EVNNLDC
Thiết kế và phân vùng mạng Điểm a, khoản 3, Điều 18
Tường lửa thế hệ mới bảo vệ vùng mạng biên (FW/VPN/IPS) Điểm c, khoản 3, Điều 18
17
Tường lửa thế hệ mới bảo vệ vùng mạng nội bộ (FW/IPS) Điểm c, khoản 3, Điều 18
Tường lửa ứng dụng Web quảng bá (WAF) Khoản 5, Điều 18
Tường lửa ứng dụng Web nội bộ (WAF) Khoản 5, Điều 18
Giải pháp bảo mật cho cơ sở dữ liệu (DBS) Khoản 8, Điều 18
Giải pháp giảm thiểu tấn công từ chối dịch vụ (Anti-DDoS) Mục c, khoản 3, Điều 18
Giải pháp xác thực mạng (2FA) Khoản 4, Điều 18
Giải pháp bảo mật cho máy chủ và máy trạm (EPS) Mục c, khoản 3, Điều 18
Giải pháp quản lý tài khoản đặc quyền (PIM) Khoản 4, Điều 18
Giải pháp quản lý và phân tích nhật ký an ninh (SIEM) Khoản 6, 7, Điều 18
Hệ thống SCADA/EMS của các Trung tâm Điều độ điện miền
Quản lý tài khoản đặc quyền (PIM) N/A
Đối với các hệ thống TĐH ĐK của GENCOs
Hệ thống DCS NMĐ của GENCOs
Cổng bảo mật hai chiều (BSG) Mục b, khoản 3, Điều 19
Giải pháp tường lửa thế hệ mới bảo vệ mạng Core (FW/IPS) N/A
Giải pháp bảo mật cho máy chủ và máy trạm (EPS) N/A
Giải pháp lưu trữ nhật ký tập trung (Logger) Khoản 2, Điều 19
Giải pháp xác thực mạng (2FA) N/A
TTĐKX cụm nhà máy thuộc GENCOs
Cổng bảo mật một chiều (USG) Mục b, khoản 3, Điều 19
Cổng bảo mật hai chiều (BSG) Mục b, khoản 3, Điều 19
Giải pháp quản lý tài khoản đặc quyền (PIM) N/A
Đối với các hệ thống DCS NMĐ của các Công ty phát điện/NMĐ trực thuộc EVN
18

Đối với các hệ thống TĐH ĐK của EVNNPT
Hệ thống tự động hóa TBA truyền tải (SAS)
TTĐKX nhóm TBA truyền tải
Đối với các hệ thống TĐH ĐK và CNTT của TCTĐL TP Hà Nội và TP Hồ Chí Minh
Hệ thống CNTT trọng yếu và văn phòng của 02 TCTĐL TP Hà Nội và TP Hồ Chí Minh
Tường lửa thế hệ mới bảo vệ vùng mạng biên (FW/VPN/IPS) Điểm c, khoản 3, Điều 18
Tường lửa thế hệ mới bảo vệ vùng mạng Core (FW/IPS) Điểm c, Khoản 3, Điều 18
Giải pháp giảm thiếu tấn công từ chối dịch vụ (Anti-DDoS) Điểm c, khoản 3, Điều 18
19
Hệ thống mini SCADA của TCTĐL TP Hà Nội và TP Hồ Chí Minh
Hệ thống tự động hóa TBA phân phối (SAS) của 2 TCTĐL TP Hà Nội và TP Hồ Chí Minh
TTĐKX nhóm TBA phân phối thuộc 2 TCTĐL TP Hà Nội và TP Hồ Chí Minh
Đối với các hệ thống TĐHĐK và CNTT của các TCTĐL miền và CTĐL tỉnh/thành phố
Hệ thống CNTT trọng yếu và văn phòng của các TCTĐL miền và CTĐL tỉnh/thành phố
03 TCT ĐL miền
20
Giải pháp tường lửa thế hệ mới bảo vệ vùng mạng biên
Điểm c, khoản 3, Điều 18
(FW/VPN/IPS)
Giải pháp tường lửa thế hệ mới bảo vệ mạng Core (FW/IPS) Điểm c), khoản 3, Điều 18
Giải pháp giảm thiểu tấn công từ chối dịch vụ (Anti-DDoS) Điểm c, khoản 3, Điều 18
Giải pháp bảo mật cho máy chủ và máy trạm (EPS) Điểm c, khoản 3, Điều 18
Giải pháp quản lý và phân tích nhật ký an ninh (SIEM) Khoản 6 và 7, Điều 18
CTĐL tỉnh/thành phố
Hệ thống tự động hóa TBA SAS phân phối của các TCTĐL miền
TTĐKX nhóm TBA phân phối thuộc các TCTĐL miền
21

Đối với các hệ thống CNTT trọng yếu và văn phòng của Cơ quan EVN
Giải pháp tường lửa thế hệ mới bảo vệ vùng mạng biên
Điểm c, khoản 3, Điều 18
(FW/VPN/IPS)
Giải pháp tường lửa thế hệ mới bảo vệ mạng Core (FW/IPS) Điểm c, khoản 3, Điều 18
Giải pháp giảm thiểu tấn công từ chối dịch vụ (Anti-DDoS) Điểm c, khoản 3, Điều 18
II.2.2. Căn cứ theo Tiêu chuẩn ISO 27002
Bảng 6: Tham chiếu yêu cầu của Đề án theo Tiêu chuẩn ISO 27002:2013
Yêu cầu của Đề án 758 Theo ISO 27002:2013
Hệ thống CNTT phục vụ Thị trường điện của EVNNLDC
Thiết kế và phân vùng mạng Control 13.1.3, Category 13.1, Clause 13
Tường lửa thế hệ mới bảo vệ vùng mạng biên
Control 13.1.1, Category 13.1, Clause 13
(FW/VPN/IPS)
Tường lửa thế hệ mới bảo vệ vùng mạng nội bộ
(FW/IPS)
Control 13.1.1 và 13.1.2, Category 13.1,
Tường lửa ứng dụng Web quảng bá (WAF)
Clause 13
Tường lửa ứng dụng Web nội bộ (WAF)
Clause 13
- Control 8.2.3, Category 8.2, Clause 8
Giải pháp bảo mật cho cơ sở dữ liệu (DBS) - Control 18.1.3 và 18.1.4, Category 18.1,
Clause 18
Giải pháp giảm thiểu tấn công từ chối dịch vụ
N/A
(Anti-DDoS)
Giải pháp xác thực mạng (2FA) Control 9.4.2, Category 9.4, Clause 9
22

Giải pháp bảo mật cho máy chủ và máy trạm
(EPS)
Article 6.2.1.1, Section 6.2.1, Chapter 6.2,
Giải pháp quản lý tài khoản đặc quyền (PIM)
Part 6
Giải pháp quản lý và phân tích nhật ký an ninh Control 16.1.1, 16.1.2 và 16.1.3, Category
(SIEM) 16.1, Clause 16
Hệ thống CNTT trọng yếu và văn phòng của 02 TCTĐL TP Hà Nội và TP Hồ Chí Minh
Tường lửa thế hệ mới bảo vệ vùng mạng biên
(FW/VPN/IPS)
Tường lửa thế hệ mới bảo vệ vùng mạng Core
(FW/IPS)
Clause 13
Clause 13
Clause 18
N/A
(Anti-DDoS)
(EPS)
Part 6
Hệ thống CNTT trọng yếu và văn phòng của các TCTĐL miền, các CTĐL tỉnh/thành phố
03 TCTĐL miền
Giải pháp tường lửa thế hệ mới bảo vệ vùng mạng
biên (FW/VPN/IPS)
Giải pháp tường lửa thế hệ mới bảo vệ mạng Core
(FW/IPS)
Clause 13
23

Clause 13
Yêu cầu theo:
Giải pháp bảo mật cho cơ sở dữ liệu (DBS)
- Control 18.1.3 và 18.1.4, Category 18.1,
Clause 18
N/A
(Anti-DDoS)
(EPS)
Part 6
CTĐL tỉnh/thành phố
biên (FW/VPN/IPS)
(EPS)
Đối với các hệ thống CNTT trọng yếu và văn phòng của Cơ quan EVN
biên (FW/VPN/IPS)
(FW/IPS)
Clause 13
Clause 13
Clause 18
N/A
(Anti-DDoS)
24

(EPS)
Part 6
II.2.3. Căn cứ theo NIST SP 800-82 Rev.2
Bảng 7: Tham chiếu yêu cầu của Đề án theo NIST SP-80082 Rev.2
Yêu cầu của Đề án 758 Theo NIST SP 800-82
Hệ thống SCADA/EMS của EVNNLDC

Chapter 5.1: Network Segmentation and
Thiết kế và phân vùng mạng
Segregation
Kiểm soát vật lý Chapter 5.2: Boundary Protection
Cổng bảo mật một chiều (USG) Chapter 5.2: Boundary Protection
Cổng bảo mật hai chiều (BSG) Chapter 5.2: Boundary Protection
Section 6.2.7: Indentication and
Quản lý tài khoản đặc quyền (PIM)
Authentication, Chapter 6.2
Hệ thống SCADA/EMS của các TT Điều độ điện
miền
Segregation
- Chapter 5.2: Boundary Protection
Cổng bảo mật một chiều (USG)
- Chapter 5.11: Unidirectional Gateways
Quản lý tài khoản đặc quyền (PIM)
Hệ thống DCS NMĐ của GENCOs
Segregation
Chapter 5.3: Firewalls
(FW/IPS)
25
Section 6.2.17: System and Information

Giải pháp bảo mật cho máy chủ và máy trạm (EPS)
Integrity
Giải pháp lưu trữ nhật ký tập trung (Logger) Section 6.2.3: Audit and Accountability
Article 6.2.7.3: Physical Token
Giải pháp xác thực mạng (2FA)
Authentication, Section 6.2.7, Chapter 6.2
TTĐKX cụm NMĐ thuộc GENCOs
Segregation
(FW/IPS)
Integrity
Đối với các hệ thống DCS NMĐ của các Công ty phát điện/NMĐ trực thuộc EVN
Segregation
(FW/IPS)
Integrity
Đối với các hệ thống TĐH ĐK của EVNNPT
Hệ thống tự động hóa TBA truyền tải (SAS)
26

Segregation
(FW/IPS)
Integrity
TTĐKX nhóm TBA truyền tải
Segregation
(FW/IPS)
Integrity
Hệ thống mini SCADA của TCTĐL TP Hà Nội và TP Hồ Chí Minh
Segregation
27

(FW/IPS)
Integrity
Hệ thống TĐH TBA phân phối (SAS) của 02 TCTĐL TP Hà Nội và TP Hồ Chí Minh
Segregation
(FW/IPS)
Integrity
Giải pháp lưu trữ nhật ký tập trung (Logger) N/A
TTĐKX nhóm TBA phân phối thuộc TCTĐL TP Hà Nội và TP Hồ Chí Minh
Segregation
(FW/IPS)
Integrity
28
Hệ thống mini SCADA của các TCTĐL miền

Segregation
(FW/IPS)
Integrity
Hệ thống TĐH TBA phân phối (SAS) của các TCTĐL miền
Segregation
(FW/IPS)
Integrity
TTĐKX nhóm TBA phân phối thuộc các TCTĐL miền
Segregation
29

(FW/IPS)
Integrity
Đánh giá về rủi ro gây mất ATTT của các hệ thống IT, VTDR, TĐHĐK
Bảng 8. Danh sách các hạn chế gây mất ATTT và biện pháp đề xuất
TT Hạn chế Biện pháp đề xuất
Cơ quan EVN và EVNICT (EVN)

Đối với hệ thống mạng văn phòng và CNTT
a Rủi ro do chưa đáp ứng yêu cầu của đề án
Mạng trung gian, cũng là mạng core của EVN, kết Tách riêng vùng mạng
nối WAN tới toàn bộ đơn vị thành viên EVN. Đây là WAN kết nối các đơn vị và
EVN-HC011 vùng mạng có nguy cơ cao như Internet do có rất triển khai các hệ thống
nhiều đơn vị thành viên tham gia. Tuy nhiên chưa có kiểm soát bảo vệ vùng
FW bảo vệ vùng mạng WAN này. WAN đó
Chưa có FW cho module Internet người dùng Tách riêng vùng Internet,
EVN-HC02 (Internet Inbound). Giải pháp SWG hiện có cho kết có biện pháp bảo vệ vùng
nối Internet này không có chức năng FW. Internet
Có nhiều kết nối Internet phân tán. EVNICT có
Quản lý tập trung kết nối
EVN-HC03 đường Internet riêng và không được kiểm soát bởi
Internet
SWG.
Tập đoàn và EVNICT có nhiều dự án, chương trình,
hệ thống ứng dụng cần được đào tạo, kiểm thử. Tuy
nhiên môi trường phục vụ phát triển, kiểm thử và đào
Xây dựng vùng UAT/DEV
tạo chưa được thực hiện tách biệt so với môi trường
và đưa ra các biện pháp
EVN-HC04 vận hành hệ thống nhằm tránh các hoạt động trong
kiểm soát đảm bảo ATTT
môi trường kiểm thử, đào tạo ảnh hướng đến các hoạt
tại vùng này
động của hệ thống thật, đồng thời đưa ra được các
quy định rõ ràng đảm bảo ATTT đối với môi trường
kiểm thử đào tạo này.
1
EVN-HCxx: Hạn chế thứ [xx] của [đơn vị]
30
Dữ liệu nhạy cảm có khả năng bị thất thoát do chưa Hệ thống ngăn ngừa thất
EVN-HC05
có giải pháp phát hiện, ngăn chặn thất thoát dữ liệu thoát dữ liệu DLP
Chưa có các biện pháp kiểm soát bảo vệ cho các máy Hệ thống bảo vệ cho máy
EVN-HC06 tính người dùng cuối nhằm đảm bảo ATTT khi kết tính người dùng cuối khi
nối từ xa vào hệ thống kết nối vào mạng VP từ xa
Một số đơn vị ngoài kết nối vào hệ thống VTDR của Hệ thống tường lửa kiểm
EVN-HC07 ICT, có nguy cơ cao bị lây nhiễm mã độc hoặc bị tấn soát kết nối từ các đơn vị về
công từ các đơn vị EVNICT
Theo yêu cầu về việc chuyển dữ liệu VTDR sang
Hệ thống tường lửa 1 chiều
mạng IT nhằm phục vụ giám sát, nếu không thực
đảm bảo dữ liệu chỉ đi 1
EVN-HC08 hiện kiểm soát kết nối này, sẽ tạo điều kiện cho mã
chiều từ hệ thống VTDR về
độc và các tấn công từ mạng IT sang mạng VTDR,
mạng IT phục vụ giám sát
khiến cho hệ thống này bị gián đoạn.
b Rủi ro từ mô hình mới của EVN
EVNICT là đơn vị chuyên trách ATTT cho Công ty Công cụ nhằm đánh giá, dò
mẹ EVN, chịu trách nhiệm đánh giá, giám sát các hệ quét tự động các hệ thống
EVN-HC09 thống trong nội bộ EVN và các đơn vị định kỳ. Rủi nhằm đảm bảo tối ưu hóa
ro liên quan đến việc thiếu nhân sự trong khi thực và giảm thiểu tối đa nguồn
hiện các trọng trách lớn theo quy định của Tập đoàn. lực nhân sự thực hiện
Yêu cầu về việc đào tạo ATTT và diễn tập, huấn
luyện nhận thức ATTT cho nội bộ và các đơn vị
trong Tập đoàn một các tập trung, có kiểm soát là 1 Hệ thống mô phỏng đào tạo
EVN-HC10
trong các yêu cầu của Tập đoàn EVN. Tuy nhiên việc và diễn tập ATTT
thực hiện các nội dung này phụ thuộc vào thuê các
bên thứ 3.
Hệ thống đang phòng, chống tấn công một cách bị Hệ thống Threat
động do chưa có hệ thống chủ động tìm kiếm, nhận Intelligence - tình báo
EVN-HC11 diện các nguồn tấn công, mối đe dọa mới thông qua thông tin, chủ động thu
mạng lưới tình báo thông tin, thu thập, phân tích chủ thập, phân tích, nhận diện
động các thông tin đe dọa sớm các mối đe dọa
Một số hệ thống ứng dụng quan trọng phục vụ người
dùng nội bộ chỉ sử dụng 1 phương pháp xác thực như
Hệ thống xác thực mạnh
EVN-HC12 định danh người dùng và mật khẩu. Xác thực một
(2FA)
yếu tố tạo ra nguy cơ kẻ xấu vét cạn, dò tìm ra được
mật khẩu và chiếm quyền truy cập hệ thống
Dữ liệu nhạy cảm trong cơ sở dữ liệu không được mã
EVN-HC13 hóa, khi bị kẻ xấu tấn công có thể tiếp cận trái phép, Mã hóa CSDL quan trọng
đánh cắp và lộ lọt ra bên ngoài
Hệ thống chưa có biện pháp phòng, chống tấn công
tiên tiến có chủ đích (APT). Kẻ xấu có thể lên kế
Hệ thống chống tấn công
EVN-HC14 hoạch tấn công sử dụng malware mới được thiết kế
APT / Sandboxing
có chủ đích riêng với EVN mà các biện pháp bảo vệ
hiện tại có thể không phát hiện
EVNNLDC và các Trung tâm điều độ miền (ĐĐ)
Đối với hệ thống mạng văn phòng và CNTT
31
Môi trường phục vụ phát triển, kiểm thử và đào tạo

chưa được thực hiện tách biệt so với môi trường vận
hành hệ thống dẫn tới các rủi ro khi các hoạt động Phân chia vùng mạng
ĐĐ-HC01 trong môi trường kiểm thử, đào tạo ảnh hướng đến UAT/DEV trong mạng
các hoạt động của hệ thống thật, đồng thời chưa được CNTT
các quy định rõ ràng đảm bảo ATTT đối với môi
trường kiểm thử đào tạo này.
Chưa đảm bảo đầy đủ việc phân tách và kiểm soát
Phân lớp mạng vùng biên.
mạng theo chiều sâu (lớp biên, lớp core), đường kết
ĐĐ-HC02 Có FW bảo vệ vùng kết nối
nối Internet được kết nối vào thẳng lớp core chưa có
Internet
firewall bảo vệ
Mạng VP của A0 có kết nối ra Internet, người dùng
mạng LAN truy cập Internet vào các trang web xấu, Hệ thống WSG bảo vệ
ĐĐ-HC03 độc hại, tạo các rủi ro nhiễm mã độc spyware, người dùng mạng VP của
adware. A0 đã xây dựng biện pháp kiểm soát WSG, A0
tuy nhiên hệ thống này lại đặt bên mạng TTĐ
Hệ thống mạng chưa có khả năng phát hiện và giảm
thiểu các nguy cơ bị dò quét, tấn công trái phép.
Ngoài ra trong một số trường hợp có những tài
nguyên quan trọng (máy chủ, ứng dụng chuyên biệt)
không thể vá, cập nhật hoặc thay thế, đóng các lỗ
ĐĐ-HC04 Hệ thống IPS chuyên biệt
hổng quan trọng trong thời gian chờ hãng sản xuất
cung cấp bản vá hoặc không thể có bản vá lỗi. Hiện
tại A0 đang sử dụng hệ thống phòng, chống tấn công
xâm nhập được tích hợp cùng với hệ thống tường lửa
thế hệ mới.
Dữ liệu có khả năng bị thất thoát do chưa có cơ chế
ĐĐ-HC05 phòng, chống thất thoát dữ liệu ở các mức: mức Hệ thống DLP
người dùng cuối cũng như mức mạng, mức email
Chưa có Giải pháp đăng nhập một lần (SSO - Single
ĐĐ-HC06 Sign On) đảm bảo giảm thiểu các tác động vào hệ Hệ thống SSO
thống
Chưa thực hiện phân tích, giám sát và đưa ra cảnh
báo về các sự kiện an ninh dẫn tới khả năng khắc
ĐĐ-HC07 Hệ thống SIEM
phục, ứng phó với các sự cố ATTT chậm trễ đối với
mạng CNTT
Đối với hệ thống thị trường phát điện cạnh tranh
báo về các sự kiện an ninh dẫn tới khả năng khắc
ĐĐ-HC08 Hệ thống SIEM
phục, ứng phó với các sự cố ATTT chậm trễ đối với
mạng Thị trường phát điện cạnh tranh
ĐĐ - Đối với hệ thống ứng dụng trọng yếu thuộc mạng CNTT
Các tài khoản đặc quyền, tài khoản quản trị hệ thống
trong mạng CNTT không được quản lý, giám sát tạo
ĐĐ-HC09 Hệ thống PIM
các rủi ro về thay đổi cấu hình hệ thống, sửa đổi
quyền người dùng, nhật ký hệ thống bị sửa đổi
Đối với hệ thống TĐT ĐK
32

Khi hệ thống TĐH ĐK của Khối điều độ được kết
nối tới nhiều Hệ thống khác (Hệ thống TĐH ĐK của
các đơn vị/ Nhà máy; Hệ thống IT,...) chỉ sử dụng 1
ĐĐ-HC10 phương pháp xác thực/ chỉ sử dụng phương pháp xác Hệ thống 2FA
thực định danh - mật khẩu, dễ bị kẻ xấu tấn công vét
cạn mật khẩu nhằm truy cập trái phép vào hệ thống
đánh cắp thông tin dữ liệu nhạy cảm
Các tài khoản thuộc các hệ thống TĐH A0 không
được quản lý, giám sát tạo các rủi ro về thay đổi cấu
ĐĐ-HC11 Hệ thống PIM
hình hệ thống, sửa đổi quyền người dùng, nhật ký hệ
thống bị sửa đổi
Có rủi ro chưa giám sát, quản lý các hệ thống thuộc Hệ thống giám sát hệ thống
ĐĐ-HC12
mạng TĐH ĐK dựa vào các giao thức công nghiệp TĐHĐK
Chưa thực hiện quản lý tài sản (version, patching,…)
ĐĐ-HC13 Hệ thống quản lý tài sản
trong hệ thống tự động hóa điều khiển
Hệ thống PI (quản lý và
chuẩn hóa các giao thức
Hệ thống log của Viettel chỉ phân tích mạng trên IT,
công nghiệp). Do hệ thống
do đó sẽ mất thời gian, công sức, thậm chí không thể
ĐĐ-HC14 có nhiều thiết bị khác nhau,
được chuẩn hóa được log của các hệ thống công
nên cần phải sử dụng các hệ
nghiệp để đưa vào hệ thống SIEM của Viettel.
thống chuẩn hóa chuyên
dụng
Việc cắm USB vào hệ thống nhằm phục vụ việc trao
đổi thông tin, dữ liệu cấu hình hệ thống, cũng như
Hệ thống USB KIOS
ĐĐ-HC15 phục vụ việc cập nhật hệ thống chưa có các biện pháp
Scanner
kiểm soát kỹ thuật khiến cho hệ thống bị ảnh hưởng
nếu bị lây nhiễm mã độc từ USB
Các TCTĐL miền (PCm)
Đối với hệ thống mạng CNTT
Mạng Tổng công ty đã phân tách tương đối đầy đủ
tuy nhiên môi trường phục vụ phát triển, kiểm thử và
đào tạo chưa được thực hiện tách biệt so với môi
trường vận hành hệ thống dẫn tới các rủi ro khi các
PCm-HC01 Xây dựng vùng DEV, UAT
hoạt động trong môi trường kiểm thử, đào tạo ảnh
hướng đến các hoạt động của hệ thống thật, đồng thời
chưa được các quy định rõ ràng đảm bảo ATTT đối
với môi trường kiểm thử đào tạo này.
Mạng CTĐL là mạng phẳng chưa phân tách dẫn tới
PCm-HC02 việc khi kẻ xấu qua được mạng biên là có thể tác Phân tách hệ thống mạng
động vào tất cả các hệ thống trong đơn vị
PCm-HC03 Một số thiết bị IoT (công tơ) kết nối WAN về mạng Hệ thống kiểm soát thiết bị
các Điện lực quận/huyện chưa có kiểm soát dẫn tới IoT
33
rủi ro bị tấn công từ các thiết bị IoT vào hệ thống

WAN
Các máy chủ ứng dụng không được đặt tại đúng vị
trí phân hoạch. Ví dụ máy chủ cung cấp dịch vụ ra
Quy hoạch lại vùng mạng
PCm-HC04 bên ngoài đối tác/internet đặt tại mạng core thay vì
và hệ thống ứng dụng
mạng DMZ gây ra rủi ro các đối tượng bên ngoài có
thể truy cập thẳng vào bên trong hệ thống
Các CTĐL còn thiếu biện pháp kiểm soát mạng
WAN, nối về các Điện lực dẫn tới các rủi ro từ các FW bảo vệ mạng WAN tại
PCm-HC05
Điện lực tỉnh vào hệ thống mạng WAN của Tổng các CTĐL
công ty và ngược lại
Hệ thống Phát hiện và
PCm-HC06 phòng, chống xâm nhập
(IPS)
tại các Tổng công ty đang sử dụng hệ thống phòng,
chống tấn công xâm nhập được tích hợp cùng với hệ
thống tường lửa thế hệ mới.
Giải pháp ngăn ngừa thất
PCm-HC07 phòng, chống thất thoát dữ liệu ở các mức: mức
thoát dữ liệu (DLP)
Chưa có Giải pháp đăng nhập một lần (SSO- Single
Giải pháp đăng nhập một
PCm-HC08 Sign On) đảm bảo giảm thiểu các tác động vào hệ
lần (SSO- Single Sign On)
thống.
Hệ thống chưa có biện pháp phòng, chống tấn công
tiên tiến có chủ đích (APT). Kẻ xấu có thể lên kế Hệ thống chống tấn công
PCm-HC09 hoạch tấn công sử dụng malware mới được thiết kế APT / Sandboxing
có chủ đích riêng với EVN mà các biện pháp bảo vệ
hiện tại có thể không phát hiện
Đối với hệ thống TĐH ĐK
Các phân vùng mạng như Operation và EWS đã phân
nhóm tại các phòng khác nhau, tuy nhiên vẫn trong
PCm-HC10 Phân vùng mạng TĐH ĐK
cùng mạng phẳng và chưa có biện pháp kiểm soát
giữa các phân vùng
Chưa cung cấp công cụ để quản lý các tài khoản đặc
quyền (PIM) trong hệ thống điều độ. ETC thuộc
Hệ thống quản lý mật khẩu
PCm-HC11 EVNNPC đang có quyền truy cập, thay đổi cấu hình
hệ thống qua mạng, chưa có biện pháp kiểm soát
hành động ETC
Rủi ro các máy tính trong hệ thống TĐH ĐK bị lây Giải pháp phòng, chống mã
nhiễm mã độc do chưa trang bị EPS. Một số CTĐL độc/virus
PCm-HC12
và TBA, hệ thống cũ do đó khó có thể cài đặt các
phần mềm thuộc các bên thứ 3 vào hệ thống
34
Chỉ sử dụng 1 phương pháp xác thực/ chỉ sử dụng

phương pháp xác thực định danh - mật khẩu, dễ bị kẻ
xấu tấn công vét cạn mật khẩu nhằm truy cập trái Hệ thống xác thực mạnh
PCm-HC13
phép vào hệ thống đánh cắp thông tin dữ liệu nhạy (2FA)
cảm. Tuy nhiên do hệ thống tại các TBA cũ do khó
có thể cài đặt biện pháp xác thực mạnh (2FA)
Chưa tạo vùng đệm cho dữ liệu vào/ra hệ thống
PCm-HC14 Xây dựng vùng đệm
TĐH-ĐK (Replica/DAN);
Tại Các trạm Chưa áp dụng (BSG) hoặc biện pháp
PCm-HC15 bảo mật khác để bảo vệ trạm với mạng TT điều độ BSG/ FW tại các trạm
và TT điều khiển xa
Chưa cung cấp kênh làm việc an toàn cho đối tác hỗ
trợ (Remote Screen View-RSV) gây ra rủi ro khi các Kênh làm việc an toàn cho
PCm-HC16
đối tác có nhu cầu phối hợp làm việc từ xa mà lại đối tác
phải tác động vào hệ thống.
Chưa lưu lại nhật ký, chứng cứ của hệ thống TĐH-
PCm-HC17 ĐK (Log Management) nhằm quản lý, giám sát và Hệ thống Log Management
thu thập chứng cứ, điều tra về ATTT cho Hệ thống
PCm-HC18
mạng TĐH ĐK trong Trung tâm điều khiển TĐHĐK
PCm-HC19 Hệ thống quản lý tài sản
Do hệ thống TĐH ĐK có rất nhiều thiết bị và giao Hệ thống PI (quản lý và
PCm-HC20 thức công nghiệp khác nhau, dẫn đến các khó khăn chuẩn hóa các giao thức
khi quản lý, giám sát hệ thống công nghiệp).
PCm-HC21 phục vụ việc cập nhật hệ thống chưa có các biện pháp
Scanner
Đối với hệ thống ứng dụng trọng yếu
Thông tin dữ liệu nhạy cảm bị tiếp cận trái phép,
không đúng thẩm quyền do chưa có hình thức giám Hệ thống giám sát và bảo
PCm-HC22
sát, quản lý, phân mức độ nhạy cảm của dữ liệu trong vệ CSDL (DBS);
cơ sở dữ liệu.
không được quản lý, giám sát tạo các rủi ro về thay Hệ thống quản lý mật khẩu
PCm-HC23
đổi cấu hình hệ thống, sửa đổi quyền người dùng, đặc quyền (PIM)
nhật ký hệ thống bị sửa đổi
PCm-HC24 xấu tấn công vét cạn mật khẩu nhằm truy cập trái
(2FA)
phép vào hệ thống đánh cắp thông tin dữ liệu nhạy
cảm
35
Các TCTĐL TP Hà Nội, TP Hồ Chí Minh (PC)

trường vận hành hệ thống dẫn tới các rủi ro khi các
PC-HC01 Xây dựng UAT/ DEV
hoạt động trong môi trường kiểm thử, đào tạo ảnh
Mạng CTĐL là mạng phẳng chưa phân tách, chưa có
tường lửa kiểm soát dẫn tới việc kẻ tấn công có thể
PC-HC02 FW tại CTĐL
chỉ cần ở trong mạng WAN của Tổng công ty có thể
tấn công được bất cứ CTĐL chưa có kiểm soát nào
Thiếu FW bảo vệ LAN tại các Điện lực Quận/huyện,
PC-HC03
và tại trạm EVNHN
Kẻ xấu tấn công có chủ đích vào hệ thống, vượt qua
được các lớp phòng thủ của hệ thống mạng như
tường lửa, phòng, chống mã độc gây thất thoát dữ
liệu, tác động xấu tới hệ thống CNTT. Đối với Hệ thống chống tấn công có
PC-HC04
EVNHCMC, đã xây dựng hệ thống chống tấn công chủ đích APT
có chủ đích cho lớp mạng và email, tuy nhiên chưa
tích hợp vào endpoint, trong khi endpoint là mắt xích
yếu nhất trong các cuộc tấn công có chủ đích
Hệ thống chống thất thoát
PC-HC05 phòng, chống thất thoát dữ liệu ở các mức: mức
dữ liệu DLP
Biện pháp xác thực mạnh
PC-HC06 xấu tấn công vét cạn mật khẩu nhằm truy cập trái
(2FA)
cảm.
Chưa tạo vùng đệm cho dữ liệu vào/ra hệ thống Xác định và xây dựng vùng
PC-HC07
TĐH-ĐK (Replica/DAN); đệm
Tại các trạm chưa áp dụng (BSG) hoặc biện pháp bảo
PC-HC08 mật khác để bảo vệ trạm với mạng TT điều độ và TT BSG/ FW tại các trạm
điều khiển xa
trợ (Remote Screen View-RSV) gây ra rủi ro khi các Kênh làm việc an toàn cho
PC-HC09
đối tác có nhu cầu phối hợp làm việc từ xa mà lại đối tác
phải tác động vào hệ thống.
36

PC-HC10 ĐK (Log Managementt) nhằm quản lý, giám sát và Hệ thống Log Management
Chưa cung cấp công cụ để quản lý các tài khoản đặc
quyền (PIM) trong hệ thống điều độ, gây ra các rủi
PC-HC11 Hệ thống PIM
ro liên quan đến việc không quản lý được các hoạt
động của quản trị viên và người dùng trong hệ thống
PC-HC12
PC-HC13 Hệ thống quản lý tài sản
PC-HC14 thức công nghiệp khác nhau, dẫn đến các khó khăn chuẩn hóa các giao thức
PC-HC15 phục vụ việc cập nhật hệ thống chưa có các biện pháp
Scanner
PC-HC16 xấu tấn công vét cạn mật khẩu nhằm truy cập trái
(2FA)
cảm
EVNNPT (PT)
Mạng chưa phân tách đầy đủ (chưa phân tách vùng
App, DB), và chưa kiểm soát theo chiều sâu, chỉ có
FW kiểm soát mạng biên, chưa có FW core. Phân vùng mạng và bảo vệ
PT-HC01
theo chiều sâu
Tại một số đơn vị mạng phẳng, chưa phân tách các
vùng mạng (LAN, máy chủ, APP) qua FW kiểm soát
'Máy chủ ứng dụng không nằm đúng vùng mạng
phân hoạch. Email, Website public nằm mạng Server Quy hoạch lại vùng mạng
PT-HC02
bên trong, còn ứng dụng nội bộ nằm ở DMZ và được và hệ thống ứng dụng
public ra Internet
Hệ thống tường lửa mạng (FW) đã trang bị nhưng
vẫn thiếu như kiểm soát kết nối WAN (từ công ty
PTC về các đơn vị truyền tải). Mạng Wan được kết
PT-HC03 FW vùng mạng WAN
nối với rất nhiều đơn vị, do đó, tiềm ẩn rủi ro từ các
đơn vị kết nối vào mạng WAN của Công ty Truyền
tải điện.
37
Hệ thống mail có thể gặp phải những vấn đề về thư Hệ thống bảo vệ thư điện tử
PT-HC04
rác, spam, thư giả mạo, malware,.. MailSec
Người dùng mạng LAN truy cập Internet vào các
Hệ thống bảo vệ an toàn
PT-HC05 trang web xấu, độc hại, tạo các rủi ro nhiễm mã độc
truy cập Web (WSG)
spyware, adware
Đối với hệ điều hành Window, đối với các hệ điều
hành và ứng dụng khác, việc quản lý bản vá được
PT-HC06 Hệ thống quản lý bản vá
thực hiện bởi cán bộ quản trị, dẫn tới rủi ro không
kịp thời cập nhật bản vá, tồn tại điểm yếu hệ thống.
PT-HC07 Hệ thống IPS
tại đơn vị đang sử dụng hệ thống phòng, chống tấn
công xâm nhập được tích hợp cùng với hệ thống
tường lửa thế hệ mới.
Hệ thống ngăn ngừa thất
PT-HC08 phòng, chống thất thoát dữ liệu ở các mức: mức
Hệ thống đăng nhập một
PT-HC09 Sign On) đảm bảo giảm thiểu các tác động vào hệ
lần (SSO - Single Sign On)
thống.
Một số hệ thống ứng dụng quan trọng phục vụ người
dùng nội bộ chỉ sử dụng 1 phương pháp xác thực như
PT-HC10 định danh người dùng và mật khẩu. Xác thực một
(2FA)
yếu tố tạo ra nguy cơ kẻ xấu vét cạn, dò tìm ra được
mật khẩu và chiếm quyền truy cập hệ thống
Đối với hệ thống mạng IoT
Mạng Giám sát đo lường sử dụng chung router với
PT-HC11 mạng VP CNTT, tiềm ẩn các rủi ro từ mạng CNTT FW phân tách vùng mạng
tác động lên hệ thống mạng giám sát đo lường
Bảo vệ mạng giám sát đo
Các rủi ro bị tấn công từ các thiết bị đầu cuối (công
lường (công tơ, sensor
tơ, sensor TBA như đo dầu, đo tình trạng hoạt động
PT-HC12 TBA như đo dầu, đo tình
TBA, camera,..) có thể gây mất ATTT cho mạng
trạng hoạt động TBA,
giám sát đo lường
camera,…)
Mạng LAN IT tại TBA có kết nối Internet có nguy
PT-HC13 Hệ thống FW tại TBA
cơ cao nhưng chưa có FW bảo vệ
PT-HC14 Các phân vùng mạng như Operation và EWS đã phân FW phân tách vùng mạng
nhóm tại các phòng khác nhau, tuy nhiên vẫn trong
38
cùng mạng phẳng và chưa có biện pháp kiểm soát

giữa các phân vùng
Rủi ro các máy tính trong TBA bị lây nhiễm mã độc Giải pháp phòng, chống mã
do chưa trang bị EPS. Tại các TBA, hệ thống cũ do độc/virus tại TBA
PT-HC15
đó khó có thể cài đặt các phần mềm thuộc các bên
thứ 3 vào hệ thống
xấu tấn công vét cạn mật khẩu nhằm truy cập trái Hệ thống xác thực mạnh
PT-HC16
Chưa tạo vùng đệm cho dữ liệu vào/ra hệ thống
PT-HC17
TĐH-ĐK (Replica/DAN);
Nhu cầu chuyển dữ liệu từ các TBA về các đơn vị
nhằm giám sát và điều khiển xa khiến các rủi ro ảnh
PT-HC18 Hệ thống USG
hưởng trực tiếp tới hệ thống TĐH ĐK của TBA do
chưa có pháp bảo mật một chiều (USG)
Chưa áp dụng (BSG) hoặc biện pháp bảo mật khác
để kiểm soát tại cổng kết nối với WAN SCADA - Hệ thống BSG/ FW kết nối
PT-HC19
mạng có nguy cơ cao vì là mạng kết nối tất cả nhà tới WAN SCADA
máy EVN và ngoài EVN
Kẻ tấn công có thể tấn công vào các ứng dụng Web
PT-HC20 được public do chưa có Hệ thống tường lửa ứng dụng Hệ thống WAF
web (WAF)
Chưa có Chứng chỉ số, hạ tầng khóa (PKI). Có đơn
PT-HC21 Hạ tầng khóa PKI
vị Website public không dùng mã hóa
PT-HC22
sát, quản lý, phân mức độ nhạy cảm của dữ liệu trong vệ CSDL (DBS)
PT-HC23
Hệ thống quản lý sự kiện an
PT-HC24 báo về các sự kiện an ninh dẫn tới khả năng khắc
ninh mạng (SIEM)
phục, ứng phó với các sự cố ATTT chậm trễ
PT-HC25 xấu tấn công vét cạn mật khẩu nhằm truy cập trái
(2FA)
cảm
GENCOs (GEN)
39

trường vận hành hệ thống dẫn tới các rủi ro khi các Phân vùng mạng
GEN-HC01
hoạt động trong môi trường kiểm thử, đào tạo ảnh UAT/DEV
Kết nối từ hệ thống DIM với mạng TTĐ của A0 chưa
Hệ thống FW bảo vệ mạng
GEN-HC02 có biện pháp kiểm soát bảo vệ, khiến cho hệ thống
DIM tại các Nhà máy
gặp phải rủi ro về ATTT
Đối với hệ điều hành Window và đối với các hệ điều
GEN-HC03 Hệ thống quản lý bản vá.
GEN-HC04 phòng, chống thất thoát dữ liệu ở các mức: mức
GEN-HC05 Sign On) đảm bảo giảm thiểu các tác động vào hệ
thống.
Hệ thống bị ngưng trệ do không đảm bảo tính HA Đầu tư HA cho các giải
GEN-HC07
đối với các hệ thống đang vận hành trong mạng pháp.
Hệ thống công tơ có thể bị tấn công bằng cách tiếp
cận vật lý, hoặc bị tấn công khi công tơ có các kết Hệ thống bảo vệ các thiết bị
GEN-HC06
nối tới mạng IT, từ đó mạng Thị trường điện bị ảnh công tơ
hưởng
GEN-HC08 xấu tấn công vét cạn mật khẩu nhằm truy cập trái
(2FA)
cảm.
GEN-HC09 ĐK (Log Management) nhằm quản lý, giám sát và Hệ thống Log Management
Chưa cung cấp công cụ để quản lý các tài khoản
trong hệ thống điều độ, gây ra các rủi ro liên quan
GEN-HC10 Hệ thống PIM
đến việc không quản lý được các hoạt động của quản
trị viên và người dùng trong hệ thống
40
Kênh làm việc an toàn cho
GEN-HC11 trợ gây ra rủi ro khi các đối tác có nhu cầu phối hợp
đối tác
làm việc từ xa mà lại phải tác động vào hệ thống.
Rủi ro gây mất ATTT khi các kết nối từ các Nhà máy
về mạng SCADA của A0 không có bảo vệ. Tại Hệ thống FW bảo vệ giữa
GEN-HC12 Genco2, các dự án chuyển đổi từ giao thức 101 sang mạng OT của NM về mạng
giao thức 104 đã xác định và xây dựng hệ thống FW SCADA của A0
trong yêu cầu đảm bảo ATTT
GEN-HC13
GEN-HC14 Hệ thống quản lý tài sản
GEN-HC15 thức công nghiệp khác nhau, dẫn đến các khó khăn chuẩn hóa các giao thức
GEN-HC16 phục vụ việc cập nhật hệ thống chưa có các biện pháp
Scanner
Nhà máy đa mục tiêu (NM)
Mạng đã phân tách nhưng chưa phân tích đầy đủ Phân tách vùng APP,
NM-HC01
(chưa phân tách app, CSDL, DEV, UAT,..) CSDL, DEV/APP
Các máy chủ ứng dụng không được đặt tại đúng vị
Phân vùng cho các hệ thống
trí phân hoạch. Ví dụ máy chủ cung cấp dịch ra bên
NM-HC02 ứng dụng theo tiêu chuẩn,
ngoài đối tác/internet đặt tại mạng core thay vì mạng
vị trí phân hoạch
DMZ
Hệ thống tường lửa mạng (FW) đã trang bị nhưng
vẫn Thiếu như kiểm soát kết nối WAN về chi nhánh,
Hệ thống FW kết nối về các
NM-HC03 có những đường kết nối internet Chưa có bảo vệ
chi nhánh
(đường kết nối truyền dữ liệu bão lũ nhà máy Tuyên
Quang)
Hệ thống mail có thể gặp phải những vấn đề về thư Hệ thống bảo vệ thư điện tử
NM-HC04
rác, spam, thư giả mạo, malware,.. (Mail-Sec)
Người dùng mạng LAN truy cập Internet vào các
Hệ thống bảo vệ an toàn
NM-HC05 trang web xấu, độc hại, tạo các rủi ro nhiễm mã độc
truy cập Web (WSG)
spyware, adware
Đối với hệ điều hành Window và đối với các hệ điều
NM-HC06 Hệ thống quản lý bản vá
41

NM-HC07 Hệ thống IPS
tại đơn vị đang sử dụng hệ thống phòng, chống tấn
công xâm nhập được tích hợp cùng với hệ thống
tường lửa thế hệ mới.
NM-HC08 xấu tấn công vét cạn mật khẩu nhằm truy cập trái
(2FA)
cảm.
NM-HC09 phòng, chống thất thoát dữ liệu ở các mức: mức
NM-HC010 Sign On) đảm bảo giảm thiểu các tác động vào hệ
thống.
Các phân vùng mạng như Operation và EWS đã phân
nhóm tại các phòng khác nhau, tuy nhiên vẫn trong Phân tách vùng mạng và
NM-HC011
cùng mạng phẳng và chưa có biện pháp kiểm soát kiểm soát giữa các vùng
giữa các phân vùng mạng
Rủi ro các máy tính trong TBA bị lây nhiễm mã độc Giải pháp phòng, chống mã
do chưa trang bị EPS. Tại các TBA, hệ thống cũ do độc/virus tại TBA
NM-HC012
đó khó có thể cài đặt các phần mềm thuộc các bên
thứ 3 vào hệ thống
xấu tấn công vét cạn mật khẩu nhằm truy cập trái Biện pháp xác thực mạnh
NM-HC013
Chưa tạo vùng đệm cho dữ liệu vào/ra hệ thống TĐH
NM-HC14 ĐK (DMZ) khiến cho kẻ tấn công có thể vào thẳng Xây dựng vùng đệm kết nối
hệ thống TĐH ĐK khi có kết nối dữ liệu
Các đơn vị có nhu cầu kết nối mạng OT và mạng IT
phục vụ giám sát, báo cáo và các hoạt động cập nhật
NM-HC15 hệ thống, vận hành sửa chữa, tuy nhiên chưa có biện Hệ thống USG
pháp kiểm soát đảm bảo cách ly giữa hệ thống OT và
IT triệt để
42
Chưa áp dụng (BSG) hoặc biện pháp bảo mật khác

để kiểm soát tại cổng kết nối với WAN SCADA -
NM-HC16
mạng có nguy cơ cao vì là mạng kết nối tất cả nhà
máy EVN và ngoài EVN Hệ thống BSG/FW
Máy tính vận hành sử dụng chung một tài khoản cho Tách tài khoản và Hệ thống
NM-HC17 nhiều ca trực khác nhau dẫn đến việc khó phân tách quản lý tài khoản đặc quyền
trách nhiệm PIM
NM-HC18 trợ gây ra rủi ro khi các đối tác có nhu cầu phối hợp Kênh làm việc an toàn cho
làm việc từ xa mà lại phải tác động vào hệ thống. đối tác
ĐK (Log Management) nhằm quản lý, giám sát và
NM-HC19 thu thập chứng cứ, điều tra về ATTT cho Hệ thống. Hệ thống Log Management
Log thuộc máy chủ HIS nhằm đảm bảo cho các hoạt
động vận hành
Đối với hệ thống Thị trường phát điện cạnh tranh
Mạng hệ thống đo đếm được dùng chung với hệ
NM-HC020 thống IT gây ra các rủi ro khi Kẻ tấn công tấn công
từ mạng Internet vào mạng đo đếm
Kẻ tấn công có thể tấn công vào các ứng dụng Web
NM-HC021 được public do chưa có Hệ thống tường lửa ứng dụng Hệ thống WAF
web (WAF)
NM-HC022
sát, quản lý, phân mức độ nhạy cảm của dữ liệu trong vệ CSDL (DBS)
NM-HC023
Hệ thống quản lý sự kiện an
NM-HC024 báo về các sự kiện an ninh dẫn tới khả năng khắc
ninh mạng (SIEM)
phục, ứng phó với các sự cố ATTT chậm trễ
NM-HC025 phương pháp xác thực định danh - mật khẩu, dễ bị kẻ Chưa trang bị Hệ thống xác
xấu tấn công vét cạn mật khẩu nhằm thực mạnh (2FA)
43
CÁC BIỆN PHÁP KIỂM SOÁT ĐẢM BẢO ATTT

Nhằm đảm bảo cập nhật kiến trúc theo xu hướng công nghệ, nâng cao tính bảo
mật cho hệ thống thông tin của EVN, ngoài việc xem xét tham khảo các tiêu chuẩn
quốc tế, đưa vào các biện pháp kiểm soát mới, thay thế hoặc nâng cao hơn và phù
hợp với hiện trạng các hệ thống tại các đơn vị, các thiết kế được đưa vào Đề án
giai đoạn mới vẫn đảm bảo tuân thủ các quy định, luật định mà EVN và các đơn vị
trực thuộc phải tuân thủ. Các văn bản được tham chiếu, lấy làm cơ sở để Tư vấn
xây dựng đề án bao gồm: Quy định số 99/QĐ-EVN, Nghị định số 86/2016/NĐ-CP
về đảm bảo an toàn HTTT theo cấp độ, tiêu chuẩn Quốc gia TCVN 11930:2017.
Nguyên tắc thiết kế và đề xuất yêu cầu
III.1.1. Cơ sở đáp ứng các yêu cầu của Đề án
Dựa trên các yêu cầu được đưa ra trong Phần I.4. Phạm vi, quy mô, Đề án đề
xuất các thiết kế và biện pháp kiểm soát nhằm đáp ứng các yêu cầu trên như sau:
- Đề xuất các biện pháp kiểm soát bổ sung nhằm cập nhật và hoàn thiện hệ
thống Quản lý ATTT, bao gồm yêu cầu về Con người, Quy định/Chính sách đảm
bảo ATTT. Đồng thời, bổ sung danh mục các quy định, yêu cầu dựa trên cơ sở tiêu
chuẩn ISO 27001:2022 phiên bản mới ban hành.
- Hiệu chỉnh, bổ sung và hoàn thiện thiết kế định hướng cho hệ thống IT, OT,
VTDR cho mỗi nhóm đơn vị (TCTĐL, GENCOs, EVNNPT, Trung tâm Điều độ,
EVNICT, các Công ty phát điện/NMĐ trực thuộc EVN), trên cơ sở kế thừa và phát
huy các nội dung Đề án 758 đã đạt được và hiện trạng tại các đơn vị.
- Xây dựng, bổ sung và cập nhật đề xuất kỹ thuật đảm bảo ATTT cho hệ thống
OT/SCADA/EMS/DCS/SAS tại các NMĐ, TBA tại mỗi nhóm đơn vị.
- Đối với hệ thống IT: xây dựng thiết kế định hướng Private Cloud và các biện
pháp kiểm soát tương ứng. Trường hợp chưa thể chuyển đổi, vẫn duy trì và cập
nhật thiết kế truyền thống và các biện pháp kiểm soát phù hợp.
- Đối với OT/VTDR: đã cập nhật, sửa đổi mô hình thiết kế, bổ sung các biện
pháp kiểm soát phù hợp với hiện trạng các đơn vị sau khảo sát.
III.1.2. Nguyên tắc thiết kế hệ thống IT
Xu hướng hiện nay, người dùng làm việc từ xa, sử dụng đồng thời nhiều phương
tiện di động như laptop, mobile, máy tính bảng; Trung tâm dữ liệu chuyển đổi
thành Private Cloud, một phần ứng dụng và dữ liệu cũng chuyển lên public cloud.
Các đối tượng này ở mọi nơi và không còn nằm trong vành đai bảo vệ cố định
trong TTDL/Văn phòng nữa. Chính vì tính chất di động (mobility) và sẵn sàng mọi
nơi đã thúc đẩy kiến trúc bảo mật mới Zero-trust. Kiến trúc này lần đầu được tổ
chức Forrester đưa ra năm 2014 và NIST cũng hướng dẫn về mô hình này trong
phiên bản NIST SP 800-207 năm 2020. Kiến trúc Zero-trust nhằm đảm bảo mọi
đối tượng như con người, tài sản hệ thống luôn được kiểm soát dù bất kể ở trạng
44
thái, vị trí và hình thức nào. Các đối tượng sau cần được kiểm soát dù ở bất kể
trạng thái, vị trí và hình thức nào, cụ thể là: (i) Con người/User; (ii) Thiết bị; (iii)
Network; (iv) Workload (máy chủ, ứng dụng, máy ảo, Container,…); (v) Dữ liệu.
Từ hiện trạng thực tế các hệ thống tại EVN và các đơn vị, sự phát triển và tính
ứng dụng cao, việc thiết kế kiến trúc bảo mật cho các hệ thống CNTT của EVN và
các đơn vị dựa trên triết lý Zero-trust. Kiến trúc mới bao gồm các phân vùng tổng
thể (thiết kế phù hợp với hiện trạng của các đơn vị):
TTDL/Private Cloud: là nơi vận hành các ứng dụng chính của EVN và các
đơn vị. Hạ tầng mạng, bảo mật và máy chủ cần được ảo hóa giúp tối ưu về tài
nguyên và chi phí.
Public Cloud: một phần ứng dụng và dữ liệu có thể chuyển lên Public cloud
nhằm giảm bớt áp lực về đầu tư và quản lý hạ tầng, tăng cường tính sẵn sàng. Ứng
dụng và dữ liệu trên Public cloud cần được bảo vệ bởi các giải pháp Cloud Security
do nhà cung cấp dịch vụ cloud hoặc bên thứ ba cung cấp.
Mobile User: người dùng di động làm việc từ xa, có thể truy cập dịch vụ và dữ
liệu tại TTDL/Private Cloud hoặc Public Cloud từ bất kì nơi đâu, song vẫn đảm
bảo các biện pháp kiểm soát ATTT cho người dùng. Các giải pháp trên cloud như
Dịch vụ truy cập vùng biên an toàn (SASE - Secure Access Service Edge), thay
thế cho VPN truyền thống, cung cấp dịch vụ truy cập từ xa đồng thời bảo vệ người
dùng di động.
Mạng Văn phòng: mạng LAN người dùng tại văn phòng.
Các hệ thống TĐH ĐK được thiết kế đảm bảo ATTT theo mô hình bảo mật
chiều sâu (Defense-in-Depth) phù hợp với thực tế hệ thống điều khiển của các đơn
vị.
III.1.3. Nguyên tắc thiết kế hệ thống TĐH ĐK (Hệ thống OT)
Với yêu cầu đặc thù về yêu cầu thiết kế và bảo mật đối với hệ thống OT, duy
trì thiết kế đảm bảo ATTT theo mô hình bảo mật chiều sâu (Defense-in-Depth),
đồng thời sửa đổi, hoàn thiện mô hình đề xuất để phù hợp với thực tế hệ thống điều
khiển của các đơn vị.
III.1.3.a. Đối với hệ thống tự động hóa TBA (SAS)
Kiến trúc an ninh cho hệ thống tự động hóa TBA (SAS) được phân tầng từ thấp
lên cao, các lớp càng thấp càng có mức bảo vệ cao, các lớp càng cao hơn càng có
nguy cơ cao như sau:
Lớp lõi:
Lớp 0: các thiết bị trường – Field devices.
Lớp 1: các thiết bị điều khiển trường – Field controllers như RTU, PLC,…v.v.
45
Lớp 3: lớp điều khiển – phòng điều khiển gồm các máy tính HMI, máy chủ điều
khiển, máy chủ HIS, máy tính kỹ thuật EWS.
Lớp trung gian/gateway:
Lớp 4: các vùng mạng trung gian, mạng giao tiếp với bên ngoài.
- Gateway: các gateway giao tiếp, nhận và gửi số liệu với hệ thống điều khiển
ngoài, tới TTĐKX.
- Mạng trung gian: các máy tính, máy chủ, thiết bị được triển khai mới ngoài hệ
thống điều khiển như máy phục vụ giám sát và bảo vệ ATTT hệ thống điều khiển
cần được đặt ở vùng mạng này, phân tách với các lớp mạng điều khiển vận hành
TBA.
Đối với hệ thống giám sát điều khiển nhà máy (DCS)
Kiến trúc an ninh cho hệ thống DCS được phân tầng từ thấp lên cao, các lớp
càng thấp càng có mức bảo vệ cao, các lớp càng cao hơn càng có nguy cơ cao như
sau:
Lớp lõi DCS:
Lớp 0: các thiết bị trường – Field devices.
Lớp 1: các thiết bị điều khiển thiết bị trường – Field controllers như RTU,
PLC,…v.v.
Lớp 2: các máy tính giao diện người máy nội bộ (local HMI) điều khiển trực
tiếp nhóm các thiết bị trường.
Lớp 3: lớp điều khiển trung tâm (Control Center) – phòng điều khiển trung tâm,
gồm các máy HMI, máy chủ điều khiển, HIS, máy vận hành, máy cấu hình (EWS).
Lớp đệm/SCADA gateway
Lớp 4: các vùng mạng đệm, mạng giao tiếp với bên ngoài.
SCADA GW: các gateway giao tiếp, nhận và gửi số liệu với hệ thống điều khiển
ngoài, như Mini SCADA tới TTĐKX của Tổng công ty (nếu có), EVN SCADA
tới Trung tâm Điều độ (Ax).
Mạng trung gian: các máy tính, máy chủ, thiết bị được triển khai mới ngoài hệ
thống DCS như các thiết bị bảo mật, backup,… các truy cập hệ thống DCS từ đối
tác, đơn vị dịch vụ ngoài cần sử dụng máy trung gian từ mạng này.
Lớp mạng cung cấp số liệu DCS ra ngoài / Replica (nếu có kết nối cung cấp số
liệu ra ngoài hệ thống) – thông qua giải pháp truyền dữ liệu một chiều USG/Data
Diode, các máy chủ replica chứa dữ liệu là bản sao, đồng bộ với các dữ liệu trên
các máy chủ của hệ thống DCS. Các hệ thống bên ngoài (CNTT) kết nối với các
máy chủ Replica để lấy các số liệu của hệ thống DCS.
46
III.1.3.b. Đối với hệ thống TTĐKX

Kiến trúc an ninh cho hệ thống TTĐKX được phân tầng từ thấp lên cao, các lớp
càng thấp càng có mức bảo vệ cao, các lớp càng cao hơn càng có nguy cơ cao hơn
như sau:
Lớp lõi:
Lớp 3: lớp điều khiển trung tâm (Control Center) – phòng điều khiển trung tâm,
gồm các máy HMI, máy chủ điều khiển, HIS, máy vận hành, máy cấu hình (EWS).
Lớp đệm/ gateway:
Lớp 4: các vùng mạng đệm, mạng giao tiếp với bên ngoài
Vùng mạng huấn luyện, mô phỏng (Simulation).
Gateway: các gateway giao tiếp mạng OT WAN, nhận/gửi số liệu với các TBA.
Mạng trung gian: các máy tính, máy chủ, thiết bị được triển khai mới ngoài hệ
thống điều khiển như máy phục vụ giám sát và bảo vệ ATTT hệ thống điều khiển
cần được đặt ở vùng mạng này, phân tách với các lớp mạng điều khiển vận hành
hệ thống.
Lớp mạng cung cấp số liệu ra ngoài / Replica (nếu có kết nối cung cấp số liệu
ra ngoài hệ thống) – thông qua giải pháp truyền dữ liệu một chiều USG/Data Diode,
các máy chủ replica chứa dữ liệu là bản sao, đồng bộ với các dữ liệu trên các máy
chủ của hệ thống điều khiển. Các hệ thống bên ngoài (CNTT) kết nối với các máy
chủ Replica để lấy các số liệu của hệ thống điều khiển.
Lớp mạng cung cấp số liệu ra bên ngoài (Replica) phải được phân tách với các
lớp mạng điều khiển bằng giải pháp kiểm soát dữ liệu một chiều USG/Data Diode.
Kiến trúc thiết kế chi tiết cho các khối đơn vị được trình bày tại các mục từ III.2
đến III.8.
III.1.4. Nguyên tắc đề xuất các yêu cầu về Quản lý ATTT
III.1.4.a. Biện pháp kiểm soát liên quan đến con người
i) Phân tách vai trò, trách nhiệm về ATTT (QL01)
Từ các vấn đề trên, các đơn vị cần xác định, xây dựng mô hình tổ chức nhân sự
quản lý ATTT nhằm thực hiện các công việc sau:
- Đảm bảo số lượng nhân sự vận hành HTTT, quản lý ATTT, đánh giá ATTT
phù hợp với năng lực hệ thống.
- Xác định nhân sự phù hợp và phân công vị trí công việc phù hợp với từng
nhân sự đảm bảo tách biệt công việc quản trị, chuyên trách ATTT, đánh giá ATTT.
- Xây dựng/rà soát/hoàn thiện nội dung phân công vai trò, trách nhiệm cụ thể
đối với các vị trí công việc bao gồm:
47
Cán bộ quản lý chung

hệ thống thông tin
Nhân sự phụ Nhân sự phụ

Nhân sự phụ
trách quản trách đánh
trách đảm
trị, vận hành giá ATTT,
bảo an toàn
hệ thống kiểm soát
thông tin
thông tin tuân thủ
Hình 5. Mô hình phân công vai trò trách nhiệm về ATTT tại các nhóm đơn vị
- Nhân sự quản trị, vận hành HTTT:
a) Đầu mối triển khai, xây dựng hệ thống giải pháp đảm bảo ATTT cho đơn vị;
b) Vận hành, quản lý, duy trì hệ thống ATTT, CNTT, TĐH ĐK, VTDR theo các
quy trình quy định có liên quan;
c) Tiếp nhận, phối hợp với nhân sự chuyên trách về ATTT và các nhân sự khác
có liên quan xây dựng, cải tiến các quy trình, tài liệu hướng dẫn vận hành;
d) Phối hợp với nhân sự chuyên trách đảm bảo ATTT tìm hiểu, nghiên cứu và
đề xuất các giải pháp đảm bảo ATTT cho hệ thống CNTT của đơn vị;
e) Phối hợp với thành viên được phân công đánh giá ATTT, kiểm soát tuân thủ
thực hiện, xử lý, khắc phục các vấn đề về ATTT có liên quan tới quá trình vận hành
f) Tham gia các khóa đào tạo về nhận thức ATTT, khóa đào tạo năng lực chuyên
môn theo nhiệm vụ được phân công;
g) Thực hiện các nhiệm vụ khác do Lãnh đạo phân công.
- Nhân sự chuyên trách đảm bảo ATTT:
a) Xây dựng chiến lược về ATTT, cập nhật các xu thế, ứng dụng mới về ATTT
trong lĩnh vực Cơ sở hạ tầng trọng yếu;
b) Nghiên cứu, đề xuất các xu thế, ứng dụng, giải pháp đảm bảo ATTT với Lãnh
đạo phụ trách CNTT, TĐH ĐK, VTDR;
c) Xây dựng nội dung, kế hoạch tuyên truyền, đào tạo nhận thức về ATTT cho
toàn bộ CBNV tại đơn vị;
d) Tham gia các khóa đào tạo về nhận thức ATTT, khóa đào tạo năng lực chuyên
e) Quy hoạch, xây dựng các chính sách, quy trình, quy định, hướng dẫn về đảm
bảo ATTT cho đơn vị;
f) Giám sát, theo dõi, phân tích nhật ký an ninh của hệ thống CNTT;
g) Theo dõi, phản ứng và khắc phục với các sự cố ATTT xảy ra trong đơn vị;
48
h) Phối hợp với Nhân sự quản trị, vận hành HTTT khắc phục các sự cố xảy ra
đối với hệ thống CNTT;
i) Phối hợp với các đơn vị chuyên trách bên ngoài để xử lý, khắc phục các sự cố
ATTT;
j) Thực hiện các nhiệm vụ khác do Lãnh đạo phân công.
- Nhân sự chuyên trách thực hiện đánh giá ATTT, kiểm soát tuân thủ:
a) Xây dựng quy trình, quy định đánh giá ATTT, kiểm soát tuân thủ, diễn tập
ATTT đối với các hệ thống thuộc phạm vi quản lý của đơn vị
b) Xây dựng, triển khai kế hoạch thực hiện diễn tập, dò quét điểm yếu, đánh giá
rủi ro ATTT, đánh giá nội bộ và kiểm soát tuân thủ hệ thống CNTT, TĐH ĐK,
VTDR tại đơn vị lên Ban lãnh đạo;
c) Định kỳ đánh giá dò quét điểm yếu, kiểm thử xâm nhập các hệ thống thông
tin thuộc phạm vi quản lý của đơn vị và báo cáo kết quả lên Ban lãnh đạo
d) Phối hợp với các bên liên quan xử lý các rủi ro công nghệ liên quan tới việc
dò quét điểm yếu, đánh giá rủi ro ATTT;
e) Nghiên cứu, tìm hiểu, cập nhật liên tục các điểm yếu, rủi ro về ATTT;
f) Phối hợp với Nhân sự chuyên trách đảm bảo ATTT đưa các nội dung liên
quan đến những điểm yếu, rủi ro ATTT nổi cộm vào chương trình đào tạo nhận
thức ATTT.
g) Tham gia các khóa đào tạo về nhận thức ATTT, khóa đào tạo năng lực chuyên
h) Thực hiện các nhiệm vụ khác do Tổ trưởng và Ban lãnh đạo phân công.
ii) Tuyển dụng nhân sự (QL02)
- Rà soát, xem xét bổ sung số lượng nhân sự vận hành, quản trị HTTT trên số
lượng hệ thống thực tế đảm bảo hoạt động vận hành không bị gián đoạn.
- Rà soát, xem xét bổ sung nhân sự chuyên trách đảm bảo ATTT tương thích
với số lượng nhân sự quản trị, vận hành HTTT.
- Rà soát, xem xét bổ sung nhân sự chuyên trách thực hiện đánh giá rủi ro ATTT,
kiểm soát tuân thủ chính sách, quy trình quy định tại nội bộ đơn vị.
- Khuyến nghị yêu cầu năng lực đối với nhân sự chuyên trách như sau:
- Nhân sự quản trị, vận hành HTTT:
a) Tốt nghiệp hệ chính quy các trường Đại học trong nước hoặc nước ngoài;
b) Chuyên ngành đào tạo: CNTT, Toán tin, Điện tử viễn thông, Tự động hóa
hoặc tương đương;
c) Có kinh nghiệm quản trị, vận hành các HTTT như hệ thống CNTT (mạng,
máy chủ, CSDL, ứng dụng...), hệ thống TĐH ĐK, hệ thống VTDR;
d) Có hiểu biết chuyên môn về các hệ điều hành như Windows Server, Linux...,
hệ thống mạng, các hệ thống tự động hóa, hệ thống điện toán đám mây;
49
e) Có chứng nhận hoàn thành khóa học hoặc chứng chỉ liên quan tới hãng, giải
pháp được phân công như: CCSA, CCSE, MCSA, MCSE… hoặc các chứng chỉ
tương đương.
- Nhân sự chuyên trách đảm bảo ATTT:
c) Có kinh nghiệm trong việc xây dựng các kế hoạch ngắn, trung và dài hạn
trong lĩnh vực CNTT, ATTT,…;
d) Có các chứng nhận hoàn thành khóa học hoặc chứng chỉ liên quan như:
CISSP, PCI DSS, CISM, chứng chỉ liên quan tới quản lý dự án như PMP, Project+,
ITIL… hoặc các chứng chỉ tương đương;
e) Có kinh nghiệm trong việc xây dựng hệ thống quy trình, quy định tuân thủ
các tiêu chuẩn như ISO 27001:2013 và các quy định của Pháp luật về ATTT như
Luật An ninh mạng, Luật An toàn thông tin mạng và các Nghị định, Thông tư
hướng dẫn liên quan;
f) Có các chứng nhận hoàn thành khóa học hoặc chứng chỉ liên quan tới ATTT
như CISSP, Security+, CHFI… hoặc các chứng chỉ tương đương;
g) Có kinh nghiệm giám sát, quản lý nhật ký an ninh hệ thống CNTT;
h) Có chứng nhận hoàn thành khóa học hoặc chứng chỉ liên quan tới giám sát hệ
thống, phản ứng và khắc phục sự cố như Server +, CISSP, CEH, LPI… hoặc các
chứng chỉ tương đương.
- Nhân sự chuyên trách thực hiện đánh giá ATTT, kiểm soát tuân thủ:
c) Có kinh nghiệm trong hoạt động đánh giá an ninh bảo mật, dò quét điểm yếu,
đánh giá rủi ro ATTT, kiểm soát tuân thủ ATTT;
d) Có hiểu biết chuyên môn về mã độc, webshell..., Pentest;
e) Có chứng nhận hoàn thành khóa học hoặc chứng chỉ liên quan tới đánh giá,
kiểm thử hệ thống như CEH, PenTest+, CPT… hoặc các chứng chỉ tương đương;
f) Có chứng nhận hoàn thành khóa học hoặc chứng chỉ liên quan tới quản trị rủi
ro như CRISC, CHFI, Security+ … hoặc các chứng chỉ tương đương;
g) Có chứng chỉ liên quan tới đánh giá nội bộ như ISO 27001:2013 Lead Auditor,
Internal Auditor - ISO/IEC 27001:2013 Information Security Management,
CISSP, CISA …v.v hoặc các chứng chỉ tương đương.
iii) Đào tạo nhận thức về ATTT định kỳ (QL03)
- Đối với các cán bộ, nhân viên nói chung:
50
 Xây dựng các kế hoạch đào tạo về ATTT cho các cán bộ, nhân viên nhằm
nâng cao ý thức, trách nhiệm, kiến thức cơ bản và kỹ năng ATTT;
 Việc đào tạo nhận thức về ATTT phải được thực hiện định kỳ hàng năm
nhằm đảm bảo tính liên tục của các hoạt động ATTT;
 Tất cả các cán bộ, nhân viên cần đọc và hiểu rõ các vấn đề được quy định
trong các quy định ATTT;
 Cá nhân sử dụng hệ thống CNTT đều phải tuân thủ các yêu cầu được đề
cập đến trong Quy chế, quy định ATTT.
- Nội dung đào tạo nhận thức ATTT bao gồm nhưng không giới hạn các nội
dung sau:
Tổng quan về ATTT;
 Hiện trạng ATTT tại đơn vị, Việt Nam cũng như trên thế giới;
 Các quy trình, quy định, chính sách đảm bảo ATTT người dùng cần tuân
thủ;
 Các vấn đề ATTT có thể gặp phải đối với người dùng;
 Khuyến nghị đảm bảo ATTT đối với người dùng.
(Chi tiết tham khảo Phụ lục 04)
- Sau mỗi khóa huấn luyện nhận thức, huấn luyện đặc biệt về ATTT, cần có các
cơ chế kiểm tra, đánh giá mức độ hiểu, nắm bắt được các thông tin thu được từ
khóa học, đồng thời có các cơ chế khen thưởng để khuyến khích các cán bộ, nhân
viên tham gia các khóa học một cách đầy đủ và trách nhiệm.
iv) Đào tạo chuyên môn về ATTT (Hệ thống CNTT) (QL04)
Đối với vai trò quản lý đảm bảo ATTT
- Nhân sự được phân công bắt buộc phải tham gia các lớp nhận thức tối thiểu
bao gồm: các lớp đào tạo chuyển giao hệ thống quản lý ATTT, các tiêu chuẩn
ATTT áp dụng đối với hệ thống CNTT, hệ thống quản lý ATTT.
- Đội ngũ cán bộ quản lý CNTT/ATTT phải thường xuyên được huấn luyện về
các lỗ hổng, nguy cơ về ATTT và sản phẩm ATTT.
- Tham gia và hoàn thành các khóa đào tạo chuyên môn bao gồm nhưng không
giới hạn những nội dung sau:
 Đào tạo triển khai, vận hành, duy trì, cải tiến hệ thống quản lý ATTT tuân
thủ tiêu chuẩn ISO 27001.
 Đào tạo nhận thức ATTT tổng thể thông qua các khóa học chứng nhận quốc
tế như Security+, ITIL Foundation, Certified Ethical Hacker...v.v.
Đối với vai trò quản trị, vận hành giải pháp ATTT
- Cần thực hiện các khóa huấn luyện nâng cao về ATTT để giảm thiểu rủi ro
của các sự cố về ATTT cho đội ngũ quản trị, vận hành các hệ thống sản xuất và hệ
thống văn phòng.
51
- Đội ngũ cán bộ quản trị, vận hành CNTT/ATTT phải thường xuyên được huấn
luyện về các lỗ hổng, nguy cơ về ATTT và sản phẩm ATTT.
- Bắt buộc tham gia các khóa đào tạo chuyển giao công nghệ, giải pháp ATTT
tại đơn vị.
 Đào tạo nhận thức ATTT tổng thể thông qua các khóa học chứng nhận quốc
tế như Security+, Certified Ethical Hacker...;
 Đào tạo chứng chỉ giải pháp an ninh bảo mật quốc tế như CCSP, CCSE,
PCNSA, PGCET, Network+, ECSA...;
 Đào tạo vận hành, triển khai các giải pháp ATTT như Firewall, IPS/IDS,
AntiVirus, PIM/PAS...v.v.
Đối với vai trò đánh giá ATTT, kiểm soát tuân thủ ATTT
- Cán bộ, nhân viên đánh giá nội bộ về tuân thủ ATTT cần hiểu rõ về quy trình
đánh giá tuân thủ ATTT, các nguyên tắc thực hiện, các yêu cầu đối với đánh giá
viên nội bộ.
- Đội ngũ cán bộ quản trị, vận hành CNTT/ATTT phải thường xuyên được huấn
- Tham gia các khóa đào tạo kỹ năng đánh giá rủi ro ATTT, kiểm soát tuân thủ
ATTT bao gồm nhưng không giới hạn như ISO 27005, ISO 31000, Kỹ năng đánh
giá nhân viên nội bộ, Internal Audit ISO 27001, Lead Auditor ISO 27001...
- Tham gia các khóa đánh giá an ninh bảo mật, dò quét điểm yếu bao gồm nhưng
không giới hạn như Top 10 OWASP, CEH, CHFI, Security +, Pentest +,...v.v.
- Sau mỗi khóa huấn luyện nhận thức, huấn luyện đặc biệt về ATTT, cần có các
cơ chế kiểm tra, đánh giá mức độ hiểu, nắm bắt được các thông tin thu được từ
khóa học, đồng thời có các cơ chế khen thưởng để khuyến khích các cán bộ, nhân
viên tham gia các khóa học một cách đầy đủ và trách nhiệm.
v) Đào tạo chuyên môn về ATTT đối với Hệ thống OT (QL05)
- Cần thực hiện các khóa huấn luyện nâng cao về ATTT để giảm thiểu rủi ro
của các sự cố về ATTT cho đội ngũ quản trị, vận hành các hệ thống sản xuất.
- Đội ngũ cán bộ quản lý ATTT hệ thống OT phải thường xuyên được huấn
- Bắt buộc tham gia các khóa đào tạo chuyển giao công nghệ, giải pháp ATTT
hệ thống OT.
52
+ Tham gia các khóa đào tạo ATTT chuyên môn đối với hệ thống OT như
CSSA, GICSP, GRID, GCIP...
+ Tham gia các khóa đào tạo ATTT cơ bản đối với hệ thống OT như
ICS/SCADA Fundamentals, ICS/SCADA Cyber Security, ICS/SCADA
Security Essentials...v.v.
III.1.4.b. Biện pháp kiểm soát liên quan đến quy trình/quy định
i) Rà soát, cập nhật quy định đảm bảo ATTT (QL06)
- Rà soát, cập nhật Chính sách ATTT, Quy định đảm bảo ATTT trong phạm vi
Văn phòng EVNICT, Tổng công ty, Nhà máy/Công ty điện trực thuộc (dưới đây
được gọi là Văn phòng các Khối đơn vị) phù hợp với sự thay đổi quy định của pháp
luật về đảm bảo ATTT; sự thay đổi về mô hình, cơ cấu tổ chức của EVN và các
đơn vị;
- Cập nhật, bổ sung các lĩnh vực kiểm soát bao gồm: quy định quản lý nhà cung
cấp, quy định đảm bảo tính liên tục trong hoạt động HTTT, quy định đánh giá kiểm
soát tuân thủ;
- Cập nhật, bổ sung các nội dung liên quan đến giám sát, đảm bảo ATTT trên
hạ tầng Điện toán đám mây;
- Rà soát, cập nhật, làm rõ vai trò phối hợp của các đơn vị trong EVN và
EVNICT trong hoạt động triển khai, vận hành, giám sát, quản lý đảm bảo ATTT;
- Rà soát, bổ sung quy định phối hợp trong hoạt động bảo trì, bảo dưỡng, sửa
chữa các thiết bị HTTT điều khiển công nghiệp giữa các bên có liên quan;
- Triển khai, duy trì, cải tiến liên tục hệ thống quản lý ATTT đáp ứng theo các
tiêu chuẩn quốc tế hiện hành;
- Cập nhật, bổ sung các chính sách, quy trình, quy định đảm bảo tuân thủ kịp
thời các yêu cầu của ISO/IEC 27001:2022 (Phiên bản mới).
Quy trình quy định cần cập nhật/sửa đổi bao gồm:
 Chính sách ATTT chung;
 Quy định phân tách trách nhiệm nghiệp vụ và trách nhiệm bảo mật thông
tin;
 Quy định về trách nhiệm của bộ phận quản lý;
 Quy định/hướng dẫn hoạt động liên hệ với các cơ quan chức năng, các bên
có thẩm quyền về ATTT, chuyên gia;
 Quy định về bảo mật thông tin trong quản lý dự án;
 Quy định về sử dụng/kiểm kê/bàn giao tài sản, các trường hợp ngoại lệ khi
sử dụng tài sản;
 Quy định về phân loại/gán nhãn/trao đổi thông tin;
 Quy định về quản lý định danh, xác thực, quản lý truy cập;
 Quy định quản lý Nhà cung cấp;
53
 Quy định về quản lý (lập kế hoạch, đánh giá, xem xét, ứng phó, rút kinh
nghiệm) sự cố ATTT;
 Quy định đảm bảo ATTT trong thời gian gián đoạn;
 Quy định tuân thủ các yêu cầu pháp lý, hợp đồng, quy định về quyền sở
hữu trí tuệ;
 Quy định đảm bảo quyền riêng tư và thông tin định danh cá nhân;
 Quy định/quy đình đánh giá ATTT độc lập;
 Các quy định, quy trình, hướng dẫn trong hoạt động tuyển dụng, đào tạo,
sử dụng nhân sự;
 Quy định đối với hoạt động làm việc từ xa;
 Quy định đối với hoạt động quản lý, giám sát an toàn vật lý khu vực ra
vào/làm việc; phòng, chống thiên tai;
 Quy định trong việc xử lý/tái sử dụng thiết bị; sử dụng thiết bị bên ngoài;
 Quy định quản lý các truy cập đặc quyền, truy cập vào mã nguồn;
 Quy định quản lý cấu hình hardening, quản lý điểm yếu kỹ thuật;
 Quy định đối với hoạt động sao lưu thông tin;
 Quy định về dự phòng đối với các thiết bị xử lý thông tin;
 Quy định đảm bảo an toàn khi cài đặt các phần mềm trên hệ thống đang
vận hành;
 Quy định đảm bảo an toàn mạng/dịch vụ mạng và phân tách mạng;
 Quy định cho hoạt động phát triển phần mềm/ứng dụng an toàn;
 Quy định cho hoạt động phát triển phần mềm thuê ngoài; phân tách các môi
trường DEV/UAT;
 Quy trình quản lý thay đổi.
Quy trình/chính sách cần bổ sung mới bao gồm:
 Quy trình quản lý hoạt động tình báo thông tin về các mối đe dọa (Threat
Intelligence);
 Quy định đảm bảo ATTT khi sử dụng các dịch vụ điện toán đám mây;
 Quy định đảm bảo tính sẵn sàng của hạ tầng CNTT;
 Quy định/hướng dẫn giám sát an toàn vật ký;
 Quy định/hướng dẫn quản lý cấu hình, bao gồm cấu hình an toàn;
 Quy định, yêu cầu trong hoạt động xóa bỏ thông tin (Data deletion), che
giấu dữ liệu (data masking);
 Quy định về phòng ngừa, ngăn chặn thất thoát dữ liệu;
 Quy định đối với các hoạt động giám sát;
 Hướng dẫn hoạt động lọc các truy cập web/Internet;
 Hướng dẫn sử dụng mã hóa an toàn trong phát triển phần mềm.
ii) Các quy định ATTT đối với hệ thống IT (QL07)
Căn cứ theo Báo cáo kết quả khảo sát, yêu cầu của các tiêu chuẩn quốc tế như
ISO 27002, ISO 27017 và những nội dung được quy định tại Quy định số 99/QĐ-
54
EVN, EVN/EVNICT cần xem xét xây dựng và ban hành các quy định, quy trình
ATTT chi tiết để áp dụng trong phạm vi Tập đoàn, cũng như khởi tạo một hệ thống
quản lý ATTT chung giúp các đơn vị thuộc Tập đoàn có định hướng xây dựng hệ
thống quản lý phù hợp, bao gồm nhưng không giới hạn các nội dung sau đây:
- Quản lý tài liệu, hồ sơ;
- Quản lý rủi ro ATTT;
- Đánh giá nội bộ ATTT;
- Quản lý tài sản CNTT;
- Quản lý đảm bảo an toàn vật lý và môi trường (bao gồm khu vực làm việc,
khu vực an ninh cao...);
- Kiểm soát truy cập mạng (bao gồm hoạt động kết nối mạng làm việc từ xa);
- Quản lý định danh người dùng;
- Quản lý thiết bị lưu trữ và sao lưu;
- Quản lý đảm bảo ATTT khi làm việc với đối tác, nhà cung cấp;
- Quy trình quản lý, ứng phó sự cố ATTT (ban hành kèm theo Quyết định số
1828/QĐ-EVN ngày 30/12/2022);
- Các tiêu chuẩn cấu hình hệ thống (mạng, máy chủ, thiết bị an ninh...).
iii) Các quy định ATTT đối với hệ thống OT (QL08)
Căn cứ theo Báo cáo kết quả khảo sát, yêu cầu của các tiêu chuẩn quốc tế như
NIST SP 800 82 Rev.2, ANSI/ISA-62443-2-1 và những nội dung quy định đảm
bảo ATTT đối với HTTT trọng yếu trong Tập đoàn Điện lực Quốc gia Việt Nam
tại Quy định số 99/QĐ-EVN, Tập đoàn cần xem xét xây dựng và ban hành bộ các
quy định chung đảm bảo ATTT đối với hệ thống điều khiển công nghiệp (ICS),
bao gồm nhưng không giới hạn các nội dung sau đây2:
- Sổ tay đảm bảo ATTT đối với hệ thống ICS (hướng dẫn đảm bảo ATTT trong
hoạt động vận hành ICS, đào tạo nhận thức ATTT..);
- Quản lý thay đổi và đánh giá lỗ hổng đối với các hệ thống ICS;
- Quản lý an ninh vật lý và môi trường (bao gồm quản lý phòng máy chủ, khu
vực cơ sở hạ tầng OT, phòng giám sát...);
2
Tham khảo theo tài liệu “Recommended Cybersecurity Practices for Industrial Control Systems” do
Cybersecurity & Infrastructure Security Agency (CISA) phát hành năm 2020 và Bộ Tiêu chuẩn “Critical
Infrastructure Protection (CIP)” do North American Electric Reliability Corporation (NERC) phát hành.
55
- Quản lý kiến trúc mạng hệ thống ICS;

- An toàn đối với các kết nối từ bên ngoài vào mạng hệ thống ICS;
- Quản lý máy chủ (quản lý bản vá, quản lý phần mềm cài đặt, giám sát cổng
và dịch vụ, cấu hình bảo mật đối với giao thức điều khiển công nghiệp...);
- Quản lý thay đổi;
- Giám sát an ninh (thu thập, giám sát nhật ký luồng dữ liệu trên hệ thống mạng
điều khiển công nghiệp, phát hiện, cảnh báo những vấn đề bất thường...);
- Quản lý nhà cung cấp dịch vụ liên quan đến mạng hệ thống ICS;
- Quy định phối hợp giữa các bên liên quan trong hoạt động bảo dưỡng, sửa
chữa hệ thống ICS.
iv) Đánh giá, kiểm tra tuân thủ quy trình, quy định nội bộ (QL09)
- Tiến hành định kỳ (theo tần suất quy định của EVN quy định và các văn bản
pháp luật có liên quan) đánh giá mức độ ATTT của hệ thống CNTT (mạng, máy
chủ, website, ứng dụng, email, Database,...), TĐH ĐK và VTDR thông qua việc
đánh giá cấu hình (Security Audit), dò quét đánh giá các lỗ hổng (Vulnerability
scanning) và thử nghiệm tấn công thâm nhập (Penetration Testing), nhằm phát hiện
các lỗ hổng/điểm yếu ATTT của hệ thống CNTT, TĐH ĐK và VTDR, trước khi
các điểm yếu có thể bị khai thác, giúp nhanh chóng xử lý khắc phục, tránh bị khai
thác dẫn tới các sự cố gây mất ATTT.
- Thực hiện đánh giá ATTT đối với hệ thống CNTT, TĐH ĐK và VTDR trước
khi đưa vào vận hành hoặc khi thực hiện nâng cấp, cập nhật, chỉnh sửa lớn đối với
hệ thống.
- Thực hiện kiểm tra, đánh giá nội bộ về việc tuân thủ các quy định về ATTT
cũng cần phải được tiến hành một cách định kỳ để phát hiện các điểm không phù
hợp, các vấn đề gây mất ATTT tồn tại trong nội bộ, để kịp thời có kế hoạch khắc
phục, phòng ngừa rủi ro.
III.1.5. Các yêu cầu về mô hình/giải pháp kỹ thuật đảm bảo ATTT đối với
HTTT
III.1.5.a. Đối với hệ thống IT
Đề xuất mô hình/giải pháp kỹ thuật yêu cầu cho hệ thống IT được đề xuất nhằm
bảo vệ các nhóm đối tượng theo kiến trúc Zero-trust, như bảng dưới đây:
Bảng 9. Mô tả kiểm soát theo nhóm đối tượng
Đối tượng Biện pháp kiểm soát
- Quản lý định danh: xác định đúng cùng một người dùng dù ở
Con người/User bất kỳ hệ thống ứng dụng nào, dù sử dụng thiết bị nào PC, laptop,
mobile, máy tính bảng…
56
Đối tượng Biện pháp kiểm soát

- Phân quyền (Authorization): Cấp quyền truy cập, thay vì mặc
định trao quyền tin tưởng như trước kia, sự tin tưởng sẽ liên tục
được giám sát, và việc duy trì quyền truy cập tối thiểu (least
privilege).
- Xác thực (Authentication): Xác thực đúng người dùng theo định
danh, sử dụng xác thực mạnh với ứng dụng quan trọng.
- Quản lý đặc quyền: Quản lý, giám sát với các tài khoản đặc
quyền như người quản trị.
Triển khai các biện pháp kiểm soát thiết bị như:
Thiết bị - Bảo mật endpoint (Endpoint Security), bảo mật thiết bị di động
(Mobile Security),..
- Mạng không chỉ là Switch/VLAN mà còn được định nghĩa,
phân chia thành các phân đoạn (Segment) sử dụng cơ chế mạng
ảo hóa (Software Defined Network).
Network
- Mạng cần được phân tách theo chức năng và mức độ bảo mật,
thực hiện kiểm soát truy cập giữa các vùng mạng. Mạng càng
được phân tách càng nhỏ càng tốt (Micro segmentation).
Hệ thống ứng dụng không chỉ triển khai trên máy chủ vật lý, máy
Workload (ứng dụng,
ảo (Virtual Machine), mà còn được chia thành đơn vị
máy chủ, máy ảo,
Container/Workload theo kiến trúc Serverless. Giải pháp bảo mật
Container,..)
cần hỗ trợ kiến trúc Serverless.
Phân loại dữ liệu, nhận diện theo thông tin, nội dung và giá trị dù
ở định dạng nào. Giám sát truy cập và bảo vệ dù dữ liệu đang ở
Dữ liệu
trạng thái lưu trữ, đang truyền đi, đang sử dụng trên các ứng dụng,
đang ở TTDL, tại người dùng cuối, trên cloud,..
Các giải pháp chính cho các hệ thống IT bao gồm như bảng dưới đây (mô tả
chi tiết các giải pháp tại V.1.1. Phụ lục 01):
Bảng 10. Các giải pháp kỹ thuật cho hệ thống CNTT (IT)
TT Tên giải pháp Ký hiệu Mô tả
Giải pháp phòng, chống tấn công Phát hiện các mã độc zeroday bằng
IT.01 APT
tiên tiến, có chủ đích phân tích Sandbox
Giải pháp phòng, chống mã

IT.02 AV Quét mã độc cho máy chủ
độc/Virus cho máy trạm/máy chủ
Đánh giá hiệu quả hoạt động của các

Mô phỏng vi phạm và tấn công, sản phẩm, thiết bị bảo mật như FW,
IT.03 BAS
đánh giá hiệu quả hệ thống ATTT IPS, WAPP,.. đang được triển khai
trong hệ thống
57
Giải pháp tình báo thông tin và

Tình báo thông tin và phát hiện sớm
IT.04 phát hiện sớm mối đe dọa an ninh CTI
các đe dọa - Threat Intelligence
mạng
Giải pháp mô phỏng và đào tạo Huấn luyện, nâng cao nhận thức
IT.05 CIST
An ninh trên không gian mạng người dùng
Sử dụng các biện pháp/công cụ rà

quát điểm yếu ứng dụng, server hoặc
Giải pháp dò quét điểm yếu trên
IT.06 DAST thuê ngoài dịch vụ bên thứ 3 (đối với
các ứng dụng đang hoạt động
cả ứng dụng do đơn vị tự phát triển
hoặc mua ngoài)
Giải pháp mã hóa, che dữ liệu Mã hóa dữ liệu, biến đổi, che một
IT.07 (DataEncryption/ DBE phần dữ liệu nhạy cảm khi chia sẻ cho
Tokenization/Data Masking) hệ thống khác
Giải pháp giám sát và bảo vệ cơ Giám sát các hoạt động truy cập tầng
IT.08 sở dữ liệu DBS dữ liệu, phát hiện các tấn công, truy
(SQL/NoSQL/BigData) cập trái quyền, bất thường
IT.09 Giải pháp phân loại dữ liệu DCL Gán nhãn, phân loại dữ liệu nhạy cảm
Xóa bỏ hoàn toàn dữ liệu được lưu trữ
IT.10 Giải pháp xóa bỏ dữ liệu DW
khi không còn sử dụng
Bảo vệ dữ liệu tại người dùng cuối,
Giải pháp phòng, chống thất phát hiện và ngăn chặn dữ liệu nhạy
IT.11 DLP
thoát dữ liệu cảm bị đánh cắp, gửi trái phép ra
ngoài
Giải pháp phát hiện và phản hồi

IT.12 EDR N/A
các mối đe dọa trên Endpoint
Giải pháp phòng, chống mã độc

Chống tấn công, kiểm soát truy cập
IT.13 hại, bảo vệ máy chủ/máy EPS
vào/ra vùng mạng bảo vệ
trạm/người dùng cuối
Lọc thư rác, thư giả mạo (phishing),

IT.14 Giải pháp lọc nội dung email ESG
thư chứa mã độc
Quản lý định danh người dùng tập
Giải pháp quản lý định danh và
IT.15 IAM trung cho tất cả hệ thống ứng dụng,
phân quyền tập trung
cho phép xác thực một lần SSO
Bảo vệ các thiết bị IoT (công tơ,
IT.16 IoTs N/A
camera, …)
Hệ thống phát hiện và ngăn chặn Phân tách, bảo vệ vùng mạng, chống
IT.17 IPS
xâm nhập tấn công xâm nhập
58
Giải pháp quản lý tài sản thông

IT.18 ITAM Quản lý thông tin tài sản CNTT
tin
Giám sát trạng thái hoạt động, hiệu
Giải pháp giám sát trạng thái hoạt
IT.19 ITOM năng của thiết bị mạng, các dịch vụ
động mạng và dịch vụ
ứng dụng
Giải pháp quản lý dịch vụ hệ Quản lý thay đổi, dịch vụ IT,
IT.20 ITSM
thống CNTT helpdesk
Xác thực đa nhân tố đối với người
Giải pháp xác thực mạnh đa yếu
IT.21 MFA dùng truy cập các ứng dụng quan
tố
trọng
Giải pháp bảo mật cho thiết bị di Quản lý, bảo mật thiết bị di động như
IT.22 MS
động mobile phones, máy tính bảng,..
Giải pháp kiểm soát truy cập hệ
IT.23 NAC N/A
thống mạng
Quản lý chính sách, cấu hình chính
sách trên các thiết bị an ninh như
Quản lý thay đổi cấu hình chính
IT.24 NSPM Firewall, đảm bảo tính tối ưu, tuân
sách an ninh
thủ. Thiết lập quy trình tự động hóa
các thay đổi chính sách
Rà quét/đánh giá điểm yếu trên thiết
Giải pháp dò quét điểm yếu
IT.25 NVS bị mạng, hệ điều hành (tự đánh giá
mạng, hệ thống
hoặc thuê ngoài dịch vụ)
Giải pháp quản lý bản vá hệ điều PatchM Quản ký bản vá hệ điều hành, ứng
IT.26
hành, ứng dụng GT dụng (TTDL/Private Cloud)
Giải pháp quản lý tài khoản đặc Quản lý và giám sát tài khoản đặc
IT.27 PIM
quyền quyền
Sử dụng các biện pháp/công cụ rà
quát điểm yếu ứng dụng, server hoặc
Giải pháp dò quét điểm yếu trên
IT.28 SAST thuê ngoài dịch vụ bên thứ 3 (đối với
các ứng dụng đang phát triển
cả ứng dụng do đơn vị tự phát triển
hoặc mua ngoài)
Thu thập sự kiện trên tất cả hệ thống,
Giải pháp thu thập, quản lý và
IT.29 SIEM phân tích phát hiện sớm các bất
phân tích nhật ký, sự kiện an ninh
thường
Giải pháp dịch vụ an toàn truy Secure
IT.30 cập cho người dùng làm việc từ Access/S N/A
xa ASE
Giải pháp lọc nội dung truy cập Bảo vệ an toàn cho người dùng truy
IT.31 SWG
Web cập Internet
59
IT.32 Tường lửa -Security Gateway SGW Phân tách và bảo vệ vùng mạng
IT.33 Tường lửa ứng dụng Web và API WAAP Bảo vệ ứng dụng
III.1.5.b. Đối với hệ thống OT

Đề xuất mô hình/giải pháp kỹ thuật yêu cầu cho hệ thống OT được đề xuất, sửa
đổi và hoàn thiện nhằm phù hợp với hiện trạng và đặc thù của các hệ thống điều
khiển, bao gồm các giải pháp chính dưới đây (mô tả chi tiết các giải pháp tại V.1.2
Phụ lục 01):
Bảng 11. Các giải pháp kỹ thuật cho hệ thống OT
TT Giải pháp Ký hiệu Mô tả chung
Biện pháp kiểm soát truy cập vào/ra bằng thẻ

OT.01 Kiểm soát vật lý N/A
từ hoặc sinh trắc học
Phòng, chống mã Quét virus bằng phần mềm hoặc qua thiết bị
OT.02 AV
độc/virus USB di động
Triển khai giải pháp giám sát thay đổi, khôi
Giám sát thay đổi/đóng CFG
OT.03 phục cấu hình ban đầu của máy tính nếu điều
băng cấu hình MGT
kiện cho phép
Tạo tài khoản và phân quyền theo các vai trò
khác nhau (trưởng ca, người vận hành, kỹ sư
OT.04 Quản lý định danh IDM
cấu hình,..). Mỗi tài khoản cấp duy nhất cho
một người
Giải pháp giám sát an
ninh, phát hiện tấn Giám sát các thông tin trong mạng, phát hiện
OT.05 công xâm nhập, hành vi IDS các mối đe dọa, hành vi bất thường, truy cập lạ
bất thường trong hệ trong hệ thống
thống
Hệ thống mạng, dịch Giám sát trạng thái hoạt động, hiệu năng của
OT.06 ITOM
vụ ứng dụng thiết bị mạng, các dịch vụ ứng dụng
Bảo vệ và phân tách các vùng mạng lõi (MGT,
OT.07 Tường lửa FW TNMS, Operation) – sử dụng cho hệ thống
VTDR
Thu thập log của các máy tính trong hệ thống,
Thu thập và quản lý
OT.08 Logger hệ thống mạng và bảo mật, phục vụ cho việc
nhật ký sự kiện an ninh
quản lý, phân tích sự kiện
Xác thực đa yếu tố cho truy cập vào các máy
OT.09 Xác thực mạnh MFA
tính quan trọng (máy kỹ sư cấu hình)
60
TT Giải pháp Ký hiệu Mô tả chung
Phân tách và bảo vệ mạng với các vùng mạng

khác như mạng Trung gian, mạng SCADA.
OT.10 Tường lửa công nghiệp OT FW Tường lửa cần hỗ trợ các giao thức SCADA
như OPC, IEC 60870-5-104, ICCP, Modbus,
DNP3
Quản lý tài sản hệ Thu thập thông tin và quản lý các thiết bị, tài
OT.11 OTAM
thống OT sản trong hệ thống
Giám sát các hoạt động của quản trị viên,
người dùng có đặc quyền, nhà thầu/đối tác
thao tác trên máy tính điều khiển hệ thống. Các
Giải pháp giám sát
OT.12 PAM hoạt động của nhà thầu/đối tác cần được thực
người dùng đặc quyền
hiện qua một máy trung gian (như Jump Server
để kết nối remote tới các máy tính DCS) và
được PAM giám sát
Scanner Quét file dữ liệu trước khi được copy vào hệ
OT.13 Cổng quét an ninh
Kios thống điều khiển
Phân tách với mạng cung cấp số liệu ra ngoài
(nếu có), kiểm soát vật lý chỉ cho phép truyền
dữ liệu một chiều từ mạng TTĐKX ra mạng
USG/Data cung cấp số liệu ra bên ngoài hoặc ngược lại.
Cổng an ninh một
OT.14 Diode Cổng một chiều cần hỗ trợ các giao thức điều
chiều
(1)/(2) khiển công nghiệp OPC, IEC 60870-5-104,
ICCP, Modbus, DNP3,... cũng như các giao
thức CNTT như SMTP, SNMP, Syslog, truyền
file (FTP, FTPS, SFTP, SMB,..), UDP, TCP,...
Các giải pháp kỹ thuật đề xuất đối với mỗi hệ thống được mô tả chi tiết về khái
niệm và phương thức hoạt động tại Phần V1. Phụ lục 01.
Mỗi yêu cầu giải pháp tại từng hệ thống được làm rõ:
Yêu cầu cũ – là yêu cầu đã được đưa vào Đề án giai đoạn trước và đề xuất tiếp
tục duy trì triển khai;
Yêu cầu sửa đổi – là yêu cầu cũ được cập nhật, sửa đổi, vẫn đảm bảo chức
năng chính khi triển khai nhằm phù hợp với hiện trạng hệ thống;
Yêu cầu mới – là yêu cầu đề xuất mới.
Để đảm bảo sự tuân thủ, các yêu cầu đề xuất được tham chiếu với các tiêu chuẩn
quốc tế và quy định của pháp luật mà EVN và các đơn vị trực thuộc phải tuân thủ,
cụ thể bao gồm:
61
- Tiêu chuẩn: ISO/IEC 27002:2013 về Quy tắc thực hiện các kiểm soát ATTT;
NIST SP 800-82 Rev 2, Guide to Industrial Control Systems (ICS) Security, May
2015.
- Quy định số 99/QĐ-EVN về Đảm bảo ATTT trong Tập đoàn Điện lực Quốc
gia Việt Nam.
- Tiêu chuẩn Quốc gia TCVN 11930:2017 về Công nghệ thông tin – Các kỹ
thuật an toàn – Yêu cầu cơ bản về an toàn hệ thống thông tin theo cấp độ.
Các tham chiếu được thể hiện tại Phần V2. Phụ lục 2.
Yêu cầu định hướng về Quản lý ATTT
Bảng 12. Danh sách các yêu cầu về Quản lý ATTT
Mức độ ưu
STT Yêu cầu về QLATTT Vị trí/phạm vi triển khai
tiên
Con người
Thực hiện phân tách vai trò, trách
Các bộ phận vận hành,
nhiệm giữa cán bộ vận hành, quản trị Ưu tiên mức
QL.01 quản trị và bộ phận chuyên
và cán bộ chuyên trách đảm bảo cao
trách đảm bảo ATTT
ATTT hệ thống
Tuyển dụng bổ sung nhân sự chuyên

Các bộ phận vận hành,
trách liên quan đến hoạt động vận Ưu tiên mức
QL.02 quản trị và bộ phận chuyên
hành, quản trị, chuyên trách đảm bảo cao
trách đảm bảo ATTT
ATTT
Toàn bộ CBNV thuộc Ưu tiên mức

QL.03 Đào tạo nhận thức về ATTT định kỳ
phạm vi cao
Cán bộ chuyên trách được Ưu tiên mức
QL.04 Đào tạo chuyên môn về ATTT (IT)
phân công Cao
Cán bộ chuyên trách được Ưu tiên mức
QL.05 Đào tạo chuyên môn về ATTT (OT)
phân công Cao
Quy trình, Quy định
Rà soát, cập nhật quy định đảm bảo Phạm vi văn phòng Ưu tiên mức
QL.06
ATTT chung Cao
Thực hiện rà soát, xây dựng bổ sung

các tài liệu vận hành hệ thống, tài liệu
vận hành, quản trị, các tiêu chuẩn hệ Ưu tiên mức
QL.07 Phạm vi văn phòng
thống, tài liệu đáp ứng đảm bảo ATTT Cao
đối với hệ thống CNTT theo Quy định
99/QĐ-EVN
62
Mức độ ưu
STT Yêu cầu về QLATTT Vị trí/phạm vi triển khai
tiên
Thực hiện rà soát, xây dựng bổ sung
các tài liệu vận hành hệ thống, tài liệu
vận hành, quản trị, các tiêu chuẩn hệ Ưu tiên mức
thống, tài liệu đáp ứng đảm bảo ATTT Cao
đối với hệ thống TĐHĐK theo Quy
định 99/QĐ-EVN
Đánh giá ATTT, Kiểm tra tuân thủ Ưu tiên mức
quy trình, quy định nội bộ Trung bình
(Chi tiết mô tả các yêu cầu tại Mục III.1.4)

Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các HTTT của
EVNNPT và các PTC
III.3.1. Yêu cầu về Quản lý ATTT
Các yêu cầu về Quản lý ATTT bao gồm Con người, Quy trình/Quy định đề xuất
nhằm đảm bảo ATTT cho EVNNPT và các PTC được mô tả tại mục III.2 với các
yêu cầu từ QL01 đến QL09.
III.3.2. Mô hình/Giải pháp kỹ thuật
III.3.2.a. Hệ thống IT tại EVNNPT
i) Phương pháp thiết kế
Việc thiết kế ATTT cho mạng EVNNPT cần đảm bảo: (i) Tiếp cận kiến trúc
Zero-trust; (ii) Định hướng lên mô hình cloud nhưng vẫn phù hợp với mô hình
TTDL hiện tại đang trong quá trình chuyển đổi (Mô hình kết hợp, TTDL truyền
thống duy trì hoạt động song song với Private Cloud và Public Cloud).
Hình 6. Phương pháp thiết kế tổng quát hệ thống IT EVNNPT

63
Mô tả phương pháp thiết kế tổng quát, các phân vùng mạng chính được thể hiện
tại mục III.1.2.
ii) Thiết kế chi tiết đảm bảo ATTT cho hệ thống IT truyền thống
Mô hình thiết kế:
Trong quá trình chuyển đổi lên mô hình Cloud, mô hình IT truyền thống vẫn
duy trì hoạt động song song với Private Cloud và Public Cloud.
Hình 7. Thiết kế hệ thống IT truyền thống EVNNPT

Phân vùng mạng DC:
Mạng cần được phân tách theo chức năng và mức độ bảo mật, thực hiện kiểm
soát truy cập giữa các vùng mạng. Mạng được khuyến cáo phân tách càng nhỏ càng
tốt nếu có thể áp dụng được, tuy nhiên cần chia thành tối thiểu các vùng theo mức
độ bảo mật như sau:
Bảng 13. Phân vùng hệ thống IT truyền thống EVNNPT
Mức Vùng mạng Chức năng
Vùng mạng công cộng Cung cấp ứng dụng/dịch vụ public ra bên
1
DMZ/Internet ngoài Internet
Cung cấp ứng dụng/dịch vụ dùng chung trong

5 Vùng mạng nội bộ - Internal
nội bộ toàn mạng
4 Vùng mạng nội bộ hệ thống TTDL (Sensitive Internal Systems)
Gồm các máy chủ phục vụ hệ thống TTDL
4.1 + System:
như DNS, Domain Controller,..
64
Vùng mạng cho khối phát triển ứng dụng,

4.2 + DEV/UAT
kiểm thử, huấn luyện, đào tạo
Vùng mạng hạn chế truy cập Gồm các máy chủ dữ liệu/CSDL, ứng dụng
5
(Restricted Data) quan trọng của hệ thống
Mạng Văn phòng: vùng mạng LAN cho người dùng.

Các giải pháp kỹ thuật
Bảng 14. Giải pháp kỹ thuật cho hệ thống IT truyền thống EVNNPT
Yêu cầu Giải pháp kỹ thuật yêu Đối tượng Mức ưu
TT Ghi chú
chung cầu bảo vệ tiên
Các giải pháp kiểm soát về Con người
PT- Lọc nội dung email cho Yêu cầu
IT.14 User Cao
YC01 người dùng mới
PT- Yêu cầu
IT.21 Xác thực mạnh User Cao
YC02 mới
Quản lý định danh và phân

PT- Yêu cầu
IT.15 quyền tập trung (Identity and User Cao
YC03 mới
Access Management)
PT- Giải pháp quản lý tài khoản Yêu cầu

IT.27 Quản trị viên Cao
YC04 đặc quyền mới
PT- Lọc nội dung truy cập Yêu cầu
IT.31 User Cao
YC05 Internet mới
Giải pháp dịch vụ an toàn
PT- Yêu cầu
IT.30 truy cập cho người dùng làm Mobile User Cao
YC06 mới
việc từ xa
Giải pháp mô phỏng và đào
PT- Yêu cầu
IT.05 tạo An ninh trên không gian User Thấp
YC07 mới
mạng
Các giải pháp kiểm soát về Workload (máy chủ, ứng dụng)
PT- Giải pháp phòng, chống Yêu cầu
IT.02 Máy chủ Cao
YC08 virus/mã độc mới
PT- Ứng dụng Yêu cầu
Cao
YC09 Web/API mới
Tường lửa ứng dụng Web và
IT.33 API Ứng dụng
PT- Web/API trên Yêu cầu
Thấp
YC10 kênh mạng mới
nội bộ
65

TT Ghi chú
Rà quét điểm yếu ứng dụng
PT- Trung Yêu cầu
IT.06 đang chạy - Dynamic Ứng dụng
YC11 bình mới
Analysis
PT- Rà quét điểm yếu code ứng Trung Yêu cầu
IT.28 Ứng dụng
YC12 dụng - Static Code Analysis bình mới
Các giải pháp kiểm soát về Dữ liệu
PT- Giải pháp giám sát và bảo vệ Dữ liệu hệ Yêu cầu
IT.08 Cao
YC13 CSDL/Non-SQL/BigData thống mới
Giải pháp mã hóa, biến đổi,
PT- Dữ liệu hệ Trung Yêu cầu
IT.07 che dữ liệu (Encryption/
YC14 thống bình mới
Tokenization/Masking)
Dữ liệu
PT- Yêu cầu
IT.11 Chống thất thoát dữ liệu người dùng Cao
YC15 mới
cuối
PT- Xóa bỏ dữ liệu (Data Dữ liệu lưu Yêu cầu

IT.10 Thấp
YC16 Wiping) trữ mới
PT- DMZ Yêu cầu

Cao
YC17 /Internet mới
PT- Yêu cầu
WAN Cao
YC18 mới
TTDL -Nội
PT- bộ hệ thống, Yêu cầu
Tường lửa - Security Cao
YC19 SOC/SOC, mới
Gateway (gồm tính năng DEV/UAT
IT.32
FW, IPS, AV, App
PT- control,…v.v) Yêu cầu
Core Cao
YC20 mới
TTDL-
SOC/NOC
YC21 bình mới
room
PT- Yêu cầu
LAN VP Cao
YC22 mới
PT- TTDL-DMZ/ Yêu cầu

Cao
YC23 Internet mới
IT.17 Phòng, chống xâm nhập TTDL-Nội
PT- Yêu cầu
bộ dùng Cao
YC24 mới
chung
66

TT Ghi chú
TTDL -Nội
PT- bộ hệ thống, Yêu cầu
Cao
YC25 SOC/SOC, mới
DEV/UAT
PT- Yêu cầu
WAN Cao
YC26 mới
PT- Yêu cầu
Core Cao
YC27 mới
TTDL-
SOC/NOC
YC28 bình mới
room
LAN VP
YC29 bình mới
PT- Rà quét điểm yếu mạng, hệ Hệ thống Trung Yêu cầu
IT.25
YC30 thống mạng bình mới
PT- Hệ thống Trung Yêu cầu
IT.23 Kiểm soát truy cập mạng
YC31 mạng bình mới
Chống tấn công tiên tiến –
PT- Hệ thống Trung Yêu cầu
IT.01 phát hiện các mã độc zero-
day
Các giải pháp kiểm soát về Thiết bị
PT- Yêu cầu
IT.18 Quản lý tài sản Thiết bị Thấp
YC33 mới
Thiết bị
IT.13 người dùng Cao
cuối
PT- Bảo mật thiết bị di động - Thiết bị di Trung Yêu cầu
IT.22
YC35 Mobile Security động bình mới
PT- Thiết bị công Trung Yêu cầu

IT.16 Giải pháp bảo vệ thiết bị IoT mới
YC36 tơ, camera bình
Thiết bị
PT- Phát hiện và phản hồi các đe Trung Yêu cầu
IT.12 người dùng
YC37 dọa trên endpoint bình mới
cuối
Các giải pháp về Quản lý, phân tích
67

TT Ghi chú
PT- Thu thập, quản lý và phân Quản lý, Yêu cầu

IT.29 Cao
YC38 tích nhật ký sự kiện an ninh Phân tích mới
PT- Quản lý bản vá (Patch Quản lý, Yêu cầu

IT.26 Cao
YC39 Management) Phân tích mới
PT- Quản lý cấu hình chính sách Quản lý, Trung Yêu cầu
IT.24
YC40 an ninh Phân tích bình mới
PT- Quản lý, Trung Yêu cầu
IT.20 Quản lý dịch vụ IT
YC41 Phân tích bình mới
Hệ thống
PT- Giám sát trạng thái hoạt Trung Yêu cầu
IT.19 mạng, dịch
YC42 động mạng và dịch vụ bình mới
vụ ứng dụng
Tình báo thông tin và phát
PT- Quản lý, Yêu cầu
IT.04 hiện sớm các đe dọa - Threat Thấp
YC43 Phân tích mới
Intelligence
III.3.3. Thiết kế chi tiết đảm bảo ATTT cho Private Cloud
Mô hình thiết kế
Hình 8. Thiết kế mạng Private Cloud cho hệ thống IT tại EVNNPT

Phân vùng mạng Private Cloud
68
tốt (Micro segmentation), sử dụng cơ chế mạng ảo hóa (Software Defined

Network) nếu có thể áp dụng được, tuy nhiên cần chia thành tối thiểu các vùng
theo mức độ bảo mật như sau:
Bảng 15. Phân vùng mạng Private Cloud hệ thống IT tại EVNNPT
1
DMZ/Internet (Public) ngoài Internet
Vùng mạng nội bộ - Dùng chung Cung cấp ứng dụng/dịch vụ dùng chung
3
(Internal) trong nội bộ toàn mạng TCT
4.1 + System: Gồm các máy chủ phục vụ hệ thống TTDL

4.2 + DEV/UAT
Gồm các máy chủ dữ liệu/CSDL, ứng dụng
4.3 + SOC/NOC server
quan trọng của hệ thống
Cung cấp ứng dụng/dịch vụ public ra bên
4.4 + SOC room
ngoài Internet
5
Văn phòng di động (Mobile Users)

- Người dùng làm việc từ xa từ bất kỳ nơi đâu, được truy cập các dịch vụ cần
thiết cũng như được bảo vệ đầy đủ như thể làm việc tại Văn phòng cơ quan/TTDL.
Trường hợp người dùng được phép truy cập các ứng dụng và dữ liệu giống như
người dùng trong mạng Văn phòng cố định, thì cần áp dụng biện pháp kiểm soát
và bảo vệ người dùng đầy đủ, ví dụ sử dụng dịch vụ cloud (Cloud Security
Services/SASE).
Bảng 16. Giải pháp kỹ thuật cho Private Cloud hệ thống IT tại EVNNPT
Giải pháp kỹ thuật Đối tượng Mức ưu

TT Yêu cầu chung Ghi chú
yêu cầu bảo vệ tiên

Lọc nội dung email cho Yêu cầu
PT-YC44 IT.14 User Cao
người dùng mới
69

Yêu cầu
PT-YC45 IT.21 Xác thực mạnh User Cao
mới
Quản lý định danh và
phân quyền tập trung Yêu cầu
(Identity and Access mới
Management)
Giải pháp quản lý tài Quản trị Yêu cầu
PT-YC47 IT.27 Cao
khoản đặc quyền viên mới
Lọc nội dung truy cập Yêu cầu
Internet mới
Giải pháp dịch vụ an
Mobile Yêu cầu
PT-YC49 IT.30 toàn truy cập cho người Cao
User mới
dùng làm việc từ xa
Yêu cầu
PT-YC50 Máy chủ Cao
Giải pháp phòng, chống mới
IT.02
virus/mã độc Workload/ Yêu cầu
PT-YC51 Cao
Container mới
Ứng dụng Yêu cầu
PT-YC52 Cao
Web/API mới
Ứng dụng
Tường lửa ứng dụng
IT.33 Web/API
Web và API Yêu cầu
PT-YC53 trên kênh Thấp
mới
mạng nội
bộ
Rà quét điểm yếu ứng Workload/
Trung Yêu cầu
PT-YC54 IT.06 dụng đang chạy - Container/
bình mới
Dynamic Analysis Ứng dụng
Rà quét điểm yếu code Workload/
Trung Yêu cầu
PT-YC55 IT.28 ứng dụng - Static Code Container/
bình mới
Analysis Ứng dụng
Giải pháp giám sát và
Dữ liệu hệ Yêu cầu
PT-YC56 IT.08 bảo vệ CSDL/Non- Cao
thống mới
SQL/BigData
Giải pháp mã hóa, biến Dữ liệu hệ Trung Yêu cầu
PT-YC57 IT.07
đổi, che dữ liệu thống bình mới
70

(Encryption/Tokenizati
on/Maskin)
Dữ liệu
Trung Yêu cầu
PT-YC58 IT.11 Chống thất thoát dữ liệu người dùng
bình mới
cuối
Dữ liệu
Phân loại dữ liệu (Data Yêu cầu
PT-YC59 IT.09 người dùng Thấp
Classification) mới
cuối
Các giải pháp kiểm soát về mạng, hạ tầng (Network)
TTDL - Yêu cầu

PT-YC60 Cao
Biên vật lý mới
TTDL- Yêu cầu
PT-YC61 Cao
DMZ mới
TTDL-Nội
Yêu cầu
PT-YC62 bộ dùng Cao
mới
chung
TTDL -Nội
Tường lửa - Security bộ hệ thống, Yêu cầu
PT-YC63 Cao
Gateway (gồm tính SOC/SOC, mới
IT.32
năng FW, IPS, AV, DEV/UAT
App control,…v.v) TTDL - Yêu cầu
PT-YC64 Cao
Data mới
TTDL-
Trung Yêu cầu
PT-YC65 SOC/NOC
bình mới
room
Yêu cầu
PT-YC66 LAN VP Cao
mới
Public Yêu cầu
PT-YC67 Cao
cloud mới
TTDL- Yêu cầu
PT-YC68 Cao
DMZ mới
TTDL-Nội
Yêu cầu
PT-YC69 bộ dùng Cao
mới
IT.17 Phòng, chống xâm nhập chung
TTDL -Nội
bộ hệ thống, Yêu cầu
PT-YC70 Cao
SOC/SOC, mới
DEV/UAT
71

TTDL - Yêu cầu

PT-YC71 Cao
Data mới
TTDL-
Trung Yêu cầu
PT-YC72 SOC/NOC
bình mới
room
Trung Yêu cầu
PT-YC73 LAN VP
bình mới
Rà quét điểm yếu mạng, Hệ thống Trung Yêu cầu
PT-YC74 IT.25
hệ thống mạng bình mới
Kiểm soát truy cập Hệ thống Trung Yêu cầu
PT-YC75 IT.23
mạng mạng bình mới
Chống tấn công tiên tiến
Hệ thống Trung Yêu cầu
PT-YC76 IT.01 – phát hiện các mã độc
mạng bình mới
zero-day
Yêu cầu
PT-YC77 IT.18 Quản lý tài sản Thiết bị Thấp
mới
Thiết bị
Giải pháp phòng, chống Yêu cầu
PT-YC78 IT.13 người dùng Cao
virus/mã độc mới
cuối
Bảo mật thiết bị di động Thiết bị di Trung Yêu cầu
PT-YC79 IT.22
- Mobile Security động bình mới
Thiết bị
Giải pháp bảo vệ thiết bị Trung Yêu cầu
PT-YC80 IT.16 công tơ,
IoT bình mới
camera
Thiết bị
Phát hiện và phản hồi Trung Yêu cầu
PT-YC81 IT.12 người dùng
các đe dọa trên endpoint bình mới
cuối
Thu thập, quản lý và

Quản lý, Yêu cầu
PT-YC82 IT.29 phân tích nhật ký sự Cao
Phân tích mới
kiện an ninh
Quản lý bản vá (Patch Quản lý, Yêu cầu
PT-YC83 IT.26 Cao
Management) Phân tích mới
Quản lý cấu hình chính Quản lý, Trung Yêu cầu
PT-YC84 IT.24
sách an ninh Phân tích bình mới
72

Hệ thống
Giám sát trạng thái hoạt mạng, dịch Trung Yêu cầu
PT-YC85 IT.20
động mạng và dịch vụ vụ ứng bình mới
dụng
Quản lý, Trung Yêu cầu
PT-YC86 IT.19 Quản lý dịch vụ IT
Phân tích bình mới
III.3.3.a. Hệ thống IT tại các PTC thành viên
i) Thiết kế chi tiết đảm bảo ATTT
Hình 9. Thiết kế hệ thống IT tại các PTC

Phân vùng mạng:
Bảng 17. Phân vùng mạng IT tại các PTC
Cung cấp ứng dụng/dịch vụ public ra

1 Vùng mạng công cộng DMZ/Internet
bên ngoài Internet
Cung cấp ứng dụng/dịch vụ dùng chung

trong nội bộ toàn mạng PC miền (WAN)
Gồm các máy chủ phục vụ hệ thống
4.1 + System:
TTDL như DNS, Domain Controller,..
73

Mạng LAN TBA: kết nối các TBA thuộc các PTC.
Các giải pháp kỹ thuật:
Bảng 18. Giải pháp kỹ thuật cho hệ thống IT cho các PTC
Yêu cầu Mức Ghi chú
TT Giải pháp kỹ thuật yêu cầu Đối tượng bảo vệ
chung ưu tiên
PT- Yêu cầu
YC87 mới
PT- Giải pháp quản lý tài khoản Yêu cầu
PT- Yêu cầu
IT.31 Lọc nội dung truy cập Internet User Cao
YC89 mới
PT- Tường lửa ứng dụng Web và Ứng dụng Yêu cầu
IT.33 Cao
YC91 API Web/API mới
Các giải pháp kiểm soát về Mạng, hạ tầng (Network)
PT- Internet/DMZ Yêu cầu

Tường lửa - Security Gateway Cao
YC92 mới
IT.32 (gồm tính năng FW, IPS, AV,
PT- App control,..) Yêu cầu
Core/WAN/LAN Cao
YC93 mới
PT- Yêu cầu
Internet/DMZ Cao
YC94 mới
IT.17 Phòng, chống xâm nhập
PT- Yêu cầu
Core/WAN/LAN Cao
YC95 mới
PT- Giải pháp phòng, chống Thiết bị người Yêu cầu

IT.13 Cao
YC96 virus/mã độc dùng cuối mới
PT- Thu thập, quản lý và phân tích Quản lý, Phân Yêu cầu
IT.29 Cao
YC97 nhật ký sự kiện an ninh tích mới
III.3.3.b. Hệ thống mạng giám sát đo lường (GSĐL)/IoT thuộc EVNNPT
74
Hình 10. Thiết kế hệ thống GSĐL thuộc NPT/PTC

Phân vùng mạng:
Kiến trúc các thành phần mạng và bảo mật hệ thống cần được phân tách như
sau:
Bảng 19. Phân vùng mạng GSĐL thuộc NPT/PTC
Cung cấp ứng dụng/dịch vụ dùng chung

trong nội bộ toàn mạng
Mạng IoT: vùng mạng IoT, kết nối mạng đo lường giám sát tại các TBA.
Bảng 20. Giải pháp kỹ thuật cho hệ thống GSĐL thuộc NPT/PTC
Yêu cầu Đối tượng Mức ưu Ghi chú
STT Giải pháp kỹ thuật yêu cầu
chung bảo vệ tiên

Tường lửa - Security Gateway
PT- Internet/Core Yêu cầu
IT.32 (gồm tính năng FW, IPS, AV, Cao
YC99 /WAN/LAN mới
App control,..)
PT- Internet/Core Yêu cầu
IT.17 Phòng, chống xâm nhập Cao
YC100 /WAN/LAN mới
PT- Thiết bị công Trung Yêu cầu
IT.16 Giải pháp bảo vệ thiết bị IoT
YC101 tơ, camera bình mới
Các giải pháp phân tích, quản lý
75

PT- Thu thập, quản lý và phân tích Quản lý, Yêu cầu
IT.29 Cao
YC102 nhật ký sự kiện an ninh Phân tích mới
III.3.3.c. Hệ thống tự động hóa TBA Truyền tải (SAS TBA)
Kiến trúc thiết kế theo nguyên tắc phân tầng và phòng thủ theo chiều sâu
(Defense in Depth) dựa theo các hướng dẫn IEC 62443, DHS ICS-CERT như sau:
Hình 11. Phương pháp thiết kế hệ thống SAS TBA Truyền tải
Mô tả phương pháp thiết kế, các phân vùng mạng chính cho hệ thống điều khiển
TBA được thể hiện tại mục III.1.3
ii) Thiết kế chi tiết đảm bảo ATTT
Tại các lớp mạng và giữa các lớp mạng cần có các biện pháp kiểm soát ATTT.
Chi tiết thiết kế các phân vùng mạng và các kiểm soát như sau:
Hình 12. Thiết kế hệ thống SAS TBA Truyền tải

76

Bảng 21. Giải pháp kỹ thuật yêu cầu đối với hệ thống SAS TBA Truyền tải
Yêu cầu Giải pháp kỹ thuật yêu Mức ưu
STT Vùng mạng Ghi chú
chung cầu tiên
Kiểm soát an
Triển khai các biện pháp an
PT- ninh vật lý cho Yêu cầu
OT.01 ninh vật lý quản lý việc Cao
YC113 toàn bộ hệ thống cũ
truy cập hệ thống DCS
DCS
Lớp 0-1: Thiết bị
PT- trường/Điều Kiểm soát an ninh vật lý Yêu cầu
OT.01 Cao
YC114 khiển thiết bị như trên cũ
trường
PT- Tường lửa công Trung Yêu cầu

OT.10
YC115 nghiệp/Bảo mật hai chiều bình sửa đổi
PT- Lớp 3: Control Trung Yêu cầu

OT.02 Phòng, chống mã độc/virus
YC116 Center bình sửa đổi
PT- Giám sát thay đổi/đóng Yêu cầu
OT.03 Thấp
YC117 băng cấu hình mới
PT- Tường lửa công nghiệp/ Yêu cầu
OT.10 Cao
YC118 Lớp 4.1: Bảo mật hai chiều sửa đổi
PT- SCADA/GW Trung Yêu cầu
YC119 bình sửa đổi
PT- Tường lửa công nghiệp/ Trung Yêu cầu

OT.10
YC120 Bảo mật hai chiều bình sửa đổi
PT- Lớp 4.2: Mạng Yêu cầu

OT.02 Phòng, chống mã độc/virus Cao
YC121 Trung gian sửa đổi
PT- Thu thập và quản lý nhật Yêu cầu

OT.08 Thấp
YC122 ký sự kiện an ninh sửa đổi
III.3.3.d. Trung tâm điều khiển xa thuộc EVNNPT
77
Hình 13. Phương pháp thiết kế hệ thống TTĐKX thuộc EVNNPT

tại TTĐKX được thể hiện tại mục III.1.3.
Hình 14. Thiết kế hệ thống TTĐKX thuộc EVNNPT

Bảng 22. Giải pháp cho hệ thống TTĐKX thuộc EVNNPT
Yêu cầu Mức ưu
TT Vùng mạng Giải pháp kỹ thuật yêu cầu Ghi chú
chung tiên
Kiểm soát an
Triển khai các biện pháp an ninh
PT- ninh vật lý cho Yêu cầu
OT.01 vật lý quản lý việc truy cập hệ Cao
YC113 toàn bộ hệ cũ
thống DCS
thống DCS
78

chung tiên
PT- Tường lửa công nghiệp/Bảo mật Trung Yêu cầu
OT.10
YC114 hai chiều bình sửa đổi
Giải pháp giám sát an ninh, phát
OT.05 hiện tấn công xâm nhập, hành vi
YC115 bình mới
bất thường trong hệ thống
OT.02 Lớp 3: Control Phòng, chống mã độc/virus
Center
PT- Giám sát thay đổi/đóng băng cấu Yêu cầu
OT.03 Thấp
YC117 hình mới
OT.09 Xác thực mạnh
YC118 bình cũ
OT.04 Quản lý định danh
YC119 bình mới
PT- Tường lửa công nghiệp/Bảo mật Yêu cầu
OT.10 Cao
YC120 hai chiều sửa đổi
PT- Lớp 4.1:- Trung Yêu cầu
YC121 SCADA/GW bình mới
OT.10
YC123 hai chiều bình cũ
YC124 bình mới
PT- Yêu cầu
YC125 sửa đổi
Lớp 4.2: Mạng
PT- Yêu cầu
OT.13 Trung gian Cổng quét an ninh Cao
YC126 mới
PT- Giải pháp giám sát người dùng Trung Yêu cầu
OT.12
YC127 đặc quyền bình cũ
PT- Yêu cầu
OT.11 Quản lý tài sản hệ thống OT Thấp
YC128 mới
PT- Thu thập và quản lý nhật ký sự Yêu cầu
OT.08 Thấp
YC129 kiện an ninh sửa đổi
79

chung tiên
OT.10
YC130 hai chiều bình sửa đổi
PT- Lớp 4.3: Yêu cầu
Cổng an ninh một chiều (1) Cao
YC131 Replica (mạng cũ
OT.14
PT- cấp số liệu ra Yêu cầu
bên ngoài) Cổng an ninh một chiều (2) Thấp
YC132 mới
PT- Yêu cầu
YC133 sửa đổi
PT- Lớp 4.4: Vùng Tường lửa công nghiệp/Bảo mật Trung Yêu cầu
OT.10
YC134 Huấn luyện, hai chiều bình sửa đổi
PT- Mô phỏng Yêu cầu
OT.02 (Simulation) Phòng, chống mã độc/virus Cao
YC135 sửa đổi
Mô hình/giải pháp kỹ thuật đảm bảo ATTT đối với các HTTT của các
TCTĐL và CTĐL Tỉnh/Thành phố
nhằm đảm bảo ATTT cho các TCTĐL, CTĐL tỉnh/thành phố được mô tả tại mục
III.2 với các yêu cầu từ QL01 đến QL09.
III.4.2.a. Hệ thống IT tại các TCTĐL
Việc thiết kế ATTT cho mạng CNTT các TCTĐL cần đảm bảo: (i) Tiếp cận
kiến trúc Zero-trust; (ii) Định hướng lên mô hình cloud nhưng phù hợp với mô
hình TTDL hiện tại đang trong quá trình chuyển đổi (mô hình kết hợp, TTDL
truyền thống duy trì hoạt động song song với Private Cloud và Public Cloud).
Hình 15. Phương pháp thiết kế tổng quát hệ thống IT tại các TCTĐL
80
tại mục III.1.2
Hình 16. Thiết kế hệ thống IT truyền thống tại TCTĐL

Bảng 23. Phân vùng mạng hệ thống IT truyền thống tại TCTĐL
Cung cấp ứng dụng/dịch vụ public ra bên ngoài

1 Vùng mạng công cộng DMZ (Public)
Internet
Cung cấp ứng dụng/dịch vụ cho các đối tác bên

2 Vùng mạng đối tác (Partner) ngoài của TCT (Banks, đơn vị chức năng bên
ngoài…)
81

nội bộ toàn mạng PC miền (WAN)

4.1 + System:

4.2 + DEV/UAT
4.3 + SOC/NOC server Vùng mạng các máy chủ phục vụ TT giám sát
Vùng mạng Phòng giám sát, gồm các

4.4 + SOC room
client/user, màn hình giám sát, trình chiếu
5
Mạng Văn phòng: vùng mạng LAN cho người dùng

Mạng IoT:vùng mạng cho các thiết bị công tơ, camera, ...
Bảng 24. Giải pháp kỹ thuật cho hệ thống IT truyền thống tại TCTĐL
Yêu cầu Đối tượng Mức
TT Giải pháp kỹ thuật yêu cầu Ghi chú
chung bảo vệ ưu tiên
PC- Yêu cầu
IT.14 Lọc nội dung email cho người dùng User Cao
YC01 mới
PC- Yêu cầu
YC02 cũ
PC- Quản lý định danh và phân quyền tập Yêu cầu

IT.15 User Cao
YC03 trung (Identity and Access Management) mới
PC- Quản trị Yêu cầu

IT.27 Giải pháp quản lý tài khoản đặc quyền Cao
YC04 viên cũ
PC- Yêu cầu
YC05 mới
PC- Giải pháp dịch vụ an toàn truy cập cho Mobile Yêu cầu
IT.30 Cao
YC06 người dùng làm việc từ xa User mới
82

PC- Giải pháp mô phỏng và đào tạo An ninh Yêu cầu
IT.05 User Thấp
YC07 trên không gian mạng mới
PC- IT.02 Yêu cầu
Giải pháp phòng, chống virus/mã độc Máy chủ Cao
YC08 sửa đổi
IT.33 Ứng dụng
PC- Web/API Yêu cầu
Cao
YC09 công cộng sửa đổi
(public)
Tường lửa ứng dụng Web và API
PC- Trung Yêu cầu
(Như trên)
PC- Yêu cầu
(Như trên) Thấp
YC11 sửa đổi
PC- Rà quét điểm yếu ứng dụng đang chạy - Trung Yêu cầu
IT.06 Ứng dụng
YC12 Dynamic Analysis bình mới
PC- Rà quét điểm yếu code ứng dụng - Static Trung Yêu cầu
IT.28 Ứng dụng
YC13 Code Analysis bình mới
PC- Giải pháp giám sát và bảo vệ Dữ liệu hệ Yêu cầu

IT.08 Cao
YC14 CSDL/Non-SQL/BigData thống sửa đổi
Giải pháp mã hóa, biến đổi, che dữ liệu

PC- Dữ liệu hệ Trung Yêu cầu
IT.07 (Encryption/
Dữ liệu
PC- Yêu cầu
IT.11 Chống thất thoát dữ liệu người Cao
YC16 mới
dùng cuối
Dữ liệu
PC- Yêu cầu
IT.09 Phân loại dữ liệu (Data Classification) người Thấp
YC17 mới
dùng cuối
PC- Dữ liệu Yêu cầu
IT.10 Xóa bỏ dữ liệu (Data Wiping) Thấp
YC18 lưu trữ mới
DMZ/
PC- Tường lửa - Security Gateway (gồm Yêu cầu
IT.32 Internet Cao
YC19 tính năng FW, IPS, AV, App control,..) sửa đổi
Inbound
83

PC- Yêu cầu
Partner Cao
YC20 sửa đổi
PC- Yêu cầu
WAN Cao
YC21 sửa đổi
TTDL-Nội Cao
bộ hệ
PC- thống, Yêu cầu
YC22 SOC/SOC mới
,
DEV/UAT
PC- Yêu cầu
Core Cao
YC23 sửa đổi
TTDL- Cao
PC- Yêu cầu
SOC/NOC
YC24 mới
room
PC- Yêu cầu
LAN VP Cao
YC25 sửa đổi
PC- TTDL- Yêu cầu
Cao
YC26 DMZ mới
PC- TTDL- Trung Yêu cầu
YC27 Partner bình mới
TTDL-Nội
PC- Yêu cầu
bộ dùng Cao
YC28 mới
chung
PC- Yêu cầu
WAN Cao
YC29 mới
TTDL-Nội Cao
bộ hệ
PC- thống, Yêu cầu
YC30 SOC/NOC mới
,
DEV/UAT
PC- SOC/NOC Trung Yêu cầu
YC31 room bình mới
PC- Yêu cầu
Core Cao
YC32 mới
84

LAN VP
YC33 bình mới
PC- Hệ thống Trung Yêu cầu
IT.25 Rà quét điểm yếu mạng, hệ thống
PC- Chống tấn công tiên tiến – phát hiện các Hệ thống Trung Yêu cầu
IT.01
YC36 mã độc zero-day mạng bình mới
PC- Mô phỏng vi phạm và tấn công, đánh giá Network, Yêu cầu
IT.03 Thấp
YC37 hiệu quả hệ thống ATTT Thiết bị mới
PC- Yêu cầu
YC38 mới
Thiết bị
PC- Yêu cầu
IT.13 Giải pháp phòng, chống virus/mã độc người Cao
YC39 sửa đổi
dùng cuối
PC- Bảo mật thiết bị di động - Mobile Thiết bị di Trung Yêu cầu
IT.22
YC40 Security động bình mới
Thiết bị
PC- Yêu cầu
IT.16 Giải pháp bảo vệ thiết bị IoT công tơ, Cao
YC41 mới
camera
Thiết bị
PC- Phát hiện và phản hồi các đe dọa trên Trung Yêu cầu
IT.12 người
YC42 endpoint bình mới
dùng cuối
PC- Thu thập, quản lý và phân tích nhật ký sự Quản lý, Yêu cầu
IT.29 Cao
YC43 kiện an ninh Phân tích sửa đổi
PC- Quản lý, Yêu cầu
IT.26 Quản lý bản vá (Patch Management) Cao
PC- Quản lý, Trung Yêu cầu
IT.24 Quản lý cấu hình chính sách an ninh
Hệ thống
PC- Giám sát trạng thái hoạt động mạng và mạng, Trung Yêu cầu
IT.19
YC47 dịch vụ dịch vụ bình mới
ứng dụng
PC- Tình báo thông tin và phát hiện sớm các Quản lý, Yêu cầu
IT.04 Thấp
YC48 đe dọa - Threat Intelligence Phân tích mới
85
iii) Thiết kế chi tiết đảm bảo ATTT cho Private Cloud
Hình 17. Thiết kế Private Cloud cho hệ thống IT tại TCTĐL

Bảng 25. Phân vùng mạng Private Cloud hệ thống IT tại TCTĐL
Cung cấp ứng dụng/dịch vụ public ra bên ngoài
Internet
Cung cấp ứng dụng/dịch vụ cho các đối tác bên
2 Vùng mạng đối tác (Partner) ngoài của TCT (Banks, đơn vị chức năng bên
ngoài,…)
Vùng mạng nội bộ - Dùng chung Cung cấp ứng dụng/dịch vụ dùng chung trong
3
(Internal) nội bộ toàn mạng
86

Vùng mạng cho khối phát triển ứng dụng, kiểm
4.2 + DEV/UAT
thử, huấn luyện, đào tạo
4.4 + SOC room
5
Mạng Public Cloud: áp dụng trường hợp nếu có ứng dụng, dữ liệu được đẩy lên
Public cloud (IaaS).
Văn phòng di động (Mobile Users): người dùng làm việc từ xa từ bất kỳ nơi
đâu, được truy cập các dịch vụ cần thiết cũng như được bảo vệ đầy đủ như thể làm
việc tại Văn phòng cơ quan/TTDL. Trường hợp người dùng được phép truy cập
các ứng dụng và dữ liệu giống như người dùng trong mạng Văn phòng cố định, thì
cần áp dụng biện pháp kiểm soát và bảo vệ người dùng đầy đủ, ví dụ sử dụng dịch
vụ cloud (Cloud Security Services/SASE).
Mạng IoT: các thiết bị công tơ, camera.
Bảng 26. Giải pháp kỹ thuật cho mạng Private Cloud hệ thống IT tại TCTĐL
TT Giải pháp kỹ thuật yêu cầu
PC- Yêu cầu
YC49 mới
PC- Yêu cầu
YC50 mới
Quản lý định danh và phân quyền tập Yêu cầu
PC-
IT.15 trung (Identity and Access User Cao mới
YC51
Management)
PC- Giải pháp quản lý tài khoản đặc Quản trị Yêu cầu
IT.27 Cao
YC52 quyền viên mới
PC- Yêu cầu
YC53 mới
PC- Giải pháp dịch vụ an toàn truy cập Mobile Yêu cầu
IT.30 Cao
YC54 cho người dùng làm việc từ xa User mới
87

PC- Yêu cầu
Máy chủ Cao
YC55 Giải pháp phòng, chống virus/mã mới
IT.02
PC- độc Workload/ Yêu cầu
Cao
YC56 Container mới
Ứng dụng
Cao
YC57 công cộng mới
(public)
Ứng dụng
Web/API
IT.33 Tường lửa ứng dụng Web và API trên kênh
YC58 bình mới
mạng kết
nối đối tác
Ứng dụng
Thấp
nội bộ
Workload/
PC- Rà quét điểm yếu ứng dụng đang Trung Yêu cầu
IT.06 Container
YC60 chạy - Dynamic Analysis bình mới
/Ứng dụng
Workload/
PC- Rà quét điểm yếu code ứng dụng - Trung Yêu cầu
IT.28 Container
YC61 Static Code Analysis bình mới
/Ứng dụng
PC- Giải pháp giám sát và bảo vệ Dữ liệu hệ Yêu cầu

IT.08 Cao
Giải pháp mã hóa, biến đổi, che dữ

PC- Dữ liệu hệ Trung Yêu cầu
IT.07 liệu (Encryption/
Dữ liệu
PC- Yêu cầu
YC71 mới
cuối
Dữ liệu
PC- Phân loại dữ liệu (Data Yêu cầu
IT.09 người dùng Thấp
YC72 Classification) mới
cuối
88

PC- TTDL - Yêu cầu
Cao
YC66 Biên vật lý mới

Cao
YC67 DMZ mới

Cao
YC68 Partner mới
TTDL-Nội
PC- Yêu cầu
bộ dùng Cao
YC69 mới
chung
TTDL -Nội
Tường lửa - Security Gateway (gồm
PC- bộ hệ thống, Yêu cầu
IT.32 tính năng FW, IPS, AV, App Cao
YC70 SOC/SOC, mới
control,..)
DEV/UAT

Cao
YC71 Data mới
TTDL-
PC- Yêu cầu
SOC/NOC Cao
YC72 mới
room
PC- Yêu cầu
LAN VP Cao
YC73 mới
PC- Public Yêu cầu
Cao
YC74 cloud mới
Cao
YC75 DMZ mới
PC- TTDL- Trung Yêu cầu
YC76 Partner bình mới
TTDL-Nội
PC- Yêu cầu
bộ dùng Cao
YC77 mới
TTDL -Nội
PC- bộ hệ thống, Yêu cầu
Cao
YC78 SOC/SOC, mới
DEV/UAT
Cao
YC79 Data mới
89

PC- SOC/NOC Trung Yêu cầu
LAN VP
YC81 bình mới
PC- Chống tấn công tiên tiến – phát hiện Hệ thống Trung Yêu cầu
IT.01
YC84 các mã độc zero-day mạng bình mới
PC- Yêu cầu
YC85 mới
Thiết bị
PC- Giải pháp phòng, chống virus/mã Yêu cầu
YC86 độc mới
cuối
PC- Bảo mật thiết bị di động - Mobile Thiết bị di Trung Yêu cầu
IT.22
Thiết bị
PC- Yêu cầu
YC88 mới
camera
Thiết bị
PC- Phát hiện và phản hồi các đe dọa trên Trung Yêu cầu
cuối
PC- Thu thập, quản lý và phân tích nhật ký Quản lý, Yêu cầu
IT.29 Cao
YC90 sự kiện an ninh Phân tích mới
PC- Quản lý, Yêu cầu
Hệ thống
PC- Giám sát trạng thái hoạt động mạng mạng, dịch Trung Yêu cầu
IT.20
YC93 và dịch vụ vụ ứng bình mới
dụng
90

III.4.2.b. Hệ thống IT tại các CTĐL tỉnh/thành phố (quận/huyện)
Hình 18. Thiết kế hệ thống IT tại CTĐL tỉnh/thành phố

Phân vùng mạng:
Bảng 27. Phân vùng mạng IT tại CTĐL tỉnh/thành phố

1 Vùng mạng công cộng DMZ/Internet
ngoài Internet
3
(Internal) nội bộ toàn mạng PC miền (WAN)
4.1 + System:

Mạng IoT (Internet of Things): các thiết bị công tơ, camera.
91
Bảng 28. Giải pháp kỹ thuật cho hệ thống IT CTĐL tỉnh/thành phố
PC- Yêu cầu
YC95 mới
PC- Yêu cầu
YC96 mới
PC- Giải pháp quản lý tài khoản đặc Quản trị Yêu cầu
IT.27 Cao
PC- Yêu cầu
YC98 mới
YC99 độc mới
PC- Ứng dụng Yêu cầu
IT.33 Tường lửa ứng dụng Web và API Cao
YC100 Web/API mới
PC- Internet/ Cao Yêu cầu

YC101 Tường lửa - Security Gateway (gồm mới
DMZ
IT.32 tính năng FW, IPS, AV, App
PC- control,..) LAN/WA Cao Yêu cầu
YC102 N/Core mới
PC- Internet/ Cao Yêu cầu

YC103 DMZ mới
PC- LAN/WA Cao Yêu cầu
YC104 N/Core mới
Thiết bị
PC- Yêu cầu
YC105 mới
camera
Thiết bị
IT.13 người Cao
YC106 độc mới
dùng cuối
PC- Thu thập, quản lý và phân tích nhật Quản lý, Yêu cầu
IT.29 Cao
YC107 ký sự kiện an ninh Phân tích mới
92
III.4.2.c. Hệ thống tự động hóa TBA (SAS TBA) thuộc các

TCTĐL/CTĐL
(Defense in Depth) tham khảo các hướng dẫn IEC 62443, DHS ICS-CERT như
sau:
Hình 19. Phương pháp thiết kế hệ thống SAS TBA thuộc TCTĐL/CTĐL
TBA được thể hiện tại mục III.1.3.
93
Hình 20. Thiết kế hệ thống SAS TBA TCTĐL/CTĐL

Bảng 29. Giải pháp kỹ thuật cho hệ thống SAS TBA TCTĐL/CTĐL
Yêu cầu Giải pháp kỹ thuật Mức ưu Ghi chú
TT Vùng mạng
chung yêu cầu tiên
Triển khai các biện
PC- Kiểm soát an ninh vật lý pháp an ninh vật lý Yêu cầu
OT.01 Cao
YC108 cho toàn bộ hệ thống DCS quản lý việc truy cập sửa đổi
hệ thống DCS
PC- Kiểm soát an ninh vật Yêu cầu
OT.01 trường/Điều khiển thiết bị Cao
YC109 lý như trên sửa đổi
trường
Tường lửa công
OT.10 nghiệp/Bảo mật hai
chiều
PC- Phòng, chống mã Trung Yêu cầu
OT.02 Lớp 3: Control Center
YC111 độc/virus bình sửa đổi
Giám sát thay
PC- Yêu cầu
OT.03 đổi/đóng băng cấu Thấp
YC112 mới
hình
PC- Yêu cầu
OT.10 Lớp 4.1: SCADA/GW nghiệp/Bảo mật hai Cao
YC113 sửa đổi
chiều
94
Yêu cầu Giải pháp kỹ thuật Mức ưu Ghi chú

TT Vùng mạng
chung yêu cầu tiên
PC- Phòng, chống mã Trung Yêu cầu
OT.02
OT.10 nghiệp/Bảo mật hai
chiều
PC- Lớp 4.2: Mạng Trung gian Phòng, chống mã Yêu cầu
OT.02 Cao
YC116 độc/virus sửa đổi
PC- Thu thập và quản lý Yêu cầu
OT.08 Thấp
YC117 nhật ký sự kiện an ninh sửa đổi
III.4.2.d. Trung tâm điều khiển xa cụm nhà máy trực thuộc TCTĐL/CTĐL
sau:
Hình 21. Phương pháp thiết kế hệ thống TTĐKX thuộc TCTĐL/CTĐL

95
Hình 22. Thiết kế hệ thống TTĐKX thuộc TCTĐL/CTĐL

Bảng 30. Giải pháp kỹ thuật cho hệ thống TTĐKX thuộc TCTĐL/CTĐL
Yêu cầu Giải pháp kỹ thuật yêu Mức ưu Ghi chú
TT Vùng mạng
chung cầu tiên
Kiểm soát an ninh vật Triển khai các biện pháp an
PC- Yêu cầu
OT.01 lý cho toàn bộ hệ ninh vật lý quản lý việc truy Cao
YC118 cũ
thống DCS cập hệ thống DCS
PC- Tường lửa công Trung Yêu cầu
OT.10
Giải pháp giám sát an ninh,
PC- phát hiện tấn công xâm Trung Yêu cầu
OT.05
YC120 nhập, hành vi bất thường bình mới
trong hệ thống
PC- Lớp 3: Control Trung Yêu cầu
PC- Giám sát thay đổi/đóng Yêu cầu
OT.03 Thấp
YC123 bình cũ
YC124 bình mới
PC- Lớp 4.1:- Tường lửa công Yêu cầu

OT.10 Cao
YC125 SCADA/GW nghiệp/Bảo mật hai chiều sửa đổi
96

TT Vùng mạng
chung cầu tiên
OT.05
trong hệ thống

OT.10

OT.05
trong hệ thống
PC- Yêu cầu
YC130 sửa đổi
Lớp 4.2: Mạng
PC- Trung gian Yêu cầu
OT.13 Cổng quét an ninh Cao
YC131 mới
PC- Giải pháp giám sát người Trung Yêu cầu

OT.12
YC132 dùng đặc quyền bình cũ
PC- Quản lý tài sản hệ thống Yêu cầu

OT.11 Thấp
YC133 OT mới
PC- Thu thập và quản lý nhật ký Yêu cầu

OT.08 Thấp
YC134 sự kiện an ninh sửa đổi

OT.10
PC- Yêu cầu

Lớp 4.3: Replica Cổng an ninh một chiều (1) Cao
YC136 cũ
OT.14 (mạng cấp số liệu ra
PC- bên ngoài) Yêu cầu
Cổng an ninh một chiều (2) Thấp
YC137 mới
PC- Yêu cầu
YC138 sửa đổi
PC- Tường lửa công nghiệp/ Trung Yêu cầu

OT.10 Lớp 4.4: Vùng Huấn
YC139 Bảo mật hai chiều bình sửa đổi
luyện, Mô phỏng
PC- (Simulation) Yêu cầu
YC140 sửa đổi
97
Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các HTTT của các
GENCOs và các đơn vị thành viên
nhằm đảm bảo ATTT cho các GENCOs và các Nhà máy trực thuộc GENCOs được
mô tả tại mục III.2 với các yêu cầu từ QL01 đến QL09.
III.5.2.a. Hệ thống IT tại các GENCOs
i) Phương pháp thiết kế:
Việc thiết kế ATTT cho mạng Tổng công ty cần đảm bảo: (i) Tiếp cận kiến trúc
Zero-trust; (ii) Định hướng lên mô hình cloud nhưng vẫn phù hợp với mô hình
TTDL truyền thống hiện tại đang trong quá trình chuyển đổi (mô hình kết hợp,
TTDL truyền thống duy trì hoạt động song song với Private Cloud và Public
Cloud).
Hình 23. Phương phát thiết kế tổng quát hệ thống IT tại GENCOs
tại mục III.1.2.
ii) Thiết kế chi tiết đảm bảo ATTT cho hệ thống tại TTDL
Trong quá trình chuyển đổi lên mô hình Cloud, mô hình TTDL truyền thống
vẫn duy trì hoạt động song song với Private Cloud và Public Cloud.
98
Hình 24. Thiết kế hệ thống IT truyền thống tại GENCOs

Phân vùng mạng:
Bảng 31. Phân vùng hệ thống IT truyền thống tại GENCOs

ngoài Internet


4.1 + System:

4.2 + DEV/UAT
5
Mạng Văn phòng: vùng mạng LAN cho người dùng

99
Bảng 32. Giải pháp kỹ thuật cho hệ thống IT truyền thống tại GENCOs
Genco- Yêu cầu
YC01 mới
Genco- Yêu cầu

YC02 mới
Quản lý định danh và phân quyền tập

Genco- Yêu cầu
IT.15 trung (Identity and Access User Cao
YC03 mới
Management)
Genco- Quản trị Yêu cầu

YC04 viên mới
Genco- Yêu cầu
YC05 mới
Genco- Giải pháp dịch vụ an toàn truy cập cho Mobile Yêu cầu
IT.30 Cao
YC06 người dùng làm việc từ xa User mới
Genco- Yêu cầu
IT.02 Giải pháp phòng, chống virus/mã độc Máy chủ Cao
YC07 mới
Ứng dụng Yêu cầu
Genco-
Web/API Cao mới
YC08
công cộng
IT.33 Tường lửa ứng dụng Web và API Ứng dụng Yêu cầu
Web/API mới
Genco-
trên kênh Thấp
YC09
mạng nội
bộ
Genco- Rà quét điểm yếu ứng dụng đang chạy Trung Yêu cầu
IT.06 Ứng dụng
YC10 - Dynamic Analysis bình mới
Genco- Rà quét điểm yếu code ứng dụng - Trung Yêu cầu
IT.28 Ứng dụng
Genco- Giải pháp giám sát và bảo vệ CSDL/ Dữ liệu hệ Yêu cầu
IT.08 Cao
YC12 Non-SQL/BigData thống mới
100

Genco- Giải pháp mã hóa, biến đổi, che dữ Dữ liệu hệ Trung Yêu cầu
IT.07
YC13 liệu thống bình mới
Dữ liệu
Genco- Yêu cầu
YC14 mới
dùng cuối
Dữ liệu
Genco- Phân loại dữ liệu (Data Yêu cầu
IT.09 người Thấp
dùng cuối
Genco- DMZ/Inter Yêu cầu

Cao
YC16 net mới
Genco- Yêu cầu

Tường lửa - Security Gateway (gồm WAN Cao
YC17 mới
Genco- control,..) Yêu cầu
Core Cao
YC18 mới
Genco- Yêu cầu
LAN VP Cao
YC19 mới
TTDL-
Genco- Yêu cầu
DMZ/Inter Cao
YC20 mới
net
TTDL-Nội
Genco- Yêu cầu
bộ dùng Cao
YC21 mới
chung
Genco- Yêu cầu
WAN Cao
YC22 mới
Genco- Yêu cầu
Core Cao
YC23 mới
Genco- Trung Yêu cầu
LAN VP
YC24 bình mới
Genco- Hệ thống Trung Yêu cầu
Genco- Chống tấn công tiên tiến – phát hiện Hệ thống Trung Yêu cầu
IT.01
101

Genco- Yêu cầu
YC28 mới
Thiết bị
Genco- Giải pháp phòng, chống virus/mã Yêu cầu
IT.26 người Cao
YC29 độc mới
dùng cuối
Genco- Bảo mật thiết bị di động - Mobile Thiết bị di Trung Yêu cầu
IT.24
Thiết bị
Genco- Phát hiện và phản hồi các đe dọa trên Trung Yêu cầu
IT.20 người
dùng cuối
Genco- Thu thập, quản lý và phân tích nhật Quản lý, Yêu cầu
IT.29 Cao
Genco- Quản lý, Yêu cầu
Genco- Quản lý, Trung Yêu cầu
Hệ thống
Genco- Giám sát trạng thái hoạt động mạng mạng, Trung Yêu cầu
IT.19
YC36 và dịch vụ dịch vụ bình mới
ứng dụng
102
Hình 25. Thiết kế mạng Private Cloud cho hệ thống IT tại GENCOs
Bảng 33. Phân vùng mạng Private Cloud hệ thống IT tại GENCOs

ngoài Internet
3
(Internal) nội bộ toàn mạng TCT

4.2 + DEV/UAT
5
103

Bảng 34. Giải pháp kỹ thuật cho Private Cloud hệ thống IT tại GENCOs
Genco- Yêu cầu
YC37 mới
Genco- Yêu cầu
YC38 mới
Quản lý định danh và phân quyền
Genco- Yêu cầu
IT.15 tập trung (Identity and Access User Cao
YC39 mới
Management)
Genco- Giải pháp quản lý tài khoản đặc Quản trị Yêu cầu
IT.27 Cao
Genco- Yêu cầu
YC41 mới
Genco- Giải pháp dịch vụ an toàn truy cập Mobile Yêu cầu
IT.30 Cao
Genco- Yêu cầu
Máy chủ Cao
IT.02
Genco- độc Workload/ Yêu cầu
Cao
Ứng dụng
Genco- Web/API Yêu cầu
Cao
YC45 công cộng mới
(public)
IT.33 Tường lửa ứng dụng Web và API
Ứng dụng
Genco- Web/API Yêu cầu
Thấp
YC46 trên kênh mới
mạng nội bộ
Workload/
Genco- Rà quét điểm yếu ứng dụng đang Trung Yêu cầu
IT.06 Container/Ứ
YC47 chạy - Dynamic Analysis bình mới
ng dụng
Workload/
Genco- Rà quét điểm yếu code ứng dụng - Trung Yêu cầu
IT.28 Container/Ứ
ng dụng
104

Genco- Giải pháp giám sát và bảo vệ CSDL/ Dữ liệu Yêu cầu
IT.08 Cao
YC49 Non-SQL/BigData hệ thống mới

Genco- Dữ liệu Trung Yêu cầu
IT.07 liệu
YC50 hệ thống bình mới
Dữ liệu
Genco- Yêu cầu
YC51 mới
cuối
Dữ liệu
Genco- Yêu cầu
IT.09 Phân loại dữ liệu người dùng Thấp
YC52 mới
cuối
Genco- TTDL - Yêu cầu

Cao
YC53 Biên vật lý mới
Genco- TTDL- Yêu cầu
Cao
YC54 DMZ mới
TTDL-Nội
Genco- Yêu cầu
bộ dùng Cao
YC55 mới
chung
Tường lửa - Security Gateway TTDL -Nội
Genco- IT.32 (gồm tính năng FW, IPS, AV, App bộ hệ thống, Yêu cầu
Cao
YC56 control,..) SOC/SO, mới
DEV/UAT
Cao
YC57 Data mới
Genco- Yêu cầu
LAN VP Cao
YC58 mới
Genco- Public Yêu cầu
Cao
YC59 cloud mới
Genco- TTDL- Yêu cầu
Cao
YC60 DMZ mới
IT.17 Phòng, chống xâm nhập TTDL-Nội
Genco- Yêu cầu
bộ dùng Cao
YC61 mới
chung
105

TTDL -Nội
Genco- bộ hệ thống, Yêu cầu
Cao
YC62 SOC/SOC, mới
DEV/UAT
Cao
YC63 Data mới
LAN VP
YC64 bình mới
Genco- Chống tấn công tiên tiến – phát Hệ thống Trung Yêu cầu
IT.01
YC54 hiện các mã độc zero-day mạng bình mới
Genco- Yêu cầu
YC66 mới
Thiết bị
YC67 độc mới
cuối
Genco- Bảo mật thiết bị di động - Mobile Thiết bị di Trung Yêu cầu
IT.22
Thiết bị
Genco- Phát hiện và phản hồi các đe dọa trên Trung Yêu cầu
cuối
IT.29 Cao
Genco- Quản lý, Yêu cầu

Hệ thống
Genco- Giám sát trạng thái hoạt động mạng mạng, dịch Trung Yêu cầu
IT.20
dụng
106

III.5.2.b. Hệ thống IT tại các văn phòng Nhà máy thuộc Genco
Hình 26. Thiết kế hệ thống IT Nhà máy thuộc Genco

Phân vùng mạng:
Bảng 35. Phân vùng mạng hệ thống IT Nhà máy thuộc GENCO
1
DMZ/Internet ngoài Internet
Vùng mạng nội bộ - Cung cấp ứng dụng/dịch vụ dùng chung

3
Dùng chung (Internal) trong nội bộ toàn mạng WAN
4.1 + System:

107
Mạng IoT: các thiết bị công tơ, camera,...

Bảng 36. Giải pháp kỹ thuật yêu cầu cho hệ thống IT Nhà máy thuộc GENCO
Yêu cầu Đối tượng Mức ưu
STT Giải pháp kỹ thuật yêu cầu Ghi chú
Genco- Yêu cầu
YC75 mới
Genco- Giải pháp quản lý tài khoản đặc Quản trị Yêu cầu
IT.27 Cao
Genco- Yêu cầu
YC77 mới
YC78 độc mới
Genco- Ứng dụng Yêu cầu
YC79 Web/API mới
Genco- Core/LAN Yêu cầu
Tường lửa - Security Gateway Cao
YC80 /WAN mới
Genco- App control,..)
DMZ/ Yêu cầu
Cao
YC81 Internet mới
Genco- Core/LAN Yêu cầu

Cao
YC82 /WAN mới
Genco- DMZ/ Yêu cầu
Cao
YC83 Internet mới

Thiết bị
IT.13 người Cao
YC84 độc mới
dùng cuối
Thiết bị
IT.16 Giải pháp bảo vệ thiết bị IoT công tơ,
YC85 bình mới
camera
IT.29 Cao
108
III.5.2.c. Hệ thống giám sát điều khiển NMĐ (DCS) thuộc GENCOs
sau:
Hình 27. Phương pháp thiết kế tổng quát hệ thống DCS tại Genco
Mô tả phương pháp thiết kế, các phân vùng mạng chính cho hệ thống giám sát
điều khiển được thể hiện tại mục III.1.3
109
Hình 28. Thiết kế hệ thống DCS tại GENCO

Bảng 37. Giải pháp kỹ thuật cho hệ thống DCS tại GENCO
STT Vùng mạng Giải pháp kỹ thuật yêu cầu Ghi chú
chung tiên
Kiểm soát an
Genco- ninh vật lý cho Yêu cầu
OT.01 ninh vật lý quản lý việc truy Cao
YC87 toàn bộ hệ sửa đổi
cập hệ thống DCS
thống DCS
Lớp 0-1: Thiết
Genco- bị trường/Điều Kiểm soát an ninh vật lý như Yêu cầu
OT.01 Cao
YC88 khiển thiết bị trên sửa đổi
trường
Genco- Tường lửa công nghiệp/Bảo Yêu cầu

OT.10 Thấp
YC89 mật hai chiều sửa đổi
Genco- Lớp 2: Local Trung Yêu cầu

YC90 HMI bình sửa đổi
Genco- Giám sát thay đổi/đóng băng Yêu cầu
OT.03 Thấp
YC91 cấu hình mới
110

chung tiên
Genco- Tường lửa công nghiệp/Bảo Trung Yêu cầu
OT.10
YC92 mật hai chiều bình sửa đổi
Genco- phát hiện tấn công xâm nhập, Trung Yêu cầu
OT.05
YC93 hành vi bất thường trong hệ bình mới
thống
Genco- Lớp 3: Control Trung Yêu cầu
Genco- Giám sát thay đổi/đóng băng Yêu cầu

OT.03 Thấp

YC96 bình mới
YC97 bình mới
Genco- Tường lửa công nghiệp/Bảo Yêu cầu

OT.10 Cao

Genco- Lớp 4.1: phát hiện tấn công xâm nhập, Trung Yêu cầu
OT.05
YC99 SCADA/GW hành vi bất thường trong hệ bình mới
thống
OT.10
Genco- phát hiện tấn công xâm nhập, Trung Yêu cầu
OT.05
YC102 hành vi bất thường trong hệ bình mới
thống
Lớp 4.2: Mạng
Genco- Trung gian Yêu cầu
YC103 sửa đổi
Genco- Yêu cầu
Cổng quét an ninh Cao
YC104 mới
Genco- Giải pháp giám sát người Trung Yêu cầu

OT.12
YC105 dùng đặc quyền bình mới
111

chung tiên
Genco- Yêu cầu
YC106 mới
Genco- Thu thập và quản lý nhật ký Yêu cầu

OT.08 Thấp

OT.10
Lớp 4.3:
Replica (mạng
Genco- Yêu cầu
OT.14 cấp số liệu ra Cổng an ninh một chiều Cao
YC109 mới
bên ngoài)
Genco- Yêu cầu
YC110 sửa đổi
III.5.2.d. Trung tâm điều khiển xa thuộc GENCOs
sau:
Hình 29. Phương pháp thiết kế tổng quát hệ thống TTĐKX thuộc GENCO
112
Hình 30. Thiết kế hệ thống TTĐKX thuộc GENCO

Bảng 38. Giải pháp kỹ thuật cho hệ thống TTĐKX thuộc GENCO
chung cầu tiên
Kiểm soát an
Triển khai các biện pháp
Genco- ninh vật lý cho Yêu cầu
OT.01 an ninh vật lý quản lý việc Cao
YC111 toàn bộ hệ thống sửa đổi
DCS
Genco- Tường lửa công nghiệp/ Trung Yêu cầu

OT.10
YC112 Bảo mật hai chiều bình mới

Genco- phát hiện tấn công xâm Trung Yêu cầu
OT.05
YC113 nhập, hành vi bất thường bình sửa đổi
trong hệ thống
Genco- Lớp 3: Control Phòng, chống mã Trung Yêu cầu
OT.02
YC114 Center độc/virus bình mới
Genco- Giám sát thay đổi/đóng Yêu cầu

OT.03 Thấp
YC115 băng cấu hình cũ

YC116 bình mới
113

chung cầu tiên
Genco- Tường lửa công nghiệp/ Yêu cầu

OT.10 Cao
YC118 Bảo mật hai chiều mới

Lớp 4.1:-
OT.05 SCADA/GW
trong hệ thống
Genco- Phòng, chống mã Trung Yêu cầu
OT.02
Genco- Tường lửa công nghiệp/ Trung Yêu cầu

OT.10
YC121 Bảo mật hai chiều bình mới

OT.05
trong hệ thống
Genco- Phòng, chống mã Yêu cầu
OT.02 Cao
YC123 Lớp 4.2: Mạng độc/virus mới
Genco- Trung gian Yêu cầu
YC124 mới
Genco- Giải pháp giám sát người Trung Yêu cầu
OT.12
Genco- Quản lý tài sản hệ thống Yêu cầu
OT.11 Thấp
YC126 OT sửa đổi
Genco- Thu thập và quản lý nhật Yêu cầu
OT.08 Thấp
YC127 ký sự kiện an ninh sửa đổi
Genco- Tường lửa công Trung Yêu cầu
OT.10
YC128 nghiệp/Bảo mật hai chiều bình cũ
Genco- Lớp 4.3: Replica Cổng an ninh một chiều (1) Yêu cầu
Cao
YC129 (mạng cấp số mới
OT.14
Genco- liệu ra bên Yêu cầu
ngoài) Cổng an ninh một chiều (2) Thấp
YC130 sửa đổi
Genco- Phòng, chống mã Yêu cầu
OT.02 Cao
Genco- Lớp 4.4: Vùng Tường lửa công nghiệp/ Trung Yêu cầu
OT.10
YC132 huấn luyện, mô Bảo mật hai chiều bình sửa đổi
114

chung cầu tiên
Genco- phỏng Phòng, chống mã Yêu cầu
OT.02 (Simulation) Cao
Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các HTTT của
EVNNLDC và các Trung tâm Điều độ miền
nhằm đảm bảo ATTT cho A0/Ax được mô tả tại mục III.2 với các yêu cầu từ QL01
đến QL09.
III.6.2.a. Hệ thống IT tại EVNNLDC và các Trung tâm Điều độ
Thiết kế ATTT cho hệ thống IT tại A0/Ax theo kiến trúc Zero-trust như sau:
Hình 31. Phương pháp thiết kế tổng quát hệ thống IT tại A0/Ax
TTDL/Private Cloud: là nơi vận hành các ứng dụng chính của A0/Ax.
IoT: Vùng mạng kết nối các thiết bị công tơ, camera.
Mạng văn phòng: Mạng LAN người dùng tại văn phòng
ii) Thiết kế chi tiết đảm bảo ATTT cho hệ thống IT Thị trường điện A0
115
Hình 32. Thiết kế hệ thống IT Thị trường điện A0

Phân vùng mạng:
Bảng 39. Phân vùng mạng hệ thống IT Thị trường điện A0
Vùng mạng công cộng Cung cấp ứng dụng/dịch vụ public ra bên ngoài
1
Internet/DMZ (Public) Internet


Gồm các máy chủ phục vụ hệ thống TTDL như
4.1 + System:
DNS, Domain Controller,..
Vùng mạng cho khối phát triển ứng dụng, kiểm
4.2 + DEV/UAT
thử, huấn luyện, đào tạo
5
Mạng IoT: vùng mạng cho các thiết bị công tơ, camera, ...
116
Bảng 40. Giải pháp kỹ thuật cho hệ thống IT Thị trường điện A0
Ax- Yêu cầu
YC01 mới
Ax-
IT.21 Xác thực mạnh User Cao Yêu cầu cũ
YC02
Ax- Quản lý định danh và phân quyền tập Yêu cầu
IT.15 User Cao
YC03 trung mới
Ax-
IT.27 Giải pháp quản lý tài khoản đặc quyền Quản trị viên Cao Yêu cầu cũ
YC04
Ax- Yêu cầu
YC05 mới
Ax- Yêu cầu
YC06 sửa đổi
Ax- Ứng dụng Yêu cầu
YC07 Web/API sửa đổi
Ax- Rà quét điểm yếu ứng dụng đang chạy Trung Yêu cầu
IT.06 Ứng dụng
YC08 (Dynamic Analysis) bình mới
Ax- Rà quét điểm yếu code ứng dụng Trung Yêu cầu
IT.28 Ứng dụng
YC09 (Static Code Analysis) bình mới
Ax- Giải pháp giám sát và bảo vệ Dữ liệu hệ Yêu cầu
IT.08 Cao
YC10 CSDL/Non-SQL/BigData thống sửa đổi
Ax- Dữ liệu hệ Trung Yêu cầu
IT.07 liệu (Encryption/Tokenization/
Masking)
Dữ liệu
Ax- Yêu cầu
YC12 mới
cuối
Dữ liệu
Ax- Yêu cầu
IT.09 Phân loại dữ liệu người dùng Thấp
YC13 mới
cuối
Ax- Dữ liệu lưu Yêu cầu
YC14 trữ mới
Ax- Yêu cầu
IT.32 DMZ/ Cao
YC15 sửa đổi
117

Internet
Ax- Tường lửa - Security Gateway (gồm Yêu cầu
WAN Cao
YC16 tính năng FW, IPS, AV, App sửa đổi
Ax- control,…) Yêu cầu
Core Cao
YC17 sửa đổi
Ax- Yêu cầu
TTDL-DMZ Cao
YC18 mới
TTDL-Nội
Ax- Yêu cầu
bộ dùng Cao
YC19 mới
Ax- Yêu cầu
WAN Cao
YC20 mới
Ax- Yêu cầu
Core Cao
YC21 mới
Ax- Hệ thống Trung Yêu cầu
Ax- Chống tấn công tiên tiến – phát hiện Hệ thống Trung Yêu cầu
IT.01
Ax- Yêu cầu
YC25 mới
Thiết bị
Ax- Yêu cầu
IT.13 Giải pháp phòng, chống virus/mã độc người dùng Cao
YC26 sửa đổi
cuối
Ax- Bảo mật thiết bị di động (Mobile Thiết bị di Trung Yêu cầu
IT.22
YC27 Security) động bình mới
Thiết bị
Ax- Phát hiện và phản hồi các đe dọa trên Trung Yêu cầu
cuối
Ax- Thu thập, quản lý và phân tích nhật ký Quản lý,
IT.29 Cao Yêu cầu cũ
YC29 sự kiện an ninh Phân tích
Ax- Quản lý, Yêu cầu
Ax- Quản lý, Trung Yêu cầu
118

Hệ thống
Ax- Giám sát trạng thái hoạt động mạng Trung Yêu cầu
YC33 và dịch vụ bình mới
vụ ứng dụng
iii) Thiết kế chi tiết đảm bảo ATTT cho hệ thống IT Văn phòng của A0/Ax
Hình 33. Thiết kế hệ thống IT Văn phòng A0/Ax

Phân vùng mạng:
Bảng 41. Phân vùng mạng hệ thống IT Văn phòng A0/Ax
Vùng mạng công cộng Cung cấp ứng dụng/dịch vụ public ra bên ngoài
1
Internet/DMZ (Public) Internet
Vùng mạng nội bộ, Cung cấp ứng dụng/dịch vụ dùng chung trong nội bộ
3
dùng chung (Internal) toàn mạng Thị trường điện (VCGM)
119

Gồm các máy chủ phục vụ hệ thống TTDL như DNS,
4.1 + System:
Domain Controller,..
Vùng mạng cho khối phát triển ứng dụng, kiểm thử,
4.2 + DEV/UAT
huấn luyện, đào tạo
Vùng mạng hạn chế
Gồm các máy chủ dữ liệu/CSDL, ứng dụng quan trọng
5 truy cập (Restricted
của hệ thống
Data)

Bảng 42. Giải pháp kỹ thuật cho hệ thống IT Văn phòng A0/Ax
Ax- Yêu cầu
YC34 mới
Ax- Yêu cầu
YC35 mới
Quản lý định danh và phân quyền tập
Ax- Yêu cầu
IT.15 trung (Identity and Access User Cao
YC36 mới
Management)
Ax- Quản trị Yêu cầu
YC37 viên mới
Ax- Yêu cầu
YC38 mới
Ax- Yêu cầu
YC39 mới
Ax- Ứng dụng Yêu cầu
YC40 Web/API mới
Ax- Rà quét điểm yếu ứng dụng đang chạy Trung Yêu cầu
IT.06 Ứng dụng
YC41 (Dynamic Analysis) bình mới
Ax- Rà quét điểm yếu code ứng dụng Trung Yêu cầu
IT.28 Ứng dụng
120

Ax- Giải pháp giám sát và bảo vệ Dữ liệu hệ Yêu cầu
IT.08 Cao
Ax- Giải pháp mã hóa, biến đổi, che dữ liệu Dữ liệu hệ Trung Yêu cầu
IT.07
YC44 (Encryption/Tokenization/Masking) thống bình mới
Dữ liệu
Ax- Trung Yêu cầu
IT.11 Chống thất thoát dữ liệu người dùng
YC45 bình mới
cuối
Dữ liệu
Ax- Yêu cầu
IT.09 Phân loại dữ liệu (Data Classification) người dùng Thấp
YC46 mới
cuối
Ax- Dữ liệu lưu Yêu cầu
YC47 trữ mới
Ax- DMZ/ Yêu cầu

Cao
YC48 Internet mới
Ax- Yêu cầu

Tường lửa - Security Gateway WAN Cao
YC49 mới
IT.32 (gồm tính năng FW, IPS, AV, App
Ax- control,..) Yêu cầu
Core Cao
YC50 mới
Ax- Yêu cầu
LAN VP Cao
YC51 mới
Ax- TTDL- Yêu cầu

Cao
YC52 DMZ mới
TTDL-Nội
Ax- Yêu cầu
bộ dùng Cao
YC53 mới
chung
Ax- IT.17 Phòng, chống xâm nhập Yêu cầu
WAN Cao
YC54 mới
Ax- Yêu cầu
Core Cao
YC55 mới
LAN VP
YC56 bình mới
121

Ax- Chống tấn công tiên tiến – phát hiện Hệ thống Trung Yêu cầu
IT.01
Ax- Yêu cầu
YC60 mới
Thiết bị
Ax- Yêu cầu
IT.13 Giải pháp phòng, chống virus/mã độc người dùng Cao
YC61 mới
cuối
Ax- Bảo mật thiết bị di động - Mobile Thiết bị di Trung Yêu cầu
IT.22
Thiết bị
Ax- Phát hiện và phản hồi các đe dọa trên Trung Yêu cầu
cuối
Ax- Thu thập, quản lý và phân tích nhật ký Quản lý, Yêu cầu
IT.29 Cao
YC64 sự kiện an ninh Phân tích mới
Ax- Quản lý, Yêu cầu

Hệ thống
Ax- Giám sát trạng thái hoạt động mạng và mạng, dịch Trung Yêu cầu
IT.19
YC68 dịch vụ vụ ứng bình mới
dụng
III.6.2.b. Hệ thống mạng Tự động hóa điều khiển SCADA/EMS tại
A0/Ax
Kiến trúc mạng tự động hóa và điều khiển tại A0/Ax cần được tổ chức thành
các phân vùng mạng và kiểm soát theo nguyên tắc nhiều lớp bảo vệ theo chiều sâu
(Depth in Defense) như sau:
122
Hình 34. Phương pháp thiết kế tổng quát hệ thống SCADA/EMS tại A0/Ax
Các vùng mạng chức năng Core:
- UAT: Vùng mạng huấn luyện, mô phỏng (Simulation/UAT).
- Điều độ: Vùng máy chủ phục vụ điều độ.
- SCADA Server: Vùng máy chủ SCADA.
- End User Apps: Vùng mạng ứng dụng người dùng.
- MGT: Vùng mạng quản trị/giám sát hệ thống mạng, bảo mật: Các máy chủ
quản trị, giám sát hệ thống mạng và bảo mật.
Các vùng mạng lớp biên, giao tiếp với các hệ thống ngoài:
- DAN: vùng thu thập số liệu, điều khiển các TBA, DCS nhà máy.
- Replica: Vùng mạng cung cấp số liệu ra bên ngoài.
- OT WAN: Vùng mạng OT nội bộ kết các Ax.
Các phân vùng mạng trên được thực hiện theo các vùng mạng cơ sở, đơn vị có
thể phân thành vùng mạng nhỏ hơn theo chức năng và mức độ bảo mật. Các vùng
mạng được phân tách cần có firewall kiểm soát truy cập.
123
Hình 35. Thiết kế hệ thống SCADA/EMS tại A0/Ax

Bảng 43. Giải pháp kỹ thuật cho hệ thống SCADA/EMS tại A0/Ax
chung tiên
Ax- Toàn bộ Hệ thống Yêu cầu
OT.01 ninh vật lý quản lý việc truy cập Cao
YC69 TĐH ĐK cũ
hệ thống
Tất cả các khối core
Ax- (SCADA Server, Tường lửa công nghiệp/Bảo Yêu cầu
OT.10 Cao
YC70 Điều độ, End user mật hai chiều sửa đổi
Apps, UAT, MGT)
Giám sát an ninh, phát hiện tấn
Ax- Yêu cầu
OT.05 công xâm nhập, hành vi bất Cao
YC71 mới
thường trong hệ thống
Ax- Vùng SCADA Yêu cầu
YC72 Server, Vùng Điều sửa đổi
Ax- độ Yêu cầu
OT.09 Xác thực mạnh Cao
YC73 mới
Ax- Giám sát thay đổi/đóng băng Yêu cầu
OT.03 Thấp
124

chung tiên
Ax- Yêu cầu
OT.05 công xâm nhập, hành vi bất Cao
YC75 mới
Vùng ứng dụng thường trong hệ thống
Ax- người dùng Yêu cầu
YC76 (End user Apps) mới
Ax- Yêu cầu
OT.09 Xác thực mạnh Cao
YC77 mới
OT.05 công xâm nhập, hành vi bất
YC78 Vùng huấn luyện, thường trong hệ thống bình mới
kiểm thử (UAT)
Ax- Yêu cầu
YC79 sửa đổi
YC80 bình mới
Ax- Yêu cầu
YC81 sửa đổi
Ax- Giải pháp giám sát người dùng Yêu cầu
OT.12 Cao
YC82 đặc quyền cũ
Quản trị (MGT)
Ax- Yêu cầu
YC83 mới
Ax- Thu thập và quản lý nhật ký sự Trung Yêu cầu

OT.08
YC84 kiện an ninh bình mới

YC85 bình mới
Ax- Tường lửa công nghiệp/Bảo Yêu cầu
OT.10 Cao
Ax- Yêu cầu
Cổng an ninh một chiều (1) Cao
YC87 Replica (mạng cấp cũ
OT.14 số liệu ra bên ngoài)
Ax- Yêu cầu
Cổng an ninh một chiều (2) Thấp
YC88 mới
Ax- Yêu cầu
YC89 sửa đổi
OT.10 OT WAN (vùng kết Cao
nối mạng tới các
Ax- điều độ miền) Yêu cầu
YC91 sửa đổi
125

chung tiên
OT.10 Cao
Vùng DAN
Ax- Yêu cầu
OT.02 Phòng, chống mã độc/ irus Cao
YC93 sửa đổi
Mô hình/giải pháp kỹ thuật đảm bảo ATTT đối với các HTTT của Công
ty/NMĐ trực thuộc EVN
nhằm đảm bảo ATTT cho các Công ty/NMĐ trực thuộc EVN được mô tả tại mục
III.2 với các yêu cầu từ QL01 đến QL09.
III.7.2.a. Hệ thống IT các Công ty/NMĐ trực thuộc EVN
Thiết kế ATTT cho hệ thống IT tại các Công ty/NMĐ trực thuộc EVN tiếp cận
kiến trúc Zero-trust như sau:
Hình 36. Phương pháp thiết kế tổng quát hệ thống IT tại Công ty/NMĐ trực
thuộc EVN
Vùng mạng nội bộ NMĐ: là nơi vận hành các ứng dụng chính của A0.
Mạng văn phòng: mạng LAN người dùng tại văn phòng
ii) Thiết kế hệ thống đảm bảo ATTT
126
Hình 37. Thiết kế hệ thống IT tại Công ty/NMĐ trực thuộc EVN
Phân vùng mạng:
Bảng 44. Phân vùng mạng hệ thống IT tại Công ty/NMĐ trực thuộc EVN
1
Internet/DMZ ngoài Internet
Vùng mạng nội bộ, Cung cấp ứng dụng/dịch vụ dùng chung trong
3
dùng chung (Internal) nội bộ toàn mạng Công ty/NMĐ
4.1 + System:
4.2 + DEV/UAT
Data)

Giải pháp kỹ thuật:
127
Bảng 45. Giải pháp kỹ thuật cho hệ thống IT tại Công ty/NMĐ trực thuộc EVN
NMĐ- Lọc nội dung email cho người Yêu cầu
IT.14 User Cao
YC01 dùng mới
NMĐ- Yêu cầu
YC02 mới
Quản lý định danh và phân
NMĐ- Yêu cầu
IT.15 quyền tập trung (Identity and User Cao
YC03 mới
Access Management)
NMĐ- Giải pháp quản lý tài khoản Yêu cầu
NMĐ- Yêu cầu
YC05 mới
NMĐ- Giải pháp phòng, chống virus/ Yêu cầu

YC06 mã độc mới
Ứng dụng
NMĐ- Yêu cầu
Web/API Cao
YC07 mới
công cộng
Tường lửa ứng dụng Web và
IT.33 Ứng dụng
API
NMĐ- Web/API trên Yêu cầu
Thấp
nội bộ
Rà quét điểm yếu ứng dụng
NMĐ- Trung Yêu cầu
IT.06 đang chạy (Dynamic Ứng dụng
YC09 bình mới
Analysis)
NMĐ- Rà quét điểm yếu code ứng Trung Yêu cầu
IT.28 Ứng dụng
YC10 dụng (Static Code Analysis) bình mới
NMĐ- Giải pháp giám sát và bảo vệ Dữ liệu hệ Yêu cầu
IT.08 Cao
Giải pháp mã hóa, biến đổi,
NMĐ- Dữ liệu hệ Trung Yêu cầu
IT.07 che dữ liệu (Encryption/
128

Dữ liệu
NMĐ- Yêu cầu
YC13 mới
cuối
NMĐ- DMZ/ Yêu cầu

Cao
YC14 Internet mới
NMĐ- Yêu cầu

Tường lửa - Security Gateway WAN Cao
YC15 mới
NMĐ- App control,..) Yêu cầu
Core Cao
YC16 mới
NMĐ- Yêu cầu
LAN VP Cao
YC17 mới
NMĐ- TTDL-DMZ Yêu cầu

Cao
YC18 /Internet mới
TTDL-Nội
NMĐ- Yêu cầu
bộ dùng Cao
YC19 mới
chung
NMĐ- IT.17 Phòng, chống xâm nhập Yêu cầu
WAN Cao
YC20 mới
NMĐ- Yêu cầu
Core Cao
YC21 mới
LAN VP
YC22 bình mới
NMĐ- Rà quét điểm yếu mạng, hệ Hệ thống Trung Yêu cầu
IT.25
YC23 thống mạng bình mới
NMĐ- Hệ thống Trung Yêu cầu
NMĐ- Chống tấn công tiên tiến – Hệ thống Trung Yêu cầu
IT.01
YC25 phát hiện các mã độc zero-day mạng bình mới
NMĐ- Yêu cầu
YC14 mới
Thiết bị
NMĐ- Giải pháp phòng, chống Yêu cầu
cuối
129

NMĐ- Bảo mật thiết bị di động Thiết bị di Trung Yêu cầu
IT.22
YC27 (Mobile Security) động bình mới
Thiết bị
NMĐ- Phát hiện và phản hồi các đe Trung Yêu cầu
YC28 dọa trên endpoint bình mới
cuối
NMĐ- Thu thập, quản lý và phân tích Quản lý, Yêu cầu
IT.29 Cao
YC30 nhật ký sự kiện an ninh Phân tích mới
NMĐ- Quản lý bản vá (Patch Quản lý, Yêu cầu
IT.26 Cao
YC31 Management) Phân tích mới
NMĐ- Quản lý cấu hình chính sách Quản lý, Trung Yêu cầu
IT.24
YC32 an ninh Phân tích bình mới
NMĐ- Quản lý, Trung Yêu cầu
Hệ thống
NMĐ- Giám sát trạng thái hoạt động Trung Yêu cầu
YC34 mạng và dịch vụ bình mới
vụ ứng dụng
III.7.2.b. Mạng LAN/TTĐ của các Công ty/NMĐ trực thuộc
Hình 38. Thiết kế hệ thống LAN/TTĐ tại Công ty/NMĐ trực thuộc EVN
- Vùng mạng nội bộ dùng chung: cung cấp ứng dụng/dịch vụ dùng chung trong
nội bộ toàn mạng Công ty/NMĐ.
- Vùng mạng LAN cho người dùng.
- Vùng mạng IoT cho các thiết bị công tơ, camera.
130
Bảng 46. Giải pháp kỹ thuật cho hệ thống LAN/TTĐ tại Công ty/NMĐ trực thuộc
EVN
Yêu cầu Đối tượng bảo Mức
chung vệ ưu tiên
NMĐ- Yêu cầu
YC35 mới
NMĐ- Giải pháp phòng, chống virus/mã Yêu cầu
YC36 độc mới
Tường lửa - Security Gateway DMZ/Internet/
NMĐ- Yêu cầu
IT.32 (gồm tính năng FW, IPS, AV, Core/LAN/W Cao
YC37 mới
App control,..) AN
DMZ/Internet/
NMĐ- Yêu cầu
IT.17 Phòng, chống xâm nhập Core/LAN/ Cao
YC38 mới
WAN
NMĐ- Giải pháp phòng, chống virus/mã Thiết bị người Yêu cầu
IT.13 Cao
YC39 độc dùng cuối mới
NMĐ- Thiết bị công Trung Yêu cầu
IT.16 Giải pháp bảo vệ thiết bị IoT
YC40 tơ, camera bình mới
III.7.2.c. Hệ thống Giám sát điều khiển NMĐ (DCS) tại Công ty/NMĐ trực
thuộc EVN
131
Hình 39. Phương pháp thiết kế tổng quát hệ thống DCS tại Công ty/NMĐ trực
thuộc EVN
Mô tả phương pháp thiết kế, các phân vùng mạng chính cho hệ thống giám sát
điều khiển được thể hiện tại mục III.1.3.
Hình 40. Thiết kế hệ thống DCS tại Công ty/NMĐ trực thuộc EVN
132
Bảng 47. Giải pháp kỹ thuật yêu cầu đối với hệ thống DCS tại Công ty/NMĐ
TT Vùng mạng
chung cầu tiên
Kiểm soát an ninh Triển khai các biện pháp
NMĐ- Yêu cầu
OT.01 vật lý cho toàn bộ an ninh vật lý quản lý việc Cao
YC41 mới
hệ thống DCS truy cập hệ thống DCS
NMĐ- Kiểm soát an ninh vật lý Yêu cầu
OT.01 trường/Điều khiển Cao
YC42 như trên mới
thiết bị trường
NMĐ- Tường lửa công Yêu cầu
OT.10 Thấp
YC43 nghiệp/Bảo mật hai chiều mới
NMĐ- Phòng, chống mã Trung Yêu cầu
OT.02 Lớp 2: Local HMI
YC44 độc/virus bình mới
NMĐ- Giám sát thay đổi/đóng Yêu cầu
OT.03 Thấp
NMĐ- Tường lửa công Trung Yêu cầu
OT.10
YC46 nghiệp/Bảo mật hai chiều bình mới
NMĐ- ninh, phát hiện tấn công Trung Yêu cầu
OT.05
YC47 xâm nhập, hành vi bất bình mới
NMĐ- Lớp 3: Control Phòng, chống mã Trung Yêu cầu
OT.02
YC48 Center độc/virus bình mới
OT.03 Thấp
YC50 bình mới
YC51 bình mới
OT.10 Cao
YC52 nghiệp/Bảo mật hai chiều mới
NMĐ- Lớp 4.1: ninh, phát hiện tấn công Trung Yêu cầu
OT.05
YC53 SCADA/GW xâm nhập, hành vi bất bình mới
NMĐ- Phòng, chống mã Trung Yêu cầu
OT.02
YC54 độc/virus bình mới
NMĐ- Lớp 4.2: Mạng Tường lửa công Trung Yêu cầu
OT.10
YC55 Trung gian nghiệp/Bảo mật hai chiều bình mới
133

TT Vùng mạng
chung cầu tiên
NMĐ- ninh, phát hiện tấn công Trung Yêu cầu
OT.05
YC56 xâm nhập, hành vi bất bình mới
NMĐ- Phòng, chống mã Yêu cầu
OT.02 Cao
YC57 độc/virus mới
NMĐ- Yêu cầu
Cổng quét an ninh Cao
YC58 mới
NMĐ- Giải pháp giám sát người Trung Yêu cầu
OT.12
NMĐ- Quản lý tài sản hệ thống Yêu cầu
OT.11 Thấp
YC60 OT mới
NMĐ- Thu thập và quản lý nhật Yêu cầu
OT.08 Thấp
YC61 ký sự kiện an ninh mới
OT.10
YC62 nghiệp/Bảo mật hai chiều bình mới
Lớp 4.3: Replica
NMĐ- (mạng cấp số liệu Yêu cầu
OT.14 Cổng an ninh một chiều Cao
YC63 ra bên ngoài) mới
NMĐ- Phòng, chống mã Yêu cầu
OT.02 Cao
YC64 độc/virus mới
III.7.2.d. Trung tâm điều khiển xa các Công ty/NMĐ trực thuộc EVN
(Defense in Depth) tham khảocác hướng dẫn IEC 62443, DHS ICS-CERT như sau:
134
Hình 41. Phương pháp thiết kế tổng quát đảm bảo ATTT cho hệ thống TTĐKX tại
Công ty/NMĐ trực thuộc EVN
Kiến trúc mạng TTĐKX được mô tả như hình vẽ trên cần tổ chức thành các
phân vùng mạng sau:
Hình 42. Thiết kế hệ thống TTĐKX tại Công ty/NMĐ trực thuộc EVN
135
Bảng 48. Giải pháp kỹ thuật yêu cầu đối với hệ thống TTĐKX Công ty/NMĐ trực
thuộc EVN
Yêu cầu Giải pháp kỹ thuật yêu Mức

TT Vùng mạng Ghi chú
chung cầu ưu tiên
Kiểm soát an
NMĐ- ninh vật lý cho
OT.01 ninh vật lý quản lý việc Cao Yêu cầu cũ
YC65 toàn bộ hệ thống
DCS

OT.10

NMĐ- phát hiện tấn công xâm Trung Yêu cầu
OT.05
trong hệ thống
NMĐ- Lớp 3: Control Trung Yêu cầu


OT.03 Thấp
NMĐ- Trung
OT.09 Xác thực mạnh Yêu cầu cũ
YC70 bình

YC71 bình mới

OT.10 Cao
YC72 nghiệp/Bảo mật hai chiều sửa đổi

NMĐ- Lớp 4.1:- phát hiện tấn công xâm Trung Yêu cầu
OT.05
YC73 SCADA/GW nhập, hành vi bất thường bình mới
trong hệ thống


OT.10
Lớp 4.2: Mạng
Trung gian
NMĐ- Giải pháp giám sát an ninh, Trung Yêu cầu
OT.05
YC76 phát hiện tấn công xâm bình mới
136

nhập, hành vi bất thường
trong hệ thống
NMĐ- Yêu cầu

YC77 sửa đổi
NMĐ- Yêu cầu

YC78 mới
NMĐ- Giải pháp giám sát người Trung Yêu cầu

OT.12
NMĐ- Quản lý tài sản hệ thống Yêu cầu

OT.11 Thấp
YC80 OT mới
NMĐ- Thu thập và quản lý nhật ký Yêu cầu

OT.08 Thấp

OT.10
NMĐ- Yêu cầu

Lớp 4.3: Replica Cổng an ninh một chiều (1) Cao
YC83 sửa đổi
(mạng cấp số
OT.14
liệu ra bên
NMĐ- Yêu cầu
ngoài) Cổng an ninh một chiều (2) Thấp
YC84 mới
NMĐ- Yêu cầu

YC85 sửa đổi

OT.10 Lớp 4.4: Vùng
Huấn luyện, Mô
phỏng
NMĐ- Yêu cầu
OT.02 (Simulation) Phòng, chống mã độc/virus Cao
YC87 sửa đổi
Mô hình/Giải pháp kỹ thuật đảm bảo ATTT đối với các HTTT tại
EVNICT
nhằm đảm bảo ATTT cho EVNICT được mô tả tại mục III.2 với các yêu cầu từ
QL01 đến QL09.
III.8.2.a. Hệ thống IT tại EVNICT
137

Việc thiết kế ATTT cho mạng EVN/EVNICT cần đảm bảo:
- Tiếp cận kiến trúc Zero-trust
- Định hướng lên mô hình Cloud nhưng vẫn phù hợp với mô hình TTDL
truyền thống hiện tại đang trong quá trình chuyển đổi (Mô hình kết hợp, TTDL
truyền thống duy trì hoạt động song song với Private Cloud và Public Cloud).
Hình 43. Phương pháp thiết kế tổng quát hệ thống IT tại EVN/EVNICT
Mô tả phương pháp thiết kế, các phân vùng mạng chính được thể hiện tại mục
III.1.2.
138
Hình 44. Thiết kế hệ thống IT truyền thống tại EVN/EVNICT

Bảng 49. Phân vùng mạng hệ thống IT truyền thống tại EVN/EVNICT
1
DMZ (Public) ngoài Internet
Cung cấp ứng dụng/dịch vụ cho các đối tác

Vùng mạng đối tác
2 bên ngoài của EVN như Banks, khối chính
(Partner)
phủ, các đơn vị chức năng bên ngoài...
Vùng mạng nội bộ, Cung cấp ứng dụng/dịch vụ dùng chung trong
3
dùng chung (Internal) nội bộ toàn mạng EVN (WAN)

139

4.1 + System:

4.2 + DEV/UAT
Vùng mạng các máy chủ phục vụ Trung tâm

4.3 + SOC/NOC server
giám sát

4.4 + SOC room

Data)
Mạng Văn phòng:

Mạng văn phòng cho người dùng EVN/EVNICT
- Vùng mạng LAN cho người dùng;
- Vùng mạng máy chủ phục vụ cho ứng dụng riêng của EVN/EVNICT.
Bảng 50. Giải pháp kỹ thuật cho hệ thống IT truyền thống tại EVN/EVNICT
EVN- Yêu cầu
YC01 mới
EVN- Yêu cầu
YC02 cũ
EVN- Yêu cầu
IT.15 tập trung (Identity &Access User Cao
YC03 mới
Management)
EVN- Giải pháp quản lý tài khoản đặc Quản trị Yêu cầu
IT.27 Cao
YC04 quyền viên cũ
EVN- Yêu cầu
YC05 mới
EVN- Giải pháp dịch vụ an toàn truy cập Mobile Yêu cầu
IT.30 Cao
EVN- Giải pháp mô phỏng và đào tạo An Trung Yêu cầu
IT.05 User
YC07 ninh trên không gian mạng bình mới
140

EVN- Giải pháp phòng, chống virus/mã Yêu cầu
YC08 độc cũ
Ứng dụng
EVN- Web/API Yêu cầu
Cao
YC09 công cộng sửa đổi
(public)
Ứng dụng
Web/API
EVN- Trung Yêu cầu
trên kênh
YC10 IT.33 Tường lửa ứng dụng Web và API bình sửa đổi
mạng kết
nối đối tác
Ứng dụng
Web/API
EVN- Yêu cầu
trên kênh Thấp
YC11 sửa đổi
mạng nội
bộ
EVN- Rà quét điểm yếu ứng dụng đang Trung Yêu cầu
IT.06 Ứng dụng
YC12 chạy (Dynamic Analysis) bình mới
EVN- Rà quét điểm yếu code ứng dụng Trung Yêu cầu
IT.28 Ứng dụng
EVN- Giải pháp giám sát và bảo vệ CSDL/ Dữ liệu hệ Yêu cầu
IT.08 Cao
YC14 Non-SQL/BigData thống sửa đổi
EVN- Dữ liệu hệ Trung Yêu cầu
IT.07 liệu
(Encryption/Tokenization/Masking)
Dữ liệu
EVN- Yêu cầu
YC16 mới
dùng cuối
Dữ liệu
EVN- Phân loại dữ liệu (Data Yêu cầu
IT.09 người Thấp
dùng cuối
EVN- Dữ liệu Yêu cầu
YC18 lưu trữ mới
Tường lửa - Security Gateway (gồm DMZ/Inter
EVN- Yêu cầu
IT.32 tính năng FW, IPS, AV, App net Cao
YC19 sửa đổi
control,..) Inbound
141

EVN- Yêu cầu
Partner Cao
YC20 sửa đổi
EVN- Yêu cầu
WAN Cao
YC21 sửa đổi
TTDL -
Nội bộ hệ
EVN- Yêu cầu
thống, Cao
YC22 mới
SOC/SOC,
DEV/UAT
EVN- Yêu cầu
Core Cao
YC23 sửa đổi
TTDL-
EVN- Yêu cầu
SOC/NOC Cao
YC24 mới
room
EVN- Yêu cầu
LAN VP Cao
YC25 sửa đổi
EVN- TTDL- Yêu cầu
Cao
YC26 DMZ cũ
EVN- TTDL- Trung Yêu cầu
YC27 Partner bình cũ
TTDL-Nội
EVN- Yêu cầu
bộ dùng Cao
YC28 cũ
EVN- Yêu cầu
WAN Cao
YC29 cũ
EVN- Yêu cầu
Core Cao
YC30 cũ
LAN VP
YC31 bình cũ
EVN- Hệ thống Trung Yêu cầu
EVN- Chống tấn công tiên tiến – phát hiện Hệ thống Trung Yêu cầu
IT.01
EVN- Mô phỏng vi phạm và tấn công, Network, Yêu cầu
IT.03 Thấp
YC35 đánh giá hiệu quả hệ thống ATTT Thiết bị mới
142

EVN- Yêu cầu
YC36 mới
Thiết bị
EVN- Giải pháp phòng, chống virus/mã Yêu cầu
IT.13 người Cao
YC37 độc cũ
dùng cuối
EVN- Bảo mật thiết bị di động (Mobile Thiết bị di Trung Yêu cầu
IT.22
Thiết bị
EVN- Phát hiện và phản hồi các đe dọa trên Trung Yêu cầu
IT.12 người
dùng cuối
EVN- Thu thập, quản lý và phân tích nhật Quản lý, Yêu cầu
IT.29 Cao
YC40 ký sự kiện an ninh Phân tích cũ
EVN- Quản lý, Yêu cầu

EVN- Quản lý, Trung Yêu cầu
EVN- Quản lý, Trung Yêu cầu
Hệ thống
EVN- Giám sát trạng thái hoạt động mạng mạng, dịch Trung Yêu cầu
IT.19
dụng
EVN- Tình báo thông tin và phát hiện sớm Quản lý, Yêu cầu
IT.04 Thấp
YC45 các đe dọa (Threat Intelligence) Phân tích mới
143
Hình 45. Thiết kế mạng Private Cloud cho hệ thống IT tại EVN/EVNICT
Phân vùng mạng Private Cloud:
Bảng 51. Phân vùng mạng Private Cloud hệ thống IT tại EVN/EVNICT
1
DMZ (Public) ngoài Internet
Cung cấp ứng dụng/dịch vụ cho các đối tác
bên ngoài của EVN như Banks, khối chính
Vùng mạng đối tác
2 phủ,..; các đơn vị chức năng bên ngoài (Cục
(Partner)
ATTT-Bộ TT&TT; Bộ Tư lệnh 86-BQP; Cục
A05-BCA)
Vùng mạng nội bộ, dùng Cung cấp ứng dụng/dịch vụ dùng chung trong
3
chung (Internal) nội bộ toàn mạng EVN (WAN)
4.2 + DEV/UAT
144

4.4 + SOC room
Vùng mạng hạn chế truy Gồm các máy chủ dữ liệu/CSDL, ứng dụng
5
cập (Restricted Data) quan trọng của hệ thống
Văn phòng di động (Mobile Users): Người dùng làm việc từ xa từ bất kỳ nơi
đâu, được truy cập các dịch vụ cần thiết cũng như được bảo vệ đầy đủ như thể làm
việc tại Văn phòng cơ quan/TTDL. Trường hợp người dùng được phép truy cập
các ứng dụng và dữ liệu giống như người dùng trong mạng Văn phòng cố định, thì
cần áp dụng biện pháp kiểm soát và bảo vệ người dùng đầy đủ, ví dụ sử dụng dịch
vụ cloud (Cloud Security Services/SASE).
Mạng Văn phòng:
Mạng văn phòng cho người dùng EVN/EVNICT
- Vùng mạng LAN cho người dùng;
- Vùng mạng máy chủ phục vụ cho ứng dụng riêng của EVN/EVNICT.
Bảng 52. Giải pháp kỹ thuật cho với Private Cloud hệ thống IT tại EVN/EVNICT
EVN- Yêu cầu
YC46 mới
EVN- Yêu cầu
YC47 mới
EVN- Yêu cầu
IT.15 tập trung (Identity and Access User Cao
YC48 mới
Management)
EVN- Giải pháp quản lý tài khoản đặc Yêu cầu
YC49 quyền mới
EVN- Yêu cầu
YC50 mới
EVN- Giải pháp dịch vụ an toàn truy cập Yêu cầu
IT.30 Mobile User Cao
YC51 cho người dùng làm việc từ xa mới
145

EVN- Giải pháp mô phỏng và đào tạo An Trung Yêu cầu
IT.05 User
YC52 ninh trên không gian mạng bình mới
EVN- Yêu cầu
Máy chủ Cao
IT.02
EVN- độc Workload/ Yêu cầu
Cao
Ứng dụng
EVN- Yêu cầu
Web/API công Cao
YC55 mới
cộng (public)
Ứng dụng
EVN- Web/API trên Trung Yêu cầu
YC56 IT.33 Tường lửa ứng dụng Web và API kênh mạng kết bình mới
nối đối tác
Ứng dụng
EVN- Web/API trên Yêu cầu
Thấp
YC57 kênh mạng nội mới
bộ
Workload/
EVN- Rà quét điểm yếu ứng dụng đang Trung Yêu cầu
IT.06 Container/Ứng
YC58 chạy (Dynamic Analysis) bình mới
dụng
Workload/
EVN- Rà quét điểm yếu code ứng dụng Trung Yêu cầu
IT.28 Container/Ứng
dụng
EVN- Giải pháp giám sát và bảo vệ Dữ liệu hệ Yêu cầu
IT.08 Cao
EVN- Dữ liệu hệ Trung Yêu cầu
IT.07 liệu
(Encryption/Tokenization/Masking)
EVN- Dữ liệu người Yêu cầu
IT.11 Chống thất thoát dữ liệu Cao
YC62 dùng cuối mới
EVN- Phân loại dữ liệu (Data Dữ liệu người Yêu cầu
IT.09 Thấp
YC63 Classification) dùng cuối mới
EVN- TTDL - Biên Yêu cầu
Tường lửa - Security Gateway (gồm Cao
YC64 vật lý mới
EVN- Yêu cầu
control,..) TTDL-DMZ Cao
YC65 mới
146

EVN- Yêu cầu
TTDL-Partner Cao
YC66 mới
EVN- TTDL-Nội bộ Yêu cầu
Cao
YC67 dùng chung mới
TTDL -Nội bộ
EVN- hệ thống, Yêu cầu
Cao
YC68 SOC/SOC, mới
DEV/UAT
EVN- Yêu cầu
TTDL - Data Cao
YC69 mới
TTDL-
EVN- Yêu cầu
SOC/NOC Cao
YC70 mới
room
EVN- Yêu cầu
LAN VP Cao
YC71 mới
EVN- Yêu cầu
Public cloud Cao
YC72 mới
EVN- Yêu cầu
TTDL-DMZ Cao
YC73 mới
TTDL-Partner
YC74 bình mới
EVN- TTDL-Nội bộ Yêu cầu
Cao
YC75 dùng chung mới
TTDL -Nội bộ
EVN- hệ thống, Yêu cầu
IT.17 Phòng, chống xâm nhập Cao
YC76 SOC/SOC, mới
DEV/UAT
EVN- Yêu cầu
TTDL - Data Cao
YC77 mới
EVN- SOC/NOC Trung Yêu cầu
LAN VP
YC79 bình mới
147

EVN- Chống tấn công tiên tiến – phát hiện Hệ thống Trung Yêu cầu
IT.01
EVN- Mô phỏng vi phạm và tấn công, Network, Yêu cầu
IT.03 Thấp
YC83 đánh giá hiệu quả hệ thống ATTT Thiết bị mới
EVN- Yêu cầu
YC89 mới
EVN- Giải pháp phòng, chống virus/mã Thiết bị người Yêu cầu
IT.13 Cao
YC84 độc dùng cuối mới
EVN- Bảo mật thiết bị di động (Mobile Thiết bị di Trung Yêu cầu
IT.22
EVN- Phát hiện và phản hồi các đe dọa trên Thiết bị người Trung Yêu cầu
IT.12
YC86 endpoint dùng cuối bình mới
EVN- Thu thập, quản lý và phân tích nhật Quản lý, Phân Yêu cầu
IT.29 Cao
YC88 ký sự kiện an ninh tích mới
EVN- Quản lý, Phân Trung Yêu cầu

YC89 tích bình mới
Hệ thống
EVN- Giám sát trạng thái hoạt động mạng Trung Yêu cầu
IT.24 mạng, dịch vụ
YC90 và dịch vụ bình mới
ứng dụng
EVN- Quản lý, Phân Trung Yêu cầu
YC91 tích bình mới
EVN- Tình báo thông tin và phát hiện sớm Quản lý, Phân Yêu cầu
IT.19 Thấp
YC92 các đe dọa (Threat Intelligence) tích mới
III.8.2.b. Hệ thống mạng VTDR
Kiến trúc mạng VTDR cần được tổ chức thành các phân vùng mạng và kiểm
soát theo nguyên tắc nhiều lớp bảo vệ theo chiều sâu (Depth in Defense).
148
Hình 46. Phương pháp thiết kế tổng quát mạng VTDR

Trung tâm vận hành
Kiến trúc hệ thống mạng VTDR cần được phân tách và kiểm soát như sau:
- Vùng mạng máy chủ quản trị (TNMS);
- Vùng mạng máy tính người vận hành (Operation);
- Vùng mạng quản trị/giám sát hệ thống mạng, bảo mật (MGT): Các máy chủ
quản trị, giám sát hệ thống bảo mật cho mạng VTDR;
- Vùng mạng huấn luyện, kiểm thử (UAT);
- Vùng mạng cung cấp số liệu ra bên ngoài (Replica) – cung cấp số liệu ra mạng
ngoài như CNTT, cho các đơn vị khác của EVN.
Tuyến mạng VTDR Net
Gồm các phòng vận hành theo tuyến. Các phòng vận hành tuyến cần được phân
tách và được kiểm soát truy cập bởi firewall.
149
Hình 47. Thiết kế mạng VTDR

Bảng 53. Giải pháp kỹ thuật cho mạng VTDR
Triển khai các biện pháp

EVN- Toàn bộ hệ thống TT Yêu cầu
OT.01 an ninh vật lý quản lý việc Cao
YC94 điều hành VTDR mới
truy cập hệ thống
EVN- Yêu cầu

YC95
OT.07 Tất cả các vùng mạng Tường lửa Cao
mới
lõi (MGT, TNMS,
EVN- Operation, UAT) Yêu cầu
OT.05 Phòng, chống xâm nhập Cao
YC96 mới
EVN- Phòng, chống mã Yêu cầu

OT.02 Cao
YC97 độc/virus cũ
Vùng TNMS Server
YC98 bình mới
Vùng mạng vận hành

OT.02 Operation, Vùng huấn Cao
luyện, kiểm thử (UAT)

OT.02 Quản trị (MGT) Cao
150

EVN- Giải pháp giám sát người Yêu cầu

OT.11 Cao
YC101 dùng đặc quyền cũ
EVN- Yêu cầu

OT.11 Quản lý tài sản hệ thống Thấp
YC102 mới
EVN- Thu thập và quản lý nhật Trung Yêu cầu

OT.08
YC103 ký sự kiện an ninh bình mới
EVN- Hệ thống mạng, dịch vụ Trung Yêu cầu

OT.06
YC104 ứng dụng bình mới

YC105 bình mới
EVN- Yêu cầu

OT.07 Tường lửa Cao
YC106 mới
EVN- Yêu cầu

OT.05 Phòng, chống xâm nhập Cao
YC107 Replica (mạng cấp số mới
EVN- liệu ra bên ngoài) Yêu cầu

OT.14 Cổng an ninh một chiều Cao
YC108 mới

OT.02 Cao
EVN- Yêu cầu

OT.07 Tường lửa Cao
YC110 Các phòng điều hành mới
EVN- tuyến Phòng, chống mã Yêu cầu

OT.02 Cao
151
ĐỀ XUẤT VÀ KIẾN NGHỊ

Từ kết quả khảo sát, phân tích thực trạng tại một số đơn vị và cơ quan Tập đoàn,
Đề án 758 đã được rà soát, xây dựng, hiệu chỉnh, cập nhật thành Đề án " Đảm bảo
an toàn thông tin cho hệ thống thông tin của Tập đoàn Điện lực Quốc gia Việt Nam
giai đoạn 2023 – 2028", bao gồm các yêu cầu về thiết kế hệ thống, các biện pháp
kiểm soát về con người, chính sách, quy trình quy định và giải pháp kỹ thuật về
ATTT. Các đơn vị phải thực hiện các kiểm soát đảm bảo ATTT theo yêu cầu của
Đề án đưa ra, nhằm đảm bảo:
- Tuân thủ các quy định hiện hành của Nhà nước và của EVN;
- Phù hợp với xu hướng công nghệ, tình hình hiện tại và chiến lược/định hướng
CNTT giai đoạn 2023 - 2028 của EVN;
- Tuân thủ các quy định về an ninh bảo mật cũng như có tham chiếu các tiêu
chuẩn hiện hành của quốc tế và Việt Nam về ATTT;
- Khắc phục được các tồn tại hạn chế của Đề án theo Quyết định số 758/QĐ-
EVN đã nêu tại văn bản số 493/EVNICT-ATTT ngày 17/4/2020 của EVNICT.
152
PHỤ LỤC
Phụ lục 01: Nội dung mô tả về các giải pháp kỹ thuật đảm bảo ATTT
V.1.1. Các giải pháp bảo mật cho hệ thống IT
V.1.1.a. Giải pháp tường lửa mạng (FW - Firewall)
Tường lửa là hệ thống an ninh cơ sở nhất với mục đích phân chia các vùng
mạng có mức độ tin cậy không giống nhau và thực hiện kiểm soát truy cập giữa
các vùng mạng này theo chính sách được định nghĩa. Thông thường, nó được đặt
giữa vùng mạng có nguy cơ cao hơn và vùng mạng nguy cơ thấp hơn, ngăn chặn
truy cập trái quyền, tấn công và lây nhiễm mã độc (mức kết nối và port) giữa các
vùng mạng.
Tường lửa triển khai các vị trí mà có thể phân chia các vùng mạng nhiều lớp,
theo chiều sâu, các truy cập giữa tất cả các máy chủ tại các vùng mạng khác nhau
phải đi qua kiểm soát của các lớp firewall.
Khi triển khai giải pháp tổ chức đạt được các mục đích sau:
- Kiểm soát truy cập (Access Control) với biện pháp kiểm soát chặt chẽ theo
người dùng, theo các giao thức, các ứng dụng trong hệ thống;
- Ngăn ngừa các tấn công khai thác điểm yếu của hệ điều hành, điểm yếu của
các ứng dụng…
- Mã hóa được các dữ liệu trên đường truyền (sử dụng kênh VPN) từ người
dùng bên ngoài kết nối vào hệ thống và từ chi nhánh/đối tác kết nối đến hệ thống;
- Theo dõi được hoạt động của hệ thống, của người dùng… theo thời gian thực.
V.1.1.b. Giải pháp ngăn chặn xâm nhập (IPS - Intrusion Prevention System)
Giải pháp ngăn chặn và phát hiện xâm nhập IPS (Intrusion Prevention System)
phép ngăn chặn các mối đe dọa xuất phát từ bên ngoài cũng như bên trong mạng.
Các thiết bị IPS cho phép làm việc và phân tích sâu vào phần nội dung của gói tin
điều này cho phép thực hiện ngăn chặn các tấn công trực tiếp, theo thời gian thực.
Các thiết bị IPS chuyên dụng ngày nay được thiết kế nhằm đáp ứng các nội
dung chính và quan trọng như sau: khả năng bảo vệ và ngăn chặn tấn công
(Security); hỗ trợ khả năng xử lý cao, độ trễ thấp (Performance); sự tin cậy
(Reliability); dễ dàng & hiệu quả trong quản trị (Management); khả năng mở rộng
(Extensibility); dễ dàng & mềm dẻo trong triển khai (Deployment).
- Ngăn chặn các tấn công, các mối đe dọa từ bên ngoài và từ bên trong.
- Ngăn chặn được các tấn công dạng Zero-day nhắm vào các lỗ hổng bảo mật
trên các ứng dụng, hệ điều hành… chưa kịp cập nhật bản vá.
- Bảo vệ người dùng trước các tấn công ngày một nhiều nhắm vào các ứng
153
dụng như: Office, Adobe PDF ﬁle, multimedia ﬁle và trình duyệt web.
- Giám sát, báo cáo và đảm bảo ngăn chặn tấn công theo thời gian thực cho hệ
thống.
V.1.1.c. Giải pháp bảo mật cho máy chủ, máy trạm (EPS - EndPoint Security)
Các máy tính người dùng hay máy chủ trong hệ thống luôn đứng trước nguy cơ
tấn công do virus, malware khi:
- Khi người dùng kết nối ra ngoài Internet, tiềm ẩn trong các trang web luôn
có những nguy cơ ảnh hưởng trực tiếp đến hệ thống và tài nguyên mạng. Thêm vào
đó là tấn công phishing và spyware nhằm ăn cắp thông tin nhạy cảm của người
dùng.
- Các loại Worm trên Internet liên tục rà quét các lỗ hổng của hệ thống nhằm
tấn công hệ thống mà không phải chờ bất cứ tác động nào từ người dùng trong hệ
thống.
- Các malware có thể tấn công qua các thiết bị Plug-in như USB, HDD di động.
Ngoài ra, các loại worm có thể tự động lây lan mạnh trong môi trường mạng LAN
gây nghẽn băng thông.
- Các server cơ sở dữ liệu, các ứng dụng, máy chủ FPT, cũng là mục tiêu tấn
công, nguồn lây nhiễm của các loại malware.
- Giải pháp EndPoint Security trên các máy chủ và máy trạm sẽ cho phép tăng
cường và ngăn chặn:
- Nguy cơ bị mất hiệu suất làm việc do bị virus tấn công gây nghẽn mạng,
chiếm dụng tài nguyên của máy tính.
- Thay đổi, xoá nội dung dữ liệu.
- Làm hỏng hóc máy tính, thiết bị mạng.
- Mất cắp, lộ dữ liệu.
- Trở thành mạng máy tính ma (botnet).
- Gây khó chịu cho người sử dụng bằng các đoạn phim, popup tự động chạy.
- Thay đổi trang chủ mặc định khi truy cập Internet.
- Làm hỏng ứng dụng, phần mềm (có thể gây hỏng cả phần mềm, hoặc gây
hỏng cơ sở dữ liệu, làm cho không đọc được hoặc không thể truy cập).
- Khi triển khai giải pháp tổ chức đạt được các mục đích sau:
- Cung cấp sự bảo vệ tức thời: ngăn chặn việc lây nhiễm bằng việc chặn truy
cập tới các file và các website ẩn chứa mã độc.
- Giảm nguy cơ cho doanh nghiệp: ngăn chặn lây nhiễm, trộm cắp thông tin cá
154
nhân, mất cắp dữ liệu, tê liệt hệ thống mạng, tê liệt hoạt động sản xuất và các hành
vi phá hoại khác.
- Giảm chi phí vận hành: giảm tải cho việc quản lý IT thông qua chức năng
kiểm tra độ tin cậy của file, tích hợp với hệ điều hành và hỗ trợ ảo hóa.
- Kiến trúc mở rộng: cho phép tích hợp vào giải pháp các tính năng phụ trợ
nhằm tăng cường tính bảo mật, tránh khỏi việc phải triển khai lại toàn bộ giải pháp.
V.1.1.d. Giải pháp tường lửa ứng dụng Web và API (Web Application and
API Protection - WAAP)
Một số ứng dụng chạy trên nền Web như Website, CMIS, E-office, HRMS, ...
Ứng dụng Web tự phát triển có những đặc thù riêng và tạo ra các điểm yếu chưa
biết, riêng biệt đối với ứng dụng đó. Các biện pháp dò quét và vá lỗi là cần thiết
nhưng không đạt hiệu quả cao như thời gian sửa chữa lỗ hổng lâu, ứng dụng quá
cũ hoặc do bên thứ ba phát triển không có khả năng được hỗ trợ phát triển để vá
lỗi, ứng dụng thay đổi tạo ra điểm yếu mới. Các giải pháp tường lửa thế hệ mới,
IPS chỉ hiệu quả với những tấn công đã biết với những ứng dụng đã biết. Tuy nhiên
với ứng dụng Web tự phát triển, các giải pháp này chỉ chống được 40% tấn công
như được nêu bởi tổ chức OWASP top 10.
Tường lửa bảo vệ ứng dụng Web và API (WAAP) là sản phẩm được thiết kế
chuyên để bảo vệ ứng dụng Web. Nó cung cấp bảo vệ cho ứng dụng bằng khả năng
phân tích và hiểu rất sâu vào tầng ứng dụng; nó có thể tự học và hiểu được cấu trúc
và cơ cấu hoạt động của website cụ thể của mỗi tổ chức; kiểm tra mọi thành phần
của ứng dụng như các tham số URL, cookies, trường nhập liệu, cũng như nhiều
yếu tố khác.. Nhờ vậy tường lửa có thể phát hiện và ngăn chặn cả tấn công khai
thác các điểm yếu chưa biết, riêng biệt đối với mỗi ứng dụng và những hành vi bất
thường trên ứng dụng.
V.1.1.e. Giải pháp bảo vệ thư điện tử (Email-S: Email Security)
Hiện hệ thống chưa có giải pháp Security cho phép lọc email spam, mã độc...
đối với hệ thống mail. Các nguy cơ về email spam và lừa đảo thông qua email là
một trong các nguy cơ có khả năng bị cao và đây cũng chính là con đường mà kẻ
tấn công thường sử dụng để tiếp cận mục tiêu, khai thác và tấn công. Hơn nữa việc
lừa đảo qua email là một trong 2 con đường chính mà các tổ chức tội phạm hiện
tại dùng để thực hiện tấn công kiểu APT hay Targeted attacks.
- Bảo vệ người dùng trước các nguy cơ từ việc nhận email có chứa các file
đính kèm, các đường liên kết nguy hiểm.
- Bảo vệ người dùng trước nguy cơ bị spam email.
- Tối ưu việc hiệu năng của ứng dụng email.
155
- Giảm nguy cơ thất thoát dữ liệu nhạy cảm qua môi trường Email.
V.1.1.f. Giải pháp xác thực đa yếu tố (MFA)
Hiện tại hầu hết các ứng dụng EVN đang sử dụng xác thực bằng mật khẩu bình
thường. Xác thực bằng mật khẩu có nhiều điểm yếu, do nhiều nguyên nhân như
người dùng đặt mật khẩu dễ đoán, để lộ mật khẩu hoặc các phần mềm gián
điệp/keylogger đánh cắp... Khi tài khoản đã bị lấy cắp, kẻ xấu có thể mạo danh
người sử dụng để thực hiện các hành vi xấu gây tổn hại về uy tín cũng như công
việc. Để giảm thiểu nguy cơ này, giải pháp xác thực mạnh hai yếu tố được đề xuất.
Máy chủ hệ thống xác thực mạnh sẽ đặt tại vùng mạng quản trị Management. Các
ứng dụng sẽ được tích hợp với hệ thống để thực hiện xác thực 2 yếu tố cho các
đăng nhập.
V.1.1.g. Giải pháp quản lý tài khoản đặc quyền (PIM/PAM)
EVN quản trị hạ tầng CNTT bao gồm nhiều thành phần khác nhau như: Máy
chủ, tường lửa, CSDL, các thiết bị mạng,… Tất cả các thành phần này được kiểm
soát, điều khiển bằng cách sử dụng một loạt các tài khoản đặc quyền (ví dụ tài
khoản root của máy chủ UNIX, tài khoản DBA của hệ thống CSDL Oracle, tài
khoản Administrator của máy chủ Windows,…).
Việc quản lý nhiều tài khoản này rất phức tạp và gây nhiều khó khăn. Các tài
khoản đặc quyền và cả mật khẩu thường không được quản lý và hiếm khi thay đổi.
Ngoài ra cũng không có sự giám sát chặt chẽ từ các cấp quản lý có thẩm quyền.
Trong một số trường hợp, các tài khoản này không chỉ do nhân viên IT trong nội
bộ của tổ chức nắm giữ mà còn được cung cấp cho bên thứ 3 khi phải thuê đối tác
thứ 3 quản trị hệ thống CNTT hoặc hỗ trợ kỹ thuật, khi đó EVN phải cung cấp các
tài khoản đặc quyền này cho đối tác. Hoặc các tài khoản/mật khẩu này cũng tồn tại
trong các ứng dụng tự phát triển, hoặc trong các scripts hoặc file .ini,… Mật khẩu
không được thay đổi thường xuyên.
EVN đã gặp phải các vấn đề quản lý mật khẩu như mật khẩu yếu, dễ đoán, để
trắng, mật khẩu được chia sẻ cho nhiều người, dùng chung cho nhiều hệ thống,...
Bên cạnh đó, đó người quản trị/người dùng đặc quyền sử dụng quyền, thực hiện
hành động không đúng mục đích và trái quy định trên các thiết bị máy chủ. Để giải
quyết vấn đề này, giải pháp quản lý mật khẩu đặc quyền và giám sát phiên làm việc
của quản trị (PIM) được đề xuất.
PIM quản lý các mật khẩu đặc quyền của các thiết bị trong hệ thống CNTT:
server, database, firewall, router,… giám sát, ghi hình ảnh và video phiên làm việc
của quản trị hay đối tác. Giải pháp đưa ra một cơ chế quản lý mật khẩu tập trung
an toàn nhất cho tổ chức/công ty, đồng thời giúp tổ chức/công ty đáp ứng được các
yêu cầu về tiêu chuẩn trong quản lý mật khẩu. Bên cạnh đó giải pháp còn đưa ra
cơ chế tự động thay đổi mật khẩu cho các thiết bị như: hệ điều hành, hệ quản trị cơ
156
sở dữ liệu, thiết bị mạng, thiết bị bảo mật,… có liên quan hoặc cần phải thực thi
các chính sách về mật khẩu mạnh của các tổ chức.
V.1.1.h. Giải pháp quản lý bản vá (Patch Management - PatchMGT)
Đảm bảo các máy tính trong hệ thống luôn được cập nhật đầy đủ các bản vá và
cập nhật mới nhất là vấn đề trong hệ thống. Phần lớn các lây nhiễm mã độc/virus
trong hệ thống là do các máy tính chưa được cập nhật các bản vá. Với số lượng
nhiều máy tính chạy nhiều hệ điều hành và ứng dụng , việc đảm bảo các máy tính
được quản lý luôn cài bản vá mới nhất là công việc khó khăn. Do vậy Giải pháp
quản lý bản vá được đề xuất cung cấp.
- Đánh giá, triển khai và quản lý bản vá cho các hệ điều hành và ứng dụng.
- Tự động hóa quá trình triển khai bản vá qua giao diện đơn.
- Tự động tạo chính sách quản lý bản vá và quyết định cài bản vá thích hợp
theo từng endpoint.
- Theo dõi, báo cáo thường xuyên tình trạng, tuân thủ chính sách cài bản vá
trên các endpoint.
- Triển khai phương án khắc phục cài đặt bản vá một cách nhanh chóng.
V.1.1.i. Giải pháp bảo vệ an toàn truy cập Web (SWG – Secure Web
Gateway)
Đường Internet cho người dùng tiềm ẩn nhiều nguy cơ nhữ mã độc, virus,
Phishing. Ngoài ra, phương thức tấn công hiện đại ngày nay thay vì tấn công vào
đường Internet dịch vụ (Internet Inbound) mà xu hướng chuyển sang nhằm vào
người dùng truy cập Internet (Internet Outbound) bằng các hình thức tấn công
Social Engineer, lừa đảo, làm cho người dùng truy cập vào Website và bị nhiễm
mã độc, từ đó kẻ tấn công có thể chiếm quyền điều khiển máy tính nạn nhân để
thực hiện việc đánh cắp dữ liệu hoặc thực hiện các xâm nhập vào hệ thống khác.
Bên cạnh vấn đề rủi ro, việc sử dụng Internet thiếu sự quản lý dẫn đến tình trạng
lạm dụng Internet, truy cập trang web nội dung xấu hoặc không phục vụ công việc
gây ảnh hưởng băng thông mạng và hoạt động của tổ chức, do vậy cần giải pháp
nhằm quản lý việc sử dụng và bảo vệ an toàn cho người dùng truy cập Internet.
Để ngăn chặn các nguy cơ từ việc truy cập Internet, giải pháp lọc nội dung và
bảo vệ an toàn truy cập Web (Secure Web Gateway - SWG) được đề xuất. SWG
thay thế thiết bị Microsoft ISA proxy, nó thực hiện việc lọc truy cập Web (lọc các
nội dung độc hại, virus, mã độc..), kiểm soát nội dung truy cập Internet từ người
dùng LAN.
157
- Quản lý việc sử dụng Internet hiệu quả, cho phép người dùng tận dụng hết
các lợi ích mà Internet mang lại trong khi vẫn kiểm soát được.
- Bảo vệ người dùng trước các nguy cơ từ internet, như chặn người dùng truy
cập các trang web có chứa mã độc hại, virus, keylogger, trang web lừa đảo.
- Đảm bảo năng suất lao động của nhân viên, ngăn chặn nhân viên truy cập
vào các trang web, sử dụng chat không phục vụ công việc trong thời gian làm việc.
- Tiết kiệm băng thông, do hạn chế việc lạm dụng Internet, download dữ liệu
film ảnh.. do vậy không phải đầu tư thêm đường truyền, hay nâng cấp băng thông,
tiết kiệm chi phí.
- Giảm nhẹ trách nhiệm pháp lý, ngăn chặn nhân viên truy cập web mà pháp
luật cấm như trang web mang nội dung đồi trụy, phản động...
- Giảm nguy cơ thất thoát dữ liệu nhạy cảm qua môi trường Web.
V.1.1.j. Giải pháp dò quét điểm yếu trên các ứng dụng đang phát triển (Static
Application Security Testing – SAST)
Hiện tại các ứng dụng trong tổ chức có nhiều nguồn gốc khác nhau như do tổ
chức tự phát triển, thuê các công ty phần mềm viết, mua các ứng dụng thương mại
hay là các ứng dụng dựa trên mã nguồn mở. Một thách thức đặt ra cho các tổ chức
là đảm bảo việc triển khai hiệu quả, an toàn cho các ứng dụng mà không cần quan
tâm đến nguồn gốc của các ứng dụng đó. Việc đảm bảo an toàn cho phần mềm là
một phương thức chủ động để đảm bảo rằng toàn bộ ứng dụng được kiểm soát về
bảo mật trong suốt quá trình phát triển phần mềm, bắt đầu từ khi thiết kế, lập trình,
thử nghiệm và đến khi triển khai thực tế. Một phần trong chương trình đảm bảo an
toàn cho phần mềm bao gồm việc đánh giá an toàn cho phần mềm ở mức mã nguồn
(Code level), việc này cho phép tổ chức phát hiện toàn bộ các điểm yếu an ninh
trong quá trình phát triển và cho phép tổ chức dễ dàng khắc phục, sửa chữa. Phương
thức này cho phép giảm thiểu các rủi ro về an ninh trong các ứng dụng bằng việc
cung cấp ngay lập tức các phản hồi đến người lập trình về các lỗi trong mã nguồn
trong quá trình phát triển phần mềm.
Static Application Security Testing là giải pháp kiểm thử bảo mật ứng dụng
tĩnh, cụ thể giải pháp này sẽ thực hiện phân tích mã nguồn (Source Code) ứng
dụng, nhận diện các vấn đề tiềm tàng và đưa ra hướng khắc phục các vấn đề này.
Giải pháp này cho phép tổ chức xác định và chỉ ra được nguyên nhân gốc rễ của
các điểm yếu an ninh trong mã nguồn và giúp tổ chức dễ dàng xử lý các điểm yếu
an ninh ngay tại giai đoạn phát triển.
Các lợi ích chính giải pháp mang lại:
- Giảm thiểu các rủi ro trong kinh doanh bằng việc nhận diện các điểm yếu có
thể gây ra các mối đe dọa & thiệt hại lớn.
158
- Nhận diện và loại bỏ các điểm yếu có khả năng khai thác nhanh chóng cùng
với quy trình được lặp lại.
- Giảm thiểu chi phí lập trình bằng việc nhận diện điểm yếu & khắc phục sớm
ngay trong khi phát triển phần mềm.
- Đào tạo lập trình viên biết cách đảm bảo an toàn cho mã nguồn trong khi làm
việc.
- Kết nối đội ngũ phát triển phần mềm và bộ phận đảm bảo an ninh lại với
nhau trong việc tìm và khắc phục các vấn đề an ninh trên phần mềm.
V.1.1.k. Giải pháp dò quét điểm yếu trên các ứng dụng đang hoạt động
(Dynamic Application Security Testing – DAST)
Quản lý các điểm yếu là hoạt động được thực hiện liên tục theo chu trình từ
phát triển, kiểm thử đến giai đoạn đưa vào hoạt động sản xuất. Trong quá trình ứng
dụng đang hoạt động, hệ thống ứng dụng cần thiết được đánh giá điểm yếu để xác
định nguyên nhân và khắc phục triệt để lỗ hổng để giúp ứng dụng hoạt động an
toàn hơn.
Giải pháp quản lý điểm yếu ứng dụng Web cho phép các tổ chức kiểm soát
được các điểm yếu ATTT trên ứng dụng Web bằng cách thực hiện việc dò quét
trên ứng dụng đang hoạt động, sau đó chỉ ra các điểm yếu đang tồn tại trong ứng
dụng, đồng thời cung cấp các hướng dẫn chi tiết để khắc phục điểm yếu. Giải pháp
dò quét điểm yếu ứng dụng Web có thể kết hợp với tường lửa ứng dụng Web
(WAAP) để tự động bảo vệ nhanh chóng các điểm yếu tồn tại trong ứng dụng khi
chưa kịp triển khai việc vá điểm yếu bằng biện pháp coding đòi hỏi nhiều thời gian.
Dynamic Application Security Testing (DAST) là giải pháp kiểm thử bảo mật
ứng dụng động, cho phép nhận diện các lỗ hổng an ninh được phát triển trên ứng
dụng Web và Web services. Giải pháp thực hiện giả lập Attacks trên các ứng
dụng/dịch vụ Web đang chạy để nhận diện các điểm yếu an ninh có thể khai thác
được.
Các lợi ích chính giải pháp mang lại như sau:
- Tự động và nhanh chóng phát hiện các lỗ hổng an ninh trên các ứng dụng
Web, Web-service trong thời gian ngắn từ khi triển khai đến khi sử dụng.
- Chủ động phương án phản ứng với các lỗ hổng an ninh sau khi được phân
tích, đánh giá như thay đổi ngay trên ứng dụng hay kết hợp với một giải pháp đảm
bảo an ninh khác.
- Chủ động và định kỳ thực hiện các đánh giá rủi ro, an toàn cho các ứng dụng
của tổ chức.
- Nâng cao khả năng bảo vệ cho hệ thống thông qua việc kết hợp giải pháp này
với các giải pháp như tường lửa ứng dụng Web (WAF).
159
V.1.1.l. Giải pháp ngăn ngừa thất thoát dữ liệu (DLP)

Tổ chức lưu trữ và quản lý nhiều thông tin, dữ liệu quan trọng, nhạy cảm như
thông tin thị trường điện, tài chính, nhân sự, HTTT,… Cán bộ, nhân viên có thể
tiếp cận các dữ liệu nhạy cảm, từ đó do vô tình (do sai sót, chưa nắm được qui trình
bảo mật hoặc không biết là dữ liệu mật), hoặc do các mã độc đã lây nhiễm đánh
cắp dữ liệu hay cố ý mà dữ liệu, thông tin quan trọng, nhạy cảm có thể bị rò rỉ, phát
tán ra ngoài.
Dữ liệu bí mật bị mất cắp hay bị lộ, thất thoát để lại hậu quả rất nghiêm trọng
như thiệt hại về kinh doanh, bị liên lụy về pháp lý, đánh mất hình ảnh và uy tín,…
Các nguy cơ về ATTT đang có xu hướng chuyển từ tấn công hạ tầng mạng sang
đánh cắp và rò rỉ thông tin/dữ liệu. Các giải pháp an ninh truyền thống như firewall,
IPS, Anti-virus,.. chỉ có thể nhận diện các nội dung tấn công mà không hiểu được
nội dung dữ liệu nào là nhạy cảm, cần bảo vệ đối với từng tổ chức/công ty.
Để ngăn chặn việc rò rỉ, phát tán dữ liệu nhạy cảm ra bên ngoài từ nhân viên,
giải pháp DLP (Data Leak/Loss Prevention) được đề xuất áp dụng. Giải pháp DLP
có thể kiểm soát, phân tích và nhận diện chính xác nội dung dữ liệu cần bảo vệ,
cách kênh mà dữ liệu có nguy cơ cao nhất về rò rỉ phát tán ra ngoài hệ thống của
tổ chức (qua Web, Mail, copy ra USB…). DLP được triển khai kiểm soát tại các
vị trí sau:
Kiểm soát luồng dữ liệu qua Mail (NDLP)
Thiết bị Email DLP Gateway lọc nội dung SMTP, phát hiện và ngăn chặn nội
dung nhạy cảm gửi qua mail và vi phạm chính sách bảo vệ dữ liệu:
- Thiết bị Email DLP Gateway chạy tích hợp (qua MTA) với máy chủ email
hoặc email security gateway (Symantec) đặt tại vùng Internet Service để lọc nội
dung dữ liệu nhạy cảm rò rỉ qua email.
- Email vi phạm chính sách dữ liệu sẽ được cô lập (quarantine), chặn hoặc
được cho phép qua tùy thuộc vào cấu hình chính sách.
Kiểm soát luồng dữ liệu truy cập Web
Thiết bị Web DLP Gateway (NDLP) – sẽ tích hợp với Web Security Gateway
ở vùng mạng Internet User Module để lọc nội dung truy cập Web. Thiết bị này sẽ
giám sát, phát hiện và ngăn chặn truy cập Web có chứa nội dung dữ liệu nhạy cảm
và vi phạm chính sách:
- Tất cả truy cập Internet của User được quản lý qua thiết bị Web Security
Gateway, Web proxy sẽ chuyển nội dung qua thiết bị DLP Gateway kiểm tra và
lọc nội dung
- Luồng dữ liệu web nếu vi phạm chính sách bị ngăn chặn hoặc cảnh
báo/monitoring tùy thuộc vào cấu hình chính sách.
160
Kiểm soát trên Endpoint (EPDLP)

DLP endpoint sẽ được cài đặt trên các máy tính người dùng. DLP endpoint sẽ
ngăn chặn/giám sát người dùng copy dữ liệu nhạy cảm ra usb, CD/DVD, in ấn,
chụp màn hình,… Giải pháp hỗ trợ cơ chế mã hóa dữ liệu copy ra USB cho phép
người dùng nội bộ có thể copy dữ liệu cho nhau, trong khi cho phép bảo vệ dữ liệu
khi USB mang ra ngoài hay bị mất hoặc bị đánh cắp. Chính sách bảo vệ dữ liệu
vẫn được thực thi thậm chí kể cả khi các máy tính cài endpoint được sử dụng bên
ngoài mạng.
Hệ thống DLP có thể thực hiện chức năng tìm quét trên các máy tính trên toàn
mạng để phát hiện dữ liệu nhạy cảm đang được lưu trữ trái phép trên máy tính. Cơ
chế quét được thực hiện dựa trên Endpoint agent hoặc Agent less (không cần cài
Endpoint).
V.1.1.m. Giải pháp giám sát và bảo vệ cho CSDL (DBS - Database Security)
Cơ sở dữ liệu là một trong các thành phần trọng yếu nhất của hệ thống, là thành
phần cốt lõi của ứng dụng và dịch vụ, đồng thời là giá trị tài sản của doanh nghiệp.
CSDL chứa hầu hết những tài sản thông tin quan trọng nhất của một doanh nghiệp
như dữ liệu khách hàng, thông tin tài chính, kế toán,… Mặc dù vậy các tổ chức
chưa có giải pháp thực sự để giám sát, bảo vệ CSDL và đối mặt các vấn đề sau sau:
- Người dùng có đặc quyền hoặc người quản trị CSDL (DBA) có ý đồ xấu có
thể lạm quyền được cấp, truy cập, thay đổi hoặc đánh cắp thông tin từ CSDL một
cách trái phép.
- Việc bật chức năng ghi log các giao dịch trên CSDL sẽ làm suy giảm hiệu
năng CSDL, ngoài ra các log trên CSDL có thể bị can thiệp bởi DBA. Điều này
dẫn đến không thể thực hiện việc Audit, truy vết các hành động trên CSDL đặc biệt
khi có sự cố an ninh xảy ra.
- Các tiêu chuẩn như ISO, PCI có yêu cầu liên quan việc giám sát, audit truy
cập hệ thống CSDL, tuy nhiên chưa có giải pháp hỗ trợ thực hiện việc tuân thủ.
- Các tấn công khai thác các lỗ hổng của hệ quản trị CSDL, ứng dụng CSDL
và của hệ điều hành,… Tấn công thành công có thể dẫn đến thông tin bị đánh cắp.
Thông thường các tổ chức gặp khó khăn trong việc triển khai, áp dụng các miếng
vá bởi việc cài đặt bản vá trên CSDL là việc rất thận trọng và nhạy cảm. Các tổ
chức cần rất nhiều thời gian để thử nghiệm, đánh giá trước khi cài miếng vá trên
CSDL đang chạy.
- Các giải pháp an ninh thông thường như Network Firewall/IPS chỉ kiểm soát
được kết nối và tấn công mạng đã biết nhưng không thể kiểm soát được chi tiết các
thao tác và nội dung dữ liệu bị tác động trên CSDL.
- Giải pháp an ninh/tường lửa CSDL giúp giải quyết các vấn đề nêu trên, có
161
khả năng kiểm soát sâu được các thao tác và câu lệnh SQL tác động lên đối tượng
dữ liệu (bảng, cột) trong CSDL để ngăn chặn các tấn công, các thao tác/lệnh trái
quyền và các vi phạm chính sách. Giải pháp cũng cung cấp khả năng giám sát và
audit một cách độc lập với hệ quản trị CSDL để ghi vết lại các hành động trên
CSDL từ ứng dụng, người dùng, đối tác và người quản trị CSDL (DBA) nhằm cảnh
báo các vi phạm, tạo báo cáo và cung cấp các chứng cứ tin cậy phục vụ cho điều
tra khi có sự cố an ninh.
V.1.1.n. Giải pháp mã hóa, che dữ liệu (DBE)
Mã hóa đóng vai trò hết sức quan trọng trong bối cảnh các vụ tấn công mạng
diễn ra liên tục và tăng dần về số lượng. Hơn nữa, những vụ vô tình rò rỉ thông tin
từ nội bộ chiếm hơn 50 % tổng số sự cố lộ lọt thông tin. Tương tự, nhiều ngành
nghề như ngân hàng, công nghệ, năng lượng và nhiều lĩnh vực nhạy cảm khác yêu
cầu bắt buộc phải mã hóa nhằm đáp ứng các tiêu chuẩn ATTT.
Mã hóa thông tin là phương pháp tốt nhất để bảo vệ chúng ta khỏi những vụ tấn
công có chủ đích hoặc vô tình phát tán, từ đó tránh khỏi nguy cơ thiệt hại về tài
chính, uy tín và đánh mất niềm tin của đối tác, khách hàng.
Dữ liệu cần phải được mã hóa an toàn cả khi truyền tải (Data-in-Motion) và lưu
trữ (Data-at-rest) như trường hợp lưu trữ trên server, thiết bị lưu trữ chuyên dụng.
Đây là phương thức quan trọng nhất bảo vệ chúng ta trước những cuộc tấn công
mạng và là phòng tuyến cuối cùng trong những hàng rào bảo vệ cần thiết.
Giải pháp cho phép che đậy, thay đổi một phần dữ liệu nhạy cảm
(Masking/Tokenization) trong khi vẫn cung cấp những phần dữ liệu khác, ví dụ
gửi danh sách khách hàng những trường số CCCD/CMT, số thẻ tín dụng sẽ bị thay
thế bằng dữ liệu không có giá trị khác. Tính năng này cho phép bảo vệ phần dữ
liệu nhạy cảm trong khi đáp ứng yêu cầu phân phối/cung cấp đầu đủ dữ liệu các
thành phần tham gia.
Chức năng mã hóa được thực thi trong suốt mà không yêu cầu thay đổi ứng
dụng, cơ sở hạ tầng trong khi dữ liệu đang được sử dụng mà không cần chuyển các
ứng dụng ra khỏi mạng.
Giải pháp sử dụng mã hóa mạng với các giao thức mã hóa tiêu chuẩn như AES
để mã hóa dữ liệu và ECC để trao đổi khóa (key exchange), FIPS 140-2 Level 1.
V.1.1.o. Giải pháp thu thập phân tích nhật ký an ninh (SIEM)
Hiện nay, trong một hệ thống lớn thì việc theo dõi, phân tích và phản ứng lại
các sự cố về ATTT là hết sức quan trọng. Người quản lý hệ thống thường gặp phải
một số khó khăn sau:
- Bị “tràn ngập” bởi các thông tin nhật ký được sinh ra từ nhiều hệ thống nên
một số thông tin cảnh báo quan trọng có thể bị bỏ qua, không được xử lý kịp thời;
162
- Việc điều tra về nguồn tấn công, đích tấn công, nguyên lý tấn công,… thường
phải làm thủ công, mất nhiều thời gian và công sức nhưng lại không có hiệu quả
kịp thời;
- Bị hạn chế, không có khả năng theo dõi, đánh giá tổng thể về vấn đề an ninh
đang diễn ra trong hệ thống;
- Thường gặp các cảnh báo giả về sự cố;
- Thông tin cảnh báo xuất hiện đơn lẻ trên các hệ thống độc lập như Firewall,
IDS/IPS, OS System,… khó có được cái nhìn tổng quát để trả lời các câu hỏi:
o Cái gì đang xảy ra?
o Ở đâu?
o Lúc nào?
o Ai gây ra?
o Xảy ra như thế nào?
- Có quá nhiều các định dạng nhật ký, gây khó khăn trong việc phân tích;
- Việc lưu trữ các thông tin cảnh báo không đồng đều, tập trung, lúc thừa lúc
thiếu;
- Các hệ thống cho phép ngăn chặn tấn công ngay lập tức như Firewall, IPS,…
không đảm bảo an toàn cho hệ thống trước các tấn công chậm (Slow attack).
Hình 48. Hệ thống giám sát cảnh báo sớm và phản ứng nhanh
Hệ thống giám sát cảnh báo sớm và phản ứng nhanh với các sự cố an toàn mạng
thực hiện các chức năng chính bao gồm:
- Thu thập nhật ký, sự kiện an ninh theo thời gian thực từ nhiều hệ thống;
- Thực hiện lưu trữ, tìm kiếm tập trung;
- Theo dõi, giám sát sự kiện an ninh tổng thể trong hệ thống tập trung vào các
vấn đề: IT Operation, Compliance, Security;
- Nhận dạng, xử lý nhanh, cảnh báo sớm các nguy cơ và sự cố an toàn mạng;
163
- Hỗ trợ điều hành phản ứng nhanh với các sự cố an toàn mạng.
V.1.1.p. Giải pháp Quản lý định danh và phân quyền tập trung – Identify and
Access Management (IAM)
Các công ty, doanh nghiệp lớn thường sở hữu một hệ thống gồm nhiều ứng
dụng CNTT. Theo thời gian, cùng với nhu cầu thay đổi và phát triển của doanh
nghiệp, hệ thống này sẽ ngày càng phát triển về quy mô cũng như về số lượng của
các ứng dụng. Tuy nhiên các ứng dụng này chạy phân tán và độc lập nhau. Mỗi
ứng dụng có một tập tài khoản người dùng độc lập. Số lượng tài khoản người dùng
trên toàn hệ thống sẽ phát triển theo cấp số nhân khi số lượng ứng dụng gia tăng.
Cùng một người dùng nhưng có nhiều tài khoản với nhiều lần đăng nhập khác nhau
trên các ứng dụng phân tán. Mỗi lần truy nhập một dịch vụ của hệ thống, người
dùng phải khai báo thông tin về mật khẩu và tên đăng nhập cho hệ thống xác thực.
Do vậy, người dùng phải nhớ rất nhiều cặp tên truy cập/mật khẩu khác nhau và
phải đăng nhập nhiều lần. Điều này gây khó khăn cho người dùng và nhà cung cấp
dịch vụ, người quản trị cũng phải đối mặt với một loạt vấn đề như bảo mật, mã
hóa, lưu trữ cơ sở dữ liệu.
Việc quản lý tài khoản và quyền truy cập của các tài khoản trên hệ thống là một
công việc vô cùng quan trọng, đặc biệt đối với các tổ chức có số lượng nhân viên
lớn thì việc quản lý định danh tài khoản ảnh hưởng mật thiết đến nghiệp vụ và hoạt
động kinh doanh. Các vấn đề như đảm bảo tài khoản và quyền cho tài khoản được
quản lý thống nhất cho toàn hệ thống, làm sao tài khoản và quyền được cấp đúng
theo yêu cầu kinh doanh, thu hồi/điều chỉnh tài khoản và quyền theo biến động
nhân sự và thay đổi hệ thống ứng dụng… là những bài toán khó.
Để giải quyết vấn đề này, giải pháp Quản lý định danh tập trung được đề xuất.
Giải pháp cho phép quản lý thống nhất cùng một người dùng, một tài khoản duy
nhất trên tất cả ứng dụng:
- Giải pháp cho phép xác thực một lần (SSO): xác thực người dùng đăng nhập
vào mọi hệ thống có tích hợp giải pháp SSO, vì vậy người dùng chỉ cần nhớ một
cặp tên truy cập/mật khẩu duy nhất. Khi cập nhật mật khẩu và tên đăng nhập, người
dùng chỉ cần cập nhật một lần cho toàn bộ các hệ thống có yêu cầu xác thực người
dùng. Khi đã đăng nhập vào một hệ thống chứa các hệ thống con có tích hợp giải
pháp SSO, người dùng có thể dễ dàng truy nhập vào các hệ thống con này mà
không cần phải xác thực lại trong một khoảng thời gian nào đó, tùy thuộc vào chính
sách quản trị.
- Kiểm soát người dùng truy cập vào tài nguyên CNTT dựa trên vai trò được
cụ thể.
- Cung cấp xác thực đa nhân tố (MFA) khi truy cập vào ứng dụng, tài nguyên
CNTT.
- Giải quyết các câu hỏi của bài toán quản trị định danh.
164
- Thiết lập quy trình (workflow) quản lý vòng đời tài khoản của từng cá nhân,
tự động hóa các tiến trình phê duyệt cấp quyền truy cập, cấp phát/thu hồi tài khoản
người dùng đối với từng hệ thống dựa theo yêu cầu kinh doanh/nghiệp vụ.
- Lập báo cáo để kiểm toán, giám sát quyền truy cập của người dùng trên toàn
bộ các hệ thống ứng dụng của doanh nghiệp.
- Giảm dung lượng cơ sở dữ liệu và tránh được các xung đột nảy sinh do phải
xử lý mật khẩu của các hệ thống khác nhau, tăng khả năng mở rộng và triển khai
các chiến lược bảo mật.
V.1.1.q. Giải pháp quản lý tập trung hoạt động hạ tầng, ứng dụng/dịch vụ
CNTT (ITOM)
IT Operation Management (ITOM) là giải pháp quản lý tập trung hạ tầng, ứng
dụng/dịch vụ CNTT tập trung. Giải pháp này cho phép tổ chức quản lý các đối
tượng như Operation system, Network devices, Database, Application,
Middleware, Big Data & Cloud.
Giải pháp cung cấp các nhóm chức năng giám sát chính như: thống kê quản lý
toàn bộ đối tượng trong hệ thống CNTT; theo dõi tình trạng hoạt động, quản lý lỗi,
quản lý thay đổi cấu hình, phân tích hiệu hiệu năng mạng, theo dõi và phân tích
hiệu suất hoạt động của ứng dụng; theo dõi, giám sát việc tuân thủ, quản lý hợp
nhất và tương quan dữ liệu trong hệ thống; tự động hóa phản ứng lại sự cố theo
workflow.
Các lợi ích khi triển khai giải pháp:
- Giảm thiểu thời gian Downtime, nâng cao mức độ sẵn sàng của dịch vụ.
- Giảm thiểu thời gian và nguồn lực cho IT Operation.
- Rút ngắn thời gian phát hiện và xử lý sự cố.
- Nâng cao chất lượng phục vụ khách hàng.
V.1.1.r. Giải pháp thông tin tình báo An ninh trên không gian mạng (Cyber
Threat Intelligence – CTI)
Giải pháp thông tin tình báo về các mối đe dọa trên không gian mạng - CTI là
một giải pháp nâng cao giúp cho tổ chức có thể thu thập các thông tin chi tiết về
các rủi ro theo ngữ cảnh, tình huống và từ đó có thể xâu chuỗi với bối cảnh cụ thể
của tổ chức.
Các giải pháp CTI thu thập dữ liệu thô từ nhiều nguồn khác nhau về các mối đe
dọa khẩn cấp hoặc đang tồn tại. Các dữ liệu này sẽ được phân tích và trích lọc để
tạo ra các thông tin quan trọng có thể được tích hợp và sử dụng bởi các giải pháp
kiểm soát bảo mật tự động đã được trang bị trong hệ thống.
Mục đích chính của CTI là đảm bảo các tổ chức luôn được thông báo về các dữ
liệu đã bị rò rì, các mối đe dọa về tấn công APT, lỗ hổng zero-day, các mã khai
165
thác và phương án chống lại các mối đe dọa này. CTI giúp các tổ chức nhận thức
được các nguy cơ của các mối đe dọa phổ biến và nguy hiểm nhất từ bên ngoài
(như các mối đe dọa zero-day, APT và các mã khai thác). CTI bao gồm các thông
tin chuyên sâu về các mối đe dọa cụ thể để giúp các tổ chức bảo vệ chính mình
trước các kiểu tấn công có thể gây ra thiệt hại lớn nhất.
Trong ngữ cảnh quân sự, kinh doanh hay an ninh bảo mật, thông tin tình báo là
các thông tin được cung cấp bởi một tổ chức với sự hỗ trợ việc ra quyết định và có
thể là một lợi thế mang tính chiến lược. CTI bao gồm các thông tin liên quan đến
việc bảo vệ tổ chức khỏi các mối đe dọa từ bên trong lẫn bên ngoài với các kỹ
thuật, chiến thuật, quy trình tấn công được thực thi một cách bài bản.
Khi được triển khai trong SOC, CTI có thể giúp đạt được các mục tiêu bao gồm
đảm bảo việc cập nhật thường xuyên và liên tục đối với số lượng khổng lồ các mối
đe dọa từ không gian mạng, bao gồm các phương thức tấn công, các lỗ hổng bảo
mật, các mục tiêu được nhắm đến cũng như thông tin về các nhóm tội phạm mạng;
đảm bảo việc các chuyên gia của SOC trở nên chủ động hơn đối với các hiểm họa
trên không gian mạng trong tương lai; giúp cho các nhân sự có liên quan và người
dùng được cảnh báo về các mối nguy hại mới nhất và các rủi ro khi phải đối mặt
với các tấn công này, đồng thời xây dựng được các báo cáo an ninh theo nhu cầu.
Bên cạnh đó các lãnh đạo, đặc biệt là lãnh đạo CNTT và ATTT có thể đưa ra các
quyết sách, định hướng và chiến lược xây dựng đội ngũ và đầu tư công nghệ, nhằm
mục tiêu tối ưu hóa hiệu quả đầu tư.
Môi trường tội phạm mạng ngày nay bao gồm các chiến thuật và kỹ thuật có
thể tàn phá hệ thống mạng của một tổ chức trong một khoảng thời gian rất ngắn.
Những mối đe dọa này có tầm với rất xa, không phân biệt ngành nào hay phân loại
cơ sở hạ tầng. Với tốc độ này, bắt buộc các tổ chức, đặc biệt là các SOC, phải triển
khai một chương trình CTI toàn diện để hoàn thiện nền tảng điều phối và phản ứng
tập trung, đồng thời cho phép các tổ chức tích cực giải quyết các mối đe dọa liên
tục thay đổi như một nỗ lực kết hợp.
V.1.1.s. Giải pháp mô phỏng và đào tạo an ninh trên không gian mạng
(Cyber Information Security Training Platform)
Không gian mạng chứa đựng nhiều mối đe dọa đối với các quốc gia và các tổ
chức. Do đó, nhân sự được đào tạo với kỹ thuật cao trong việc nhận thức, phòng,
chống các rủi ro an ninh mạng là yếu tố then chốt cho bất kỳ tổ chức, quốc gia nào
trong nỗ lực chống lại mối đe dọa an ninh nguy hiểm được tạo ra bởi các cuộc tấn
công mạng. Để đáp ứng yêu cầu này, giải pháp cung cấp giải pháp cho phép hỗ trợ,
xây dựng hệ thống Mô phỏng và đào tạo an ninh trên không gian mạng.
Nền tảng Cyber Information Security Training cho phép tổ chức giả lập mạng
(Network), lưu lượng (Traffic) và kịch bản tấn công (Attack Scenarios), để phục
166
vụ việc đào tạo, kiểm tra con người, các công nghệ và thủ tục trong môi trường
cộng tác và an toàn.
Giải pháp cung cấp hạ tầng để đào tạo cho từng cá nhân, các nhóm trên môi
trường mạng thực tế. Các phiên đào tạo có thể được thực hiện bởi Huấn luyện viên
hoặc được thực hiện bởi học viên (Self-training).
Giải pháp giả lập Network, traffic, các mối đe dọa (Threats) thông qua máy ảo
(Virtual machines). Môi trường mô phỏng được đưa vào dữ liệu traffic giả lập theo
các traffic như User Emails, Web và trao đổi giữa các máy chủ. Ngoài ra các kịch
bản tấn công được đưa vào môi trường mô phỏng sử dụng thư viện các kịch bản
được xây dựng sẵn cũng như các kịch bản được tùy biến.
Học viên được cung cấp thông tin phản hồi theo thời gian thực thông qua một
quá trình bao gồm: các cột mốc, mục tiêu, câu hỏi, các bước thực hiện khi học viên
phát hiện và phản ứng lại các Cyber Events. Các phiên đào tạo được ghi lại và tài
liệu hóa theo timeline, có thể sử dụng để xem lại, đánh giá trong khi phỏng vấn sau
mỗi phiên đào tạo. Các kỹ năng, năng lực của học viên được đánh giá để tham khảo
và đào tạo nhiều hơn. Bất kỳ phiên đào tạo nào có thể lặp lại. Giải pháp cung cấp
khả năng mô phỏng cả OT Network trong đó sử dụng phần cứng vật lý OT và hỗ
trợ các kịch bản đào tạo cho từng cá nhân và theo nhóm.
Giải pháp cung cấp tùy chọn cho phép khách hàng tùy biến mô hình mạng đạo
tạo, kịch bản đào tạo với các Module nâng cao. Do đó khách hàng có thể xây dựng
và tạo mới các mô hình mạng đào tạo và kịch bản đào tạo.
V.1.1.t. Giải pháp mô phỏng vi phạm và tấn công (Breach and Attack
Simulation – BAS)
Breach and Attack Simulation (BAS) - là giải pháp mô phỏng vi phạm và tấn
công, giúp tổ chức dễ dàng nhận biết và tối ưu tình trạng bảo mật của tổ chức mọi
lúc, mọi nơi. Giải pháp thực hiện hoàn toàn tự động và có thể tùy chỉnh. BAS đặt
ra thách thức cho các giải pháp phòng thủ của tổ chức thông qua khả năng giả lập
hàng nghìn tấn công mạng và các tấn công này bao phủ toàn bộ các giai đoạn của
một cuộc tấn công tiên tiến như APT, Ransomware.
Giải pháp cho phép tổ chức kiểm tra khả năng phòng thủ bên trong và bên ngoài,
các tấn công giả lập sẽ cho tổ chức biết chính xác vị trí đang bị lộ và cách khắc
phục điều đó, giúp bảo mật nhanh chóng, liên tục và là một phần của các hoạt động
hàng ngày.
167
Giải pháp BAS cho phép giả lập nhiều Attack Vector như: Email, Web
Gateway, Web Application, Phishing, EndPoint, Lateral movement, Data
Exfiltration và giả lập các tấn công ở tất cả các giai đoạn của một cuộc tấn công.
Hình 49. BAS mô phỏng các giai đoạn của một cuộc tấn công
V.1.1.u. Giải pháp quản lý tài sản CNTT (ITAM)
Số lượng các thiết bị, phần mềm trong hệ thống lớn hơn so với thời điểm đầu
tư hoặc hết hạn license, bảo hành và hỗ trợ kỹ thuật khác nhau gây khó khăn cho
công tác quản lý. Tổ chức khó xác định trong hệ thống đang có những trang thiết
bị nào, khi nào hết hạn license và bảo hành để gia hạn, khi nào hết khấu hao để
thay thế, để đảm bảo hệ thống hoạt động liên tục và ổn định.
Giải pháp quản lý tài sản HTTT giúp giải quyết các vấn đề trên với các tính
năng tự động khám phá các tài sản CNTT, quản lý vòng đời trang thiết bị, ngày hết
hạn license, bảo hành, giúp tổ chức kịp thời lên kế hoạch đầu tư gia hạn hoặc thay
thế sản phẩm, để giúp hệ thống hoạt động liên tục.
V.1.2. Các giải pháp bảo mật cho hệ thống OT
V.1.2.a. Giải pháp cổng an ninh một chiều/Data diode (USG – Unidirectional
Security Gateway)
Hệ thống tự động hóa và điều khiển công nghiệp như nhà máy phát điện, TBA
đóng vai trò đặc biệt quan trọng. Hệ thống cần được bảo vệ nghiêm ngặt. Bất kể
sự cố nào đến hệ thống có thể gây ra những hậu quả nghiêm trọng, ảnh hưởng đến
sản xuất và kinh tế, an ninh quốc gia, thậm chí tới sinh mạng. Chính vì vậy hệ
thống được cô lập vật lý với các hệ thống mạng khác. Tuy nhiên, trước các nhu cầu
không thể thiếu về việc khai thác dữ liệu của hệ thống điều khiển – tự động hóa
phục vụ cho công việc bảo trì/bảo dưỡng, vận hành, nâng cao năng lực quản lý và
điều hành sản xuất kinh doanh, hệ thống tự động hóa & điều khiển không thể mãi
cô lập tách biệt với các hệ thống xung quanh.
168
Giải pháp Cổng bảo mật một chiều cho phép truyền dữ liệu một chiều từ hệ
thống tự động hóa & điều khiển ra các mạng bên ngoài khác nhưng vẫn đảm bảo
tuyệt đối không có truy cập ngược lại từ ngoài về hệ thống.
Cổng một chiều USG (Unidirectional Security Gateway) đảm bảo tuyệt đối
100% về mặt vật lý dữ liệu chỉ có thể truyền một chiều nhờ kiến trúc như sau:
Hình 50. Tường lửa một chiều

Thành phần phần cứng Data Diode, có chức năng truyền vật lý dữ liệu chỉ đi
một chiều, gồm hai module TX và RX phân tách nhau về vật lý và được kết nối
với nhau qua sợi quang. Mỗi thành phần TX và RX có nguồn, cổng mạng riêng.
Về phần cứng vật lý, module quang TX chỉ có transmitter/laser mà không có
receiver (chỉ có phát mà không có nhận). Còn module quang RX chỉ có receiver
mà không có transmitter/laser (chỉ có nhận mà không có phát). Module TX và RX
không có firmware/CPU, ổ cứng giúp hạn chế lỗi phần cứng và lỗ hổng phần mềm,
giúp đảm bảo mức tin cậy cao nhất.
V.1.2.b. Tường lửa công nghiệp
Thiết bị Firewall hỗ trợ việc thực hiện việc phân tách mạng OT thành nhiều
vùng mạng và kiểm soát truy cập giữa các vùng mạng OT. Với việc hỗ trợ API,
Firewall tự động tạo chính sách kiểm soát truy cập cho các thiết bị mạng ICS theo
các Vendor được nhận diện:
Chống tấn công, đe dọa, Anti-malware

Lọc, chống Malware lan truyền qua các vùng mạng. Phát hiện, ngăn chặn các
tấn công, chống khai thác điểm yếu vào ứng dụng/giao thức yếu thường dùng trong
hệ thống ICS. Cung cấp Virtual Patching cho phép bảo vệ tức thì điểm yếu trên hệ
thống ICS trong khi hệ thống không có khả năng triển khai, cài đặt bản vá điểm
yếu.
Hỗ trợ nhiều giao thức, thiết bị ICS
169
Hỗ trợ nhận diện nhiều thiết bị IoT, hỗ trợ nhiều giao thức điều khiển công
nghiệp như, IEC, MMS, ModBus, OPC DA & UA,…
Tính tin cậy tiêu chuẩn công nghiệp
Thiết bị đươcj thiết kế với tính tin cậy cao đạt tiêu chuẩn công nghiệp, cho phép
hoạt động trong môi trường công nghiệp, nhà máy như chịu được độ rung lắc, nhiệt
độ cao,…
V.1.2.c. Giải pháp giám sát an ninh, phát hiện tấn công xâm nhập, hành vi bất
thường trong hệ thống.
Giải pháp phát hiện, ngăn chặn các hành vi dò quét, tấn công, khai thác điểm
yếu hệ thống OT hoặc các hành động sai quyền lên các thiết bị điều khiển.
Thiết bị triển khai tại biên giữa mạng bên ngoài và mạng ICS/OT, chống các đe
dọa từ bên ngoài. Thiết bị triển khai tại tầng phía dưới gần mạng điều khiển cục
bộ, mạng tủ điều khiển (Controller/PCL), hoặc đặt trước nhóm máy điều khiển
quan trọng, nhằm phát hiện các tấn công/truy cập, lệnh sai quyền từ nội bộ.
Thiết bị có khả năng phát hiện, nhận diện các thiết bị OT được sử dụng, hỗ trợ
nhiều giao thức điều khiển công nghiệp như Modbus, Melsec/SLMP, CC-Link IE,
Profinet, S7COMM, HSMS/SECS-II…
Cho phép áp dụng chính sách kiểm soát tới câu lệnh điều khiển thiết bị OT, cho
quyền chỉ đọc hoặc full quyền đọc/ghi tới thiết bị.
V.1.2.d. Giải pháp giám sát thay đổi/đóng băng cấu hình (Configuration
harderning – CFG MGT)
Các điểm yếu phổ biến của hệ thống TĐH ĐK các thiết bị/máy tính hệ thống sử
dụng phiên bản cũ, cấu hình mặc định ban đầu, không thể nâng cấp, cập nhật bản
vá, cài chương trình AV, sử dụng giao thức yếu… Điều này cho phép các tấn công
như malware lây nhiễm qua mạng hoặc qua thiết bị USB không được quản lý cắm
vào hệ thống. Các thay đổi cấu hình, cài đặt ứng dụng trái quyền lên hệ thống của
người dùng nội bộ hoặc nhà cung cấp trong quá trình hỗ trợ không được kiểm soát
làm ảnh hưởng hệ thống, tạo ra các điểm yếu mới.
Các khuyến cáo biện pháp kỹ thuật chủ yếu bởi các tiêu chuẩn như DHS ICS
CERT, NIST.. cũng đã đưa ra đó là cấu hình thiết bị cần được hardnening, chỉ cho
phép cấu hình, ứng dụng được xác định được bật (Application Whitelist),…
Giải pháp cung cấp các tính năng chính sau:
Quản lý tiến trình, ứng dụng
Chỉ cho phép các tiến trình, ứng dụng trong white list chạy, chặn các tiến trình
lạ, bảo vệ tính toàn vẹn của các tiến trình thực thi bình thường. Quản lý tiến trình
theo tên file và đường dẫn và theo hash value/digital signature của ứng dụng (kiểm
soát trường hợp ứng dụng thay đổi tên).
170
Có khả năng tự động xây dựng while list nhờ khả năng quét và học các tiến
trình đang chạy.
Quản lý file, dữ liệu
Kiểm tra tính toàn vẹn của các file dữ liệu, cấu hình của hệ thống. Cảnh báo,
ngăn chặn các hành động sửa đổi dữ liệu trái quyền. Cho phép ngăn chặn malware
thay đổi file cấu hình, hoặc người dùng vô ý hoặc cố ý thay đổi dữ liệu nhạy cảm.
Quản lý cấu hình
Quản lý các settings/cấu hình của hệ thống. Ngăn chặn sửa đổi settings, registry
trái quyền.
Quản lý cổng ngoại vi
Kiểm soát việc sử dụng các thiết bị ngoại vi trên máy tính/thiết bị như USB
flash drive, CD/DVD drive. Chỉ cho phép những thiết bị ngoại vi đã đăng ký được
sử dụng.
V.1.2.e. Phòng, chống mã độc hại/virus (AV)
Các biện pháp phòng, chống mã độc/Virus đối với hệ thống TĐH ĐK điển hình
bao gồm:
- Cài đặt chương trình quét virus trên các máy tính.
- Thiết lập một trạm quét trung gian (Scanner Kios) quét file dữ liệu trước khi
được copy vào hệ thống OT.
- Thiết bị USB di động cài chương trình quét virus được phép, cho phép quét
virus trên các máy tính trong hệ thống DCS qua cổng USB.
Tổ chức có thể áp dụng một trong các biện pháp trên phù hợp với hệ thống. Tuy
nhiên biện pháp cài đặt chương trình AV trên các máy tính hệ thống OT thường rất
hạn chế vì hệ thống sử dụng các hệ điều hành cũ, tối giản, tài nguyên thấp, không
được cập nhật và không hỗ trợ chạy chương trình AV. Việc cài đặt chương trình
AV có thể gây ảnh hưởng hiệu năng máy tính và không được cập nhật mẫu malware
mới do hệ thống ICS hạn chế kết nối Internet. Do vậy giải pháp sử dụng Scanner
Kios hoặc sử dụng thiết bị USB đã cài sẵn chương trình Anti-Malware cắm vào
máy tính cho phép quét virus trên máy đó thường dễ thực thi hơn.
171
Phụ lục 02. Tham chiếu các yêu cầu đề xuất với các tài liệu cơ sở hiện
hành
Tham chiếu các yêu cầu đề xuất trong Đề án ATTT với các tiêu chuẩn, quy định
hiện hành áp dụng cho các HTTT tại các đơn vị thuộc EVN, bao gồm tiêu chuẩn
ISO 27002:2013, hướng dẫn NIST SP 80082, Quy định số 99/QĐ-EVN.
Tổng hợp các yêu NIST SP TCVN

STT ISO 27002:2013 99/QĐ-EVN
cầu của Đề án mới 80082 11930
Yêu cầu về quản lý ATTT
- Control 6.1.1 và - Điều 6, 7, 8,

Phân tách vai trò, Tất cả
1 6.1.2, Category 9, 10 thuộc
trách nhiệm cấp độ
6.1, Clause 13 Chương II
Tuyển dụng bổ Yêu cầu tại:

sung nhân sự phù - Khoản 3, Tất cả
2
hợp với sự phát Điều 11, cấp độ
triển của HTTT Chương III
- Control 7.2.2,
Đào tạo nhận thức - Điều 14, CĐ-
3 Category 7.2,
ATTT định kỳ Chương III 2/3/4/5
Clause 7
- Điểm a),
Khoản 3,
- Control 7.2.2,
Đào tạo chuyên Điều 12, CĐ-
4 Category 7.2,
môn về ATTT (IT) Chương III 3/4/5
Clause 7
- Điều 14,
Chương III
Đào tạo chuyên - Control 7.2.2,

5 môn về ATTT Category 7.2,
(OT) Clause 7
Rà soát, cập nhật - Control 5.1.2,

Tất cả
6 quy định đảm bảo Category 5.1,
cấp độ
ATTT chung Clause 5
Thực hiện rà soát,

xây dựng bổ sung
tài liệu đảm bảo - Control 5.1.2,
Cấp độ
7 ATTT đối với hệ Category 5.1,
3/4/5
thống CNTT theo Clause 5
Quyết định 99/QĐ-
EVN
172

STT ISO 27002:2013 99/QĐ-EVN
Thực hiện rà soát, Cấp độ

xây dựng bổ sung 3/4/5
các tài liệu đảm - Control 5.1.2,
8 bảo ATTT đối với Category 5.1,
hệ thống TĐHĐK Clause 5
theo Quyết định
99/QĐ-EVN
Đánh giá ATTT, Cấp độ
- Control 18.2.2,
Kiểm tra tuân thủ 3/4/5
9 Category 18.2,
quy trình quy định
Clause 18
nội bộ
Giải pháp kỹ thuât cho hệ thống CNTT
Phân tách các phân - Control 13.1.3, - Khoản 3,

10 vùng mạng trong Category 13.1, Điều 18, Mục
hệ thống Clause 13 2, Chương IV
Chống tấn công - Điểm i),

tiên tiến – phát hiện Khoản 3,
11 N/A
các mã độc zero- Điều 18, Mục
day 2, Chương IV
- Điểm i),
- Control 12.2.1,
Giải pháp phòng, Khoản 3, Tất cả
12 Category 12.2,
chống virus/mã độc Điều 18, Mục cấp độ
Clause 12
2, Chương IV
Mô phỏng vi phạm
- Control 7.2.2,
và tấn công, đánh
13 Category 7.2, N/A
giá hiệu quả hệ
Clause 7
thống ATTT
Cloud Network
14
Security
- Control 12.1.2,
Tình báo thông tin
Category 12.1 và - Khoản 2,
và phát hiện sớm
15 Control 12.6.1, Điều 23,,
các đe dọa- Threat
Category 12,6, Chương V
Intelligence
Clause 12
Giải pháp mô
- Control 7.2.2,
phỏng và đào tạo
An ninh trên không
Clause 7
gian mạng
173

STT ISO 27002:2013 99/QĐ-EVN
- Control 12.2.1,
Rà quét điểm yếu - Điểm f),
Category 12.2 và
ứng dụng đang Khoản 5,
17 Control 12.6.1,
chạy - Dynamic Điều 18, Mục
Category 12.6,
Analysis 2, Chương IV
Clause 12
Giải pháp mã hóa,
- Điểm a),
biến đổi, che dữ
Khoản 6, CĐ-
18 liệu N/A
Điều 18, Mục 2/3/4/5
(Encryption/Tokeni
2, Chương IV
zation/Masking)
- Control 8.2.3,
Category 8.2,
Giải pháp giám sát - Điểm a),
Clause 8
và bảo vệ Khoản 6, CĐ-
19 - Control 18.1.3
CSDL/Non-SQL/ Điều 18, Mục 3/4/5
và 18.1.4,
BigData 2, Chương IV
Category 18.1,
Clause 18
- Điểm a),
Phân loại dữ liệu - Control 8.2.1,
Khoản 6,
20 (Data Category 8.2,
Điều 18, Mục
Classification) Clause 8
2, Chương IV
- Điểm a),
- Control 13.1.1,
Chống thất thoát dữ Khoản 6, CĐ-
21 Category 13.1,
liệu Điều 18, Mục 3/4/5
Clause 13
2, Chương IV
- Điểm i),
Phát hiện và phản
Khoản 3,
22 hồi các đe dọa trên N/A
Điều 18, Mục
endpoint
2, Chương IV
Giải pháp phòng, - Điểm i),
- Control 12.2.1,
chống virus/mã độc Khoản 3, Tất cả
23 Category 12.2,
cho thiết bị người Điều 18, Mục cấp độ
Clause 12
dùng cuối 2, Chương IV
- Control 13.2.3, - Khoản 8,
Lọc nội dung email
24 Category 13.2, Điều 18, Mục
cho người dùng
Clause 13 2, Chương IV
Quản lý định danh - Khoản 4,
- Category 9.2,
25 và phân quyền tập Điều 18, Mục
Clause 9
trung (Identity and 2, Chương IV
174

STT ISO 27002:2013 99/QĐ-EVN
Access
Management)
- Điểm c), i),

- Control 13.1.1,
Phòng, chống xâm Khoản 3, Tất cả
26 Category 13.1,
nhập Điều 18, Mục cấp độ
Clause 13
2, Chương IV
- Điều 16,
Quản lý tài sản
27 - Clause 8 Mục 1,
CNTT
Chương IV
- Control 12.7.1,
Category 12.7,
Giám sát trạng thái
Clause
28 hoạt động mạng và N/A
- Control 13.1.2,
dịch vụ
Category 13.1,
Clause 13
- Control 13.1.2,
29 Quản lý dịch vụ IT Category 13.1, N/A
Clause 13
- Điểm i),
- Control 9.4.2,
Khoản 3,
30 Xác thực mạnh Category 9.4, CĐ_4/5
Điều 18, Mục
Clause 9
2, Chương IV
Bảo mật thiết bị di - Control 6.2.1, - Khoản 8,

31 động - Mobile Category 6.2, Điều 16, Mục
Security Clause 6 1, Chương IV
- Control 9.1.2,
Category 9.1 và
Kiểm soát truy cập
32 Control 9.4.1, N/A
mạng
Category 9.4,
Clause 9
- Control 12.1.2,
Quản lý cấu hình
chính sách an ninh
Clause 12
175

STT ISO 27002:2013 99/QĐ-EVN
- Control 12.2.1,
Category 12.2 và
Rà quét điểm yếu
34 Control 12.6.1, N/A
mạng, hệ thống
Category 12.6,
Clause 12
- Điểm c), e,
Giải pháp quản lý - Control 9.2.3, f), g), Khoản
35 tài khoản đặc Category 9.2, 4, Điều 18, CĐ-4/5
quyền Clause 9 Mục 2,
Chương IV
- Control 12.2.1,
Rà quét điểm yếu - Điểm f),
Category 12.2 và
code ứng dụng - Khoản 5,
36 Control 12.6.1,
Static Code Điều 18, Mục
Category 12.6,
Analysis 2, Chương IV
Clause 12
Giải pháp dịch vụ
an toàn truy cập
37 N/A N/A
cho người dùng
làm việc từ xa
- Điểm c),
- Control 13.1.1,
Tường lửa - Khoản 3, Tất cả
38 Category 13.1,
Security Gateway Điều 18, Mục cấp độ
Clause 13
2, Chương IV
- Control 16.1.1,
Thu thập, quản lý - Khoản 7,
16.1.2 và 16.1.3, CĐ-
39 và phân tích nhật Điều 18, Mục
Category 16.1, 2/3/4/5
ký sự kiện an ninh 2, Chương IV
Clause 16
- Điểm i),
Lọc nội dung truy Khoản 3, CĐ-
40 N/A
cập Internet Điều 18, Mục 3/4/5
2, Chương IV
- Control 13.1.1
Tường lửa ứng và 13.1.2, Tất cả
41 N/A
dụng Web và API Category 13.1, cấp độ
Clause 13
Giải pháp kỹ thuật cho hệ thống điều khiển
Phân tách các phân
42 vùng mạng trong
hệ thống
176

STT ISO 27002:2013 99/QĐ-EVN
- Chapter 5.2:
Kiểm soát an ninh
43 Boundary
vật lý
Protection
- Section
Phòng, chống mã
44 6.2.17, Chapter
độc/virus
6.2
Phòng, chống mã - Section 6.2.5,
45
độc/virus Chapter 6.2
- Section 6.2.1,
46 Quản lý định danh
Chapter 6.2
an ninh, phát hiện
- Section 6.2.8,
47 tấn công xâm nhập,
Chapter 6.2
hành vi bất thường
trong hệ thống
Thu thập và quản
- Section 6.2.3,
48 lý nhật ký sự kiện
Chapter 6.2
an ninh
- Article
6.2.7.3,
49 Xác thực mạnh
Section 6.2.7,
Chapter 6.2
Tường lửa công - Chapter 5.2,
50
nghiệp 5.3
Quản lý tài sản hệ
51 N/A
thống OT
- Section 6.2.7,
52 người dùng đặc
Chapter 6.2
quyền
53 Cổng quét an ninh N/A
Cổng an ninh một - Chapter 5.2

54
chiều - Chapter 5.11
177
Phụ lục 03. Nội dung mô tả hoạt động Quản lý rủi ro ATTT
V.3.1. Mục đích
Hoạt động quản lý rủi ro ATTT là quá trình nhận dạng, phân tích, đo lường và
đánh giá rủi ro ATTT có thể xảy ra đối với hoạt động nghiệp vụ của đơn vị. Hoạt
động này bao gồm việc xác định danh sách các rủi ro có thể xảy ra, sau đó phân
tích khả năng xảy ra và hệ quả/tác động của rủi ro đối với tài sản và hoạt động
nghiệp vụ của đơn vị.
Hoạt động quản lý rủi ro ATTT được thiết lập và thực hiện tại EVN/EVNICT
và các đơn vị nhằm mục đích:
- Xác định rủi ro đối với tài sản thông tin (bao gồm các tài sản đến từ việc sử
dụng CNTT) của đơn vị.
- Lượng hóa mức độ rủi ro, xác định mức độ ưu tiên trong việc xử lý các rủi ro
có thể xảy ra.
- Làm cơ sở cho việc lựa chọn và áp dụng các biện pháp kiểm soát, nhằm ngăn
ngừa, hạn chế rủi ro đối với tài sản thông tin và giảm thiểu khả năng cũng như hậu
quả khi xảy ra rủi ro đối với hoạt động nghiệp vụ của đơn vị.
- Làm cơ sở để xây dựng kế hoạch triển khai các biện pháp kiểm soát kỹ thuật.
V.3.2. Phương pháp rà soát và đánh giá rủi ro
Phạm vi rà soát: Rủi ro ATTT có thể được ghi nhận thì các nguồn sau (nhưng
không giới hạn):
- Báo báo kết quả quá trình đánh giá rủi ro định kỳ của đơn vị;
- Các báo cáo, kết luận của kiểm toán, thanh tra, kiểm tra;
- Báo cáo kết quả hoạt động kiểm thử, đánh giá dò quét điểm yếu, lỗ hổng được
đơn vị thực hiện hoặc thuê ngoài;
- Các báo cáo, kết quả của kiểm soát tuân thủ;
- Các biện pháp kiểm soát đang được áp dụng tại các đơn vị.
Phương pháp thực hiện: Hoạt động phân tích, đo lường, đánh giá rủi ro tại
EVN/EVNICT và các đơn vị được thực hiện theo hướng dẫn của các tài liệu do
EVN ban hành liên quan đến hoạt động quản lý rủi ro, có thể sử dụng các hướng
dẫn, tài liệu tham khảo từ các tiêu chuẩn ISO/IEC 27005 (Information security risk
management), ISO 31000 (Risk management),…
Nguyên tắc phân loại mức độ rủi ro: Phân loại các mức độ rủi ro tùy thuộc
theo thực tế và hoạt động nghiệp vụ của đơn vị như:
- Rủi ro mức Cao;
- Rủi ro mức Trung bình;
178
- Rủi ro mức Thấp.

Hoạt động xử lý rủi ro: Tùy thuộc và nhu cầu và khả năng nghiệp vụ của đơn
vị có thể lựa chọn các hoạt động xử lý rủi ro bao gồm:
- Tránh rủi ro;
- Giảm thiểu rủi ro;
- Chuyển giao rủi ro;
- Chấp nhận rủi ro.
Phụ lục 04. Nội dung đào tạo ATTT cho Cán bộ nhân viên
Thời lượng Nội dung
02 giờ Tổng quan về ATTT
- Khái niệm thông tin
- Khái niệm ATTT:
 Vai trò, giá trị của thông tin trong tổ chức
 Lỗ hổng/điểm yếu, nguy cơ và rủi ro
 Một số khái niệm cơ bản về mật mã, chữ ký điện tử, xác thực…
02 giờ Hiện trạng đảm bảo ATTT tại đơn vị, tại Việt Nam và thế giới
- Các biện pháp kiểm soát ATTT đang được triển khai áp dụng tại đơn vị
- Những sự quan tâm, chính sách, cơ chế phát triển môi trường ATTT trong
phạm vi Tập đoàn Điện lực Việt Nam cũng như tại Việt Nam.
- Những vấn đề, xu hướng phát triển ATTT trên thế giới trong lĩnh vực
CNTT, Cơ sở hạ tầng trọng yếu.
02 giờ Các quy trình, quy định ATTT đã được ban hành
- Các quy định, quy trình liên quan đến ATTT đã được ban hành tại Tập
đoàn và tại đơn vị
- Các lĩnh vực kiểm soát ATTT:
 An ninh nhân sự
 Quản lý tài sản thông tin
 Kiểm soát truy cập
 Quản lý mã hóa
 An ninh vật lý và môi trường
 An ninh thông tin trong vận hành
 An ninh mạng
 Kiểm soát quá trình tiếp nhận, phát triển và bảo trì hệ thống
 Kiểm soát các nhà cung cấp
 Quản lý sự cố ATTT
 Đảm bảo sự liên tục của ATTT
 Kiểm soát tuân thủ
179

- Quy trình quản lý sự cố ATTT
02 giờ Các vấn đề ATTT có thể gặp phải đối với người dùng
- Các hiểm họa đe dọa an ninh thông tin:
 Virus và các nguy cơ trên mạng: virus, worm, trojan, spyware,...
 Các nguy cơ mất ATTT khác
 Thực hành: Cài đặt, sử dụng chương tình diệt virus.
02 giờ Khuyến nghị đảm bảo ATTT đối với người dùng
- Kỹ năng ATTT cho người sử dụng:
 Kỹ năng sử dụng máy tính an toàn: Quản lý tài khoản/mật khẩu, dịch
vụ, dữ liệu, quyền người dùng, thiết lập tường lửa, chính sách an
ninh...
 Quản lý cài đặt các phần mềm ứng dụng, các bản vá lỗi, cập nhật hệ
thống, sao lưu dữ liệu, khắc phục sự cố. Kiểm tra các dịch vụ và hệ
thống.
 Kỹ năng sử dụng môi trường mạng an toàn: Kết nối Internet, truy cập
Web, email an toàn, đảm bảo an toàn khi tham gia mạng xã hội, blog,
thương mại điện tử, thanh toán điện tử ...
V.4.1. Nội dung đào tạo chuyên môn về ATTT (Hệ thống CNTT)
04 giờ Tình hình ATTT
- Xu hướng tấn công mạng trên thế giới và tại Việt Nam, tình hình đảm
bảo ATTT cho các hệ thống sản xuất, văn phòng của Tập đoàn và các đơn
vị thành viên.
- Các công nghệ và thiết bị bảo mật mới.
- Các hình thức tấn công mạng, các lỗ hổng bảo mật mới xuất hiện và
phương pháp phát hiện, phòng tránh.
04 giờ Thực hành ATTT

- Thực hành kiểm thử ATTT.
- Thực hành phân tích sự cố ATTT, điều tra số
- Thực hành cài đặt thiết bị an toàn bảo mật.

03 giờ Những vấ n đề chung
- Chuẩ n mực đánh giá
- Bằ ng chứng khách quan
180

- Mu ̣c đić h đánh giá
- Phân loa ̣i đánh giá
- Kỹ năng đánh giá
- Yêu cầ u đố i với chuyên gia đánh giá
03 giờ Quá trình đánh giá
- Tiêu chí và lựa cho ̣n chuyên gia đánh giá nô ̣i bô ̣
- Chuẩ n bi ̣đánh giá, lâ ̣p checklist
- Các hoa ̣t đô ̣ng trước khi đánh giá
- Quá triǹ h đánh giá
- Bài tâ ̣p tình huố ng
- Tổng hợp kết quả thu được

QĐ Phe Duyet de An ATTT 2023-2028 (220223)

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

QĐ Phe Duyet de An ATTT 2023-2028 (220223)

Uploaded by

Copyright:

Available Formats

TẬP ĐOÀN CỘNG HOÀ XÃ HỘI CHỦ NGHĨA VIỆT NAM

ĐIỆN LỰC VIỆT NAM Độc lập - Tự do - Hạnh phúc

TỔNG GIÁM ĐỐC TẬP ĐOÀN ĐIỆN LỰC VIỆT NAM

DANH MỤC BẢNG

DANH MỤC BIỂU ĐỒ/BẢN VẼ/MÔ HÌNH

Hình 35. Thiết kế hệ thống SCADA/EMS tại A0/Ax ................................................................. 123

CÁC TỪ VIẾT TẮT

Từ viết tắt Giải thích

GIỚI THIỆU TỔNG QUAN VỀ ĐỀ ÁN

HIỆN TRẠNG HỆ THỐNG

TT Đơn vị Tổng điểm

Hệ thống OT/ Cổng bảo mật 1

Số lượng đơn Số lượng

Hình 2. Biểu đồ phân tích mức độ triển khai giải pháp

Ghi chú: N/A – Đề án 758 không yêu cầu triển khai

Hình 3. Biểu đồ phân tích mức độ đáp ứng yêu cầu

Ghi chú: N/A – Đề án 758 không yêu cầu triển khai

Yêu cầu của đề án 758 Căn cứ theo QĐ 99

Yêu cầu của đề án 758 Căn cứ theo QĐ 99

Yêu cầu của đề án 758 Căn cứ theo QĐ 99

Kiểm soát vật lý N/A

Yêu cầu của đề án 758 Căn cứ theo QĐ 99

Yêu cầu của đề án 758 Căn cứ theo QĐ 99

Yêu cầu của đề án 758 Căn cứ theo QĐ 99

Giải pháp xác thực mạng (2FA) N/A

Yêu cầu của Đề án 758 Theo ISO 27002:2013

Yêu cầu của Đề án 758 Theo ISO 27002:2013

Yêu cầu của Đề án 758 Theo ISO 27002:2013

Yêu cầu của Đề án 758 Theo NIST SP 800-82

Hệ thống SCADA/EMS của EVNNLDC

Yêu cầu của Đề án 758 Theo NIST SP 800-82

Section 6.2.17: System and Information

Yêu cầu của Đề án 758 Theo NIST SP 800-82

Chapter 5.1: Network Segmentation and

Yêu cầu của Đề án 758 Theo NIST SP 800-82

Giải pháp tường lửa thế hệ mới bảo vệ mạng Core

Yêu cầu của Đề án 758 Theo NIST SP 800-82

Hệ thống mini SCADA của các TCTĐL miền

Yêu cầu của Đề án 758 Theo NIST SP 800-82

Giải pháp tường lửa thế hệ mới bảo vệ mạng Core

TT Hạn chế Biện pháp đề xuất

Cơ quan EVN và EVNICT (EVN)

Môi trường phục vụ phát triển, kiểm thử và đào tạo

a Rủi ro do chưa đáp ứng yêu cầu của đề án

rủi ro bị tấn công từ các thiết bị IoT vào hệ thống

Chỉ sử dụng 1 phương pháp xác thực/ chỉ sử dụng

Các TCTĐL TP Hà Nội, TP Hồ Chí Minh (PC)

Chưa lưu lại nhật ký, chứng cứ của hệ thống TĐH-

cùng mạng phẳng và chưa có biện pháp kiểm soát

Đối với hệ thống mạng CNTT

Hệ thống mạng chưa có khả năng phát hiện và giảm

Chưa áp dụng (BSG) hoặc biện pháp bảo mật khác

CÁC BIỆN PHÁP KIỂM SOÁT ĐẢM BẢO ATTT

III.1.3.b. Đối với hệ thống TTĐKX

Cán bộ quản lý chung

Nhân sự phụ Nhân sự phụ

- Quản lý kiến trúc mạng hệ thống ICS;

Đối tượng Biện pháp kiểm soát

TT Tên giải pháp Ký hiệu Mô tả

Giải pháp phòng, chống mã

Đánh giá hiệu quả hoạt động của các

TT Tên giải pháp Ký hiệu Mô tả

Giải pháp tình báo thông tin và