Ngày nay, việc ứng dụng CNTT, phát triển chính phủ điện tử đã trở thành công tác thường xuyên, quan trọng của mọi cơ quan, tổ chức nhà nước. Trong đó, Nghị quyết số 138/NQ-CP ngày 31/12/2017 Hội nghị Chính phủ với địa phương và phiên họp Chính phủ thường kỳ tháng 12/2017 đã xác định rõ nhiệm vụ trọng tâm là: “Bảo đảm an toàn thông tin mạng, gắn kết giữa bảo đảm an toàn thông tin với phát triển Chính phủ điện tử và Chính quyền điện tử các cấp”.
Theo ghi nhận của Trung tâm Công nghệ thông tin và Giám sát an ninh mạng của Ban Cơ yếu Chính phủ, Tính đến tháng 10/2022, thông qua hoạt động giám sát an toàn thông tin trên các mạng công nghệ thông tin, Trung tâm đã phát hiện 82.397 nguy cơ tấn công mạng, trong đó có 61.059 tấn công khai thác lỗ hổng, 7.803 cảnh báo tấn công bằng mã độc nguy hiểm, 9.120 cảnh báo tấn công truy cập trái phép, 340 cảnh báo tấn công từ chối dịch vụ và hơn 4.075 cảnh báo tấn công nguy hiểm khác (tăng 15% so với cùng kỳ năm 2021). Đặc biệt nhiều tấn công mã độc nguy hiểm, tinh vi được kịp thời phát hiện và thông báo đến các đơn vị, tổ chức được triển khai giám sát để phối hợp xử lý, khắc phục, với nhiều hình thức tấn công phức tạp, tinh vi. Các cuộc tấn công có chủ đích nhằm vào các cơ quan Chính phủ, các hệ thống thông tin quan trọng trong nhiều lĩnh vực. Vì vậy việc bảo đảm an toàn thông tin phải song hành cùng với việc đẩy mạnh ứng dụng công nghệ thông tin (CNTT) của Chính phủ.
Nhận thức được tầm quan trọng của công tác chuyển đổi số, trong thời gian tới Sở Tài nguyên và Môi trường tỉnh Khánh Hòa sẽ tập trung xây dựng các giải pháp đảm bảo an toàn, an ninh thông tin mạng như: Bảo đảm an toàn, an ninh thông tin toàn bộ hệ thống mạng máy tính, hệ thống thông tin, dữ liệu của các cơ quan Sở, đồng thời đáp ứng yêu cầu cập nhật, khai thác, xử lý, lưu trữ dữ liệu và phát triển các ứng dụng công nghệ thông tin; Xây dựng và đưa vào vận hành Hệ thống giám sát an toàn, an ninh thông tin mạng; thiết lập hệ thống thu thập, phân tích sự kiện cơ bản và có kết nối với Hệ thống giám sát, an toàn, an ninh thông tin mạng của Cục An toàn thông tin(Bộ TTTT). Thường xuyên được cập nhật các bản vá lỗi lỗ hổng bảo mật hệ điều hành, cập nhật các mẫu nhận dạng virus, mã độc hại mới; Bảo vệ bí mật thông tin trên các máy tính và mạng máy tính theo đúng quy định của UBND tỉnh, triển khai thực hiện việc rà soát, đánh giá an toàn thông tin định kỳ đảm bảo tuân thủ hướng dẫn về an toàn thông tin theo cấp độ.
Để bảo đảm an toàn thông tin cho hệ thống thông tin mô hình “4 lớp” về an toàn, an ninh mạng theo chỉ đạo của Chính phủ, Thủ tướng Chính phủ và Bộ Thông tin và Truyền thông, Sở Tài nguyên và Môi trường tỉnh Khánh Hòa đang nghiên cứu và tham khảo để ứng dụng một số giải pháp để giám sát an toàn thông tin phục vụ chuyển đổi số; một trong số đó là “Giải pháp phần mềm giám sát bất thường và phòng chống phần mềm độc hại”.
Giải pháp phần mềm giám sát bất thường và phòng chống phần mềm độc hại cho máy trạm bao gồm 03 thành phần chính là: Phần mềm cài đặt tại máy tính người dùng hay máy chủ (IR Agent – Incident Response Agent); Hệ thống máy chủ tập trung (IR Server – Incident Response Server) được triển khai trên hạ tầng điện toán đám mây (cloud computing) của đơn vị cung cấp dịch vụ; và Phần mềm quản lý tập trung (IR Admin – Incident Response Admin) được cung cấp trên nền tảng điện toán đám mây của đơn vị cung cấp dịch vụ, cung cấp giao diện quản lý tập trung cho bộ phận quản trị.
Hình: Sơ đồ kiến trúc hệ thống
Các thành phần trong sơ đồ kiến trúc hệ thống:
- IR Agent (Incident Response Agent): Là một phần mềm cài đặt dưới máy người dùng có nhiệm vụ phát hiện xử lý những malware, thu thập thông tin từ máy tính người dùng bao gồm: Event log, Process log, Connection Log gửi về cơ sở dữ liệu tập trung để phân tích, giám sát và cung cấp dữ liệu cho hệ thống học máy. Đồng thời cung cấp giao diện cho người dùng trong việc thực hiện các thao tác rà quét phần mềm độc hại trên máy tính.
- IR Server (Incident Response Server) là hệ thống các máy chủ bao gồm:
- DB Server (Database Server – Máy chủ cơ sở dữ liệu): Nhận, thu thập log từ client gửi lên. Hệ thống được xử lý Big Data (dữ liệu lớn) các tệp tin nhật ký, sự kiện, regedit, ... được gửi từ client.
- IoC Server (Indicator of Compromise Server – Máy chủ thông tin mối nguy hại): Máy chủ chứa thông tin IoC về các mẫu malware phổ biến để IR Agent xử lý. Hệ thống IoC được cập nhật thông qua các hình thức: Qua quá trình theo dõi giám sát của Trung tâm giám sát của đơn vị cung cấp dịch vụ, khi phát hiện các mã độc sẽ được các bộ phận giám sát, vận hành tại Trung tâm giám sát phân tích và cập nhật thông tin về mối nguy hại vào cơ sở dữ liệu chung của IoC Server.
- TI Server (Thread Intelligence Server – Máy chủ Dữ liệu tri thức về các nguy cơ): Máy chủ chứa thông tin TTPs (Tactics, Techniques and Procedures - Chiến thuật, Kỹ thuật và Phương thức tấn công) về sự cố an toàn thông tin có cung cấp API để Agent có thể kiểm tra thông tin về một hành vi, dấu hiệu bất thường để hệ thống Machine Learning đưa ra quyết định máy chủ, máy trạm, tệp tin có bị nhiễm malware không. Dữ liệu Threat Intelligent (TI Data) giúp hỗ trợ người quản trị, học máy cho việc phát hiện và ứng cứu sự cố; bao gồm các thông tin như IP blacklist, Url độc hại, C&C server, thuật toán/kỹ thuật mã độc sử dụng (Ví dụ: thuật toán DGA sinh tên miền mã độc tự động), hành vi bất thường (Ví dụ: tiến trình cha chạy dưới quyền người dùng thấp hơn tiến trình con), …
- IR Admin (Incident Response Admin): Phần mềm quản lý tập trung (IR Admin – Incident Response Admin) được cung cấp trên nền tảng điện toán đám mây của đơn vị cung cấp dịch vụ, cung cấp giao diện quản lý tập trung cho bộ phận quản trị:
- Sysadmin – Quản trị hệ thống: Quản trị hệ thống, phân quyền cho user khác, thêm các policy cho hệ thống.
- Policy Manager – Quản lý chính sách: Chọn và áp dụng những chính sách để hệ thống thực thi việc kiểm soát các chính sách và thống kê chính sách. Hệ thống tiêu chuẩn được áp dụng bao gồm các check-list theo ISO/IEC 27001:2013, thực hiện kiểm soát từ Trung tâm giám sát đến các máy tính client (bao gồm cả server).
- SOC manager – Quản lý giám sát tại Trung tâm giám sát: Thực hiện nhiệm vụ giám sát hệ thống thông qua Log gửi lên từ client, phát hiện những bất thường trong hệ thống và thực hiện nghiệp vụ SOC nhằm xử lý những bất thường đó. Thực hiện việc hỗ trợ xử lý các sự cố từ xa hoặc điều phối xử lý trực tiếp tại hiện trường. Với sự hỗ trợ từ hệ thống IR Agent, SOC manager có thể trực tiếp thực hiện các thao tác gỡ bỏ mã độc, ngắt các tiến trình độc hại, thiết lập các cơ chế tăng cường bảo mật một cách nhanh chóng và từ xa cho các máy Client và Server được cài đặt Agent.
Mô hình kết nối
Giải pháp phòng, chống mã độc được triển khai cần có chức năng cho phép quản trị tập trung, có thể chia sẻ thông tin, dữ liệu thống kê tình hình lây nhiễm mã độc với hệ thống kỹ thuật của Bộ Thông tin và Truyền thông (Cục An toàn thông tin).
Hình: Mô hình kết nối với hệ thống kỹ thuật của Bộ Thông tin và Truyền thông
Trong mô hình giải pháp cần có máy chủ quản lý tập trung về tình hình lây nhiễm, phòng chống mã độc của các máy tính, thiết bị mạng trong nội bộ cơ quan, tổ chức và chia sẻ thông tin cơ bản với hệ thống kỹ thuật của Bộ Thông tin và Truyền thông.
Với các mẫu, thông tin mã độc thu thập được, thông qua xử lý và chia sẻ lại của Bộ Thông tin và Truyền thông (Cục An toàn thông tin) sẽ hỗ trợ cơ quan tổ chức khác có thể phòng, chống, ngăn chặn nguy cơ tấn công tương tự khi bị đối tượng tấn công sử dụng cùng mẫu mã độc, giúp tăng cường bảo đảm an toàn thông tin mạng.
Phương thức kết nối
Việc chia sẻ thông tin giữa máy chủ quản lý tập trung của các cơ quan đơn vị với hệ thống kỹ thuật của Bộ Thông tin và Truyền thông được ký số và truyền đi qua kênh mã hoá HTTPS.
Thông tin chia sẻ bao gồm các trường được mô tả trong Phụ lục và đóng gói theo chuẩn edXML.
Định dạng gói tin giao tiếp
Việc kết nối, chia sẻ thông tin giữa các hệ thống kỹ thuật, các hệ thống cần thực hiện trên cơ sở áp dụng định dạng dữ liệu trong gói tin edXML. Bộ Thông tin và Truyền thông quy định các yêu cầu kỹ thuật đối với các trường thông tin của gói tin edXML, không quy định về quy cách đóng gói gói tin edXML. Việc xác định quy cách đóng gói gói tin do các doanh nghiệp cung cấp giải pháp quyết định dựa trên cơ sở đáp ứng được các yêu cầu do các cơ quan có nhu cầu khai thác, sử dụng đặt ra.
Cấu trúc cơ bản của một gói tin edXML gồm hai phần thông tin cơ bản (edXMLHeader) và thông tin chính (edXMLBody).
Lê Trọng Tuệ-TTCNTT
Nguồn: Trọng Tuệ (Tổng hợp)