Ký bởi: Cục Công nghệ thông tin Dữ liệu tài nguyên môi trường Email: cuccntt@monre.gov.vn Cơ quan: Bộ Tài nguyên Môi trường Ngày ký: 12.05.2021 15:00:06 +07:00 BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG CỤC CÔNG NGHỆ THÔNG TIN VÀ DỮ LIỆU TÀI NGUYÊN MÔI TRƯỜNG THUYẾT MINH HỒ SƠ ĐỀ XUẤT CẤP ĐỘ CHO HỆ THỐNG QUẢN LÝ VĂN BẢN VÀ HỒ SƠ ĐIỆN TỬ Hà Nội - 2021 BỘ TÀI NGUYÊN VÀ MÔI TRƯỜNG CỤC CÔNG NGHỆ THÔNG TIN VÀ DỮ LIỆU TÀI NGUYÊN MÔI TRƯỜNG THUYẾT MINH HỒ SƠ ĐỀ XUẤT CẤP ĐỘ CHO HỆ THỐNG QUẢN LÝ VĂN BẢN VÀ HỒ SƠ ĐIỆN TỬ ĐƠN VỊ VẬN HÀNH CỤC CÔNG NGHỆ THÔNG TIN VÀ DỮ LIỆU TÀI NGUN MƠI TRƯỜNG KT.CỤC TRƯỞNG PHĨ CỤC TRƯỞNG Trần Văn Đoài Hà Nội – 2021 THUẬT NGỮ, TỪ VIẾT TẮT STT Từ viết tắt Nghĩa đầy đủ TNMT Tài nguyên Môi trường CNTT Công nghệ thông tin CSDL Cơ sở liệu QLVH-HTTT Quản lý vận hành hệ thống thông tin WAN Mạng tin học diện rộng LAN Mạng nội TSLCD Mạng Truyền số liệu chuyên dùng VPN Vitural Private Network DNS Domain Name Server 10 TTDL Trung tâm liệu 11 12 Thủ tục hành CNTT&DLTNMT Cơng nghệ thơng tin Dữ liệu tài ngun mơi trường TTHC MỤC LỤC PHẦN I THƠNG TIN TỔNG QUAN VỀ HỆ THỐNG QUẢN LÝ VĂN BẢN VÀ HỒ SƠ ĐIỆN TỬ Thông tin Chủ quản hệ thống thông tin Thông tin Đơn vị vận hành Mô tả phạm vi, quy mô hệ thống 3.1 Phạm vi 3.2 Quy mô Mô tả cấu trúc hệ thống 4.1 Sơ đồ logic tổng thể 4.2 Sơ đồ kết nối vật lý 4.3 Danh mục ứng dụng/dịch vụ cung cấp hệ thống 4.4.Quy hoạch địa IP vùng mạng hệ thống PHẦN II THUYẾT MINH ĐỀ XUẤT CẤP ĐỘ AN TỒN HỆ THỐNG THƠNG TIN 11 Danh mục hệ thống thông tin cấp độ đề xuất tương ứng 11 Thuyết minh đề xuất cấp độ hệ thống Quản lý văn Hồ sơ điện tử thuộc Bộ TNMT 11 PHẦN III THUYẾT MINH PHƯƠNG ÁN ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN 16 I Thuyết minh phương án bảo đảm an tồn thơng tin đáp ứng yêu cầu an toàn Quản lý 16 Thiết lập sách an tồn thơng tin 16 Tổ chức bảo đảm an tồn thơng tin 23 Đảm bảo nguồn nhân lực 24 Quản lý thiết kế, xây dựng hệ thống thông tin 26 Quản lý vận hành hệ thống thông tin 27 II Thuyết minh phương án kỹ thuật 38 Bảo đảm an toàn mạng 38 Bảo đảm an toàn máy chủ 44 Bảo đảm an toàn ứng dụng 47 3.2 Kiểm soát truy cập 48 Bảo đảm an toàn liệu 51 PHẦN I THÔNG TIN TỔNG QUAN VỀ HỆ THỐNG QUẢN LÝ VĂN BẢN VÀ HỒ SƠ ĐIỆN TỬ Thông tin Chủ quản hệ thống thông tin - - Tên tổ chức: Bộ Tài nguyên Môi trường Quy định chức năng, nhiệm vụ quyền hạn: Nghị định số 36/2017/NĐ-CP ngày 04 tháng năm 2017 Thủ tướng phủ quy định chức năng, nhiệm vụ, quyền hạn cấu tổ chức Bộ Tài nguyên Môi trường Người đại diện: Ông Trần Hồng Hà, Chức vụ: Bộ trưởng Địa chỉ: Số 10 Tôn Thất Thuyết, Cầu Giấy, Hà Nội Điện thoại: 02437956868, Fax: 0243 8359221, Email: portal@monre.gov.vn Thông tin Đơn vị vận hành - - Tên đơn vị vận hành: Cục Công nghệ thông tin Dữ liệu tài nguyên môi trường Quy định chức năng, nhiệm vụ quyền hạn: Quyết định số 1168/QĐBTNMT ngày 16 tháng 05 năm 2017 Bộ trưởng Bộ Tài nguyên Môi trường quy định chức năng, nhiệm vụ, quyền hạn cấu tổ chức Cục công nghệ thông tin Dữ liệu tài nguyên môi trường Người đại diện: Ông Lê Phú Hà, Chức vụ: Cục trưởng Địa chỉ: 28 Phạm Văn Đồng, Dịch Vọng Hậu, Cầu Giấy, Hà Nội Điện thoại: 02.437548925, Email: cuccntt@monre.gov.vn Mô tả phạm vi, quy mô hệ thống 3.1 Phạm vi Hệ thống quản lý văn hồ sơ điện tử thuộc Bộ Tài nguyên Môi trường hệ thống cung cấp chức hỗ trợ công tác đạo điều hành, nâng cao hiệu công tác quản lý cấp lãnh đạo, tăng cường cơng tác cải cách hành chính, góp phần xây dựng phủ điện tử Bộ Tài ngun Mơi trường Hệ thống quản lý văn hồ sơ điện tử thuộc Bộ TNMT có địa truy cập internet là: https://hscv.monre.gov.vn dành cho người dùng nội quan, đơn vị trực thuộc Bộ TNMT 63 Sở TNMT địa phương Hệ thống cung cấp chức chính: - Chức hỗ trợ cơng tác văn thư: quản lý văn đến, văn đi; Chức hỗ trợ công tác đạo điều hành lãnh đạo: phân phối, phân công xử lý văn bản, theo dõi tình hình xử lý văn Chức hỗ trợ xử lý: trình, duyệt, ký văn bản, hồ sơ trình Chức hỗ trợ ký số, xác thực ký số văn Cung cấp dịch vụ việc ký số, phân công, xử lý văn đến qua ứng dụng chạy thiết bị thông minh - Cung cấp dịch vụ việc tương tác đạo điều hành qua ứng dụng chạy thiết bị thông minh Cung cấp dịch vụ việc xem thông tin lịch công tác Cung cấp dịch vụ gửi/nhận văn điện tử qua trục liên thông văn quốc gia Cung cấp dịch vụ gửi, nhận trạng thái văn điện tử qua trục liên thông văn quốc gia Cung cấp chức tự động thông báo lỗi gửi văn điện tử lên trục liên thông văn quốc gia Cung cấp chức lấy danh sách đơn vị kết nối liên thông Cung cấp dịch vụ tra cứu, tìm kiếm văn cho ứng dụng/hệ thống khác Bộ TNMT 3.2 Quy mô Hệ thống quản lý văn hồ sơ điện tử triển khai tới tất đơn vị thuộc Bộ TNMT quản lý, đồng thời mở rộng triển khai tới 63 Sở TNMT tỉnh, thành phố nước Đối tượng sử dụng hệ thống bao gồm tất cán từ chuyên viên đến lãnh đạo đơn vị thuộc Bộ TNMT sở TNMT Hiện tại, hệ thống triển khai hoạt động theo địa chỉ: https://hscv.monre.gov.vn Mô tả cấu trúc hệ thống 4.1 Sơ đồ logic tổng thể Trung tâm liệu - Bộ TN&MT Trung tâm liệu - Cục CNTT & DL TNMT DMZ DMZ HSCVBK HSCV HSCV HSCV INTERNET FARM HSCV CoreSwitch MẠNG BIÊN MẠNG BIÊN HSCV CoreSwitch FARM WAN Anti-DDoS VÙNG QUẢN TRỊ, VPN VÙNG QUẢN TRỊ, VPN Hình 1: Cấu trúc logic thành phần Hệ thống Quản lý văn Hồ sơ điện tử thuộc Bộ TNMT Hệ thống quản lý văn hồ sơ điện tử triển khai thành site: site triển khai Trung tâm liệu Bộ TNMT, site dự phòng triển khai Trung tâm liệu Cục CNTT & Dữ liệu TNMT để đảm bảo tính sẵn sàng đề phịng nguy thảm họa xảy cho hệ thống - Site Trung tâm liệu Bộ TNMT: triển khai 05 máy chủ cài đặt phần mềm quản lý quản lý văn hồ sơ điện tử phục vụ mục đích cân tải Các liệu 05 máy chủ đồng tức thời với theo chế Replication Domino Trong đó, 02 máy chủ đặt vùng FARM, 03 máy chủ đặt vùng DMZ - Site phụ Trung tâm liệu Cục CNTT & Dữ liệu TNMT: triển khai 01 máy chủ dự phòng Máy chủ cài đặt hệ thống quản lý văn hồ sơ điện tử Dữ liệu hệ thống dự phòng đồng 10 phút lần từ máy chủ site để đảm bảo liệu an tồn tin cậy, đề phòng trường hợp máy chủ site bị lỗi, chuyển đổi trực tiếp sang máy chủ site phụ mà không bị gián đoạn hệ thống hay bị sai lệch, thiếu đồng liệu - Cán sử dụng: Sử dụng kết nối truy cập hệ thống thông qua mạng Internet với quyền cấp truy cập thực thao tác xử lý liệu khu vực phân quyền theo cấp khác Cán sử dụng truy cập nhiều phương tiện máy tính để bàn, laptop, máy tính bảng, điện thoại thông minh thông qua giao diện Web chương trình - Hệ thống kết nối mở: Cho phép kết nối với hệ thống liệu khác để thực việc tích hợp, trao đổi thơng tin liệu từ hệ thống khác 4.2 Sơ đồ kết nối vật lý Trung tâm liệu - Bộ TN&MT Internet Trung tâm liệu - Cục CNTT & DL TNMT WAN Internet 01 R-01 Internet 02 R-02 R-01 DDOS Protetor SW-01 R-02 SW-02 FW-1 CP-01 FW-2 Sync CP-02 CORE-1 CORE-1 CORE-2 CORE-2 SW-DMZ + FARM HT ẢO HÓA 02 HSCVBK SW-FARM SW-DMZ HT ẢO HÓA 01 HSCV HSCV HT ẢO HÓA 02 HSCV HSCV HSCV Hình 2: Kết nối vật lý Hệ thống Quản lý văn Hồ sơ điện tử thuộc Bộ TNMT Hệ thống bao gồm máy chủ thiết bị bảo mật khuôn khổ dự án, triển khai tuân thủ, kế thừa mơ hình phân vùng mạng logic, vật lý sách vận hành mạng, đảm bảo an ninh, an toàn Trung tâm liệu Trụ sở Bộ Trung tâm liệu Cục Công nghệ thông tin Dữ liệu tài nguyên môi trường Để thuận tiện cho người dùng, hệ thống sử dụng DNS để ánh xạ IP Public 05 máy chủ ứng dụng sang địa tên miền: hscv.monre.gov.vn Máy chủ dự phòng cho hệ thống quản lý văn hồ sơ điện tử ánh xạ địa IP Public sang địa tên miền: hscv1.monre.gov.vn Tất hệ thống máy chủ cài đặt giao thức mã hóa liệu đường truyền (SSL) để bảo mật thông tin liệu Ghi chú: Toàn kết nối cổng cụ thể sơ đồ vật lý Hệ thống Quản lý văn Hồ sơ điện tử tham chiếu thông tin đến bảng Phụ lục không công bố thông tin bảng Phụ lục để đảm bảo an tồn thơng tin 4.3 Danh mục ứng dụng/dịch vụ cung cấp hệ thống Bảng 1: Danh mục ứng dụng/ dịch vụ cung cấp hệ thống STT Tên ứng dụng/dịch vụ Máy chủ/Ứng dụng cài đặt/Vùng mạng/HĐH Dịch vụ gửi/nhận văn qua trục liên thông văn quốc gia Dịch vụ gửi/nhận trạng thái văn điện tử qua trục liên thông văn quốc gia Dịch vụ tra cứu, tìm kiếm văn Hệ thống Quản lý văn Hồ sơ điện tử thuộc Bộ TNMT Máy chủ HSCV Cài đặt Lotus Domino 9.0 /Vùng FARM/HĐH Windows Server 2012 Máy chủ HSCV Cài đặt Lotus Domino 9.0 /Vùng FARM/HĐH Windows Server 2012 Máy chủ HSCV Cài đặt Lotus Domino 9.0 /Vùng FARM/HĐH Windows Server 2012 Máy chủ HSCV 6,7,8 Cài đặt Lotus Domino 9.0 /Vùng DMZ/HĐH Windows Server 2012 Mục đích sử dụng Gửi nhận văn qua trục liên thông văn quốc gia Gửi nhận trạng thái qua trục liên thông văn quốc gia Cung cấp dịch vụ tra cứu, tìm kiếm văn cho hệ thống khác Cài đặt ứng dụng Hệ thống quản lý văn hồ sơ điện tử thuộc Bộ Tài nguyên Môi trường 4.4.Quy hoạch địa IP vùng mạng hệ thống Bảng 2: Các vùng mạng hệ thống STT Tên máy chủ IP Private IP Public Phân Vùng I Hệ thống TTDL trụ sở Bộ HSCV 192.168.1.0/24 202.191.X.0/24 FARM HSCV3 192.168.1.0/24 202.191.X.0/24 FARM HSCV6 192.168.1.0/24 202.191.X.0/24 DMZ HSCV7 192.168.1.0/24 202.191.X.0/24 DMZ HSCV8 192.168.1.0/24 202.191.X.0/24 DMZ II Hệ thống dự phòng TTDL Cục CNTT STT Tên máy chủ HSCVBK IP Private IP Public Phân Vùng 192.168.1.0/24 202.191.X.0/24 DMZ Truy cập: - Các đơn vị ngành, người quản trị hệ thống truy cập khai thác dịch vụ quản lý dịch vụ thông qua kết nối: kết nối mạng WAN ngành TNMT kết nối internet - Kết nối với Trục liên thông văn quốc gia thông qua mạng truyền số liệu chuyên dùng Chính phủ Ghi chú: Toàn địa IP thuyết minh để tham khảo Các IP cụ thể tham chiếu thông tin đến bảng Phụ lục không công bố thông tin bảng Phụ lục để đảm bảo an tồn thơng tin 10 khoản truy nhập người sử dụng thông thường Tài khoản hệ thống phải giao đích danh cá nhân làm cơng tác quản trị Hạn chế dùng chung tài khoản quản trị d) Khi phát nguy cố an tồn thơng tin mạng phải báo cáo với cấp phận phụ trách công nghệ thông tin quan, đơn vị để kịp thời ngăn chặn xử lý; e) Tham gia chương trình đào tạo, hội nghị an tồn thơng tin mạng tỉnh đơn vị chuyên môn tổ chức II Thuyết minh phương án kỹ thuật Bảo đảm an toàn mạng 1.1 Thiết kế hệ thống Các vùng mạng hệ thống: - STT Yêu cầu P/A Ghi chú/Mô tả Vùng mạng biên Có Kết nối hệ thống với mạng Internet mạng diện rộng Vùng máy chủ nội Có Vùng máy chủ nội bộ, cung cấp dịch vụ nội Vùng DMZ Có Vùng máy chủ dịch vụ, cung cấp dịch vụ trực tiếp bên Internet Vùng mạng nội Có Vùng mạng nội bộ, cung cấp dịch vụ mạng LAN nội Vùng quản trị, VPN Có Vùng mạng cho máy tính quản trị máy chủ hệ thống Vùng mạng Wifi Có Kết nối hệ thống với mạng không dây - Phương án bảo đảm an tồn thơng tin STT u cầu Phương án quản lý truy cập, quản trị hệ thống từ xa an toàn Phương án quản lý truy cập vùng mạng phòng chống xâm P/A Ghi chú/Mơ tả Có Các thiết bị hệ thống/máy chủ thiết lập cấu hình cho phép quản trị từ xa an tồn thơng qua giải pháp VPN Có Truy cập vùng mạng quản lý phòng chống xâm nhập sử dụng thiết bị tường lửa chun dụng có tích hợp 38 nhập chức phòng chống xâm nhập Phương án cân tải dự phịng nóng cho thiết bị mạng Có Các thiết bị mạng thiết kế cấu hình hoạt động chế độ cân tải dự phịng lẫn Có Máy chủ sở liệu bảo vệ thông qua hệ thống tường lửa TTDL; phần mềm antivirus; tường lửa máy chủ cứng hóa phép kết nối phù hợp (Chưa có hệ thống tường lửa chuyên dụng cho dịch vụ sở liệu) Có Máy chủ cài đặt phần mềm lọc web, chặn web độc hại, chặn malware, cập nhật thường xuyên quản lý tập trung Có Hệ thống sử dụng giải pháp hãng Checkpoint triển khai vùng mạng biên để thực phát phịng chống cơng mạng (IPS), cơng DoS/DDoS, anti-virus, anti-bot Có Hệ thống sử dụng giải pháp giám sát mạng dịch vụ để thực giám sát hoạt động hệ thống mạng, bảo đảm tính khả dụng hệ thống Có Hệ thống sử dụng giải pháp HP ArcSight, cho phép quản trị tập trung nhật ký hệ thống từ thiết bị/máy chủ Có Dữ liệu máy chủ lưu thông qua hệ thống lưu liệu (tham khảo 1866/QĐ-BTNMT).Chính sách lưu dựa theo yêu cầu người quản trị dịch vụ phù hợp với quy định chung tổ chức Phương án bảo đảm an toàn cho máy chủ sở liệu Phương án chặn lọc phần mềm độc hại môi trường mạng Phương án phịng chống cơng từ chối dịch vụ Phương án giám sát hệ thống thông tin tập trung Phương án giám sát an toàn hệ thống thông tin tập trung Phương án quản lý lưu dự phịng tập trung 10 Có phương án quản lý phần mềm phòng chống mã độc máy chủ/máy tính người dùng tập trung Có Các máy chủ cài đặt phần mềm antivirus, trì quyền, cập nhật thường xuyên quản lý tập trung 11 Có phương án phịng, chống thất liệu Chưa có Hiện hệ thống chưa có phương án phịng chống thất liệu Đơn vị xây dựng kế hoạch nâng cấp hệ thống để điều 39 chỉnh, bổ sung tiêu chí vịng 18 tháng kể từ hồ sơ đề xuất cấp độ phê duyệt 12 Có phương án dự phịng kết nối mạng Internet cho hệ thống Có Sử dụng đồng thời hai kết nối Internet hai nhà cung cấp dịch vụ khác 1.2 Kiểm soát truy cập từ bên mạng STT Yêu cầu Thiết lập hệ thống cho phép sử dụng kết nối mạng an tồn truy cập thơng tin nội quản trị hệ thống từ mạng bên mạng Internet Kiểm soát truy cập từ bên vào hệ thống theo dịch vụ, ứng dụng cụ thể; chặn tất truy cập tới dịch vụ, ứng dụng mà hệ thống không cung cấp khơng cho phép truy cập từ bên ngồi Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối hệ thống không nhận yêu cầu từ người dùng Phân quyền cấp quyền truy cập từ bên vào hệ thống theo người dùng nhóm người dùng theo yêu cầu nghiệp vụ, yêu cầu quản lý Giới hạn số lượng kết nối đồng thời từ địa nguồn tổng số lượng kết nối đồng thời cho ứng dụng, dịch vụ hệ thống cung cấp theo lực thực tế hệ thống P/A Ghi chú/Mô tả Có Việc truy cập thơng tin nội quản trị hệ thống từ mạng bên mạng Internet thực thông qua giải pháp VPN Có Hệ thống tường lửa TTDL tường lửa máy chủ thiết lập cho phép truy cập từ bên vào hệ thống theo dịch vụ, ứng dụng cụ thể Có Thiết lập giới hạn thời gian chờ để đóng phiên kết nối hệ thống không nhận yêu cầu từ người dùng thiết lập ứng dụng Có Phân quyền cấp quyền truy cập từ bên vào hệ thống theo người dùng nhóm người dùng theo yêu cầu nghiệp vụ, yêu cầu quản lý Chưa có Hệ thống tường lửa TTDL khơng có tính giới hạn số lượng kết nối đồng thời từ địa nguồn tổng số lượng kết nối đồng thời cho ứng dụng Đơn vị xin ý kiến đạo Lãnh đạo Cục để phối hợp với Trung tâm Cơ sở hạ tầng công 40 nghệ thông tinnhằm nâng cấp hệ thống tường lửa TTDL, đồng thời nâng cấp hệ thống vàbổ sung tiêu chí vòng 18 tháng kể từ hồ sơ đề xuất cấp độ phê duyệt 1.3 Kiểm soát truy cập từ bên mạng Yêu cầu STT Chỉ cho phép truy cập ứng dụng, dịch vụ bên theo yêu cầu nghiệp vụ, chặn dịch vụ khác không phục vụ hoạt động nghiệp vụ theo sách tổ chức Giới hạn truy cập ứng dụng, dịch vụ bên theo thời gian Có phương án kiểm sốt truy cập người dùng vào dịch vụ, máy chủ nội theo chức sách tổ chức P/A Ghi chú/Mơ tả Có Chính sách truy cập thiết lập hệ thống tường lửa TTDL, cho phép kết nối theo yêu cầu tổ chức Có Chính sách truy cập thiết lập hệ thống tường lửa TTDL, để giới hạn thời gian truy cập số ứng dụng bên theo yêu cầu tổ chức Có Người sử dụng mạng phân thành Vlan khác Căn vào địa Vlan, sách truy cập vào máy chủ mạng nội thiết lập Firewall 1.4 Nhật ký hệ thống Thiết bị Thiết lập chức ghi, lưu trữ nhật ký hệ thống thiết bị hệ thống Sử dụng máy chủ thời gian hệ thống để đồng thời gian Lưu trữ quản lý tập trung nhật ký hệ thống Lưu trữ nhật ký hệ thống thiết bị tối thiểu 03 tháng HSCV1 + + + + HSCV + + + + HSCV + + + + HSCV + + + + Yêu cầu 41 HSCV + + + + HSCVBK + + + + Ghi chú: - Ký hiệu (+): mô tả thiết bị đáp ứng yêu cầu - Ký hiệu (-): mô tả thiết bị chưa đáp ứng yêu cầu 1.5 Phịng chống xâm nhập u cầu P/A Có phương án phòng chống xâm nhập để bảo vệ vùng mạng hệ thống Có Định kỳ cập nhật sở liệu dấu hiệu phát cơng mạng Có Bảo đảm lực hệ thống đáp ứng đủ theo yêu cầu, quy mô số lượng người dùng dịch vụ, ứng dụng hệ thống cung cấp STT Có Ghi chú/Mơ tả Hệ thống tường lửa có tính IPS, anti-virus, anti-bot để bảo vệ phân vùng mạng TTDL Bản quyền trì; tính IPS cập nhật thường xun Hệ thống tường lửa có lực xử lý đáp ứng đủ theo yêu cầu, quy mô số lượng người dùng dịch vụ, ứng dụng hệ thống cung cấp 1.6 Phịng chống phần mềm độc hại mơi trường mạng STT u cầu P/A Có phương án phịng chống phần mềm độc hại mơi trường mạng Có Định kỳ cập nhật liệu cho hệ thống phịng chống phần mềm độc hại Có Bảo đảm lực hệ thống đáp ứng đủ theo yêu cầu, quy mô số lượng người dùng dịch vụ, ứng dụng hệ thống cung cấp Ghi chú/Mô tả Hệ thống tường lửa có tính IPS, anti-virus, anti-bot để bảo vệ phân vùng mạng TTDL Bản quyền trì; tính anti-virus cập nhật thường xuyên Hệ thống tường lửa có lực xử lý đáp ứng đủ theo yêu cầu, quy mô số lượng người dùng dịch vụ, ứng dụng hệ thống cung cấp Có Thực quy định an toàn, bảo mật hệ thống theo Điều 8, Quyết định số 87/QĐ-CNTT ngày 20/05/2019 Cục CNTT&DLTNMT: - Các máy chủ đặt TTDL phải 42 cài đặt phần mềm diệt virus sử dụng phần mềm có quyền (hệ điều hành, phần mềm nền, phần mềm ứng dụng) Nghiêm cấm sử dụng phần mềm khơng rõ nguồn gốc, phần mềm bẻ khóa - Thực trì cập nhật vá lỗi bảo mật thường xuyên hệ thống ảo mật (tường lửa, phòng chống mã độc, phát ngăn chặn xâm nhập, phịng chống cơng từ chối dịch vụ, …) - Các phần mềm sử dụng HTTT cần phải theo dõi cập nhật vá lỗ hổng bảo mật thường xuyên Trong trường hợp khơng thể cập nhật, cần báo cáo giải trình nguyên nhân biện pháp thay để phòng tránh công qua lỗ hổng bảo mật - Các HTTT có tượng nhiễm mã độc, cơng máy tính mạng nội internet phải cách ly khỏi hệ thống mạng 1.7 Bảo vệ thiết bị hệ thống Cấu hình chức xác thực thiết bị Chỉ cho phép sử dụng kết nối mạng an toàn truy cập, quản trị thiết bị từ xa Hạn chế địa mạng kết nối, quản trị thiết bị từ xa HSCV + + + + + + HSCV + + + + + + Yêu cầu Thiết bị Nâng cấp, xử lý điểm yếu Hạn chế Phân an tồn số quyền thơng tin lần truy cập, thiết bị hệ đăng quản trị thống trước nhập sai thiết bị đưa vào sử dụng 43 HSCV + + + + + + HSCV + + + + + + HSCV + + + + + + HSCVBK + + + + + + Ghi chú: - Ký hiệu (+): mô tả thiết bị đáp ứng yêu cầu - Ký hiệu (-): mô tả thiết bị chưa đáp ứng yêu cầu Bảo đảm an toàn máy chủ 2.1 Xác thực Thiết lập sách xác thực máy chủ Thay đổi tài khoản mặc định hệ thống vô hiệu hóa HSCV + + + + + HSCV + + + + + HSCV + + + + + HSCV + + + + + HSCV + + + + + HSCVBK + + + + + ucầu Máy chủ Vơ hiệu hóa tài Thiết lập khoản tài Hạn chế số khoản đăng sách lần đăng nhập sai nhiều mật an nhập sai lần vượt số toàn lần quy định Ghi chú: - Ký hiệu (+): mô tả thiết bị đáp ứng yêu cầu - Ký hiệu (-): mô tả thiết bị chưa đáp ứng yêu cầu 44 2.2 Kiểm soát truy cập Yêu cầu Máy chủ Chỉ cho phép sử dụng kết nối Thiết lập giới Thay đổi cổng mạng an toàn hạn thời gian quản trị mặc định truy cập, chờ (timeout) máy chủ quản trị máy chủ từ xa Giới hạn địa mạng phép truy cập, quản trị máy chủ từ xa HSCV + + + + HSCV + + + + HSCV + + + + HSCV + + + + HSCV + + + + HSCVBK + + + + Ghi chú: - Ký hiệu (+): mô tả thiết bị đáp ứng yêu cầu - Ký hiệu (-): mô tả thiết bị chưa đáp ứng yêu cầu 2.3 Nhật ký hệ thống Thiết lập lập chức ghi nhật ký hệ thống máy chủ Đồng thời gian máy chủ với máy chủ thời gian Giới hạn đủ dung lượng lưu trữ nhật ký hệ thống để không tràn nhật ký hệ thống Quản lý lưu trữ tập trung nhật ký hệ thống thu thập từ máy chủ Lưu nhật ký hệ thống khoảng thời gian tối thiểu 03 tháng HSCV + + + + + HSCV + + + + + HSCV + + + + + HSCV + + + + + HSCV + + + + + HSCVBK + + + + + Yêu cầu Máychủ Ghi chú: - Ký hiệu (+): mô tả thiết bị đáp ứng yêu cầu 45 - Ký hiệu (-): mô tả thiết bị chưa đáp ứng yêu cầu 2.4 Phòng chống xâm nhập Yêu cầu Máy chủ Loại bỏ tài khoản không sử dụng, tài khoản không Sử dụng tường lửa hệ điều hành hệ thống để cấm truy hợp lệ cập trái phép tới máy chủ máy chủ Vô hiệu hóa giao thức mạng khơng an tồn, dịch vụ hệ thống không sử dụng Thực nâng cấp, xử lý điểm yếu an tồn thơng tin máy chủ trước đưa vào sử dụng HSCV + + + + HSCV + + + + HSCV + + + + HSCV + + + + HSCV + + + + HSCVBK + + + + Ghi chú: - Ký hiệu (+): mô tả thiết bị đáp ứng yêu cầu - Ký hiệu (-): mô tả thiết bị chưa đáp ứng yêu cầu 2.5 Phòng chống phần mềm độc hại Máy chủ Cài đặt phần mềm phòng chống mã độc thiết lập chế độ tự động cập nhật Kiểm tra, dò quét, xử lý phần mềm độc hại cho phần mềm trước cài đặt Quản lý tập trung phần mềm phòng chống mã độc cài đặt máy chủ HSCV + + + HSCV + + + HSCV + + + HSCV + + + HSCV + + + HSCVBK + + + Yêu cầu Ghi chú: - Ký hiệu (+): mô tả thiết bị đáp ứng yêu cầu 46 - Ký hiệu (-): mô tả thiết bị chưa đáp ứng yêu cầu 2.6 Xử lý máy chủ chuyển giao STT Yêu cầu Có phương án xóa thông tin, liệu máy chủ chuyển giao thay đổi mục đích sử dụng Sao lưu dự phịng thơng tin, liệu máy chủ, dự phòng hệ điều hành máy chủ trước thực xóa liệu, hệ điều hành Có biện pháp kiểm tra, bảo đảm liệu khôi phục sau xóa P/A Ghi chú/Mơ tả Có Thực xóa tồn thơng tin, liệu máy chủ chuyển giao máy chủ cho đơn vị khác sử dụng cho mục đích khác Có Thực lưu dự phịng: tập tin cấu hình hệ thống, dự phòng hệ điều hành máy chủ, sở liệu; liệu, thông tin nghiệp vụ sử dụng hệ thống trước thực xóa liệu, hệ điều hành Có Sử dụng phần mềm chuyên dụng để kiểm tra chắn liệu xóa khơng thể khơi phục Bảo đảm an tồn ứng dụng 3.1 Xác thực Yêu cầu Ứng dụng Hệ thống Quản lý văn Hồ sơ Thiết lập cấu hình ứng dụng để xác thực người sử dụng truy cập, quản trị, cấu hình ứng dụng + Lưu trữ có mã hóa thơng tin xác thực hệ thống Thiết lập cấu hình ứng dụng để đảm bảo an toàn mật người sử dụng Hạn chế số lần đăng nhập sai khoảng thời gian định với tài khoản định Mã hóa thơng tin xác thực trước gửi qua môi trường mạng Thiết lập cấu hình ứng dụng để ngăn cản việc đăng nhập tự động ứng dụng + + + + - 47 điện tử thuộc Bộ TNMT Ghi chú: - Ký hiệu (+): mô tả ứng dụng đáp ứng yêu cầu - Ký hiệu (-): mô tả ứng dụng chưa đáp ứng yêu cầu 3.2 Kiểm soát truy cập Yêu cầu Ứng dụng Chỉ phép dụng kết mạng toàn truy quản ứng từ xa Hệ thống Quản lý văn Hồ sơ điện tử thuộc Bộ TNMT cho sử nối an cập, trị dụng + Thiết lập giới hạn thời gian chờ (timeout) để đóng phiên kết nối ứng dụng không nhận yêu cầu từ người dùng + Giới hạn địa mạng quản trị phép truy cập, quản trị ứng dụng từ xa Phân quyền truy cập, quản trị, sử dụng tài nguyên khác ứng dụng với người/nhóm sử dụng Giới hạn số lượng kết nối đồng thời (kết nối khởi tạo thiết lập) ứng dụng + + - Ghi chú: - Ký hiệu (+): mô tả ứng dụng đáp ứng yêu cầu - Ký hiệu (-): mô tả ứng dụng chưa đáp ứng yêu cầu 3.3 Nhật ký hệ thống 48 Yêu cầu Ứng dụng Ghi nhật ký hệ thống bao gồm thông tin sau: (1) Thông tin truy cập ứng dụng (2) Thông tin đăng nhập quản trị ứng dụng; (3) Thông tin lỗi phát sinh q trình hoạt động (4) Thơng tin thay đổi cấu hình ứng dụng Quản lý lưu trữ nhật ký hệ thống hệ thống quản lý tập trung Nhật ký hệ thống phải lưu trữ khoảng thời gian tối thiểu 03 tháng + + + Hệ thống Quản lý văn Hồ sơ điện tử thuộc Bộ TNMT Ghi chú: - Ký hiệu (+): mô tả ứng dụng đáp ứng yêu cầu - Ký hiệu (-): mô tả ứng dụng chưa đáp ứng yêu cầu 3.4 Bảo mật thông tin liên lạc u cầu Ứng dụng Mã hóa thơng tin, liệu (không phải thông tin, liệu công khai) trước truyền đưa, trao đổi qua môi trường mạng; sử dụng phương án mã hóa theo quy định bảo vệ bí mật nhà nước thơng tin mật Sử dụng kết nối mạng an toàn, bảo đảm an tồn q trình khởi tạo kết nối kênh truyền trao đổi thông tin qua kênh truyền + + Hệ thống Quản lý văn Hồ sơ điện tử thuộc Bộ TNMT Ghi chú: - Ký hiệu (+): mô tả ứng dụng đáp ứng yêu cầu - Ký hiệu (-): mô tả ứng dụng chưa đáp ứng yêu cầu 3.5 Chống chối bỏ Yêu cầu Ứng dụng Sử dụng chữ ký số trao đổi thông tin, liệu quan trọng 49 Hệ thống Quản lý văn Hồ sơ điện tử thuộc Bộ TNMT + Ghi chú: - Ký hiệu (+): mô tả ứng dụng đáp ứng yêu cầu - Ký hiệu (-): mô tả ứng dụng chưa đáp ứng yêu cầu 3.6 An toàn ứng dụng mã nguồn Yêu cầu Ứng dụng Hệ thống Quản lý văn Hồ sơ điện tử thuộc Bộ TNMT Có chức kiểm tra tính hợp lệ thông tin, liệu đầu vào trước xử lý Có chức kiểm tra tính hợp lệ thông tin, liệu đầu trước gửi máy yêu cầu + + Giới hạn địa mạng quản trị phép truy cập, quản trị ứng dụng xa + Có phương án bảo vệ ứng dụng chống lại dạng công phổ biến: SQL Injection, OS command injection, RFI, LFI, Xpath injection, XSS, từ CSRF + Ghi chú: - Ký hiệu (+): mô tả ứng dụng đáp ứng yêu cầu - Ký hiệu (-): mô tả ứng dụng chưa đáp ứng yêu cầu 50 Bảo đảm an toàn liệu Nguyên vẹn liệu 4.1 STT Yêu cầu Có phương án quản lý, lưu trữ liệu quan trọng hệ thống với mã kiểm tra tính nguyên vẹn P/A Có Ghi chú/Mơ tả Dữ liệu quan trọng hệ thống bao gồm liệu: liệu nghiệp vụ, văn điện tử quan trọng liệu cấu hình hệ thống Dữ liệu nén lưu trữ mã kiểm tra MD5 hệ thống SAN 4.2 Bảo mật liệu STT Yêu cầu Lưu trữ có mã hóa thơng tin, liệu (khơng phải thông tin, liệu công khai) hệ thống lưu trữ/phương tiện lưu trữ P/A Ghi chú/Mô tả Dữ liệu quan trọng hệ thống bao gồm liệu: liệu nghiệp vụ, văn điện tử quan trọng liệu cấu hình hệ thống Có Đối với liệu yêu cầu bảo mật mã hóa liệu trước lưu hệ thống lưu trữ Dữ liệu nén lưu trữ mã hóa sử dụng công cụ XXX (hỗ trợ chuẩn mã hóa: DES, AES hệ thống SAN 51 4.3 Sao lưu dự phòng STT Yêu cầu Thực lưu dự phịng thơng tin, liệu sau: tậptin cấu hình hệ thống, dự phịng hệ điều hành máy chủ, sở liệu; liệu, thông tin nghiệp vụ Phân loại quản lý liệu lưu trữ theo loại/nhóm thơng tin gán nhãn khác Có hệ thống/phương tiện lưu trữ độc lập để lưu dự phòng P/A Ghi chú/Mơ tả Có Thơng tin, liệu lưu trữ quản lý tập trung hệ thống lưu trữ SAN Có Thơng tin liệu phân theo nhóm theo đặc trưng nghiệp vụ chức Được quy định việc đặt tên tập tin/thư mục lưu trữ hệ thống Có Hệ thống SAN phân vùng lưu trữ riêng để phục vụ việc lưu trữ thông tin, liệu 52 ... đặt Lotus Domino 9.0 /Vùng FARM/HĐH Windows Server 2012 Máy chủ HSCV Cài đặt Lotus Domino 9.0 /Vùng FARM/HĐH Windows Server 2012 Máy chủ HSCV Cài đặt Lotus Domino 9.0 /Vùng FARM/HĐH Windows Server... triển phần mềm thuê khoán Yêu cầu Có quy định phát triển phần mềm thuê khoán Phương án Quy định việc phát triển phần mềm th khốn: Có điều khoản hợp đồng cam kết bên thuê khoán thực nội dung liên... phần mềm thuê khoán 26 Bên thuê khoán phải có trách nhiệm cung cấp mã nguồn phần mềm Phần mềm thuê khoán phải kiểm thử môi trường thử nghiệm trước đưa vào sử dụng Phần mềm thuê khoán phải kiểm