VII. KIẾN TRÚC CHÍNH QUYỀN ĐIỆN TỬ, PHIÊN BẢN 2.0
5. Kiến trúc an toàn thông tin
5.10. Trung tâm Điều hành và Giám sát an ninh mạng (SOC)
Hình 29: SOC ĐàNẵng trong tổngthểKiến trúc CPĐTViệt Nam
Thành phố Đà Nẵng cần tính toán đến việc thành lập một Trung tâm Điều hành và Giám sát an ninh mạng thành phố (SOC) với phạm vi đảm bảo ATTT cho toàn bộhệ thống CQĐT và ĐTTM trong tương lai: Hạ tầng IoT, hạ tầng viễn thông, trung tâm dữ liệu, cơ sở dữ liệu, ứng dụng của các cơ quan, đơn vị thành phố. Sơ đồ sau thể hiện vị trí của SOC thành phố Đà Nẵng trong tổng thểKiến trúc CPĐTViệt Nam.
SOC hướng đến khả năng cung cấp dịch vụ đảm bảo ATTT cho các tổ chức, doanh nghiệp và cơ quan trên địa bàn thành phố cũng như phối hợp với các địa phương, tỉnh thành khác với yêu cầu, đồng thời, phối hợp với VNCERT hay các tổ chức quốc tế khác (như các CERT, các tổ chức công nghệ…). Sau đây là mô hình của SOC thành phốĐà Nẵng.
Hình 30: Mô hình của SOC
Các chứcnăngcủa SOC:
+ Chức năng giám sát ATTT: Thu thập thông tin, phân tích thông tin để đưa ra cảnh báo ATTT bằng các công cụ và các biện pháp nghiệp vụ. Thông tin của hệthốngcần bảo vệ có thểchuyển về SOC để phân tích, hoặc phân tích tại chỗ trong trường hợp cần thiết. Việc giám sát ATTT được thực hiện 24/7 đối với các hạ tầng CNTT-TT, hệ thống CSDL quan trọng, các ứng dụng và dịch vụ công trên nền tảng CNTT cho các đơn vị, đơn vị của thành phố, các đơn vị trựcthuộcBộ, ngành đóng trên địa bàn thành phố. Tình hình ATTT cần được báo cáo định kỳhoặcđộtxuất khi xảy ra sựcố ATTT;
+ Chứcnăng xử lý và điều tra sựcố ATTT: Khi sựcố ATTT xảy ra (như truy cập bị tê liệt, mã độc lây lan trong mạng nội bộ, truy cập qua backdoor) thì SOC có khả năng từ xa hoặctại chỗ ứng cứu cho khách hàng. Cần chú ý là để cho công tác ứng cứu được hiệu quả, SOC cần có khả năng thu nhận thông tin trước hoặc nhanh chóng lấy được thông tin của tổ chức, doanh nghiệp. Nguồn lựcứng cứu sựcố bao gồm nguồnlực chuyên trách của thành phốhoặc huy động thêm nguồn lực xã hội khi cần thiết. Ngoài ra, SOC còn có khả năng cung cấp thông tin chi tiết, các bằng chứng số về sự cố để loại trừ tấn công, phòng ngừatấn công trong tương lai hoặc truy cứu trách nhiệm,bồithường;
+ Chức năng đánh giá ATTT: thực hiện kiểm thử xâm nhập giúp tổ chức, doanh nghiệp chủ động tìm ra các yếu điểm, lỗ hổng còn tồn tại trong hệ thống và đưa ra các phương án gia cố. Đánh giá ATTT được thực hiệnđịnh kỳ
hoặc thựchiện khi có sự thay đổi trong hệ thống (ví dụ như triển khai mới ứng dụng, phát triển thêm ứng dụng, thay đổicấu hình hệ thống…).Để đảm bảotốt khả năng đánh giá ATTT, các bộ phận chuyên trách của SOC phải thường xuyên cập nhật thông tin về tình hình ATTT, các lỗ hổng mới, các cách thức - công cụ tấn công - khai thác mới cũng như tự phát triển các kỹ thuật tấn công mới;
+ Chức năng nghiên cứu - đào tạo và phổ biến thông tin: thực hiện nghiên cứu các cách thức - công nghệ và kĩ thuật tấn công/phòng thủ trong ATTT để đưa ra các phương án, giải pháp tăng cường đảm bảo ATTT cho tổ chức, doanh nghiệp. Ngoài ra, SOC sẽ tổ chức đào tạo nhận thức ATTT, kĩ năng đảm bảo ATTT, diễn tập ATTT, thông báo - phổ biến về tình hình ATTT…
+ Đảm bảo khả năng vận hành liên tục và khôi phục sau thảm họa: Là một trong những yêu cầu quan trọng của một hệ thống quản lý AT-ANTT. Hiện tại, trung tâm dữ liệu của thành phố chưa thực sự có một hệ thống khôi phục sau thảm họa nhằm đảm bảo các yêu cầu về tính toàn vẹn và liên tụccủa dịch vụ, dữliệu. Do vậy,việc thiếtlập một trung tâm dữliệudự phòng là điểm quan trọng cầnlưu ý khi xây dựngkếhoạchvận hành AT-ANTT;
+ Cần phải thiết lập, ban hành và áp dụng các quy định, quy trình, thủ tục và hướng dẫn vận hành AT-ANTT đầy đủ, phù hợp, khả dụng và chia sẻ cho những người có liên quan. Trong quá trình vận hành, các thay đổi có ảnh hưởng đến AT-ANTT đều phải được quản lý bằng quy trình quản lý sự thay đổi.