VII. KIẾN TRÚC CHÍNH QUYỀN ĐIỆN TỬ, PHIÊN BẢN 2.0
5. Kiến trúc an tồn thơng tin
5.10. Trung tâm Điều hành và Giám sát an ninh mạng (SOC)
Hình 29: SOC Đà Nẵng trong tổng thể Kiến trúc CPĐT Việt Nam
Thành phố Đà Nẵng cần tính tốn đến việc thành lập một Trung tâm Điều hành và Giám sát an ninh mạng thành phố (SOC) với phạm vi đảm bảo ATTT cho toàn bộ hệ thống CQĐT và ĐTTM trong tương lai: Hạ tầng IoT, hạ tầng viễn thông, trung tâm dữ liệu, cơ sở dữ liệu, ứng dụng của các cơ quan, đơn vị thành phố. Sơ đồ sau thể hiện vị trí của SOC thành phố Đà Nẵng trong tổng thể Kiến trúc CPĐT Việt Nam.
SOC hướng đến khả năng cung cấp dịch vụ đảm bảo ATTT cho các tổ chức, doanh nghiệp và cơ quan trên địa bàn thành phố cũng như phối hợp với các địa phương, tỉnh thành khác với yêu cầu, đồng thời, phối hợp với VNCERT hay các tổ chức quốc tế khác (như các CERT, các tổ chức cơng nghệ…). Sau đây là mơ hình của SOC thành phố Đà Nẵng.
Hình 30: Mơ hình của SOC
Các chức năng của SOC:
+ Chức năng giám sát ATTT: Thu thập thơng tin, phân tích thơng tin để đưa ra cảnh báo ATTT bằng các công cụ và các biện pháp nghiệp vụ. Thơng tin của hệ thống cần bảo vệ có thể chuyển về SOC để phân tích, hoặc phân tích tại chỗ trong trường hợp cần thiết. Việc giám sát ATTT được thực hiện 24/7 đối với các hạ tầng CNTT-TT, hệ thống CSDL quan trọng, các ứng dụng và dịch vụ công trên nền tảng CNTT cho các đơn vị, đơn vị của thành phố, các đơn vị trực thuộc Bộ, ngành đóng trên địa bàn thành phố. Tình hình ATTT cần được báo cáo định kỳ hoặc đột xuất khi xảy ra sự cố ATTT;
+ Chức năng xử lý và điều tra sự cố ATTT: Khi sự cố ATTT xảy ra (như truy cập bị tê liệt, mã độc lây lan trong mạng nội bộ, truy cập qua backdoor) thì SOC có khả năng từ xa hoặc tại chỗ ứng cứu cho khách hàng. Cần chú ý là để cho công tác ứng cứu được hiệu quả, SOC cần có khả năng thu nhận thơng tin trước hoặc nhanh chóng lấy được thơng tin của tổ chức, doanh nghiệp. Nguồn lực ứng cứu sự cố bao gồm nguồn lực chuyên trách của thành phố hoặc huy động thêm nguồn lực xã hội khi cần thiết. Ngoài ra, SOC cịn có khả năng cung cấp thơng tin chi tiết, các bằng chứng số về sự cố để loại trừ tấn công, phịng ngừa tấn cơng trong tương lai hoặc truy cứu trách nhiệm, bồi thường;
+ Chức năng đánh giá ATTT: thực hiện kiểm thử xâm nhập giúp tổ chức, doanh nghiệp chủ động tìm ra các yếu điểm, lỗ hổng còn tồn tại trong hệ thống và đưa ra các phương án gia cố. Đánh giá ATTT được thực hiện định kỳ hoặc
thực hiện khi có sự thay đổi trong hệ thống (ví dụ như triển khai mới ứng dụng, phát triển thêm ứng dụng, thay đổi cấu hình hệ thống…). Để đảm bảo tốt khả năng đánh giá ATTT, các bộ phận chuyên trách của SOC phải thường xuyên cập nhật thơng tin về tình hình ATTT, các lỗ hổng mới, các cách thức - công cụ tấn công - khai thác mới cũng như tự phát triển các kỹ thuật tấn công mới;
+ Chức năng nghiên cứu - đào tạo và phổ biến thông tin: thực hiện nghiên cứu các cách thức - công nghệ và kĩ thuật tấn cơng/phịng thủ trong ATTT để đưa ra các phương án, giải pháp tăng cường đảm bảo ATTT cho tổ chức, doanh nghiệp. Ngoài ra, SOC sẽ tổ chức đào tạo nhận thức ATTT, kĩ năng đảm bảo ATTT, diễn tập ATTT, thông báo - phổ biến về tình hình ATTT…
+ Đảm bảo khả năng vận hành liên tục và khôi phục sau thảm họa: Là một trong những yêu cầu quan trọng của một hệ thống quản lý AT-ANTT. Hiện tại, trung tâm dữ liệu của thành phố chưa thực sự có một hệ thống khơi phục sau thảm họa nhằm đảm bảo các u cầu về tính tồn vẹn và liên tục của dịch vụ, dữ liệu. Do vậy, việc thiết lập một trung tâm dữ liệu dự phòng là điểm quan trọng cần lưu ý khi xây dựng kế hoạch vận hành AT-ANTT;
+ Cần phải thiết lập, ban hành và áp dụng các quy định, quy trình, thủ tục và hướng dẫn vận hành AT-ANTT đầy đủ, phù hợp, khả dụng và chia sẻ cho những người có liên quan. Trong q trình vận hành, các thay đổi có ảnh hưởng đến AT-ANTT đều phải được quản lý bằng quy trình quản lý sự thay đổi.