Kinh nghiệm đảm bảo an toàn thông tin CPĐT tại Đà Nẵng

09:13 AM 25/01/2017 In bài viết

Lượng dữ liệu khổng lồ cùng hệ thống thông tin phức tạp

Là địa phương đầu tiên trên cả nước vận hành thành công mô hình Chính quyền điện tử, mang lại tính minh bạch – công khai và thân thiện, giảm được nhiều phiền hà cho công dân, doanh nghiệp và các tổ chức. Đồng thời, Đà Nẵng đang triển khai mô hình Thành phố thông minh với những hệ thống IoT rộng khắp. Do đó, bên cạnh hiệu quả mang lại từ hệ thống thông tin này, TP Đà Nẵng cũng đang đối mặt với vấn đề an toàn an ninh thông tin, nhất là khi khối lượng dữ liệu giao dịch công đang ngày một lớn dần.

Ông Trần Ngọc Thạch - Phó Giám đốc Sở Thông tin và Truyền thông Đà Nẵng

Theo ông Trần Ngọc Thạch - Phó Giám đốc Sở Thông tin và Truyền thông Đà Nẵng – trong các lớp cần được bảo vệ, lớp cơ sở dữ liệu luôn là quan tâm hàng đầu. Những dữ liệu này bao gồm:

-CSDL công dân: Đóng vai trò vô cùng quan trọng trong việc xử lý các thủ tục hành chính G2C (Government to Citizens) phục vụ công dân, với vai trò là đối tượng phục vụ của cơ quan nhà nước.

-CSDL doanh nghiệp: Bao gồm CSDL doanh nghiệp (được trích xuất từ hệ thống Đăng ký kinh doanh của Bộ KHĐT) và CSDL hộ kinh doanh cá thể, giúp chính quyền thành phố nâng cao chất lượng xử lý các thủ tục hành chính G2B (Government to Business) phục vụ doanh nghiệp và hộ kinh doanh cá thể, cải tiến môi trường kinh doanh tại địa phương.

-CSDL CBCCVC: Lưu trữ thông tin về cán bộ công chức viên chức của thành phố Đà Nẵng, hỗ trợ công tác quản lý đội ngũ CBCCVC tại các cơ quan nhà nước.

-CSDL bản đồ: Là công cụ để thực hiện công tác quản lý về tài nguyên đất đai và đô thị

Thu thập dữ liệu: Từ các thiết bị kết nối trong thành phố (các thiết bị IoT, các thiết bị đa phương tiện, ..)

Việc lưu trữ và xử lý dữ liệu cũng phải thực hiện theo các chuẩn của: Dữ liệu lớn; Dữ liệu thời gian, Dữ liệu đa phương tiện.

Chỉ nói riêng về cơ sở dữ liệu dân cư, để giao dịch thủ tục hành chính, công dân phải khai báo những thông tin riêng của họ và kể cả của người thân. Lượng thông tin này được hệ thống lưu trữ lại, để lần sau công dân cần đến thì không phải khai báo. Rõ ràng điều này tiện ích hơn cách làm thủ công trước đây. Công dân phải viết tay nhiều lần lên các tờ khai với một nội dung tương tự.

Đến lượt doanh nghiệp, hay một tổ chức, khi cần làm một thủ tục gì đó, thông tin về doanh nghiệp, về tổ chức cũng phải thực hiện khai báo theo mẫu thủ tục hành chính đã quy định.

Những dữ liệu này được phân tích, xử lý để cung cấp thông tin hỗ trợ ra quyết định, phục vụ theo dõi điều hành các hoạt động trong thành phố, các hệ thống theo dõi các KPI của thành phố

Đối với người dân và doanh nghiệp, cổng dữ liệu mở cho mọi đối tượng, Open Data/API cho phép các doanh nghiệp, người dân xem, kết nối sử dụng.

Hệ thống đăng nhập một lần

Công tác quản lý, giám sát giao thông thông qua hệ thống camera giám sát, lắp đặt thiết bị giám sát hành trình trên 100 xe buýt hoạt động trên địa bàn TP, cung cấp dịch vụ theo dõi lộ trình xe buýt cho hành khách qua SMS, Tổng đài, web… Hoạt động này cũng tạo ra lượng dữ liệu lớn.

Việc giám sát nguồn nước thải được triển khai tại các ao hồ trong TP, các cổng thoát nước ở sông, ụ nổi tại các ao, hồ có các cảm biến để đo 3 tiêu chí: độ đục, độ pH và độ Oxy hòa tan; Những thiết bị này thông qua SMS và GPRS để nhận và gởi thông tin với trung tâm xử lý và website trên nền Google Map

Camera giao thông thông minh cũng đã lắp thí điểm tại các cầu, ngã tư với chức năng giám sát lưu lượng xe, nhận dạng biển số, phát hiện lấn làn, vượt đèn đỏ. Hệ thống này có khả năng so sánh với CSDL đăng kiểm để ước tính trọng lượng xe đăng ký, gửi hình ảnh  dữ liệu video về Trung tâm điều khiển​.

Bảo đảm ATTT một cách toàn diện và liên tục

Với lượng đữ liệu khổng lồ, trong đó dữ liệu về dân cư khá nhạy cảm, đòi hỏi Đà Nẵng phải có phương án bảo đảm an ninh thông tin, nhất là bảo mật cơ sở dữ liệu nhạy cảm.

Vậy làm sao để những thông tin này không bị rò rỉ, không bị sao chép để sử dụng vào một mục đích khác. Thực tế vừa qua, đã xảy ra chuyện thông tin của hàng chục ngàn thuê bao điện thoại đã bị trao đổi. Hậu quả là các thuê bao này phải nhận một lượng tin nhắc rác khổng lồ vô cùng phiền phức.

Bảo mật thông tin liên quan đến một cá nhân, một tổ chức quan trọng như thế nào thì bảo vệ các ứng dụng làm việc trên nền hành chính công điện tử cũng như thế. Những người có ý đồ xấu, có thể sửa chữa làm sai lệch thông tin, thậm chí làm sai lệch kết quả dẫn đến tình trạng công dân, doanh nghiệp và tổ chức, khi giao dịch công sẽ thất vọng về bộ máy công quyền.

Thông tin từ Sở TTTT Đà Nẵng cho biết, có thời điểm, tội phạm mạng đã thực hiện đến 762 lượt quét/1 giây để tìm lổ hổng bảo mật của hệ thống thông tin TP Đà Nẵng. Các quản trị viên hệ thống còn cho biết, các hackers vừa tấn công ban ngày, vừa tấn công cả ban đêm. Qua sàng lọc các địa chỉ tấn công, Trung tâm Phát triển hạ tầng CNTT Đà Nẵng đã phát hiện nhiều IP tấn công vào hệ thống đến từ các quốc gia không có thiện chí hoặc đang có tranh chấp với Việt Nam. Có đêm, đến 10.000 lượt quét đã được thực hiện để tìm lổ hổng bảo mật và sẵn sàng thực hiện tấn công khi có lổ hổng được tìm thấy.

Để vận hành hiệu quả Hệ thống thông tin Chính quyền điện tử của TP, trong bối cảnh tình hình an toàn, an ninh mạng ngày càng phức tạp, khó lường; hơn thế nữa, Đà Nẵng còn là địa phương tiền tiêu của các vấn đề nhạy cảm trên biển Đông…thì rõ ràng, những thách thức về bảo mật thông tin phải luôn được chúng tôi quan tâm hàng đầu và tham mưu kịp thời cho lãnh đạo UBNDTP.

Bên cạnh việc đầu tư các hệ thống, thiết bị an ninh thông tin hiện đại, xây dựng các quy trình quản lý, vận hành, khai thác các hệ thống thông tin trọng yếu đáp ứng các tiêu chuẩn bảo mật của quốc gia, quốc tế, Sở Thông tin và Truyền Đà Nẵng đặc biệt quan tâm đến công tác trang bị nhận thức, kỹ năng bảo đảm an toàn an ninh thông tin người dùng cuối – đối tượng không thể tách rời trong quy trình bảo đảm an toàn thông tin của bất kỳ tổ chức nào.

Sở Thông tin và Truyền thông Đà Nẵng đã chính thức hợp tác cùng Công ty McAfee Singapore (Intel Security) và Ban Cơ yếu Chính phủ để xây dựng hệ thống phòng thủ đủ mạnh, bảo mật và bảo vệ an toàn, an ninh thông tin.

Tích hợp kiến trúc CPĐT và Thành phố thông minh

Hệ thống ATTN thông tin của Thành phố được đầu tư đồng bộ: Nhân lực, Kỹ thuật, hạ tầng, Chính sách… Mọi cấp độ ứng dụng  đều cần thiết triển khai. Thành phố áp dụng quy trình ISO 27001-2013 cho Datacenter: Phân loại và kiểm soát thông tin; Bảo mật vật lý và môi trường hệ thống; Kiểm soát nguồn nhân lực; Kiểm soát truy cập; Quản trị môi trường máy tính; An toàn hệ thống mạng; An toàn Internet; Xây dựng và duy trì hệ thống; Đảm bảo hoạt động sau thảm họa; Duy trì sự tuân thủ.

Thành lập tổ phản ứng nhanh xử lý sự cố tại các đơn vị: Sở TT&TT & Trung tâm IID, Công an thành phố, Trung tâm VNCERT, Quân sự., CA… và các doanh nghiệp về ATTT….

Thường xuyên thực hiện ra soát, cảnh báo, khắc phục lỗi bảo mật trên các trang thông tin điện tử; hệ thống thông tin của các cơ quan nhà nước; Ban hành các quy trình rà soát, khắc phục lỗi.

Quá trình vận hành cũng được kiểm tra liên tục: Giám sát hoạt động hệ thống phần cứng, phần mềm, dịch vụ 24/7/365; Thiết lập và theo dõi thường xuyên các hệ thống ghi nhật ký (logfile); Cập nhật các bản vá lỗi phần mềm, các chương trình diệt vi-rút …; Kiểm tra định kỳ các dịch vụ cơ bản như web, mail, dns, ftp …; Duy trì các cơ chế sao lưu dự phòng và phục hồi dữ liệu; Phối hợp với VNCERT, C50 Công an, Cục ATANTT, Ban cơ yếu trong mọi hoạt động đảm bảo ATTT.

Đà Nẵng còn thiết lập hệ thống giao dịch nội mạng – INTRANET và triển khai mô hình bảo vệ theo lớp (Mức mạng, mức cơ sở dữ liệu, mức ứng dụng, mức người dùng…) và mô hình ứng dụng tập trung, dùng chung: Quản lý tại Trung tâm dữ liệu có thiết bị ATTT chuyên dụng với đội ngũ nhân lực cao ATTT, bảo đảm tự chủ về công nghệ.

Về thiết bị và ứng dụng, Thành phố Đà Nẵng mua sắm trên nguyên tắc: Các ứng dụng, phần mềm ưu tiên dùng nguồn mở; Thiết bị (ATANTT), CSDL thực hiện mua đầy đủ bản quyền phần mềm.

Mặt khác, mô hình dựa trên kiến trúc tổng thể nên thiết lập được các vấn đề liên quan đến kỹ thuật, chính sách,... về ATANTT. Mô hình tập trung giúp việc triển khai ATTT thống nhất (quản lý, kỹ thuật, nhân lực, chính sách). Các quy chế, quy định, quy trình sau khi ban hành được thực hiện nghiêm túc và đặc biệt dễ dàng trong hợp tác, phối hợp khi xử lý sự cố.

Mô hình bảo vệ đa lớp

Hệ thống hoạt động an toàn, thông suốt tạo điều kiện cho Thành phố đưa vào sử dụng nhiều ứng dụng tiện ích, mang lại hiệu quả cao trong công tác điều hành. Ông Trần Ngọc Thạch cho biết, chính thức từ đầu năm 2017, toàn bộ các cơ quan hành chính trên địa bàn Đà Nẵng sẽ thống nhất dùng chung Phần mềm Quản lý văn bản và điều hành (QLVBĐH), giúp công tác quản lý Nhà nước ở địa phương chặt chẽ và hiệu quả hơn. Đây là phần mềm ứng dụng thuộc Hệ thống thông tin Chính quyền điện tử thành phố Đà Nẵng (tên miền cqdt.danang.gov.vn và egov.danang.gov.vn), do Sở Thông tin và Truyền thông Đà Nẵng triển khai xây dựng từ năm 2015.

Đến nay, phần mềm đã hoàn thiện các tính năng, kết nối thông suốt giữa các cơ quan, đơn vị, cấp ngành, từ quận huyện đến phường xã; và đã được UBND thành phố Đà Nẵng ban hành Quy chế quản lý, vận hành và sử dụng trên toàn địa bàn. Với quy chế sử dụng phần mềm này, toàn bộ các văn bản điều hành quản lý, thủ tục hành chính của địa phương sẽ thống nhất dữ liệu và nối kết liên thông dưới dạng văn bản điện tử. Điều này vừa tăng hiệu quả quản lý, xử lý văn thư, văn bản hành chính, nâng cao hiệu quả chỉ đạo, điều hành của các cơ quan quản lý; vừa tăng khả năng phối hợp giữa các cơ quan và đội ngũ công chức khi thực thi công vụ.

Do phần mềm được tích hợp trong Hệ thống thông tin Chính quyền điện tử Đà Nẵng, nên các cán bộ, công chức thành phố chỉ cần đăng nhập vào bằng tài khoản được cấp phát là có thể sử dụng dễ dàng. Các văn bản điều hành, thủ tục hành chính của Đà Nẵng theo đó sẽ được trao đổi dễ dàng giữa các cơ quan từ trên xuống dưới và giữa các cơ quan cùng cấp.

Hơn nữa, thông qua kết nối với Hệ thống Chính quyền điện tử, người dân sẽ có thể theo dõi các giấy tờ, thủ tục hành chính của họ đã được xử lý đến đâu, đến thời hạn nào hoàn tất. Hoạt động dịch vụ hành chính công của Đà Nẵng vì vậy sẽ nâng cao hơn một mức; chất lượng và quy trình hệ thống quản lý Nhà nước sẽ trở nên công khai, minh bạch hơn.

 

Bảo Quang