I. Tổng quan
Phần mềm Quản trị doanh nghiệp hợp nhất AMIS.VN hoạt động trên nền tảng công nghệ điện toán đám mây. MISA đã triển khai các giải pháp an toàn và bảo mật cho hệ thống AMIS.VN nhằm đảm bảo khách hàng hoàn toàn yên tâm khi sử dụng. Giải pháp an toàn bảo mật cho AMIS.VN bao gồm:
• An toàn lớp vật lý (trung tâm dữ liệu)
• An toàn lớp mạng (mô hình triển khai)
• An toàn lớp phần mềm (nội bộ ứng dụng)
• An toàn con người
1. An toàn lớp Vật lý (Trung tâm dữ liệu)
Hệ thống máy chủ của MISA được đặt tại trung tâm dữ liệu của Tập đoàn Viễn thông quân đội Viettel (Viettel IDC) đạt tiêu chuẩn quốc tế về an ninh và an toàn.
1.1. Hệ thống điện Hệ thống điện là một trong những hệ thống quan trọng nhất của trung tâm dữ liệu, để đảm bảo hoạt động liên tục 24/7 của phòng máy, hệ thống điện được thiết kế và xây dựng theo tiêu chuẩn Tier 3 N+1 với 2 trạm biến áp riêng biệt, trang bị hệ thống máy nổ dự phòng, UPS đảm bảo dòng điện liên tục cho trung tâm dữ liệu ngay cả khi có sự cố. Hệ thống máy nổ dự phòng đảm bảo duy trì hoạt động liên tục trong 72 giờ (3 ngày).
1.2. Hệ thống điều hòa chuyên dụng Hệ thống điều hòa trong phòng máy được thiết kế dự phòng N+1, đảm bảo độ ổn định nhiệt độ và độ ẩm đồng đều trong phòng máy tuân theo tiêu chuẩn Tier 3:
• Nhiệt độ: trong phạm vi 20->250C, các điểm chuẩn đạt 220 C
• Độ ẩm: được điều chỉnh trong phạm vi 40->55%, điểm chuẩn đạt 45%.
Điều hoà đảm bảo môi trường trung tâm dữ liệu của Viettel IDC là hệ thống điều hoà giải nhiệt nước, làm mát âm sàn. Phòng máy được thiết kế thành các khoang nóng và khoang lạnh.
Sơ đồ trung tâm dữ liệu
1.3. Kết nối Internet Hệ thống các trung tâm dữ liệu Viettel IDC được xây dựng trên hạ tầng truyền dẫn Bắc Nam của Tập đoàn viễn thông quân đội Viettel với dung lượng kết nối trong nước và quốc tế lớn và trung lập về viễn thông, cho phép tất cả các nhà cung cấp dịch vụ truyền dẫn kết nối đến trung tâm dữ liệu để phục vụ hoạt động của khách hàng đặt hệ thống tại trung tâm Viettel IDC. Với thiết kế này khách hàng có thể dùng được truyền Internet của bất cứ nhà cung cấp dịch vụ viễn thông nào cả trong nước và từ quốc tế truy cập đến các dịch vụ AMIS đặt tại Viettel IDC.
1.4. An ninh, an toàn Trung tâm dữ liệu có chính sách an ninh bảo mật toàn toàn diện cho một trung tâm dữ liệu theo tiêu chuẩn đó là:
• Hệ thống kiểm soát người và thiết bị vào ra
• Hệ thống camera giám sát 24×7
• Hệ thống cảnh báo lửa và chữa cháy
• Hệ thống cảnh báo nước, hệ thống chống sét
• Bảo mật, chống xâm nhập vật lý vào tất cả thiết bị của khách hàng
1.5. Phòng chống thảm họa Hệ thống các trung tâm dữ liệu Viettel IDC được xây dựng trên nguyên tắc hoạt động DC-DR với hệ thống 4 trung tâm dữ liệu trên cả nước. Hai trung tâm dữ liệu đang hoạt động hiện nay (một tại Hà Nội, một tại TP Hồ Chí Minh) theo nguyên tắc dự phòng chống thảm họa qua mạng đường trục quốc gia của Tập đoàn Viễn thông quân đội Viettel. Toàn bộ các hệ thống điều hành trung tâm dữ liệu đều được đồng bộ và sao lưu dự phòng lẫn nhau giữa hai trung tâm dữ liệu.
2. An toàn lớp mạng (mô hình triển khai)
2.1. Mô hình ứng dụng nhiều lớp kiểm soát AMIS.VN được xây dựng và triển khai trên mô hình nhiều lớp tách biệt nhau, nhằm giảm thiểu rủi ro đến sự ổn định và an toàn dữ liệu của khách hàng.
- Với thiết kế với 3 lớp tường lửa (firewall), máy chủ proxy, máy chủ ứng dụng và máy chủ CSDL được tách thành các VLAN khác nhau, và được thiết lập theo cơ chế HA (High Avaibility – độ sẵn sàng cao).
• Tường lửa được chạy với cơ chế Active/Standby: Firewall thứ hai tự động chạy nếu firewall thứ nhất lỗi.
• Hệ thống máy chủ ứng dụng được thiết lập theo cơ chế Load Balancing (cân bằng tải): Tự động phân tải trên các máy chủ khác nhau.
• Hệ thống máy chủ CSDL chạy theo cơ chế Failover Cluster: Đảm bảo máy chủ chạy liên tục ngay cả khi có một máy chủ bị lỗi.
• Dữ liệu được lưu trữ trên thiết bị chuyên dụng SAN
• Máy chủ sao lưu: Dữ liệu liên tục được sao lưu hàng ngày
• Tường lửa (Firewall): là một thiết bị phần cứng và/hoặc một phần mềm hoạt động trong một môi trường máy tính nối mạng để ngăn chặn một số liên lạc bị cấm bởi chính sách an ninh của cá nhân hay tổ chức, việc này tương tự với hoạt động của các bức tường ngăn lửa trong các tòa nhà.
2.2. Cơ chế tự khắc phục sự cố liên quan đến phần cứng Dữ liệu của khách hàng được lưu trữ trên thiết bị lưu trữ chuyên dụng (SAN – Storage Area Network) và hệ thống phần mềm ảo hóa VMWare, với cơ chế tự khắc phục lỗi. Trường trường hợp có một thiết bị phần cứng như máy chủ hỏng, hệ thống sẽ tự chuyển dữ liệu sang máy chủ khác mà không làm gián đoạn hoạt động của toàn hệ thống.
2.3. Cơ chế chống giả mạo và bảo vệ đường truyền
• Chống giả mạo:Hệ thống AMIS sử dụng chứng thư số để đảm bảo việc chống giả mạo dịch vụ. Người dùng sẽ tránh được các nguy cơ truy cập vào các website giả mạo AMIS nhằm lấy cắp thông tin truy cập.
• Dữ liệu truyền qua mạng được bảo vệ an toàn:Dữ liệu truyền từ phía máy chủ của MISA đến máy tính của khách hàng được mã hóa bằng giao thức HTTPS (SSL/TLS) đảm bảo dữ liệu trên đường truyền không thể bị thay đổi hoặc xem trộm.
• Cách nhận biết website amis.vn và website giả mạo:Website amis.vn thật: ô địa chỉ có hình cái khóa, sau đó là chữ “https” có màu xanh, rồi đến “tên_doanh_nghiệp.amis.vn”. Nếu nhấn vào hình cái khóa, sẽ hiện ra thông tin Kết nối (Connection) nói rằng trang web đã được xác thực bởi một tổ chức có thẩm quyền và kết nối từ máy của người dùng đến máy chủ đã được mã hóa. Nếu là website giả mạo thì sẽ không có những thông tin trên.
2.4. Sao lưu/phục hồi dữ liệu Hệ thống sao lưu được tách biệt với hệ thống ứng dụng, đảm bảo dữ liệu được sao lưu hàng ngày để phục hồi khi có sự cố xảy ra hoặc theo yêu cầu khách hàng.
2.5. Hệ thống giám sát và cảnh báo dịch vụ Hệ thống máy chủ được giám sát 24/24 tự động phát hiện các sự cố và các nguy cơ có thể xảy ra sớm nhất và gửi sms, email cảnh báo đến người quản trị hệ thống.
3. An toàn lớp phần mềm (nội bộ ứng dụng)
3.1. Phân quyền sử dụng đến từng chức năng trong ứng dụng và phân quyền truy cập dữ liệu đến từng phòng ban, tổ nhóm.
Các ứng dụng trong AMIS.VN có khả năng phân quyền chi tiết đến từng người dùng, theo từng chức năng và giới hạn mức dữ liệu được phép truy xuất từ mức chi nhánh đến tận phòng ban, tổ nhóm. Cơ chế phân quyền đảm bảo mỗi nhân viên trong công ty chỉ được phép thực hiện công việc theo đúng vai trò, quyền hạn của mình.
3.2. Mọi thao tác đều được ghi nhận vào Nhật ký truy cập AMIS.VN cung cấp cơ chế ghi nhận lại mọi thao tác của người sử dụng trong từng ứng dụng để người quản trị có thể dò tìm lại dấu vết nếu có nghi ngờ.
3.3. Người dùng có thể tải về dữ liệu về máy tính của mình
Ngoài việc có hệ thống sao lưu định kỳ phía Server, AMIS.VN cung cấp tính năng cho phép người dùng tự sao lưu dữ liệu theo từng ứng dụng và download về máy tính của mình để có thể khôi phục lại dữ liệu trong quá khứ khi cần.
3.4. Bảo mật nâng cao
• Hạn chế địa điểm, thời gian truy cập vào AMIS
Để hạn chế tối đa dữ liệu bị truy cập trái phép, AMIS.VN cho phép Khách hàng thiết lập chính sách để nhân viên chỉ có thể truy cập dữ liệu AMIS.VN từ trong mạng của công ty hoặc theo thời gian nhất định tránh việc tin tặc khi lấy được tài khoản truy cập có thể xâm nhập vào dữ liệu công ty. Mỗi nhân viên có thể tự kiểm tra được lịch sử đăng nhập của mình ở đâu, vào thời gian nào, trên thiết bị nào để biết xem tài khoản của mình có bị xâm nhập trái phép hay không.
• Login xác thực 2 nhân tố (bảo mật nâng cao):
AMIS.VN tích hợp hệ thống xác thực 2 nhân tố sử dụng kết hợp mật khẩu 1 lần (OTP: One Time Password) với mật khẩu truyền thống đảm bảo cho người dùng dù có bị lộ mật khẩu (bị nhìn trộm khi đang gõ mật khẩu, máy tính bị Virus/KeyLogger hoặc bị phising, …) thì cũng không thể bị đăng nhập.
OTP là thiết bị ra 1 mật khẩu ngẫu nhiên không bao giờ lặp lại và chỉ có giá trị sử dụng 1 lần duy nhất gắn với mỗi người tài khoản. Mỗi lần đăng nhập AMIS.VN thì người sử dụng cần Tên đăng nhập, mật khẩu và mật khẩu ngẫu nhiên sinh bởi OTP Token. Giải pháp bảo mật này thường được các tổ chức yêu cầu bảo mật cao sử dụng khi có giao dịch trực tuyến: Ngân hàng điện tử với eBanking, Chứng khoán hoặc các website thương mại điện tử có thanh toán trực tuyến.
Hiện AMIS.VN đã tích hợp sẵn giải pháp bảo mật OTP Keypassvà khách hàng có thể tự đăng ký thiết bị OTP Token vào hệ thống AMIS.VN của doanh nghiệp mình để tăng cường bảo mật dữ liệu khi sử dụng online. Để sử dụng được chế độ xác thực bằng OTP, xin liên hệ với nhân viên bán hàng của MISA để được hướng dẫn. Ngoài ra, AMIS.VN có cơ chế ngăn chặn việc đoán mật khẩu thông qua thử sai bằng việc bắt nhập thêm Captchar khi có nghi ngờ việc đăng nhập được thực hiện thông qua công cụ.
4. An toàn con người
• Cả MISA và Viettel IDC đều áp dụng tiêu chuẩn An ninh thông tin ISO 27000 và đã được các tổ chức có thẩm quyền đánh giá và cấp chứng chỉ của tổ chức quốc tế ISO. Tiêu chuẩn An ninh thông tin ISO 27000 thiết lập các biện pháp hữu hiệu nhằm bảo vệ các thông tin của khách hàng và nội bộ công ty ở mức cao nhất trước các nguy cơ như bị phá hủy vì bất cứ lý do nào, bị truy cập trái phép, bị vô tình hay cố ý tiết lộ thông tin cho người không có thẩm quyền…
• Mọi nhân viên đều bắt buộc phải tuân thủ các quy trình, quy định, cũng như chịu sự giám sát chặt chẽ của các cơ chế đã được thiết lập về an ninh thông tin cho dữ liệu của khách hàng.
• Bản thân MISA và Viettel IDC cũng chịu sự giám sát định kỳ của tổ chức đánh giá độc lập về việc tuân thủ tiêu chuẩn An ninh thông tin ISO 27000. Tất cả những điều trên đều nhằm đảm bảo dữ liệu của khách hàng được bảo vệ một cách an toàn nhất trước mọi nguy cơ cũng như rủi ro có thể xảy ra.