Tin tức và truyền thông

TỔNG CÔNG TY ĐIỆN LỰC MIỀN NAM TRIỂN KHAI HỆ THỐNG ACTIVE DIRECTORY (AD)

  • 10:52 - 24/09/2021
  • 513

TỔNG CÔNG TY ĐIỆN LỰC MIỀN NAM TRIỂN KHAI HỆ THỐNG ACTIVE DIRECTORY (AD)

        Hiện nay, Tổng công ty Điện lực miền Nam đang tập trung đẩy mạnh công tác chuyển đổi số trong tất cả các lĩnh vực phục vụ điều hành sản xuất kinh doanh. Theo đó, vấn đề an toàn thông tin  (ATTT)  cần phải được chú trọng để đảm bảo an toàn cho hệ thống và khắc phụ các rủi ro tiềm ẩn như sau:

  • Người dùng truy cập vào tài nguyên mạng nội bộ chưa được quản lý, dẫn đến có thể tồn tại sự xâm nhập bất hợp pháp để đánh cắp thông tin, phát tán mã độc, v.v.
  • Máy tính người dùng chưa được cập nhật bản vá lỗ hổng, tạo điều kiện cho các cuộc tấn công bằng mã độc. Khi 01 máy tính bị nhiễm mã độc, có thể lây lan ảnh hưởng đến dữ liệu và làm gián đoạn hoạt động sản xuất kinh doanh của Tổng công ty.
  • Các thông tin trên máy tính người dùng bị đánh cắp: thông tin về tài chính, khách hàng, mô hình hệ thống điện, hệ thống thông tin, mật khẩu quản trị hệ thống, v.v…

        Theo số liệu tổng hợp, toàn Tổng công ty Điện lực miền Nam có khoảng hơn 13 nghìn máy tính của người dùng cuối tham gia vào việc khai thác tài nguyên hệ thống mạng nội bộ của Tổng công ty. Để đưa vào quản lý tập trung cũng như đảm bảo ATTT cho hệ thống mạng, từ tháng 09/2020 Tổng công ty Điện lực miền Nam đã xây dựng dự án triển khai Hệ thống thư mục dịch vụ - Active Directory (AD) tập trung cho toàn Tổng công ty. Mục tiêu của hệ thống như sau :

  • Thiết lập hệ thống xác thực tập trung trên mạng của từng người dùng, cho phép kiểm tra tính hợp lệ của người dùng và quyền truy cập của người dùng đó đối với tài nguyên mạng của Tổng công ty, đảm bảo ATTT cho hệ thống thông tin của Tổng công ty.
  • Đảm bảo ATTT cho hệ thống thông tin của Tổng công ty thông qua việc xây dựng các chính sách cho người dùng, thống nhất từ Tổng công ty đến các đơn vị thành viên; cập nhật tự động các bản vá lỗi hệ điều hành, phần mềm ứng dụng cho người dùng ngay khi có thông báo mới giúp tiết kiệm thời gian và giảm sai sót.
  • Xây dựng nền tảng để triển khai đăng nhập 01 lần (single-sign-on) cho tất cả các ứng dụng phục vụ điều hành sản xuất kinh doanh của Tổng công ty.
  • Phân quyền quản trị người dùng cho các đơn vị thành viên một cách linh hoạt và kiểm soát được số lượng tài khoản AD tồn tại trong hệ thống.
  • Người dùng có thể quản lý tài khoản AD (tự quản trị mật khẩu) của mình mà không cần đến trợ giúp của quản trị viên, tăng tính bảo mật cho tài khoản AD của người dùng.

Từ đầu năm đến nay, Tổng công ty Điện lực miền Nam đã chỉ đạo Ban Công nghệ thông tin, Công ty Công nghệ thông tin Điện lực miền Nam và các đơn vị phối hợp Công ty CMC thực hiện khâu đào tạo, triển khai đến tất cả các đơn vị thành viên trong toàn Tổng công ty.

Tổng công ty cũng đã ban hành chính sách áp dụng cho máy tính phục vụ công việc trong toàn Tổng công ty nhằm đảm bảo an toàn cho hệ thống thông tin và tuân thủ các quy định về ATTT của Tổng công ty (quyết định số 05/QĐ-HĐTV ngày 15/01/2020), EVN (quyết định số 99/QĐ-EVN ngày 18/01/2021. Một số chính sách nổi bật mà người dùng cần chú ý như sau :

  • Không cho các tài khoản có quyền cao (admin-quản trị) đăng nhập vào máy tính người dùng dưới mọi hình thức (batch job, service, local, remote desktop).
  • Quy định đặt mật khẩu khẩu cho máy tính: Độ dài ít nhất 8 ký tự, phải bao gồm đầy đủ: chữ hoa (A, B,…, Z), chữ thường (a, b,…, z), chữ số (1, 2, …, 9), ký tự đặc biệt.
  • Người dùng không có quyền cài đặt/gỡ/cập nhật phần mềm trên máy tính của mình mà phải thông qua bộ phận CNTT tại đơn vị.
  • Khóa màn hình máy tính sau 10 phút không sử dụng, yêu cầu nhập mật khẩu để tiếp tục sử dụng máy tính.
  • Quy định các ứng dụng không được phép cài đặt trên máy tính bao gồm: Zalo, Viber, Messenger, WhatsApp, TeamViewer, Radmin.exe, XbrowserCore.exe, Xbrowser.exe, hsscp.exe, usf.exe
  • Không cho phép Autoplay hiển thị với các thiết bị ngoại vi (camera, điện thoại) kết nối vào máy trạm (để có thời gian quét mã độc).
  • Bật tường lửa của hệ điều hành máy.

Trong bối cảnh các hệ thống đang bị tấn công và nhiều lỗ hổng từ người dùng cuối, hy vọng rằng CBCNV trong toàn Tổng công ty sẽ thực thi theo chính sách và đóng góp ý kiến để các chính sách triển khai ngày càng thiết thực và hoàn thiện hơn  nhằm mục tiêu đảm bảo ATTT, tiến tới đảm bảo an toàn cho quá trình chuyển đổi số trong Tổng công ty.

Nhằm giải quyết phần nào các rủi ro trên, Tổng công ty triển khai hệ thống AD và thông qua các chính sách được gán trên hệ thống AD để nâng cao an toàn thông tin cho người dùng, từ đó đảm bảo an toàn cho quá trình chuyển đổi số của cả Tổng công ty và là nền tảng để triển khai đăng nhập một lần (chỉ dùng một tên đăng nhập và mật khẩu cho tất cả các phần mềm) sau này.

Theo tổng hợp báo cáo từ các đơn vị thành viên, toàn Tổng công ty đang có khoảng 13.200 máy tính của người dùng cuối tham gia vào việc khai thác tài nguyên hệ thống mạng nội bộ của Tổng công ty.

Với số lượng người dùng lớn, TCT cần phải trang bị hệ thống kiểm soát và phân quyền truy cập đến tài nguyên mạng của Tổng công ty đến từng người dùng cụ thể  để đảm bảo an toàn thông tin cho Tổng công ty.

Với hệ thống không được kiểm soát tốt về các chính sách cụ thể cho người dùng, hệ thống CNTT của Tổng công ty sẽ xảy ra các nguy cơ về mất an toàn thông tin như sau:

  • Không xác định được 01 user đang sử dụng mạng nội bộ có đúng là người dùng thuộc Tổng công ty hay không. Nếu đó là người ngoài hoặc hacker thì nguy cơ là sẽ bị đánh cắp thông tin, cài cắm mã độc độc vào hệ thống, tấn công leo thang chiếm quyền điều khiển hệ thống, v.v.
  • Không kiểm soát được việc tuân thủ chính sách của người dùng cuối theo Điều 21 – Bảo đảm an toàn cho máy tính phục vụ công việc tại Quy định Quản trị mạng và an toàn, an ninh thông tin áp dụng trong Tổng công ty Điện lực miền Nam ban hành kèm Quyết định số 05/QĐ-HĐTV ngày 15/01/2020, dẫn đến nguy cơ mất an toàn thông tin do người dùng không tuân thủ đúng quy định.
  • Không kiểm soát được việc truy cập tài nguyên hệ thống mạng theo từng người dùng, dẫn đến rủi ro tiềm ẩn nguy cơ truy cập tài nguyên vượt cấp, gây thất thoát thông tin quan trọng.
  • Việc cập nhật phần mềm, hệ điều hành được thực hiện thủ công gây tốn kém thời gian; bên cạnh đó, còn tiềm ẩn rủi ro lỗ hổng an ninh thông tin do người dùng không có chuyên môn để cập nhật hoặc cập nhật thiếu các bản vá của phần mềm, hệ điều hành.
  • Khi máy tính người dùng bị sự cố, người quản trị phải đi đến tận nơi để sửa chữa, khắc phục gây kéo dài thời gian xử lý.

Hiện nay, trong toàn Tổng công ty, chỉ có 08 đơn vị triển khai hệ thống quản lý người dùng tập trung gồm: Bến Tre, Đồng Nai, Bình Dương, Bình Phước, Vĩnh Long, Ninh Thuận, Công ty CNTT Điện lực miền Nam và Công ty Thí nghiệm điện miền Nam. Tuy nhiên, các hệ thống quản lý người dùng này hoàn toàn độc lập, không kết nối được với nhau, không nhất quán về chính sách quản lý người dùng và sử dụng các phiên bản hệ điều hành Windows khác nhau. Điều này dẫn đến tại Tổng công ty, nếu muốn quản lý toàn bộ máy tính người dùng cuối (số lượng máy tính, hệ điều hành sử dụng, máy tính có cài phần mềm antivirus, đang cài đặt các phần mềm nào) hoặc muốn gán một chính sách an toàn thông tin giống nhau cho toàn bộ người dùng trong Tổng công ty, v.v. là điều không thể.

 

  • Báo cáo toàn diện về những người dùng AD như báo cáo người dùng không hoạt động, người dùng bị khóa, lần đăng nhập thực tế gần nhất của người dùng và các báo cáo người dùng bị vô hiệu hóa. 
  • Ủy quyền dựa trên Organization Unit (OU).
  • Vô hiệu hóa và xóa các hòm mail số lượng lớn trong khi đồng thời loại bỏ cấp phép tài khoản người dùng, tất cả từ một giao diện tập trung chỉ trong một lần click.
  • Yêu cầu đối với AD Selfservice:

Cung cấp quản trị mật khẩu tự phục vụ Active Directory với các tính năng cơ bản:

  • Nhắc nhở hết hạn mật khẩu;
  • Đặt lại mật khẩu/ Mở khóa tài khoản tự động;
  • Khôi phục mật khẩu Active Directory;
  • Gởi email thông báo cho người dùng về các tác động liên quan đến mật khẩu;
  • Đồng bộ mật khẩu nhiều nền tảng;
  • Xác thực một lần dành cho các ứng dụng doanh nghiệp;
  • Công cụ cập nhật thư mục tự phục vụ;
  • Có ứng dụng di động để tạo điều kiện tự phục vụ cho người dùng cuối mọi lúc mọi nơi.
  • Yêu cầu đối với công tác Triển khai hệ thống
  • Khảo sát, xây dựng chi tiết phương án triển khai hệ thống tại  DC, DR, VP TCT và các Đơn vị trực thuộc trong phạm vi triển khai dự án
  • Xây dựng phương án tích hợp hệ thống vào các hệ thống hiện hữu của TCT và các Đơn vị trực thuộc trong phạm vi triển khai dự án và trình Chủ đầu tư thông qua phương án triển khai làm cơ sở cho cấu hình, cài đặt hệ thống.
  • Xây dựng chính sách người dùng theo các quy định của EVN SPC đã ban hành và các yêu cầu đặc thù của các Đơn vị trong phạm vi dự án và trình Chủ đầu tư thông qua.
  • Lắp đặt thiết bị phần cứng, đấu nối thiết bị các thiết bị để hệ thống hoạt động. Cài đặt hệ thống ảo hoá, hệ điều hành và các phần mềm liên quan để hệ thống hoạt động theo phương án triển khai được phê duyệt.

Cài đặt cấu hình hệ thống Active Directory theo phương án triển khai đã được phê duyệt. Khởi tạo và join tất cả người dùng, 13.200 người dùng, tại

Tên Bài Hát

Tên Ca Sĩ
Tên Tác Giả
Phạm Thị Mỹ Hạnh SPC IT

Bài viết liên quan