Nhiều đơn vị khi bắt đầu làm an toàn thông tin cho hệ thống cấp độ 2 hoặc 3 thường gặp cùng một bài toán: biết là cần bảo vệ hệ thống, nhưng không rõ nên bắt đầu từ đâu, đầu tư hạng mục nào trước và làm thế nào để các lớp bảo mật ăn khớp với nhau. Kết quả là có nơi mua khá nhiều thiết bị nhưng vẫn thiếu lớp giám sát, có nơi triển khai được một vài giải pháp rời rạc nhưng không tạo thành một kiến trúc đủ vững để vận hành lâu dài.

Nếu anh/chị đang tìm giải pháp bảo mật cấp độ 2, cấp độ 3, điều cần không chỉ là danh sách thiết bị, mà là một phương án tổng thể: khảo sát hiện trạng, bóc tách phạm vi hệ thống, thiết kế lớp bảo vệ theo mức độ rủi ro, triển khai theo thứ tự ưu tiên và tránh đầu tư dàn trải. Về mặt pháp lý, nền tảng quản lý an toàn hệ thống thông tin theo cấp độ tại Việt Nam được đặt trên Nghị định 85/2016/NĐ-CP và được hướng dẫn chi tiết hơn bởi Thông tư 12/2022/TT-BTTTT. (Chinh Phu Document System)

Tóm tắt nhanh:
Giải pháp này phù hợp với cơ quan, doanh nghiệp hoặc đơn vị có hệ thống thông tin cần được thiết kế và triển khai bảo mật theo cách nhiều lớp, đồng bộ, có lộ trình rõ ràng cho cấp độ 2 hoặc cấp độ 3.

Tóm tắt nội dung

Bài viết này phù hợp với ai?

Bài này phù hợp nếu anh/chị là:

trưởng phòng IT, hạ tầng hoặc an toàn thông tin
đầu mối chuyển đổi số hoặc quản lý hệ thống thông tin
đơn vị cần triển khai đồng bộ từ mạng, máy chủ, ứng dụng đến giám sát
doanh nghiệp đang chuẩn bị đầu tư cho hệ thống cấp độ 2 hoặc 3
đơn vị muốn thuê một đầu mối tổng thể thay vì mua từng giải pháp rời rạc

Nếu anh/chị đang cần hiểu hệ thống của mình thuộc cấp độ nào, nên đọc trước bài xác định cấp độ an toàn thông tin.
Nếu đang tìm đơn vị làm hồ sơ pháp lý, nên xem thêm bài dịch vụ lập hồ sơ đề xuất cấp độ.

Vì sao hệ thống cấp độ 2 và 3 không nên triển khai bảo mật theo kiểu “mua gì gắn nấy”?

Đây là lỗi khá phổ biến. Nhiều đơn vị mua firewall, mua antivirus, mua thêm một công cụ giám sát cơ bản rồi xem như đã “có bảo mật”. Nhưng khi xảy ra sự cố, các lớp này lại không nói chuyện được với nhau, không phản ánh đúng rủi ro của hệ thống và không tạo thành một tư thế phòng thủ có chiều sâu.

NIST mô tả defense in depth là chiến lược an toàn thông tin tích hợp con người, công nghệ và vận hành để tạo các rào cản biến thiên qua nhiều lớp. Nói dễ hiểu hơn: bảo mật tốt không nằm ở một thiết bị mạnh, mà ở việc có nhiều lớp kiểm soát hỗ trợ lẫn nhau. (NIST Cybersecurity Resource Center)

Trong thực tế, nếu triển khai rời rạc, đơn vị rất dễ rơi vào các tình huống:

có firewall nhưng không phân vùng mạng hợp lý
có WAF nhưng ứng dụng và API vẫn thiếu kiểm soát truy cập
có antivirus nhưng không có giám sát tập trung
có hạ tầng dự phòng nhưng không có quy trình vận hành hoặc failover rõ ràng
có nhiều license nhưng không có kiến trúc bảo mật tổng thể

Vì vậy, với hệ thống cấp độ 2 và nhất là cấp độ 3, điều quan trọng là kiến trúc bảo mật tổng thể, không phải danh sách mua sắm rời rạc.

Hệ thống cấp độ 2 và cấp độ 3 khác nhau như thế nào trong bài toán triển khai?

Bài này không đi sâu vào phần phân loại, nhưng về mặt triển khai, hai cấp độ thường khác nhau ở độ sâu và mức hoàn thiện của các lớp bảo vệ.

Với hệ thống cấp độ 2

Thông thường, trọng tâm là:

phân vùng mạng ở mức đủ rõ
quản trị truy cập và truy cập từ xa an toàn
bảo vệ máy chủ và ứng dụng công khai
sao lưu, logging, giám sát ở mức đủ vận hành
bảo vệ các dịch vụ web cơ bản nếu có public exposure

Với hệ thống cấp độ 3

Thông thường, yêu cầu thực tế sẽ cao hơn ở các khía cạnh:

nhiều lớp kiểm soát truy cập hơn
giám sát tập trung tốt hơn
bảo vệ dữ liệu và ứng dụng chặt hơn
tính sẵn sàng cao, dự phòng và khả năng phản ứng sự cố rõ ràng hơn
nhu cầu phối hợp giữa hạ tầng, ứng dụng, giám sát và vận hành chặt hơn

Về mặt pháp lý, Nghị định 85/2016/NĐ-CP và Thông tư 12/2022/TT-BTTTT là khung nền cho việc bảo đảm an toàn hệ thống thông tin theo cấp độ tại Việt Nam. (Chinh Phu Document System)

Nếu anh/chị cần đi sâu checklist kỹ thuật, có thể xem thêm:

Một giải pháp hạ tầng bảo mật toàn diện thường gồm những lớp nào?

Đây là phần quan trọng nhất của bài. Một giải pháp tốt không nhất thiết phải triển khai tất cả ngay cùng lúc, nhưng cần nhìn hệ thống theo đúng các lớp bảo vệ.

Lớp mạng và phân vùng truy cập

Đây là lớp nền. Mục tiêu là giảm bề mặt tấn công, tách khu vực cần bảo vệ và tránh để toàn bộ dịch vụ “nằm phẳng” trên cùng một mặt mạng.

Lớp này thường liên quan đến:

phân vùng mạng
thiết bị bảo vệ biên
kiểm soát truy cập giữa các vùng
quản trị từ xa an toàn
kiểm soát đường vào ra của lưu lượng

Lớp bảo vệ ứng dụng và dịch vụ công khai

Nếu hệ thống có website, cổng dịch vụ, portal hoặc API công khai, lớp này gần như là bắt buộc.

Phần này có thể gồm:

WAF
chống DDoS
rate limiting
bảo vệ login, form, API
kiểm soát bot abuse

CISA cũng lưu ý rằng các giải pháp giảm thiểu DDoS cho tài nguyên web-facing thường dùng kết hợp CDN và WAF như một dịch vụ managed để bảo vệ tài nguyên công khai. (CISA)

Lớp bảo vệ máy chủ, endpoint và hệ điều hành

Lớp này giúp giảm rủi ro ở phía server và máy trạm quản trị, thay vì chỉ tập trung vào biên mạng.

Thường sẽ gồm:

AV hoặc EDR
hardening
kiểm soát quyền
cập nhật và vá lỗi
kiểm soát tiến trình hoặc hành vi bất thường ở máy chủ

Lớp bảo vệ dữ liệu và cơ sở dữ liệu

Với hệ thống xử lý dữ liệu nhạy cảm, đây là lớp không nên bỏ qua.

Có thể liên quan đến:

kiểm soát truy cập dữ liệu
mã hóa
DLP
bảo vệ cơ sở dữ liệu
sao lưu và phục hồi

Lớp giám sát, cảnh báo và phản ứng

Đây là lớp nhiều đơn vị đầu tư muộn, nhưng lại rất quan trọng để biết hệ thống đang bị gì.

Lớp này có thể gồm:

log tập trung
cảnh báo
dashboard vận hành
SIEM
quy trình theo dõi và phản ứng sự cố

Lớp dự phòng và tính liên tục dịch vụ

Đặc biệt với hệ thống quan trọng, tính sẵn sàng cao là một phần của kiến trúc bảo mật vận hành.

Thường sẽ liên quan đến:

HA
load balancing
dự phòng nóng
kịch bản failover
sao lưu, phục hồi, kiểm thử định kỳ

Phạm vi dịch vụ triển khai tổng thể thường bao gồm những gì?

Khách hàng nên xem kỹ phần này trước khi so báo giá.

Khảo sát hiện trạng hệ thống

Đây là bước đầu tiên để biết:

hệ thống đang có những thành phần nào
dịch vụ nào đang public
dữ liệu nào là trọng yếu
các điểm yếu đang nằm ở đâu
hạ tầng nào có thể tận dụng, hạ tầng nào cần bổ sung

Thiết kế kiến trúc bảo mật theo hiện trạng

Sau khảo sát, đơn vị triển khai cần đề xuất:

mô hình phân lớp
hạng mục ưu tiên
cách ghép các giải pháp lại với nhau
lộ trình đầu tư theo ngân sách và mức độ cấp thiết

Triển khai theo từng nhóm hạng mục

Tùy dự án, quá trình này có thể gồm:

thiết bị mạng và kiểm soát truy cập
WAF / chống DDoS
VPN / truy cập từ xa
AV / EDR
SIEM / giám sát
HA / load balancing
bảo vệ cơ sở dữ liệu hoặc dữ liệu nhạy cảm

Kiểm thử, tối ưu và bàn giao vận hành

Đây là phần nhiều nơi làm chưa kỹ. Triển khai xong chưa có nghĩa là vận hành ổn.

Một dự án tốt cần có:

kiểm tra luồng hoạt động
rà false positive hoặc chặn nhầm
rà quyền truy cập
đối chiếu log/cảnh báo
hướng dẫn vận hành cơ bản
khuyến nghị tối ưu tiếp theo

Khi nào doanh nghiệp nên thuê một đơn vị tích hợp tổng thể?

Khi hệ thống có nhiều hạng mục phải làm song song

Nếu anh/chị phải đồng thời xử lý:

hồ sơ cấp độ
mạng và truy cập
bảo vệ ứng dụng
giám sát
sao lưu, dự phòng

thì việc có một đầu mối tổng thể sẽ giảm rất nhiều công sức điều phối.

Khi không muốn mua rời từng giải pháp rồi tự ghép

Mua từng sản phẩm riêng lẻ có thể nhìn rẻ hơn lúc đầu, nhưng rất dễ tốn thêm ở các khâu:

tích hợp
cấu hình chồng chéo
thiếu khả năng giám sát xuyên suốt
lỗi tương thích
khó quy trách nhiệm khi có sự cố

Khi cần lộ trình đầu tư rõ theo ngân sách

Một đơn vị tổng thể thường giúp anh/chị chia được:

phần nào cần làm ngay
phần nào làm ở giai đoạn 2
phần nào có thể tận dụng hạ tầng sẵn có
phần nào nên thuê dịch vụ trước, đầu tư thiết bị sau

Lợi ích thực tế của giải pháp bảo mật tổng thể

Có kiến trúc rõ, không triển khai manh mún

Đây là giá trị lớn nhất. Doanh nghiệp không còn nhìn bảo mật như một chuỗi các món mua sắm rời rạc.

Giảm rủi ro bỏ sót lớp bảo vệ quan trọng

Khi nhìn theo kiến trúc tổng thể, anh/chị dễ phát hiện:

lớp nào đang thiếu
lớp nào đang thừa
lớp nào đầu tư chưa đúng mức

Dễ lập ngân sách và chia giai đoạn triển khai

Thay vì xin một khoản lớn không rõ đầu mục, đơn vị có thể chia ngân sách thành các pha hợp lý hơn.

Dễ vận hành hơn sau khi triển khai

Một hệ thống đồng bộ ngay từ đầu thường dễ vận hành hơn so với việc chắp vá từng giai đoạn.

8 dấu hiệu cho thấy hệ thống của anh/chị đang cần giải pháp tổng thể

Đã có vài công cụ bảo mật nhưng chúng hoạt động rời rạc
Không rõ nên ưu tiên đầu tư hạng mục nào trước
Website / app public đã có dấu hiệu bị quét hoặc abuse
Chưa có mô hình phân vùng và kiểm soát truy cập rõ
Chưa có giám sát tập trung hoặc cảnh báo hữu ích
Hệ thống quan trọng nhưng chưa có HA / failover rõ ràng
Nội bộ phải làm việc với nhiều nhà cung cấp khác nhau
Cần vừa làm hồ sơ cấp độ, vừa triển khai kỹ thuật

Nếu đang rơi vào 3–4 dấu hiệu trở lên, rất nên chuyển từ cách làm “đầu việc rời rạc” sang cách tiếp cận giải pháp tổng thể.

Cách chọn đơn vị triển khai giải pháp bảo mật cấp độ 2, 3

Ưu tiên đơn vị hiểu cả pháp lý, hạ tầng và vận hành

Với bài toán cấp độ 2, 3, chỉ giỏi bán thiết bị là chưa đủ. Đơn vị triển khai nên hiểu:

phạm vi hệ thống
logic hồ sơ và yêu cầu tuân thủ
kiến trúc hạ tầng
cách vận hành thực tế sau bàn giao

Hỏi rõ họ thiết kế theo kiến trúc hay theo danh sách thiết bị

Một câu hỏi rất hữu ích là:
“Giải pháp của anh/chị đang giải quyết bài toán kiến trúc nào, hay chỉ là liệt kê các sản phẩm nên mua?”

So phạm vi triển khai, không chỉ so giá

Một báo giá thấp nhưng không gồm:

khảo sát
thiết kế
tích hợp
kiểm thử
tối ưu sau triển khai

thì chưa chắc là rẻ thật.

9 thông tin nên chuẩn bị trước khi yêu cầu tư vấn giải pháp tổng thể

Tên hệ thống và nghiệp vụ chính
Phạm vi hệ thống cần bảo vệ
Hệ thống thuộc nhóm cấp độ nào hoặc dự kiến cấp độ nào
Có website, app, API public hay không
Có sơ đồ mạng hoặc sơ đồ hệ thống hiện tại không
Các hạng mục bảo mật đã có sẵn
Vấn đề lớn nhất đang gặp là gì
Mức ưu tiên về thời gian và ngân sách
Đầu mối kỹ thuật phối hợp là ai

Chuẩn bị được các thông tin này sẽ giúp đề xuất giải pháp sát hơn và tránh phải làm lại nhiều vòng.

Câu hỏi thường gặp về giải pháp bảo mật cấp độ 2, 3

Có cần triển khai tất cả hạng mục cùng lúc không?

Không. Cách làm hiệu quả hơn là chia theo mức độ ưu tiên, hiện trạng hệ thống và khả năng ngân sách.

Hệ thống cấp độ 2 có cần WAF hay chống DDoS không?

Nếu có dịch vụ web công khai, WAF thường rất đáng cân nhắc; còn chống DDoS phụ thuộc mức độ public exposure và rủi ro vận hành. CISA lưu ý các tài nguyên web-facing thường dùng kết hợp CDN và WAF như một phần giảm thiểu DDoS. (CISA)

Hệ thống cấp độ 3 có bắt buộc phải có SIEM không?

Bài này không thay thế checklist kỹ thuật chi tiết, nhưng với hệ thống lớn và quan trọng hơn, nhu cầu giám sát tập trung thường rõ rệt hơn so với cấp độ 2.

Nên làm hồ sơ trước hay triển khai kỹ thuật trước?

Tùy hiện trạng. Nhiều trường hợp nên rà soát đồng thời để phần hồ sơ và phần kỹ thuật không lệch nhau.

Có nên mua từng giải pháp riêng rồi tự tích hợp không?

Có thể, nhưng rủi ro nằm ở chỗ thiếu đồng bộ, thiếu đầu mối chịu trách nhiệm và phát sinh chi phí tích hợp về sau.

Kết luận

Nếu anh/chị đang tìm giải pháp bảo mật hệ thống cấp độ 2, cấp độ 3, điều quan trọng không phải là chọn được thật nhiều công cụ, mà là có một kiến trúc bảo vệ nhiều lớp, phù hợp với hiện trạng, mức độ rủi ro và mục tiêu vận hành của hệ thống.

Một giải pháp tốt phải giúp anh/chị trả lời được 3 câu hỏi:

hệ thống đang thiếu lớp bảo vệ nào
nên đầu tư hạng mục nào trước
làm thế nào để các lớp bảo mật hỗ trợ lẫn nhau thay vì đứng riêng lẻ

Đó mới là cách triển khai giúp hệ thống bền hơn, dễ vận hành hơn và ít tốn chi phí sửa sai hơn về sau.

Nhận tư vấn giải pháp bảo mật tổng thể cho hệ thống cấp độ 2, 3

Nếu anh/chị đang cần:

rà soát hiện trạng hệ thống
biết mình đang thiếu lớp bảo vệ nào
xây lộ trình triển khai theo ngân sách
tìm một đầu mối tổng thể cho cả hồ sơ và kỹ thuật

hãy gửi thông tin hiện trạng để nhận:

tư vấn sơ bộ theo quy mô hệ thống
gợi ý mô hình bảo vệ phù hợp
lộ trình triển khai theo từng giai đoạn, tránh đầu tư dàn trải

FAQ

Giải pháp bảo mật cấp độ 2, 3 là gì?
Là cách tiếp cận triển khai nhiều lớp bảo vệ cho hệ thống, từ mạng, ứng dụng, máy chủ, dữ liệu đến giám sát và dự phòng, thay vì mua từng giải pháp rời rạc. (NIST Cybersecurity Resource Center)

Có cần làm tất cả ngay từ đầu không?
Không. Nên chia giai đoạn theo mức độ rủi ro, hiện trạng và ngân sách.

WAF và chống DDoS có nằm trong giải pháp tổng thể không?
Có thể có, đặc biệt khi hệ thống có website, web app hoặc API public. CISA cho biết các tài nguyên web-facing thường được bảo vệ bằng kết hợp CDN và WAF trong các giải pháp giảm thiểu DDoS. (CISA)

Muốn xem bài chi tiết hơn về cấp độ 2 và 3 thì đọc gì?
Nên xem thêm bài yêu cầu kỹ thuật cấp độ 2 và yêu cầu kỹ thuật cấp độ 3.

Đoàn Trình Dục

Đoàn Trình Dục là Giảng viên Khoa Công nghệ Thông tin tại Đại học Công nghệ Sài Gòn (STU), với hơn 10 năm kinh nghiệm thực chiến trong các lĩnh vực Mạng máy tính, Marketing Online, SEO và Bảo mật hệ thống.
Với nền tảng sư phạm và kinh nghiệm tư vấn cho nhiều doanh nghiệp, thầy chuyên sâu vào việc xây dựng các giải pháp kỹ thuật số toàn diện và hiệu quả.