Nghiên cứu xây dựng hệ thống theo dõi, giám sát an toàn mạng theo mô hình quản lý tập trung để bảo vệ mạng internet việt nam

Chọn lọc mô hình chung, các chuẩn cơ bản và các thiết bị phục vụ đưa ra thiết kế phù hợp với điều kiện Việt Nam, tiên tiến và khả thi về công nghệ và tiết kiệm về chi phí, đảm bảo hệ thố

Trung tâm ứng cứu khẩn cấp Máy tính Việt Nam

(VNCERT)

Báo cáo tổng kết đề tài:

Nghiên cứu xây dựng hệ thống theo dõi, giám sát

an toàn mạng theo mô hình quản lý tập trung

để bảo vệ mạng Internet Việt Nam

Cnđt: Vũ Quốc Khánh

8818

Hà nội - 2011

MỤC LỤC

BÁC CÁO THỐNG KÊ iii

MỤC LỤC 1

DANH MỤC HÌNH VẼ 9

CÁC THUẬT NGỮ VÀ VIẾT TẮT 12

CHƯƠNG I NGHIÊN CỨU THIẾT KẾ KIẾN TRÚC TỔNG THỂ HỆ THỐNG, CHỌN LỌC CÁC CHUẨN THÔNG TIN VÀ THIẾT BỊ 15

I.1 Nghiên cứu đề xuất mục tiêu, yêu cầu và cấu trúc chung của hệ thống giám sát an toàn mạng Internet 15

I.1.1 Hiện trạng tổ chức hạ tầng mạng Internet và các nguy cơ mất an toàn thông tin của mạng Internet Việt Nam 15

I.1.2 Mục tiêu khả thi cho Hệ thống theo dõi giám sát an toàn mạng Internet Việt Nam 38

I.1.3 Kinh nghiệm triển khai một số hệ thống giám sát an toàn mạng của nước ngoài 51

I.2 Nghiên cứu áp dụng các tiêu chuẩn và chuẩn quốc tế phục vụ cho xây dựng hệ thống 71

I.2.1 Nghiên cứu phân tích áp dụng tiêu chuẩn quốc tế về hệ thống quản lý an toàn thông tin và tiêu chuẩn quy tắc thực hành đảm bảo an toàn thông tin (ISO 17799:2005 và ISO 27001:2005) cho hệ thống 71

I.2.2 Nghiên cứu, phân tích chuẩn quốc tế về định dạng trao đổi thông tin sự cố an toàn mạng (IODEF của tổ chức IETF) 77

I.2.3 Đề xuất khung trao đổi thông tin sự cố ATM và khung trao đổi thông báo phát hiện tấn công mạng sẽ áp dụng 80

I.2.4 Nghiên cứu, phân tích chuẩn quốc tế về định dạng trao đổi thông báo phát hiện tấn công mạng 82

I.3 Nghiên cứu và lựa chọn các nguồn cung cấp thông tin an toàn mạng 86

I.3.1 Phân tích khả năng sử dụng khai thác thông tin ATM từ các nguồn cung cấp thông tin khác 86

I.4 Thiết kế kiến trúc tổng thế 90

2

I.4.1 Kiến trúc hệ thống 90

I.4.2 Lược đồ dữ liệu tổng thể 91

I.5 Hoàn thiện thiết kế tổng thể 94

1.5.1 Nội dung thực hiện 94

1.5.2 Nhận xét chung 94

I.5.3 Yêu cầu chỉnh sửa, hoàn thiện cho sản phẩm đã được các nhánh thực hiện 96

CHƯƠNG II PHÁT TRIỂN HỆ THỐNG CƠ SỞ DỮ LIỆU TÍCH HỢP GIÁM SÁT AN TOÀN MẠNG (NSIDB) 98

II.1 Nghiên cứu, phân tích nguồn dữ liệu đầu vào, chọn lựa công nghệ CSDL tích hợp NSIDB 98

II.1.1 Nghiên cứu, phân tích các nguồn cung cấp thông tin ATM đưa vào hệ thống CSDL tích hợp NSIDB 98

II.1.2 Xác định định dạng các loại dữ liệu đầu vào cho hệ thống CSDL tích hợp NSIDB 105

II.1.3 Phân tích và lựa chọn công nghệ phù hợp áp dụng cho hệ thống CSDL tích hợp NSIDB, có khả năng mở rộng để kết nối tới các nguồn dữ liệu tương thích của nước ngoài về thông tin ATM 111

II.2 Nghiên cứu, thiết kế hệ thống CSDL tích hợp NSIDB 118

II.2.1 Nghiên cứu, thiết kế phương thức trao đổi thông tin giữa CSDL với các thành phần khác của hệ thống 118

II.2.2 Thiết kế CSDL sao lưu dự phòng và khôi phục dữ liệu khi có sự cố xảy ra 124

II.2.3 Thiết kế giải pháp bảo mật CSDL tích hợp giám sát an toàn mạng 125

II.2.4 Thiết kế tổng thể hệ thống CSDL tích hợp giám sát an toàn mạng - NSIDB 130

II.3.1 Thiết kế chi tiết phân hệ CSDL lưu trữ thông tin về sự cố an toàn mạng 136 II.3.2 Thiết kế chi tiết phân hệ CSDL lưu trữ thông tin về tấn công mạng 137

II.3.3 Thiết kế chi tiết phân hệ CSDL lưu trữ thông tin trạng thái các hệ thống xung yếu 138

3

II.3.4 Thiết kế chi tiết phân hệ CSDL lưu trữ thông tin quản trị người sử

dụng 140

Thiết kế chi tiết dữ liệu 140

II.4 Xây dựng, triển khai các phân hệ CSDL tích hợp NSIDB 141

II.4.1 Xây dựng, triển khai cài đặt, thử nghiệm phân hệ CSDL lưu trữ thông tin về sự cố ATM, phân hệ CSDL lưu trữ thông tin về tấn công mạng So sánh với kết quả lý thuyết 141

II.4.2 Xây dựng, triển khai cài đặt, thử nghiệm phân hệ CSDL lưu trữ thông tin trạng thái các hệ thống xung yếu, phân hệ CSDL lưu trữ thông tin quản trị người sử dụng 145

CHƯƠNG III NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN ATM TRUNG TÂM 149

III.1 Tổng quan 149

III.1.1 Phân hệ hỗ trợ xử lý thông báo sự cố 149

III.1.2 Phân hệ tiếp nhận thông tin an toàn mạng tự động NSIAR 150

III.1.3 Khảo sát và đánh giá hiện trạng 150

III.1.4 Nghiên cứu và thiết kế giao thức thu thập thông tin an toàn mạng – ISGP 151

III.1.5 Nghiên cứu, thiết kế và xây dựng phân hệ hỗ trợ xử lý thông báo sự cố an toàn mạng - SAMS 151

III.1.6 Nghiên cứu và xây dựng phân hệ tiếp nhận thông tin an toàn mạng tự động NSIAR 151

III.1.7 Phương pháp nghiên cứu 152

III.2 Các kết quả nghiên cứu chính đã đạt được của nhánh 3 153

III.2.1 Nghiên cứu và thiết kế giao thức thu thập thông tin an toàn mạng – ISGP 153

III.2.2 Thiết kế tổng thể hệ thống tiếp nhận thông tin an toàn mạng 160

III.2.3 Nghiên cứu, thiết kế và xây dựng phân hệ hỗ trợ xử lý thông báo sự cố an toàn mạng - SAMS 161

4

III.2.4 Nghiên cứu, thiết kế và xây dựng phân hệ tiếp nhận thông tin an toàn

mạng tự động NSIAR 165

III.2.5 Kết quả đã đạt được của nhánh 3 170

III.3 Kết luận 171

CHƯƠNG IV PHÁT TRIỂN HỆ PHẦN MỀM TÁC NGHIỆP XỬ LÝ THEO DÕI – THỐNG KÊ – CẢNH BÁO VÀ ĐIỀU KHIỂN (SIPS) 172

IV.1 Nghiên cứu, phân tích một số hệ thống xử lý thông tin theo dõi - thống kê - cảnh báo thông tin an toàn mạng trên thế giới 172

IV.1.1 Internet Storm Center (ISC) 172

IV.1.2 Honeypots 173

IV.1.3 Honeynet 174

IV.1.4 Symantec Security Response 174

IV.2 Nghiên cứu xác định chi tiết các tiêu chí thông tin cần phải theo dõi và thống kê về tình hình an toàn mạng Internet tại Việt Nam 175

IV.2.1 Các nguồn thông tin cần để thu thập, theo dõi và thống kê 175

IV.2.2 Phân tích các thông tin cần theo dõi và thống kê 176

IV.2.3 Các tiêu chí thông tin cần phải theo dõi và thống kê về tình hình an toàn mạng Internet tại Việt Nam 177

IV.3 Nghiên cứu, phân tích các cấp độ cảnh báo, các hình thức cảnh báo và các yêu cầu về biểu mẫu thông tin cảnh báo về tình hình an toàn mạng Việt Nam 178

IV.3.1 Tìm hiểu về hệ thống cấp độ cảnh báo và định nghĩa các mức cảnh báo trên Internet Việt Nam 178

IV.3.2 Hình thức cảnh báo 179

IV.3.3 Các mẫu biểu cảnh báo 179

IV.4 Nghiên cứu, phân tích và thiết kế xây dựng giao thức giao tiếp giữa hệ SIPS và các sensor chuyên dụng 180

IV.4.1 Chức năng và nguyên tắc hoạt động của hệ tập trung và máy trinh sát 181 IV.4.2 Phân tích giao thức 181

IV.5 Phân tích thiết kế chức năng theo dõi của hệ thống SIPS 181

5

IV.5.1 Hệ thống giám sát 182

IV.5.2 Mô hình hệ thống giám sát 182

IV.5.3 Các thông tin thường giám sát 182

IV.5.4 Thực hiện giám sát theo 10 tiêu chí 182

IV.6 Phân tích thiết kế mô đun chức năng thống kê của hệ thống SIPS 183

IV.6.1 Các thành phần của mô đun thống kê 184

IV.6.2 Một số thuật toán áp dụng cho mô đun thống kê 184

IV.7 Phân tích thiết kế mô đun chức năng cảnh báo của hệ thống SIPS 184

IV.7.1 Hệ thống đăng ký 184

IV.7.2 Hệ thống gửi cảnh báo 185

IV.7.3 Hệ thống Infocon 186

IV.8 Phân tích thiết kế mô đun chức năng quản lý các sensor chuyên dụng 187

IV.8.1 Chức năng quản lý tổng thể tất cả các máy trinh sát 187

IV.8.2 Chức năng quản lý trên một máy trinh sát 188

IV.9 Phân tích thiết kế mô đun quản trị chung (quản trị người dùng, lưu trữ dự phòng, quản trị hệ thống , cấu hình, ghi nhận thông tin, … ) của hệ thống SIPS 189

IV.9.1 Cách thức quản lý phân quyền cơ bản 189

IV.9.2 Giải pháp phpGACL 189

IV.10 Phân tích thiết kế giao diện hỗ trợ giám sát tình hình an toàn mạng 24/24 190

IV.10.1 Phân tích chức năng của các thành phần trong giao diện hỗ trợ giám sát an toàn mạng 190

IV.10.2 Xây dựng giao diện theo từng chức năng 190

IV.11 Lập trình, thử nghiệm các mô đun chức năng theo dõi, mô đun chức năng thống kê, mô đun chức năng cảnh báo của hệ thống SIPS Phân tích, đánh giá và so sánh với kết quả lý thuyết 191

IV.11.1 Mô đun chức năng theo dõi 191

6

IV.11.2 Mô đun chức năng thống kê 192

IV.11.3 Mô đun chức năng cảnh báo 192

IV.12 Lập trình, thử nghiệm các mô đun chức năng quản lý các sensor chuyên dụng, các mô đun quản trị chung 193

IV.12.1 Mô đun quản lý sensor chuyên dụng 193

IV.12.2 Mô đun quản trị chung 193

IV.13 Lập trình, thử nghiệm các mô đun kết nối với CSDL NSIDB, mô đun giao diện hỗ trợ giám sát tình hình ATM 24/24 194

IV.13.1 Mô đun kết nối cơ sở dữ liệu NSIDB 194

IV.13.2 Mô đun giao diện hỗ trợ giám sát tình hình an toàn mạng 195

CHƯƠNG V PHÁT TRIỂN SẢN PHẨM SENSOR CHUYÊN DÙNG DO VIỆT NAM LÀM CHỦ VỀ CÔNG NGHỆ 196

V.1 Tổng quan 196

V.1.1 Thiết bị sensor đặc thù thu thập thông tin an toàn mạng: 196

V.1.2 Phần mềm thu thập thông tin an toàn mạng tại đầu cuối (trên hệ điều hành Windows): 197

V.1.3 Nghiên cứu các vấn đề về lý thuyết các vấn đề: 197

V.1.4 Nghiên cứu thiết kế hệ thống thiết bị sensor: 198

V.1.5 Nghiên cứu, xây dựng các mô đun phần mềm cho sensor: 198

V.1.6 Nghiên cứu, xây dựng phần mềm theo dõi an toàn mạng tại các máy đầu cuối: 198

V.2 Các kết quả nghiên cứu chính đã đạt được của nhánh 5 199

V.2.1 Nghiên cứu các vấn đề về lý thuyết 199

V.2.2 Nghiên cứu thiết kế hệ thống thiết bị sensor 202

V.2.3 Nghiên cứu, xây dựng các mô đun phần mềm cho sensor 206

V.2.4 Nghiên cứu, xây dựng phần mềm theo dõi an toàn mạng tại các máy đầu cuối 210

V.3 Các kết quả thử nghiệm trong môi trường mạng thực 211

V.4 Kết luận 213

V.5 Danh mục các thiết bị sensor mẫu 213

7

V.6 Kết quả thử nghiệm cho thiết bị sensor tại VDC 215

V.6.1 Các yêu cầu và phương án đặt thiết bị Sensor 215

V.6.2 Kiểm tra các chức năng hoạt động của thiết bị Sensor: 216

V.6.3 Kiểm tra các chức năng hoạt động của phần mềm đầu cuối trên Windows 217

V.6.4 Mô tả chi tiết về lắp đặt sensor để triển khai thử nghiệm 218

CHƯƠNG VI PHÁT TRIỂN GIẢI PHÁP, CÔNG CỤ TÍCH HỢP MỘT SỐ THIẾT BỊ AN TOÀN MẠNG THƯƠNG MẠI ĐANG PHỔ BIẾN Ở VIỆT NAM 226

VI.1 Tổng quan 226

VI.2 Phương pháp và nội dung nghiên cứu 226

VI.2.1 Phương pháp nghiên cứu 227

VI.1.2 Các nội dung nghiên cứu 228

VI.3 Tổng hợp sản phẩm và kết quả đã đạt được của nhánh 6 228

VI.3.1 Cấu trúc và chuẩn tiếp nhận thông tin an toàn mạng 228

VI.3.2 Cấu trúc và chuẩn hóa thông tin an toàn mạng 235

VI.3.3 Thiết kế tổng thể phần mềm thu nhận thông tin an toàn mạng thương mại 238

VI.3.4 Sản phẩm thu được 244

VI.4 Kết luận 245

CHƯƠNG VII THỬ NGHIỆM, ĐO KIỂM VÀ PHÂN TÍCH ĐÁNH GIÁ HIỆU NĂNG CỦA HỆ THỐNG 247

VII.1 Tóm tắt nội dung đã thực hiện 247

VII.2 Mô tả thử nghiệm 248

VII.2.1 Phân tích, đánh giá kết quả thử nghiệm 248

VII.1.2 Phân tích, đánh giá hiệu năng của toàn bộ hệ thống, so sánh với kế quả lý thuyết 259

VII.1.3 Kết luận 260

VII.3 Nghiên cứu rà soát để đưa ra yêu cầu chỉnh sửa, hoàn thiện cho tất cả các sản phẩm của các nhánh đề tài khác 260

8

VII.3.1 Báo cáo kết quả rà soát, đánh giá thử nghiệm 260

CHƯƠNG VIII KẾT QUẢ TRIỂN KHAI HỆ THÔNG TRÊN MÔI TRƯỜNG MẠNG THỰC TẾ 264

VIII.1 Sơ đồ hệ thống thực tế hiện nay 264VIII.2 Đánh giá kết quả triển khai hệ thống giám sát an toàn mạng quốc gia 265VIII.3 Kết luận 267

TÀI LIỆU THAM KHẢO 268

9

DANH MỤC HÌNH VẼ

Hình I.1: Mô hình mạng lõi (Core) của nhà kết nối Internet 16

Hình I.2: Mô tả Kết nối Internet trung chuyển trong nước 18

Hình I.3: Sơ đồ kết nối trung chuyển qua VNIX 18

Hình I.4: Kết nối từ Nhà cung cấp dịch vụ kết nối Internet đến khách hàng 20

Hình I.5: Sơ đồ kết nối khách hàng của một Bưu điện địa phương 21

Hình I.6: Sơ đồ kết nối từ ISP đến khách hàng 24

Hình I.7: Sơ đồ hoạt động của cơ quan chủ quản 59

Hình I.8: Lược đồ mô tả ngữ cảnh tổng thể của Hệ thống theo dõi, giám sát an toàn mạng Internet Việt Nam 62

Hình I.9: Sơ đồ cấu trúc chức năng chung của hệ thống 65

Hình I.10: Thu thập thông tin từ thiết bị 81

Hình I.11: Mô hình hoạt động 90

Hình I.12: Lược đồ giám sát phát hiện sự cố 92

Hình I.13: Lược đồ hoạt động phân tích sự cố 93

Hình I.14: Lược đồ báo cáo phát hiện sự cố 93

Hình I.15: Lược đồ phản ứng/ứng cứu sự cố 94

Hình II.1: Mô hình tổng thể phần mềm tiếp nhận thông tin 98

Hình II.2: Mô hình hệ thống quản lý an toàn Internet 112

Hình II.3: Hệ tập trung

Hình II.4: Sơ đồ hoạt động của hệ thống giám sát mạng 116

Hình II.5: Hệ thống CSDL tích hợp NSIDB 117

Hình II.5: Cấu trúc chung của hệ thống CSDL tích hợp NSIDB 120

Hình II.6: Thu thập thông tin từ thiết bị 122

Hình II.7: Sơ đồ tương tác giữa CSDL và các thành phần xử lý trong hệ thống 136 Hình II.8: Sơ đồ liên kết CSDL lưu trữ thông tin sự cố 142

Hình II.9: Sơ đồ liên kết CSDL thông tin tấn công 144

Hình II.10: Nhóm liên kết các bảng máy chủ 146

10

Hình II.11: Nhóm liên kết các bảng net 147

Hình II.12: Nhóm liên kết các bảng tiện ích Plugin 147

Hình II.13: Sơ đồ liên kết các bảng người dùng 148

Hình III.1: Quan hệ giữa ISGP và một số giao thức cơ bản khác 153

Hình III.2: Sơ đồ kiến trúc tổng thể phân hệ SIGS 160

Hình III.3: Lược đồ quy trình xử lý thông báo sự cố 161

Hình III.4: Lược đồ luồng dữ liệu của NSIAR 167

Hình IV.1: Quá trình làm việc hệ thống ISC 173

Hình IV.2: Hệ thống tiếp nhận thông tin sự cố 176

Hình IV.3: Hệ thống cảnh báo 5 mức và hệ thống cảnh báo 4 mức 180

Hình IV.4: Hệ tập trung 181

Hình IV.5: Thống kê tỉ lệ các botnet phân loại theo các quốc gia 183

Hình IV.6: Tổng quan hệ thống gửi cảnh báo 186

Hình IV.7 : Giao diện quản lý toàn bộ các máy trinh sát 188

Hình IV.8 : Giao diện thống kê sự kiện, cảnh báo 191

Hình V.1: Các vị trí có thể đặt thiết bị sensor để thu thập thông tin vùng cấp 1 200 Hình V.2: Các vị trí có thể đặt thiết bị sensor để thu thập thông tin vùng cấp 2 201 Hình V.3: Các vị trí có thể đặt thiết bị sensor tại máy đầu cuối 201

Hình V.4: Mô hình kiến trúc hệ thích nghi phát hiện xâm nhập 202

Hình V.5: Cấu trúc bên trong một thiết bị sensor giám sát an toàn mạng 204

Hình V.6: Một Thiết bị Sensor mẫu 205

Hình V.7: Thiết bị Sensor mẫu 2 và mẫu 3 đang chạy thử nghiệm 205

Hình V.8: Các module phần mềm trong phiên bản hạt nhân Linux 206

Hình V.9: Các thông số và thư mục của phiên bản hạt nhân Linux 206

Hình V.10: Sơ đồ nguyên lý của phần mềm giám sát an toàn mạng 207

Hình V.11: Sơ đồ nguyên lý khối phần mềm giám sát phát hiện 208

Hình V.12: Sơ đồ nguyên lý khối phần mềm giám sát lưu lượng 208

Hình V.13: Giao diện chính của phần mềm 210

11

Hình V.14: Giao diện thiết lập cấu hình phần mềm 211

Hình V.15: Giao diện thiết lập cấu hình các công cụ hỗ trợ giám sát 211

Hình V.16: Sơ đồ đặt thiết bị sensor để giám sát các máy đầu cuối sử dụng kết nối mạng ADSL 211

Hình V.17: Sơ đồ đặt thiết bị sensor để giám sát hệ thống máy chủ tại các nhà cung cấp dịch vụ cho thuê máy chủ 212

Hình V.18: Sơ đồ đặt thiết bị Sensor để giám sát hệ thống mạng nội bộ của doanh nghiệp 212

Hình V.19: Sơ đồ đặt thiết bị sensor để giám sát các máy đầu cuối 219

Hình V.20: Sơ đồ đặt thiết bị sensor để giám sát hệ thống máy chủ tại các nhà cung cấp dịch vụ cho thuê máy chủ 221

Hình VI.1: Lƣợc đồ ngữ cảnh 240

Hình VI.2: Mô đun GAG Lƣợc đồ luồng dữ liệu 241

Hình VI.3: Mô đun GFW Lƣợc đồ luồng dữ liệu 242

Hình VII.1 : Mô hình mạng thử nghiệm 249

12

CÁC THUẬT NGỮ VÀ VIẾT TẮT Account Tài khoản của người sử dụng

Access Point Điểm truy cập mạng không dây

ADSL (Asymetric Digital Subscriber Line) Kênh thuê bao số phi

đối xứng (download 8Mbps, upload 800Kbps, khoảng cách 5500m)

Antivirus Antivirus

ATTT An toàn thông tin

BCG (Bussiness Control Gate) Tên riêng của Module hỗ trợ xử lý

thông báo an toàn mạng

BRAS (Broadband Remote Access Server) máy chủ truy cập từ xa

băng rộng

CERT Trung tâm Ứng cứu khẩn cấp máy tính

CERT/CC Trung tâm Điều phối/Ứng cứu khẩn cấp máy tính

CNTT Công nghệ thông tin

CSDL Cơ sở dữ liệu

DSLAM (Digital Subscriber Line Access Multiplexer) Thiết bị tập

trung (dồn) kênh thuê bao số

HDSL (High bit-rate Digital Subscriber Line) Kênh thuê bao số tốc

độ cao (download 1.54Mbps, upload 1.54Mbps, khoảng cách 3650m)

HTTT Hệ thống thông tin

HIDS Hệ thống phát hiện xâm nhập trong nội bộ

IDS Hệ thống phát hiện xâm nhập trái phép

13

IDMEF (Intrusion Detection Message Exchange Format) Chuẩn trao

đổi thông điệp về phát hiện xâm nhập

IDSL (Intergrated Service Digital Network DSL) Kênh thuê bao

sốdịch vụ tích hợp (tốc độ download 144Kbps, upload 144Kbps, khoảng cách 10700m)

IODEF (Incident Object Description and Exchange Format) Chuẩn

mô tả và trao đổi thông tin về sự cố

IPS Hệ thống phòng ngừa xâm nhập trái phép

ISP (Internet Service Provider) Nhà cung cấp dịch vụ Internet

IXP (Internet eXchange Provider) Nhà cung cấp kết nối Internet

Malware Phần mềm độc hại

MIME (Multipurpose Internet Mail Extensions) Chuẩn mở rộng thƣ

điện tử internet đa dụng

MSDSL (Multirate Symetric DSL) Kênh thuê bao số đối xứng đa tốc

độ (download 2Mbps, upload 2Mbps, khoảng cách 8800m)

NSAIR Tên riêng của Phân hệ tiếp nhận thông tin ATM tự động

NSIDB (Network Security Information DataBase) Tên riêng cho

CSDL thông tin giám sát an toàn mạng

Plugin Tiện ích

Router Thiết bị định tuyến

RADSL (Rate Adaptive DSL) Kênh thuê bao số phi đối xứng thích

nghi tốc độ (Download 7Mbps, upload 1Mbps, khoảng cách 5500m)

SAMS Tên riêng của Phân hệ tiếp nhận và hỗ trợ xử lý thông báo sự

Sensor Thiết bị cảm biến (phát hiện tấn công mạng)

SIG Gate Tên riêng của Cổng tiếp nhận thông tin an toàn mạng

SIGS (Security Information Getting System) Tên riêng của Hệ

thống trung tâm thu thập thông tin an toàn mạng

14

SIPS (Security Information Processing System) Tên riêng của Hệ

thống xử lý thông tin, theo dõi, thống kê, cảnh báo và điều khiển

SMNP (Simple management Network Protocol) Giao thức trao đổi

thông tin quản lý mạng

STM - x Chế độ truyền tin đồng bộ theo phương thức SDH mức x

(x=1, 4, 16 tương ứng tốc độ truyền 155 Mbps, 622 Mbps, 2,5Gbps)

Switch Thiết bị chuyển mạch

Syslog Chuẩn Syslog lưu trữ và trao đổi file log

TTATM Thông tin an toàn mạng

UML (Unified Modeling Language) Ngôn ngữ mô hình hóa thống

nhất

URL (Uniform Resource Locator) Tên tìm kiếm tài nguyên (mạng)

VDSL (Veryhigh bit-rate DSL) Kênh thuê bao số phi đối xứng tốc

độ rất cao (Download 52Mbps, upload 16Mbps, khoảng cách 1200m)

VNCERT Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam

VNIX (Vietnam National Internet eXchange) Hệ thống chuyển

mạch kết nối trung chuyển quốc gia của Việt Nam

XML (Extensible Markup Language) Ngôn ngữ đánh dấu mở rộng

15

CHƯƠNG I NGHIÊN CỨU THIẾT KẾ KIẾN TRÚC TỔNG THỂ HỆ THỐNG, CHỌN LỌC CÁC CHUẨN

THÔNG TIN VÀ THIẾT BỊ

Sản phẩm phải đạt là các bản báo cáo kỹ thuật phân tích thực trạng và

đề xuất các yêu cầu tổng thể về thiết kế hệ thống thu thập và phân tích, tổng hợp thông tin mô tả về sự cố mạng, thông tin về trạng thái luồng tin và đặc điểm các gói tin đi qua nút mạng do các thiết bị sensor và một số thiết bị bảo

vệ mạng xử lý và ghi nhận Chọn lọc mô hình chung, các chuẩn cơ bản và các thiết bị phục vụ đưa ra thiết kế phù hợp với điều kiện Việt Nam, tiên tiến và khả thi về công nghệ và tiết kiệm về chi phí, đảm bảo hệ thống có tính an toàn cao đồng thời trao đổi thông tin thuận lợi với các tổ chức ứng cứu khẩn cấp máy tính (CERT) của các quốc gia khác

I.1 Nghiên cứu đề xuất mục tiêu, yêu cầu và cấu trúc chung của hệ thống giám sát an toàn mạng Internet

I.1.1 Hiện trạng tổ chức hạ tầng mạng Internet và các nguy cơ mất an toàn thông tin của mạng Internet Việt Nam

a) Hiện trạng tổ chức hạ tầng mạng Internet Việt Nam (2009)

Hệ thống mạng Internet ở Việt Nam bao gồm từ các kênh và cổng kết nối quốc tế cho đến các đầu nối đến mỗi người dùng Internet Qua khảo sát nghiên cứu thực tiễn trong giai đoạn cuối 2008-đầu 2009, các hệ thống mạng của các nhà cung cấp dịch vụ Internet chủ yếu ở nước ta (bao gồm các nhà cung cấp kết nối Internet IXP và các nhà cung cấp dịch vụ truy cập Internet ISP) có thể khái quát tổ chức mạng thành các mức như sau:

Mô hình mạng lõi (core) của nhà kết nối Internet (IXP)

Sơ đồ nguyên lý của mô hình mạng lõi (core network) của nhà kết nối Internet (IXP) được trình bày trên hình vẽ 1.1

Các thiết bị cơ bản gồm Gateway, Router, Edge Router (Router ngoại vi)

16

Đường truyền Internet quốc tế vào Việt Nam được nối với các Gateway

sử dụng một hay nhiều kênh truyền cáp quang STM-1, , STM-16 với tốc độ truyền tin trong khoảng 155Mbps đến 2.5Gbps Các IXP thường sử dụng hệ thống catching (bộ lưu đệm) dữ liệu đầu vào để loại trừ các truy nhập Internet quốc tế trùng nhau

Hình I.1: Mô hình mạng lõi (Core) của nhà kết nối Internet

17

Các Gateway được nối với các Router chính trong mạng core đặt ở Hà Nội, TP.HCM và Đà Nẵng bằng một hay nhiều kênh truyền STM-x tốc độ truyền 155Mbps đến 2.5Gbps

Các Router tạo thành mạng lõi (core network) thường được nối với nhau bằng đường nhiều kênh STM-16 với lưu lượng khoảng n lần 2.5Gbps

Từ mạng lõi (core) thường nối tới các bộ định tuyến ngoại biên (Edge Router) bằng các kênh truyền STM-x, hay các kênh Ethernet tốc độ cao (GE/FE) Tùy từng nhu cầu và điều kiện thực tiễn, kênh truyền có thể đạt tốc

độ truyền đến vài Gbps

Từ các bộ định tuyến ngoại biên (Edge Router) có thể kêt nối tới các mạng trung chuyển nội địa, các nhà cung cấp dịch vụ Internet ISP (Internet service provider) hay các khách hàng lớn (mạng riêng) bằng các kênh truyền STM-x, hay các kênh Ethernet tốc độ cao Gigabit (GE) hay Fast Ethernet (FE), hoặc kết nối tới các khách hàng thông thường bằng các đường leased-line hay các kênh truyền xDSL với tốc độ truyền từ 64 Kbps đến 52 Mbps tùy từng loại cáp được sử dụng và khoảng cách từ thuê bao đến các tổng đài xDSL bao gồm: ADSL, HDSL, IDSL, MSDSL RADSL, SDSL, STM -

x

Kết nối trung chuyển Internet trong nước

Trung tâm Internet Việt Nam VNNIC cung cấp hệ thống VNIX (Vietnam National Internet eXchange) là hệ thống chuyển mạch để kết nối trung chuyển lưu lượng Internet trong nước giữa các doanh nghiệp cung cấp dịch vụ kết nối Internet IXP Các ISP nhỏ cũng có thể tham gia theo nhu cầu

Sơ đồ nguyên lý kết nối trực tiếp và trung chuyển Internet trong nước của các IXP được trình bày trên hình vẽ 1.2

18

Hình I.2: Mô tả Kết nối Internet trung chuyển trong nước

Với sự ra đời của hệ thống VNIX, một lượng lớn các lưu lượng trao đổi giữa các nhà cung cấp dịch vụ kết nối đã được lưu chuyển trong nước, làm giảm thiểu băng thông kết nối quốc tế, tăng chất lượng của dịch vụ Internet Hình sau cho biết sơ đồ kết nối trung chuyển qua hệ thống VNIX

Hình I.3: Sơ đồ kết nối trung chuyển qua VNIX

19

Các doanh nghiệp cung cấp kết nối Internet IXP (Internet eXchange Provider) của Việt Nam có băng thông kết nối trong nước qua VNIX (Vietnam National Internet eXchange) trung tâm Internet Việt Nam bằng đường cáp có băng thông từ 1Gbps đến 3x1Gbps

Ngoài ra giữa các nhà cung cấp dịch vụ còn thực hiện thiết lập các đường kết nối dự phòng để đảm bảo cung cấp dịch vụ tốt nhất cho khách hàng

kể cả khi xảy ra sự cố về mạng hay đường dây

Bản thân các doanh nghiệp cung cấp kết nối Internet cũng có thể kết nối trực tiếp với nhau bằng các đường nối giữa các router biên, với băng thông thường thường khoảng từ 256Kbps đến 1Gbps

Các ISP khác và các khách hàng cũng có thể kết nối trực tiếp với trung tâm Internet Việt Nam VNIX

Kết nối từ nhà cung cấp kết nối Internet đến khách hàng

Nhà cung cấp kết nối Internet (IXP) thông thường cũng là một nhà cung cấp dịch vụ Internet (ISP) lớn, ngoài ra IXP còn có khách hàng là các đại lý lớn (ví dụ: bưu điện tỉnh), các nhà cung cấp dịch vụ Internet (ISP) khác, các

cơ quan, tổ chức hay doanh nghiệp có mạng riêng lớn

Sơ đồ nguyên lý ví dụ cho một mạng khách hàng của IXP được trình bày trên hình vẽ sau

20

Hình I.4: Kết nối từ Nhà cung cấp dịch vụ kết nối Internet đến khách hàngIXP kết nối với các khách hàng lớn thông qua các bộ định tuyến truy cập (Accesss Router) và các bộ định tuyến biên (Edge Router) Thường sử dụng kênh cáp quang hoặc đường lease-line, với các chuẩn đa dạng STM-x, GE,

FE, xDSL, nx64Kbps, dial-up

Băng thông có thể thay đổi từ nhỏ đến vài Gbps

Kết nối Internet của Bưu điện tỉnh

Sơ đồ nguyên lý kết nối khách hàng của một Bưu điện địa phương (tỉnh, thành phố) hoặc một ISP lớn được trình bày trên hình vẽ 1.5

21

Hình I.5: Sơ đồ kết nối khách hàng của một Bưu điện địa phương

Các bưu điện tỉnh thường sử dụng một máy chủ truy cập từ xa băng rộng BRAS để kết nối tới Edge Router của nhà cung cấp kết nối Internet (IXP)

Từ BRAS kết nối dịch vụ Internet tới khách hàng thông qua hệ thống mạng phân cấp với các thiết bị chuyển mạch (switch/core switch) và bộ dồn

22

ghép kênh (DSLAM/Hub-DSLAM), các router, modem và các điểm truy cập không dây

Thông thường, khi một thuê bao kết nối vào Internet, nhà cung cấp dịch

vụ Internet (ISP) sẽ cấp cho kết nối này một địa chỉ IP động (ví dụ DHCP server trong dịch vụ dial-up hay BRAS trong dịch vụ ADSL) Đôi khi BRAS còn có nhiệm vụ như một RADIUS server để kiểm tra chứng thực khách hàng

Đường truyền để kết nối từ BRAS tới Edge Router của nhà cung cấp kết nối Internet (IXP) thường là cáp quang hay cáp đồng, dùng các chuẩn STM-x, xDSL, nx64Kbps

Từ BRAS kết nối tới các thiết bị chuyển mạch (switch/core switch) và

bộ dồn ghép kênh (DSLAM/Hub-DSLAM) bằng các đường truyền STM-1, STM-4, GE, FE và các chuẩn xDSL

Kết nối DSLAM tới Hub-DSLAM bằng các đường cáp STM-1 hay E1, dùng chuẩn xDSL tốc độ 144Kbps đến 52 Mbps

Kết nối từ DSLAM đến khách hàng cuối bằng các đường cáp đồng với chuẩn ADSL với băng thông từ 64 Kbps đến 8 Mbps hoặc các đường Dial-up tốc độ 56 Kpbs

Ngoài ra còn sử dụng các điểm truy cập không dây (Access point) Khách hàng có thể truy cập Internet thông qua các điểm truy cập không dây với tốc độ khoảng 64kpbs

Kết nối từ ISP đến khách hàng

ISP có thể là một mạng con của IXP hoặc một ISP độc lập Nhiều mạng Internet dùng riêng của một tổ chức lớn cũng có thể có cấu trúc chung như một ISP

23

Các ISP có thể tạo thành các mức cung cấp dịch vụ nhiều cấp, có thể kết nối trực tiếp với nhau để chuyển lưu lượng thông tin trong nước theo đường ngắn hơn và tạo thành các đường kết nối Internet dự phòng

Sơ đồ nguyên lý của mạng dịch vụ ISP cung cấp cho khách hàng đầu cuối được trình bày trên hình vẽ 1.6

ISP kết nối với các IXP (an Internet eXchange Provider: Các doanh nghiệp cung cấp dịch vụ kết nối) bằng cáp quang với chuẩn STM-1, STM-4, STM-16 tốc độ khoảng 155Mbps đến 2.5Gbps

Từ các bộ định tuyến ngoại biên (Edge Router) có thể kết nối tới các mạng trung chuyển nội địa, các nhà cung cấp dịch vụ Internet ISP (Internet service provider) hay các khách hàng lớn (mạng riêng) bằng các kênh truyền STM-x, hay các kênh Ethernet tốc độ cao (GE/FE), hoặc bằng các đường leased-line hay các kênh truyền xDSL với tốc độ truyền từ 64 Kbps đến 52 Mbps tùy từng loại cáp được sử dụng và khoảng cách từ thuê bao đến các tổng đài

Từ các ISP lại kết nối với các ISP khác bằng các đường cáp quang (Fiber optic), xDSL, STM với tốc độ truyền từ 144Mbps đến 2.5Gbps

24

Hình I.6: Sơ đồ kết nối từ ISP đến khách hàng

Từ các ISP sẽ kết nối tới các khách hàng thông thường thông qua các điểm truy cập không dây, cáp ADSL, hoặc đường quay số Dial-up với tốc độ băng thông trong khoảng từ 56Kbps tới khoảng 8Mbps

Các ISP, các công ty dịch vụ, các tổ chức lớn, bưu điện các tỉnh kết nối với khách hàng bằng các đường ADSL (Asymetric Digital Subscriber Line) với tốc độ download 8 Mbps, upload 800 Kbps, các đường Dial-up tốc độ 64Kbps hoặc các đường Leased-line nx64 Kbps, hoặc thông qua các điểm truy cập không dây chuẩn 802.11 a/b/g/n

Kết nối mạng diện rộng dùng riêng qua Internet

25

Các tổ chức hay doanh nghiệp lớn, có địa bàn phân tán thường tổ chức mạng dùng riêng theo công nghệ Internet (Intranet/Extranet) Nhiều mạng dùng riêng của một tổ chức, doanh nghiệp lớn tổ chức như một mạng diện rộng gồm nhiều phân mạng hay mạng cục bộ kết nối với nhau trên cơ sở hạ tầng truyền dẫn Internet với các kênh kết nối báo mật, hay đường hầm truyền tin có mã hóa

Thông thường các thành phần của mạng dùng riêng được kết nối với Internet thông qua các ISP tại địa phương, và sử dụng các đường truyền dẫn theo công nghệ chung như mô tả ở các phần trên

Các công nghệ kết nối cụ thể phụ thuộc vào độ xa và nhu cầu dung lượng băng thông của mạng dùng riêng Các đường truyền thông thường hay được sử dụng là các đường leased-line hay xDSL với tốc độ không quá vài Mbps Nhưng tổ chức siêu lớn có thể sử dụng kết nối cáp quang nhưng cũng không mấy khi băng thông vượt quá vài chục Mbps

Các kênh thông tin dùng riêng được chuyển trong các đường hầm mã hóa với công nghệ như SSL, VPN IP-Sec,…

Nhiều tổ chức, doanh nghiệp không chỉ sử dụng hạ tầng Internet để kết nối mạng diện rộng mà còn cung cấp khả năng truy nhập Internet cho các nhân viên của mình

Một số nhận xét chung

Về cơ bản mạng Internet Việt Nam có tổ chức phân cấp và có hệ thống catching dữ liệu trong kết nối quốc tế Ngoài ra, các nhà cung cấp dịch vụ Internet và các dịch vụ giá trị gia tăng hoạt động trên Internet có thể có kết nối chéo trực tiếp và kết nối trung chuyển trong nước với dung lượng băng thông lớn

Điều này tạo ra trong không gian Internet Việt Nam nhiều luồng thông tin cơ bản khác nhau:

26

Luồng tin đi-về quốc tế (ra Internet)

Luồng tin đi-về đến các bộ đệm (catching)

Luồng tin nội bộ trong nước (qua trung chuyển)

Thống kê đến tháng 11/2009 đã có:

Tổng băng thông kênh quốc tế của Việt Nam 2008 32,995 Mbps Tổng lưu lượng qua trạm trung chuyển VNIX 2008 31,856,896 Gbytes

b) Các nguy cơ đe dọa an toàn thông tin đối với Internet Việt Nam

Các vấn đề về an toàn thông tin

An toàn thông tin bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ

và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con người gây ra Việc bảo vệ thông tin, tài sản và con người trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tượng một cách sẵn sàng, chính xác và tin cậy An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an toàn mạng (Nghị định 64/2007/NĐ-CP)

An toàn thông tin trong hạ tầng viễn thông liên quan đến một số loại mạng như sau: Hệ thống viễn thông cố định, Hệ thống thông tin di động, mạng truyền số liệu, Mạng Internet, Hệ thống thông tin của quân đội, Hệ thống mạng chuyên dùng phục vụ điều hành của các cơ quan Đảng, Chính phủ

27

Các ứng dụng lớn về công nghệ thông tin ở nước ta hiện nay ngày càng nhiều và khả năng cung cấp dịch vụ của chúng ngày càng phụ thuộc sâu hơn vào tình trạng hoạt động và đặc biệt vào khả năng đảm bảo an toàn an ninh của mạng Internet quốc gia (gọi tắt là mạng quốc gia)

Việc ứng dụng CNTT và Internet rộng rãi trong mọi mặt hoạt động của đời sống kinh tế - xã hội đã biến nhiều hệ thống mạng của một ngành hay một lĩnh vực trở thành những cơ sở hạ tầng trọng yếu về CNTT có tầm an ninh quốc gia Ví dụ như các hệ thống mạng thuộc các lĩnh vực chính phủ điện tử, thương mại điện tử, báo chí điện tử, thanh toán ngân hàng, chứng khoán trực tuyến, bán vé máy bay tàu hỏa, hải quan điện tử, thông tin liên lạc qua Internet

Các hiểm họa chung trên không gian Internet

Kinh nghiệm quốc tế cho thấy các hiểm họa sau:

Virus máy tính và mã độc: Ngày này việc phòng chống virus đứng trước

một thách thức khác với trước đây: mọi sự kiện đều dẫn tới nhu cầu “phát hiện sớm nguy cơ” Nếu như trước đây các chuyên gia có vài giờ để phản

ứng với một nguy cơ mới thì bây giờ chỉ có thời gian tính bằng phút

Nạn lừa đảo trên mạng: Thời gian gần đây, nạn lừa đảo (phishing) trên

Internet phát triển mạnh Nó gây ra một mối đe dọa nghiêm trọng đối với người tiêu dùng và các doanh nghiệp làm ăn trên Internet, trở thành một hiểm họa an ninh thực sự, song song với quá trình phát triển của tội phạm tài chính trên các kênh điện tử

Nạn thư rác (Spam) : Thư rác hiện đang là một vấn đề đáng quan ngại

trên trên thế giới Theo một báo cáo của hãng bảo mật Sophos (Anh) đưa ra vào tháng 12/2004, thì hơn 20% thư rác trên toàn thế giới có nguồn gốc từ Trung Quốc và Hàn Quốc và "EU không thể một minh chống lại thư rác bởi

về bản chất đây là vấn đề không biên giới Thiệt hại trong năm 2004 do thư

28

rác gây ra đã lên tới 50 tỷ USD và hàng năm thế giới sẽ phải bỏ ra 1,7 tỷ để chống lại căn bệnh này

Hacker: Ngoài những nguy cơ như vi rút, sâu, nạn thư rác, nạn lừa đảo,

khiêu dâm trẻ em, thì Hacker đang là một vấn nạn trên toàn cầu khi mà không gian địa lý và biên giới quốc gia không còn là một trở ngại trong không gian mạng, khi mà các giao dịch điện tử đang là xu hướng tất yếu của tất cả các nước trong hội nhập và hợp tác

Ngoài các vụ do virus, sâu máy tính gây ra, thì tấn công trên mạng cũng thường xuyên xảy ra trên toàn thế giới Các nước kém về ATTT sẽ là nơi thuận lợi cho các hacker lợi dụng để làm bàn đạp tấn công trên mạng

Các hệ thống dựa trên phần mềm nguồn mở cũng bị tân công

Theo kết quả nghiên cứu kéo dài 4 năm của hãng WebCohort, thì đại bộ phận các ứng dụng web đang mở rộng cửa trước các cuộc tấn công của hacker, có tới 92% ứng dụng trực tuyến không đảm bảo an ninh

Sự bùng nổ botnet đang là một vấn đề lớn Những phần mềm ký sinh (bot) được bí mật cài đặt lên máy tính của nạn nhân và kết nối những “PC ma” này thành từng mạng con (botnet) với số lượng từ vài trăm máy tính đến khoảng và trăn ngàn máy tính để thực hiện những mục đích riêng

Hậu quả của mất ATTT

Hỏng hóc hệ thống thiết bị

Ngừng trệ công việc

Để lộ/mất thông tin

Chịu trách nhiệm trước pháp luật

Giảm hiệu quả dịch vụ

Tổn hại uy tín quốc gia

Tổn hại tài sản thông tin

Tốn tiền, thời gian của cổng đồng

Tốn tiền khôi phục hoạt động

Giảm năng lực cạnh tranh của nền kinh tế

29

c) Khảo sát hiện trạng an toàn thông tin trên Internet Việt Nam

+ Một số số liệu thống kê nghiệp vụ về sự cố an toàn thông tin

Virus máy tính năm 2007 (tại Việt Nam ) Số lượng

Số lượt máy tính bị nhiễm virus 33.646.000 lượt máy tính

Số virus mới xuất hiện trong năm 6.752 virus mới

Số virus xuất hiện trung bình trong 1 ngày 18,49 virus mới / ngày Virus lây lan nhiều nhất trong năm:

W32.Winib.Worm

Lây nhiễm 511.000 máy tính

Năm Số virus mới xuất hiện Tỷ lệ máy tính bị nhiễm virus (%)

+ Số phiên bản virut mới xuất hiện trung bình một tháng

Số vụ tấn công các website VN từ nước ngoài

+ Số vụ tấn công các website VN từ nước ngoài

11 9 6

7 13 3

2 12

15%

15%

31

+ Xu hướng mất ATTT gia tăng

Các vụ tấn công: virus, web hacking, DoS& DDoS, DNS…

Tội phạm máy tính: trộm tài khoản ATM & tín dụng, tài khoản điện thoại di động, tấn công hệ thống các của doanh nghiệp, phát tán virut…

Lừa đảo qua Email, phishing: tăng liên tục (hơn 3 lần qua năm 2008) Năm 2007 xuất hiện mới các vụ tấn công DNS và trở nên trầm trọng hơn trong 2008

Năm 2008 các nguồn phát tán thư rác bắt đầu được chú ý thông báoxử

lý

Xu hướng: chỉ số thống kê cho thấy số sự cố an toàn thông tin hiện

nay vẫn đang diễn biến tăng theo quy luật cấp số nhân

b) Số liệu điều tra khảo sát hiện trạng an toàn thông tin năm 2008

Năm 2008 trong khuôn khổ đề tài, VNCERT phối hợp với VNISA tiến hành điều tra hiện trạng đảm bảo an toàn thông tin trong các cơ quan nhà nước và doanh nghiệp cả nước trên cơ sở phát hành phiếu điều tra thăm dò nhằm đánh giá nhận thức và mức độ ứng dụng an toàn thông tin

Số liệu kết quả tổng hợp thông tin điều tra

+ Tỷ lệ đơn vị có nhân viên chuyên trách hoặc bán chuyên trách về ATTT

+ Tỷ lệ đơn vị có ban hành quy chế về an toàn thông tin

Doanh nghiệp miền B ắc

Doanh nghiệp miền Nam

32

+ Tỷ lệ đơn vị có quy trình xử lý sự cố về an toàn thông tin

+ Tình hình áp dụng giải pháp và công nghệ đảm bảo an toàn thông tin

Mã hóa (Encrytion) Tường lửa (Firewall) Chứng chỉ số, chữ ký số (Digital Certificate, Digital Signature)

Đặt mật khẩu cho tài liệu Sinh trắc học (Biometrics, ví dụ kiểm tra dấu vân tay….)

Hệ thống phát hiện xâm nhập (IDS) cho máy chủ

Lọc nội dung web Mật khẩu có thể sử dụng lại (Reusable password)

Thẻ thông minh, mật khẩu dùng 1 lần (One-time-password)

Hệ thống phát hiện xâm nhập mạng (IDS) Kiểm soát tiếp cận (Access Control)

Bộ lọc chống thư rác (Anti-Spam) Phần mềm chống virus(Anti-Virus)

Việt Nam 2008 Mỹ 2007

33

+ Nhận biết về sự cố ATTT (2008)

+ Số tổ chức biết bị tấn công (ít nhất 1 lần trong năm 2008)

+ Tỷ lệ CQNN có khả năng ghi nhận các cuộc thử tấn công

Mạng riêng ảo VPN

Mã hóa (Encrytion) Tường lửa (Firewall) Chứng chỉ số, chữ ký số (Digital Certificate, Digital Signature)

Đặt mật khẩu cho tài liệu Sinh trắc học (Biometrics, ví dụ kiểm tra dấu vân tay….)

Hệ thống phát hiện xâm nhập (IDS) cho máy chủ

Lọc nội dung web Mật khẩu có thể sử dụng lại (Reusable password)

Thẻ thông minh, mật khẩu dùng 1 lần (One-time-password)

Hệ thống phát hiện xâm nhập mạng (IDS) Kiểm soát tiếp cận (Access Control)

Bộ lọc chống thư rác (Anti-Spam) Phần mềm chống virus(Anti-Virus)

Việt Nam 2008 Mỹ 2007

Không, 69%

Không rõ, 8%

Có, 23%

34

+ Tỷ lệ CQNN biết được nguồn gốc các vụ tấn công

+ Tỷ lệ CQNN biết được tổn thất tài chính khi bị tấn công

+ Dự kiến tỷ lệ đầu tƣ cho an toàn thông tin trong ngân sách CNTT

+ Quan điểm về vấn đề khó khăn nhất trong đảm bảo an toàn thông tin

Nước ngoài 24%

Trong nước 10%

Không 87%

Có 13%

0% 10% 20% 30% 40% 50% 60% Các vấn đề khác với các vấn đề nêu trên

Việc cần thiết áp dụng nguyên tắc quản lý rủi ro

(Risk Management)

Việc quản lý chặt chẽ cấu hình hệ thống mạng

(Configuration Management)

Những hệ thống máy tính không được quản lý tốt

Lãnh đạo chưa hỗ trợ đúng mức cần thiết cho

ATTT

Việc phản ứng nhanh và chính xác khi xảy ra

những vụ tấn công máy tính

Việc xác định mức độ ưu tiên của ATTT trong

tương quan chung

Việc cập nhật những cách thức tấn công hay

những điểm yếu mới xuất hiện

Sự thiếu hiểu biết về an toàn thông tin trong tổ

chức

Việc nâng cao nhận thức cho người sử dụng về

bảo mật máy tính

CQNN D nghiệp

35

d) Nhận định chung

Nhiều tổ chức, doanh nghiệp không chỉ sử dụng hạ tầng Internet để kết nối mạng diện rộng mà còn cung cấp khả năng truy nhập Internet cho các nhân viên của mình Điều này có thể tạo ra các kênh thông từ hệ thống nội bộ cần bảo vệ nghiêm ngặt ra đến không gian mạng Internet quốc tế

Các thiết bị công nghệ chủ yếu nhập khẩu của nước ngoài Chủng loại và xuất xứ thiết bị có gam màu tương đối “sặc sỡ”, đa dạng

Người dùng quen sử dụng các phần mềm không bản quyền, không được nâng cấp và vá lỗ hổng an toàn thông tin Nhiều hệ thống ứng dụng được xây dựng với công nghệ thấp, không có thiết kế chuyên nghiệp, không tuân thủ các chuẩn về an toàn thông tin

Các IXP và ISP chủ yếu cung cấp dịch vụ kết nối cho khách hàng với sự quan tâm sử dụng tối đa dung lượng băng thông, không quan tâm nhiều đến việc giám sát sự cố an toàn thông tin trên mạng Trách nhiệm đảm bảo an toàn thông tin hầu như chỉ của các khách hàng đầu cuối Một số ít thiết bị giám sát

và đảm bảo an toàn mạng được lắp đặt ở mạng người dùng đầu cuối

Các IXP và ISP cũng chỉ lắp đặt thiết bị an toàn mạng cho phân khúc mạng nội bộ của mình

Từ các nhà cung cấp dịch vụ Internet đến khách hàng còn ít quan tâm đầu tư cho các hệ thống đảm bảo an toàn mạng, cùng với những đặc điểm đã phân tích nêu trên làm cho không gian mạng Internet Việt Nam hiện tại đang

là một trong những môi trường có nhiều nguy cơ mất an toàn thông tin nhất trong không gian Internet toàn cầu

Trên 50% tổ chức quản lý lỏng lẻo, thiếu trách nhiệm, thiếu quan tâm về

an toàn thông tin

Phần lớn chưa có quy trình ứng phó với sự cố, một nửa có dự kiến xây dựng quy trình đó trong 3 tháng

36

Báo cáo về sự cố chưa đầy đủ, chưa sử dụng được nhiều sự hỗ trợ của lực lượng chuyên nghiệp Một phần lớn báo cáo không kịp thời

Công nghệ yếu (thiếu, lạc hậu, không cập nhật)

Trình độ hiểu biết, khả năng đánh giá nguy cơ thấp

Chi tiêu có xu hướng tăng, nhưng tỷ lệ không biết định hướng vẫn còn rất cao

Khó khăn nhất là khâu nhận thức, kiến thức

Số vụ việc an toàn thông tin ở Việt Nam ngày càng tăng nhanh,

Kỹ thuật tin tặc ngày càng cao nhưng lại được phổ cập và dễ sử dụng Một bộ phận tin tặc có chiều hướng chuyên nghiệp hóa

Mục đích kinh tế của các vụ việc an toàn, an ninh mạng ngày càng rõ nét

Thực tế mạng Internet Việt Nam đang đối mặt với những nguy cơ sau:

Sự cố phát tán virus và tấn công trên mạng

Phát triển các mạng máy tính ma (bots network) để tổ chức tấn công từ chối dịch vụ, gửi thư rác, quảng cáo dạng popup,… đặc biệt là chuẩn bị cho hình thức tấn công nguy hiểm và khó chống đỡ nhất trên Internet- DDoS Gửi thư rác với quy mô lớn

Các dịch vụ viễn thông kể cảc điện thoại di động với nền tảng công nghệ tích hợp với mạng máy tính và các thiết bị sử dụng hệ điều hành sẽ năm trong tầm ngắm của hacker và chịu sự tác động của các hình thái tấn công mạng Hàng loạt website có độ bảo mật kém của Việt Nam sẽ bị tấn công nghiêm trọng bởi các công cụ tự động do mắc các lỗi bảo mật phổ biến

Tội phạm máy tính: Ăn trộm thẻ tín dụng, thẻ ATM, trộm cắp tài khoản điện thoại di động, Các hoạt động liên quan đến làm giả, mua hàng, rửa tiền bằng thẻ tín dụng

Bảo kê và tấn công các hệ thống thương mại điện tử vì lý do kinh tế và cạnh tranh

37

Trộm cắp thông tin cá nhân; bôi xấu, xúc phạm nhân phẩm người khác Lừa đảo qua thư và tin nhắn điện tử (phishing)

Nhu cầu xây dựng hệ thống giám sát an toàn mạng

Nhìn từ góc độ vĩ mô của mỗi quốc gia, vấn đề đảm bảo an toàn thông tin, phòng chống tin tặc trên mạng quốc gia liên quan đến 3 khía cạnh chính: Đảm bảo an toàn mạng quốc gia; giám sát và quản lý kỹ thuật an toàn mạng; kiểm soát, phòng chống và cảnh báo các cuộc tấn công mạng quốc gia; điều phối ứng cứu phản công để bảo vệ mạng quốc gia; đảm bảo an toàn mạng thông tin cho cộng đồng, khối cơ quan nhà nước, doanh nghiệp và các

tổ chức xã hội khi sử dụng Internet

Điều tra xử lý tội phạm mạng, chống tội phạm công nghệ cao, đảm bảo

an ninh quốc gia và trật tự an toàn xã hội, chống các âm mưu tin tặc gây rối, phá hoại và những tác động tiêu cực đến các hoạt động kinh tế chính trị xã hội

Đảm bảo an ninh mạng trong các lĩnh vực quốc phòng, an ninh quốc gia, chống khủng bố trên mạng và chiến tranh trên mạng, chống các âm mưu gián điệp tình báo xâm phạm đến an ninh quốc gia, bảo vệ các bí mật quốc gia Những nhận định ở mục trước cho thấy nếu thiếu sự hỗ trợ kỹ thuật mạnh mẽ từ phía các tổ chức và lực lượng chuyên nghiệp an toàn thông tin thì còn một thời gian rất lâu tình hình đảm bảo an toàn mạng mới được cải thiện Điều đó sẽ đe dọa trực tiếp và đáng kể đến sự an toàn của các dịch vụ và các ứng dụng lớn về CNTT

Trong bối cảnh hội nhập quốc tế và các quốc gia đang muốn đẩy mạnh ứng dụng CNTT thì việc xây dựng hệ thống đảm bảo an toàn mạng quốc gia

là điều không thể tránh được Đó cũng chính là những việc mà các tổ chức về công nghệ thông tin và truyền thông quốc tế đang hết sức khuyến khích Điều

đó cũng là một biện pháp quan trọng thực hiện cam kết của mỗi quốc gia với

I.1.2 Mục tiêu khả thi cho Hệ thống theo dõi giám sát an toàn mạng Internet Việt Nam

a) Đánh giá bài học kinh nghiệm từ một số mô hình của nước ngoài

Chúng ta có thể học tập kinh nghiệm triển khai các hệ thống giám sát và cảnh bảo an toàn mạng thuộc các trung tâm kỹ thuật an toàn mạng quốc gia của các nước như đã giới thiệu trong phần phụ lục, Đó là:

Hệ thống cảnh báo an toàn mạng ARAKIS của Trung tâm Ứng cứu khẩn cấp máy tính Ba Lan (CERT Polska)

Các hệ thống giám sát an toàn mạng “Honeypot” (bẫy tấn công mạng) và

“SpamPots” (bẫy thư rác) của Trung tâm Ứng cứu khẩn cấp máy tính Brazil – CERT.BR

Hệ thống giám sát an toàn mạng của Trung tâm Ứng cứu khẩn cấp máy tính của chính phủ Hà Lan (GOVCERT.NL)

Trung tâm An toàn mạng Hàn Quốc KISC thuộc Trung tâm Điều phối ứng cứu khẩn cấp máy tính Hàn Quốc (KrCERT/CC)

Trung tâm Điều phối hoạt động an toàn mạng Chính phủ GSOC thuộc Trung tâm An toàn thông tin Quốc gia Nhật Bản

Trên tổng thể, các hệ thống giám sát và cảnh báo an toàn mạng quốc gia thường bao gồm các phân hệ kỹ thuật chức năng chủ yếu là:

Phân hệ thu thập thông tin trên mạng quốc gia từ các nguồn khác nhau như: các kênh thông báo, các thiết bị bảo vệ mạng và các sensors

39

Phân hệ truyền tải thông tin an toàn mạng về máy chủ xử lý tại trung tâm quốc gia

Phân hệ cơ sở dữ liệu lưu trữ thông tin an toàn mạng quốc gia

Phân hệ hỗ trợ phân tích và xử lý thông tin

Phân hệ hỗ trợ cảnh báo sự cố sự cố và quản lý an toàn mạng;

Mỗi quốc gia có một chiến lược phát triển hệ thống giám sát an toàn mạng riêng của mình nhưng đều tiến tới xây dựng đủ các chức năng như trên Đặc điểm nổi bật là các trung tâm này được xây dựng theo các thiết kế riêng biệt và sử dụng các phần mềm chuyên dụng được bảo mật tuyệt đối, không chuyển giao cho nơi khác vì lý do an toàn Ngay cả khi phần hệ thống

đó được phát triển trên nền công nghệ mã nguồn mở thì họ cũng không bao giờ công bố kỹ thuật thực mà họ đang sử dụng

Về quy mô triển khai hệ thống

Quy mô: phạm vi từ quy mô nhỏ là các mạng doanh nghiệp, đến quy mô lớn là quốc gia, và quy mô đa quốc gia

Đường truyền giám sát: Các thiết bị thông thường chỉ giám sát ổn định với các đường mạng tốc độ thấp cỡ FE/STM-1 Với các đường truyền từ cỡ

GE, STM-4 trở lên cần có các thiết bị chuyên dụng để giám sát

Nền tảng Hệ điều hành: thường dùng hệ điều hành Windows và hệ điều hành Linux Các thiết bị xử lý tự động và server thường dùng Linux, các client của hệ thống thì thường phải hỗ trợ cả hệ điều hành Windows

Kết nối mạng: có nhiều phương pháp khác nhau để truy cập được vào mạng Đối với đường truyền mạng tốc độ thấp có thể kết nối sensor bằng việc

sử dụng một cổng HUB, hoặc cổng SPAN trên bộ chuyển mạch (switch) hoặc kết nối một thiết bị giám sát in-line trên mạng Nếu đường truyền tốc độ cao thì phải dùng thiết bị TAP Đặc biệt V-line TAP con giúp cho đường truyền không khi nào bị gián đoạn