HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - VŨ VĂN TUẤN NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THỐNG CHỐNG THẤT THOÁT DỮ LIỆU LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) HÀ NỘI - 2016 i HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - VŨ VĂN TUẤN NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THỐNG CHỐNG THẤT THOÁT DỮ LIỆU CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 LUẬN VĂN THẠC SĨ KỸ THUẬT (Theo định hướng ứng dụng) NGƯỜI HƯỚNG DẪN KHOA HỌC: TS VŨ VĂN THỎA HÀ NỘI - 2016 ii LỜI CAM ĐOAN Tơi cam đoan cơng trình nghiên cứu riêng Các số liệu, kết nêu luận văn trung thực chưa cơng bố cơng trình khác Học viên VŨ VĂN TUẤN iii MỤC LỤC LỜI CAM ĐOAN ii MỤC LỤC iii DANH MỤC CÁC BẢNG vi DANH MỤC CÁC HÌNH vii MỞ ĐẦU Chương : TỔNG QUAN VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN 1.1 Nội dung an toàn bảo mật thông tin 1.2 Các nguy thất thốt, rị rỉ liệu 1.2.1 Mất liệu tình cờ: .8 1.2.2 Mất liệu công nội 10 1.2.3 Mất liệu cơng bên ngồi 12 1.3 Các giải pháp an toàn bảo mật thông tin truyền thống 15 1.3.1 Các chiến lược an toàn hệ thống : 15 1.3.2 Các mức bảo vệ mạng : 16 1.3.3 An tồn thơng tin mật mã 18 1.4 Giải pháp ngăn ngừa mát/rị rỉ thơng tin theo hướng DLP 19 1.4.1 Data-in-Motion: .20 1.4.2 Data-in-Use: 21 1.4.3 Data-at-Rest: .22 1.5 Kết luận chương 23 Chương 2: HỆ THỐNG CHỐNG THẤT THOÁT DỮ LIỆU 25 2.1 Sự xuất DLP 25 2.2 Mô hình, tính hệ thống 26 2.2.1 Quét nội dung 27 iv 2.2.2 Endpoint Protection 28 2.2.3 Giám sát mạng 29 2.2.4 Quản lý trung ương 30 2.3 Công nghệ cốt lõi hệ thống 31 2.3.1 Policies .31 2.3.2 Phân loại liệu 33 2.3.2.1 Phương pháp kết hợp từ khóa 33 2.3.2.2 Phương pháp sử dụng biểu thức thông dụng 33 2.3.2.3 Phương pháp so sánh dấu vân tay liệu sử dụng hàm băm 34 2.3.2.4 Các thuật toán học máy 35 2.4 Một số giải pháp hãng 39 2.4.1 Giải pháp Mcafee .39 2.4.2 Giải pháp Symantec Data Loss Prevention .42 2.4.3 Giải pháp Active Directory Right Management Services Microsoft 42 2.5 Kết luận: 44 CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG THỬ NGHIỆM 45 3.1 Hệ thống thông tin thử nghiệm yêu cầu đặt 45 3.2 Triển khai hệ thống 46 3.2.1 Cấu hình yêu cầu 47 3.2.2 Cấu hình tính Block USB CD-Rom 49 3.2.3 Tạo Tag cho File Server cần bảo vệ liệu 53 3.2.4 Cấu hình tính Block Upload .55 3.2.5 Thiết lập sách 58 3.2.5.1 Phân loại thông tin 58 3.2.5.2 Chính sách quản lý thơng tin 59 3.2.5.3 Quản lý truy cập 60 3.3 Đánh giá hệ thống thử nghiệm: 62 3.3.1 Kết đạt 62 v 3.3.2 Hạn chế hệ thống .62 3.3.3 Các biện pháp khắc phục hạn chế 63 3.4 Kết luận 64 DANH MỤC TÀI LIỆU THAM KHẢO 65 vi DANH MỤC CÁC BẢNG Bảng 1.1.Tần suất lỗi quản trị viên hệ thống[7] 10 Bảng 3.2 Cấu hình yêu cầu hệ thống DLP 47 Bảng 3.3 Các bước tiến hành Block USB CD-Rom 50 Bảng 3.4 Các bước tạo Tag cho File Server cần bảo vệ liệu 53 Bảng 3.5 Cấu hình tính Block Upload 55 vii DANH MỤC CÁC HÌNH Hình 1.1 Sơ đồ tổng quan mạng thơng tin Hình 1.2 Tần số phân loại cố an ninh thông tin[7] Hình 1.3 Các nguy thất thốt, rị rỉ liệu 20 Hình 1.4 Mơ hình giải pháp Data-in-Motion 21 Hình 1.5 Mơ hình giải pháp Data-in-Use 22 Hình 1.6 Mơ hình giải pháp Data-at-Rest 23 Hình 2.1 Mơ hình DLP 26 Hình 2.2 Endpoint DLP - Thi hành sách [6] 28 Hình 2.3 Tổng quan sách 32 Hình 2.4 Mơ hình hệ thống Mcafee 40 Hình 2.5 Mơ hình giải pháp Mcafee 40 Hình 3.1 Mơ hình hệ thống 45 MỞ ĐẦU Tính cấp thiết đề tài Trong năm gần đây, theo nghiên cứu an toàn bảo mật thơng tin, nguy an tồn có xu hướng chuyển từ cơng vào hạ tầng mạng tổ chức, doanh nghiệp để phá hoại, làm uy tín , sang đánh cắp thơng tin tài khoản cá nhân để trục lợi Các nguy rị rỉ, thất thơng tin ngày tăng cao Do vơ tình hay cố ý mà thơng tin nhạy cảm bị rị rỉ, phát tán qua nhiều đường khác như: - Gửi nhầm nội dung upload file chứa thông tin nhạy cảm qua hộp thư cá nhân, chia sẻ file qua mạng xã hội, web cá nhân - Các phần mềm gián điệp, virus, mã độc hại tự động ăn cắp thơng tin, gửi ngồi, thay đổi thơng tin làm tính tồn vẹn liệu mà người dùng Một nghiên cứu IDC (International Data Corporation) hầu hết trường hợp mát liệu sơ ý, mã độc gây Họ ước tính khoảng 80% trường hợp mát liệu vơ tình Tuy nhiên, nhân viên có nhu cầu làm việc thực cần phải gửi thông tin nhạy cảm lại thiếu kênh bảo mật để làm việc Chính vậy, nghiên cứu, ứng dụng giải pháp ngăn ngừa mát, rị rỉ thơng tin thực cần thiết Do đó, học viên lựa chọn nghiên cứu đề tài: “Nghiên cứu ứng dụng hệ thống chống thất thoát liệu” Tổng quan vấn đề nghiên cứu Hiện nay, nhiều doanh nghiệp Việt Nam cung cấp triển khai gói giải pháp ngăn ngừa thất thốt, rị rỉ liệu dựa số sản phẩm thương mại hóa nước ngồi giải pháp chống thất thốt, rị rỉ thơng tin/dữ liệu DLP Check Point, giải pháp Symantec Data Loss Prevention McAfee Data Loss Prevention Endpoint Mỗi giải pháp có ưu điểm vượt trội khác Chính điều học viên chọn nghiên cứu giải pháp chống thất rị rỉ liệu McAfee Data Loss Prevention Endpoint (DLP) Giải pháp DLP thực chức chặn, ngăn ngừa rị rỉ lưu trữ thơng tin thông qua phần sau: Giám sát lưu lượng (Traffic Monitor), giám sát thiết bị (Device Monitor) Lưu trữ thông tin bị chặn xuống Database (Forensic Storage Database) Một ưu điểm quan trọng khác biệt giải pháp McAfee Data Loss Prevention Endpoint ứng dụng cơng nghệ có khả xử lý ngôn ngữ tự nhiên tiếng Việt để xác định nội dung thơng tin, qua tự động phân mục (Category) thơng tin nhanh chóng phát thơng tin có nội dung nhạy cảm cần lưu ý, giám sát Một ưu điểm khác giải pháp phân tích liệu có cấu trúc không cấu trúc: - Dữ liệu không cấu trúc dùng cho giao tiếp người khó phát hiện, giải pháp McAfee Data Loss Prevention Endpoint cung cấp chức khai thác văn (Text Mining) cho phép khám phá liệu không cấu trúc - Xác định tập hợp nguồn, chủ sở hữu nơi đến thông tin, liệu Mục đích nghiên cứu - Nghiên cứu hệ thống chống thất thoát liệu Data Loss Prevention (DLP) - Triển khai thử nghiệm hệ thống DLP ngăn ngừa mát rị rỉ thơng tin đánh giá khả hệ thống Đối tượng nghiên cứu - Các thuật toán phân loại liệu - Hệ thống ngăn ngừa mát rị rỉ thơng tin DLP Phạm vi nghiên cứu - Nghiên cứu nguy rị rỉ thơng tin giải pháp phòng chống - Triển khai thử nghiệm hệ thống thất liệu DLP mơi trường giả lập môi trường thực Phương pháp nghiên cứu Phương pháp nghiên cứu lý thuyết - Đọc tài liệu nghiên cứu giải pháp chống mát liệu - DLP (Data lost prevention) từ hãng giới cách thức hoạt động chúng Phương pháp thực nghiệm - Xây dựng hệ thống McAfee Data Loss Prevention Endpoint đồng thời thử nghiệm, đánh giá kết 51 Tiếp tục chọn Add Item Step 3: Chọn Device Class, chọn tiếp phần CD/DVD drivers USB Click OK 52 Step 4: Thiết lập sách block monitor, notify user Step 5: Add user group cho rule vừa khởi tạo path: Local user 53 Step 6: Tiến hành lưu cấu hình rule Apply rule cho ePO database Step 7: Tiến hành chọn group cần triển khai DLP agent với mục đích cấm USB CDRom 3.2.3 Tạo Tag cho File Server cần bảo vệ liệu Bảng 3.4 Các bước tạo Tag cho File Server cần bảo vệ liệu Step : Tagging Rules > Location Bassed Tagging Rule 54 Step : Check: Network File Servers > Tại Network path:\\Ip File server\ thư mục chia sẻ > Add > OK > Next Step : Tại bước đến bước giữ mặc định >Next Tai bước 7: Add cho file Sever vừa add Tag > OK Finish > 55 3.2.4 Cấu hình tính Block Upload Bảng 3.5 Cấu hình tính Block Upload Step : DLP Policy / Web Destinations >Add New / Web Destinations Step 2: Đặt tên cho Web Destinations mới, Check vào ô Any Web Destinations muốn Block upload lên tất trang add vào trang không muốn upload > Click OK 56 Step : Protection Rules > Add New / Web Post Protection Rule > Rename cho Rule vừa tạo Step : Check vào ô Select form list check vào Web Destinations vừa tạo Những Web Destinations mà người quản trị check trang web mà Client bị lock upload > Click Next 57 Step Các Step từ đến > Next Tạii Step Check vào ô ngừời quản trị muốn kiểm soát máy Client Block, Monitor…> Click Next Step : Check add user muốn gán Policy này(nếu có AD Server) >Click Finish 58 Step : Enable Rule vừa tạo Apply để DLP đẩy Policy xuống EPO Khi Client Upload lên trang Web chia sẻ với K liệu Q lấy đâu bị DLP Monitor Block 3.2.5 Thiết lập sách 3.2.5.1 Phân loại thơng tin - Thơng tin bình thường: thơng tin ngồi cơng việc, khơng liên quan đến công ty, trao đổi hàng ngày nhân viên công ty với (chuyện gia đình, tình cảm, đời sống ngày) - Thơng tin nhạy cảm: thông tin liên quan đến công việc nội công ty nhân viên với nhân viên nhân viên với khách hàng (doanh thu, lợi nhuận, tiền lương, PR, chăm sóc khách hàng) 59 - Thông tin mật: thông tin quan trọng cơng ty, người có quyền hạn thuộc công ty biết (thông tin cá nhân nhân viên, khách hàng, username, password, hợp đồng, thông tin đối tác) - Thông tin tuyệt mật: thơng tin mang tính chiến lược kinh doanh, định hướng công ty (bản thiết kế, kế hoạch) 3.2.5.2 Chính sách quản lý thơng tin Đối với thơng tin bình thường: nhân viên tùy ý sử dụng, trao đổi ngồi làm việc Đối với thơng tin nhạy cảm: - Các nhân viên phải đảm bảo tất thông tin nhạy cảm dạng cứng tài liệu điện tử phải an toàn khu vực làm việc - Máy tính nhân viên phải khóa lại khơng làm việc tắt hoàn toàn hết làm việc - Những tài liệu lưu hành nội không để bàn làm việc mà phải cất ngăn kéo khóa cẩn thận nhân viên hết làm việc - Nhân viên không viết mật cá nhân lên giấy dán, notebook, hay vị trí dễ tiếp cận khác - Các nhân viên không phép tiết lộ mật tài khoản cho người khác cho phép người khác sử dụng tài khoản minh, bao gồm gia đình thực công việc nhà - Nhân viên không tự ý tiết lộ thông tin liên quan đến công ty trang blog, mạng xã hội Facebook, Twitter, Google Plus,… Đối với thơng tin mật: - Bao gồm tất sách 60 - Thông tin cá nhân, username, password lưu trữ server phải đặt phịng đặc biệt, khóa chắn giám sát liên tục qua camara, có nhân viên IT phụ trách phép tiếp cận - Các văn bản, giấy tờ quan trọng phải lấy khỏi máy in sau in xong - Tất liệu mật lưu trữ thiết bị ngoại vi CD-ROM, DVD hay USB phải mã hóa đặt password Đối với thông tin tuyệt mật: - Bao gồm tất sách - Tất tài liệu, giấy tờ sau khơng cịn sử dụng phải băm nhỏ máy cắt giấy thùng xử lý liệu bí mật phải khố cẩn thận - Bảng trắng sử dụng hội họp cần phải xóa sau họp kết thúc - Tất máy in máy fax phải xóa hết liệu, giấy tờ sau chúng in - Tất thông tin tuyệt mật công ty lưu trữ phân tán hai file server, phân quyền, gán nhãn tự động Windows Server 2012 Dynamic Access Control kết hợp Right Management Services (cho phép người gửi phân quyền tương tác với nội dung cho người nhận như: cấm in tài liệu, cấm chuyển email cho người khác, thiết lập thời gian hết hạn tài liệu) tự động mã hóa Khơng có nhân viên phép truy xuất thông tin trừ ban lãnh đạo công ty 3.2.5.3 Quản lý truy cập - Các nhân viên truy cập, sử dụng chia sẻ thông tin độc quyền phạm vi ủy quyền thực cần thiết để thực nhiệm vụ công việc giao 61 - Bộ phận IT có trách nhiệm tạo hướng dẫn liên quan đến sử dụng cá nhân hệ thống mạng Internet/Intranet/Extranet Trong trường hợp khơng có sách vậy, nhân viên phải hướng dẫn việc sử dụng có vấn đề gì, nhân viên cần tham khảo ý kiến trưởng phòng phòng ban mà họ làm việc - Mọi hoạt động người dùng hệ thống ghi log lại - Tất thiết bị di động máy tính có kết nối với mạng nội phải tuân thủ sách quyền truy cập tối thiểu - Tất thơng tin bí mật cơng ty lưu trữ phân tán hai file server, phân quyền gán nhãn tự động Windows Server 2012 Dynamic Access Control kết hợp windows Right Management Services tự động mã hóa.Khơng có nhân viên phép truy xuất thông tin trừ ban lãnh đạo công ty - Mức độ sử dụng mật phải tuân thủ sách mật - Tất nhân viên phải cẩn trọng mở file đính kèm email nhận từ người gửi khơng rõ, chứa phần mềm độc hại - Cấm chép trái phép tài liệu có cứng - Các nhân viên khơng phép tiết lộ mật tài khoản cho người khác cho phép người khác sử dụng tài khoản minh, bao gồm gia đình thực công việc nhà - Cấm hành vi vi phạm an ninh hay làm gián đoạn truyền thông mạng bao gồm: cài đặt malicious code, công từ chối dịch vụ, giả mạo hay ăn cắp thông tin nhân viên khác 62 3.3 Đánh giá hệ thống thử nghiệm: 3.3.1 Kết đạt Hệ thống DLP thực tốt việc block thiết bị ngoại vi hoạt động upload file Việc bảo vệ liệu nhạy cảm thực tốt Đặc biệt,với đặc thù quan nhà nước, việc liệu nhạy cảm hầu hết văn biểu mẫu nên hệ thống DLP hoạt động tốt, việc quét phát file nhạy cảm bao gồm toàn số liệu nhạy cảm việc phân biệt liệu nhạy cảm với biểu mẫu khơng quan trọng chưa hồn toàn Việc triển khai hệ thống DLP ngăn chặn rị rỉ cách tình cờ việc sử dụng thiết bị ngoại vi hay việc upload file Đồng thời, hệ thống DLP giúp người dùng xử lý liệu nhạy cảm cách xác sách thiết lập DLP đảm bảo người dùng không xử lý liệu nhạy cảm cách vô trách nhiệm gửi kèm lên email hay tải lên trang tin cơng cộng Hệ thống DLP ghi nhận tập trung toàn hoạt động hệ thống mạng Có thể tra cứu cách rõ ràng hoạt động toàn hệ thống 3.3.2 Hạn chế hệ thống Hệ thống DLP ghi nhận toàn hoạt động hệ thống mạng, điều tạo sở pháp lý cho hành động phá hoại đánh cắp thông tin nội quan Tuy nhiên, DLP không ngăn chặn việc người dùng xem file chứa liệu nhạy cảm, người dùng chụp ảnh hình, ghi nhớ thơng tin ăn cắp ổ đĩa cứng Để ngăn chặn điều này, cần có biện pháp theo dõi, bảo vệ riêng Mặt khác, với nhân viên IT có kiến thức kỹ thuật vơ hiệu hóa hệ thống này, hành động công, đánh cắp không ghi lại Tuy nhiên, có hệ thống DLP tốt nhiều, khơng có nhiều người có khả Và việc ngăn chặn công nội khơng cần DLP, cần đề phịng chính sách cơng ty, tổ chức 63 Đối với cơng từ bên ngồi, hiệu việc bảo vệ hệ thống DLP phụ thuộc vào cách thức công Nếu việc cài đặt malware truy cập tập tin theo dõi, hệ thống DLP đưa cảnh báo bị phát Các hoạt động mạng ghi nhận lại toàn hệ thống DLP Nhưng có chứng hoạt động vi phạm đó, bạn khó có khả giải việc 3.3.3 Các biện pháp khắc phục hạn chế Như trình bày phần 1.2.2.2, điều sau giải phần lớn công nội bộ: - Các sách rõ ràng: Nêu rõ sách cơng ty cách súc tích dễ hiểu làm tăng khả nhân viên thực đọc áp dụng làm việc Các sách cần hướng dẫn nhân viên hành vi, hoạt động xác định làm, bị cấm - Đào tạo tốt: Đào tạo nhân viên nhận thức sách an ninh giải thích ý nghĩa đằng sau sách khác công ty làm tăng hiểu biết nhân viên tồn q trình làm việc, làm họ giúp cải thiện - Kiểm tra lý lịch: Thực kiểm tra tảng nhân viên hỗ trợ việc ngăn chặn cá nhân không đáng tin cậy giai đoạn đầu - Bảo mật vật lý: Hãy chắn sở hạ tầng công nghệ thông tin quan trọng lưu trữ thông tin nhạy cảm bảo vệ Trộm cắp xảy có hội tiếp cận sở hạ tầng nơi lưu trữ thông tin nhạy cảm, hạn chế hội chặng đường dài việc bảo vệ tài sản kinh doanh - Xây dựng niềm tin: Đối xử lao động cách công với tin tưởng công cụ đơn giản việc chống lại tinh thần thấp 64 chặng đường dài việc xây dựng lực lượng lao động trung thành Làm bạn tin tưởng người mà khơng tin tưởng bạn? Đối với việc phát ngăn chặn công từ xa, việc bổ sung DLP có số tác dụng Tuy nhiên, việc hệ thống có tường lửa, IDS, phần mềm chống virus, tiến hành đào tạo nâng cao nhận thức an ninh nhân viên an toàn nhiều việc phòng chống mối đe dọa này, cài đặt hệ thống DLP 3.4 Kết luận DLP công nghệ bảo mật thơng tin, khơng thể thay cho cơng nghệ khác Hệ thống DLP vượt trội việc ngăn chặn rò rỉ ngẫu nhiên công từ người thiếu hiểu biết công nghệ hệ thống Vì vậy, việc triển khai DLP với công nghệ bảo mật khác đáng giá Đề xuất: Giải pháp Mcafee thích hợp với doanh nghiệp vừa lớn, quan nhà nước, phủ nơi có hệ thống phần cứng đội ngũ IT riêng Hướng phát triển: Tích hợp hệ thống chống thất thoát liệu DLP vào hệ thống đảm bảo an tồn thơng tin khác triển khai ứng dụng trong hệ thống thơng tin tồn tổng cục 65 DANH MỤC TÀI LIỆU THAM KHẢO [1] Hart, Michael, Manadhata, Pratyusa and Johnson, Rob Text Classification For Data Loss Prevention s.l : Springer Berlin / Heidelberg, 2011 [2] Michael Sonntag (JKU),Vladimir A Oleshchuk (UiA) Data Loss Prevention Systems and Their Weaknesses [3] Mogull, Rich Best Practices for Endpoint Data Loss Prevention s.l : Securosis, L.L.C., 2009 [4] Mogull, Rich Implementing DLP: Deploying Network DLP Securosis [Online] February 13, 2012 [Cited: May 9, 2012.] [5] Park, Y., et al s.l : System for automatic estimation of data sensitivity with applications to access control and other applications, 2011 [6] Quellet, Eric s.l : Data Loss Prevention, 2009 [7] Verizon 2015 Data Breach Investigations Report