1 LỜI CAM ĐOAN Tôi cam đoan công trình nghiên cứu riêng tơi Các số liệu, kết nêu luận văn trung thực chƣa đƣợc cơng bố tài liệu khác Tác giả luận văn ký ghi rõ họ tên Lê Thái Giang LỜI CẢM ƠN Để hoàn thành đƣợc luận văn này, nghiên cứu cố gắng thân, em xin gửi lời cảm ơn sâu sắc tới giảng viên hƣớng dẫn khoa học TS Phạm Hồng Duy tận tình bảo định hƣớng cho em suốt trình nghiên cứu thực luận văn Em xin gửi lời cảm ơn chân thành thầy cô giảng viên khoa Quốc Tế Sau Đại Học, khoa Công Nghệ Thông Tin, khoa Cơ Bản Học Viện Công Nghệ Bƣu Chính Viễn Thơng tận tình giảng dạy, hƣớng dẫn em suốt trình học tập nghiên cứu Học Viện Bƣu Viễn Thơng Cuối cùng, em xin gửi lời cảm ơn tới gia đình, bạn bè ngƣời bên em cổ vũ tinh thần, tạo điều kiện thuận lợi cho em để em học tập tốt hồn thiện luận văn Em xin chân thành cảm ơn! Học viên Lê Thái Giang MỤC LỤC LỜI CAM ĐOAN LỜI CẢM ƠN MỤC LỤC DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT DANH SÁCH HÌNH VẼ MỞ ĐẦU CHƢƠNG THỰC TRẠNG HỆ THỐNG AN NINH, AN TOÀN NGÀNH HẢI QUAN 12 1.1 Thực trạng hệ thống mạng ngành hải quan 12 1.2 Mơ hình triển khai ứng dụng ngành hải quan 18 1.3 Thực trạng hệ thống bảo mật ngành hải quan 22 1.3.1 Mơ hình hệ thống 22 1.3.2 Các hệ thống bảo mật đƣợc trang bị 23 1.4 Đánh giá rủi ro 24 1.5 Kết luận chƣơng 37 CHƢƠNG CÁC GIẢI PHÁP PHỊNG CHỐNG TẤN CƠNG APT 40 2.1 Vấn đề công APT 40 2.2 Giải pháp ngăn chặn công APT hãng Fireeye 47 2.2.1 Giải pháp kỹ thuật chống lại APT Fireeye 48 2.2.2 Mơ hình triển khai giải pháp 52 2.2.3 Mơ hình quản lý 53 2.3 Giải pháp ngăn chặn công APT hãng Checkpoint 55 2.3.1 Giải pháp kỹ thuật chống lại APT Checkpoint 56 2.3.2 Các mơ hình triển khai giải pháp 57 2.3.3 Mơ hình quản lý 58 2.4 Kết luận chƣơng 61 CHƢƠNG MƠ HÌNH ĐẢM BẢO AN TỒN CHO HỆ THỐNG THƠNG TIN NGÀNH HẢI QUAN 63 3.1 Thiết kế hệ thống an toàn chống lại APT 63 3.2 Đề xuất cho hệ thống thông tin ngành hải quan 69 3.3 Một số kết thử nghiệm đánh giá 71 3.4 Kết luận chƣơng 73 KẾT LUẬN 74 DANH MỤC CÁC TÀI LIỆU THAM KHẢO 76 DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt TCHQ Tổng cục Hải quan TQĐT Thông quan điện tử HTTT Hạ tầng truyền thông TTM Trung tâm miền TTV Trung tâm vùng BTC Bộ Tài CNTT Cơng nghệ thơng tin CSDL Cơ sở liệu Cục Cục Công nghệ thông tin CNTT&TK thống kê hải quan HQ GTT Giá tính thuế QLRR Quản lý rủi ro KTT Kế tốn thuế APP Application Ứng dụng APT Advanced Persistent Threat Tấn cơng có chủ đích DB Database Cơ sở liệu Quản trị hệ thống sở DBA Database Administrator liệu DC Data Center Trung tâm liệu DLP Data loss prevention DMZ Demilitarized Zone Phòng chống rò rỉ liệu Vùng mạng trung lập mạng nội mạng internet Denial of Service/ Distributed Tấn công từ chối dịch vụ/ Dos/Ddos Denial of Service công từ chối dịch vụ phân tán DR Trung tâm liệu dự phòng Giao thức chuyển nhƣợng tập FTP File Transfer Protocol tin FW Firewall Tƣờng lửa GUI Graphical User Interface Giao diện Giao thức truyền tải siêu văn HTTP HyperText Transfer Protocol Intrusion detection Phát xâm nhập/ phát IDS/IPS system/Intrusion Prevention ngăn chặn xâm nhập System Log NAC Ghi nhật ký Network Access Control Network Kiểm soát truy cập mạng Operations Center/ Trung tâm giám sát mạng/ NOC/SOC Security Operations Center PKI Trung tâm giám sát bảo mật Thiết bị ký số QoS Quality of Service Chất lƣợng dịch vụ RDP Remote Desktop Protocol Giao thức truy cập từ xa SIEM Security information and event Quản lý thông tin bảo mật management SMB Server Message Block SQL Structured Query Language Giao thức SMB Ngôn ngữ truy vấn mang tính cấu trúc SSL Secure Sockets Layer Giao thức SSL DANH SÁCH HÌNH VẼ Hình 1: Mơ hình tổng thể kết nối mạng ngành hải quan 12 Hình 2: Hiện trạng mơ hình mạng Cục Hải quan có TTDL .13 Hình 3: Hiện trạng mơ hình mạng Cục Hải quan khơng có TTDL .14 Hình 4: Hạ tầng truyền thông Chi cục Hải quan 16 Hình 5: Hiện mạng mơ hình mạng TTDL Tổng cục Hải quan 16 Hình 6: Mơ hình logic tổng thể ứng dụng nghiệp vụ 19 Hình 7: Hệ thống TQDT_TT trao đổi liệu với hệ thống TNTT 20 Hình 8: Hệ thống TQDT_TT trao đổi liệu với hệ thống nghiệp vụ 21 Hình 9: Hiện trạng bảo mật Trung tâm liệu TCHQ .22 Hình 10: Malware khởi tạo kết nối gửi từ nạn nhân đến C&C 46 Hình 11: Mơi trƣờng giả lập FireEye MVX .49 Hình 12: Công nghệ Fireeye 50 Hình 13: Mơ hình triển khai cổng mở rộng (SPAN port) 52 Hình 14: Mơ hình triển khai trực tiếp 53 Hình 15: Các thành phần quản lý giải pháp Fireeye 53 Hình 16: Mơ hình thu thập chia sẻ thông tin công .55 Hình 17: Mơ hình triển khai giải pháp Threat Dection & Prevention 58 Hình 18: Mơ hình khả tích hợp với hệ thống có 59 Hình 19: Báo cáo tổng hợp hệ thống 71 Hình 20: Báo cáo mã độc bị phát 72 Hình 21: Báo cáo tổng hợp kiểu mã độc 72