ỦY BAN NHÂN DÂN THÀNH PHỐ HỒ CHÍ MINH SỞ KHOA HỌC VÀ CÔNG NGHỆ ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN CHƯƠNG TRÌNH KHOA HỌC VÀ CƠNG NGHỆ CẤP THÀNH PHỐ BÁO CÁO TỔNG HỢP KẾT QUẢ NHIỆM VỤ NGHIÊN CỨU KHOA HỌC VÀ CÔNG NGHỆ NGHIÊN CỨU VÀ PHÁT TRIỂN HỆ THỐNG GIẢI PHÁP PHẦN MỀM CHỐNG THẤT THOÁT DỮ LIỆU TÁC NGHIỆP TRÊN MÁY TÍNH CÁ NHÂN Cơ quan chủ trì nhiệm vụ: TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN Chủ nhiệm nhiệm vụ: PGS.TS TRẦN MINH TRIẾT Thành phố Hồ Chí Minh - 2017 ỦY BAN NHÂN DÂN THÀNH PHỐ HỒ CHÍ MINH SỞ KHOA HỌC VÀ CƠNG NGHỆ ĐẠI HỌC QUỐC GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN CHƯƠNG TRÌNH KHOA HỌC VÀ CÔNG NGHỆ CẤP THÀNH PHỐ BÁO CÁO TỔNG HỢP KẾT QUẢ NHIỆM VỤ NGHIÊN CỨU KHOA HỌC VÀ CÔNG NGHỆ NGHIÊN CỨU VÀ PHÁT TRIỂN HỆ THỐNG GIẢI PHÁP PHẦN MỀM CHỐNG THẤT THOÁT DỮ LIỆU TÁC NGHIỆP TRÊN MÁY TÍNH CÁ NHÂN (Đã chỉnh sửa theo kết luận Hội đồng nghiệm thu ngày 25/12/2017) Chủ nhiệm nhiệm vụ: Trần Minh Triết Cơ quan chủ trì nhiệm vụ HIỆU TRƯỞNG Trần Linh Thước Thành phố Hồ Chí Minh- 2017 Mục lục  Chương Mở đầu 1.1 1.2 1.3 1.4 1.5 1.6 Giới thiệu chung Một số giải pháp giới ngăn ngừa thất thoát liệu Lý thực đề tài Mục tiêu đề tài Kết đạt đề tài .6 Nội dung báo cáo Chương Tổng quan tình hình thất liệu 2.1 2.2 2.3 2.4 Tình hình thất liệu Phân loại nguyên nhân thất thoát liệu theo chủ ý 14 Các hình thức thất liệu 15 Kết chương 17 Chương Tổng quan biện pháp ngăn ngừa thất thoát liệu 18 3.1 McAfee 18 3.1.1 3.1.2 3.1.3 3.1.4 3.2 Giải pháp phần mềm 18 Giải pháp phần cứng 19 Các tính chung McAfee DLP Endpoint 19 Trial McAfee Complete Endpoint Advanced 20 TrendMicro 23 3.2.1 Giải pháp phần mềm 23 3.2.2 Các tính sản phẩm tích hợp Trend Micro Intergrated Data Loss Prevention 23 3.2.3 Trial TrendMicro 24 3.3 Symantec 27 3.3.1 Giải pháp phần mềm 27 3.3.2 Các tính chống mát liệu [11] 28 3.3.3 Trial Symantec File Share Encryption 31 3.4 RSA 33 3.4.1 Giải pháp phần mềm 33 3.4.2 Các tính chống mát liệu 34 3.5 WebSense 35 3.5.1 Giải pháp phần mềm 35 3.6 3.7 Quy trình sách 37 Kết chương 39 i Chương Tổng quan quản lý định danh chứng thực người dùng 40 4.1 Định danh quản lý định danh 40 4.1.1 Định danh 40 4.1.2 Quản lý định danh 42 4.2 Hệ thống quản lý định danh 45 4.2.1 Giới thiệu 45 4.2.2 Các thành phần hệ thống định danh 46 4.2.3 Quy trình hoạt động hệ thống định danh 46 4.3 Phân loại hệ thống quản lý định danh 48 4.3.1 Hệ thống quản lý định danh tập trung 48 4.3.2 Hệ thống quản lý định danh phân tán 49 4.3.3 Nhận xét 50 4.4 Một số hệ thống quản lý định danh 51 4.4.1 4.4.2 4.4.3 4.4.4 4.4.5 4.4.6 4.4.7 4.4.8 4.4.9 4.4.10 4.5 Windows Credential Provider 51 So sánh GINA Credential Provider 51 Kiến trúc hệ thống đăng nhập tương tác sử dụng Credential Provider 52 Quy trình chứng thực sử dụng Credential Provider 54 Quy trình tương tác Credential UI với Credential Credential Provider 56 Microsoft CardSpace 57 Active Directory Federation Services 59 Kiến trúc Higgins 64 Bandit 65 OpenID 65 Kết chương 67 Chương Hệ thống quản lý định danh người dùng quyền truy cập tập tin 68 5.1 5.2 5.3 5.4 Mở đầu 68 Đăng ký người dùng 69 Đăng nhập hệ thống 70 Đồng thông tin người dùng từ trực tuyến cục 72 5.4.1 Đồng thông tin người dùng lúc đăng nhập trực tuyến 72 5.4.2 Đồng thông tin tập tin trực tuyến cục 73 5.5 5.6 5.7 Tạo nhóm quản lý nhóm 74 Chia sẻ thơng tin tập tin với nhóm mà người dùng quản lý 75 Tìm kiếm liệu 76 5.7.1 Tìm kiếm người dùng khác 76 5.7.2 Tìm kiếm nhóm 77 5.7.3 Bảo mật thông tin cục 78 5.8 5.9 Cơ chế mở để liên kết với định danh và chế chứng thực khác 79 Kết chương 83 Chương Giải pháp giám sát tập tin mức hệ thống 84 6.1 6.2 Hook API 84 Kỹ thuật tiêm DLL vào process 85 ii 6.2.1 Thay đổi giá trị ghi (Registry) 85 6.2.2 Hook môi trường Windows mức hệ thống 86 6.2.3 Sử dụng hàm API CreateRemoteThread() để tiêm DLL 87 6.3 Cơ chế can thiệp hàm API 89 6.3.1 6.3.2 6.3.3 6.3.4 6.4 Windows subclassing 91 Proxy DLL 92 Cài đặt lại mã xử lý 92 Sửa đổi bảng địa hàm import vào 93 Xây dựng Add-in môi trường Microsoft Office 95 6.4.1 Sử dụng chế mã hóa Microsoft Word 95 6.4.2 Tự mã hóa liệu 98 6.5 Phát thiết bị lưu trữ tương tác với máy tính 99 6.5.1 Giải pháp C++ 99 6.5.2 Giải pháp C# 104 6.6 Kết chương 109 Chương Tổng quan Microsoft Driver 110 7.1 Driver khái niệm 110 7.1.1 Khái niệm Driver 110 7.1.2 Software Driver 112 7.1.3 User mode Kernel mode 112 7.2 File System Minifilter Driver 114 7.2.1 7.2.2 7.2.3 7.2.4 7.2.5 7.2.6 7.2.7 7.3 Giới thiệu file system 114 Giới thiệu File system filter driver 114 Tổng quan File system minifilter driver 114 Các khái niệm 115 Cách cài đặt minifilter 115 Cách đăng ký minifilter 116 Khởi tạo filtering 116 Instance Notification Support 117 7.3.1 Thiết lập Instance 117 7.3.2 Điều khiển tháo bỏ instance 118 7.3.3 Đồng hóa tháo bỏ instance 119 7.4 Callback Support 120 7.4.1 Callback Data 120 7.4.2 Pre-operation Callback 122 7.4.3 Post-operation Callback 124 7.5 Context Support 125 7.5.1 7.5.2 7.5.3 7.5.4 7.6 Context Registration 126 Context Creation APIs 127 Context Retrieval APIs 129 Context Freeing APIs 130 Một số vấn đề kỹ thuật khác 131 7.6.1 7.6.2 7.6.3 7.6.4 File Name Support 131 Truy suất tên file lệnh 131 Filter Initiated I/O 133 Tìm hiểu Unload/Detach 134 iii 7.6.5 Support Routine 134 7.7 Kết chương 135 Chương Bảo vệ liệu cho tài liệu tập tin văn phòng 136 8.1 8.2 Mở đầu 136 Giải pháp kỹ thuật tổng quát với DLL Injection API Intercepting 137 8.2.1 8.2.2 8.2.3 8.2.4 8.2.5 8.3 Tổng quan giải pháp với DLL Injection API Intercepting 138 Giám sát xử lý Windows Explorer 141 Giám sát thao tác đọc/ghi liệu 145 Xử lý đặc thù cho Word Excel 148 Hiện thực hóa giải pháp cho phiên hệ điều hành khác 150 Giải pháp xây dựng driver mức kernel hệ thống 155 8.3.1 Các chế mã hóa cung cấp sẵn Windows 155 8.3.2 Nguyên lý chung minifilter driver liên kết với ổ đĩa 156 8.3.3 Lược đồ mã hóa minifilter 157 8.3.4 Tiến trình đọc liệu từ cache, thực ứng dụng khơng an tồn 159 8.3.5 Tiến trình đọc liệu từ cache, thực ứng dụng an toàn 160 8.3.6 Tiến trình đọc liệu trực tiếp từ ổ đĩa, thực ứng dụng khơng an tồn 161 8.3.7 Tiến trình đọc liệu trực tiếp từ ổ đĩa, thực ứng dụng an toàn 162 8.3.8 Những khó khăn giải pháp Đề xuất giải pháp mã hóa File System Minifilter Driver với kỹ thuật swap buffer 163 8.4 Mã hóa giải mã liệu 166 8.4.1 8.4.2 8.4.3 8.4.4 8.5 Chế độ mã hóa 166 Quá trình mã hóa 167 Quá trình giải mã 168 Q trình tạo khóa 168 Kết chương 169 Chương Bảo vệ tài liệu trao đổi qua email công cụ Microsoft Outlook 170 9.1 Xây dựng Add-In để giám sát hoạt động Outlook 170 9.1.1 9.1.2 9.1.3 9.1.4 9.1.5 9.2 Các kiện attachment 176 9.2.1 9.2.2 9.2.3 9.2.4 9.3 Tạo Add-In cho Outlook 170 Can thiệp xử lý trước gửi email 171 Can thiệp xử lý mở email soạn email 172 Can thiệp xử lý nhận mail 173 Xử lý kiện click preview mail 174 Danh sách kiện attachment 176 Quan sát thao tác liên quan attachment 177 Đổi nội dung file tạm trước kiện BeforeSaveAttachment 178 Sửa email outbox với mail chưa gửi (offline, disconnect ) 179 Quy trình mã hóa giải mã attachment 180 9.3.1 9.3.2 9.3.3 9.3.4 Quy trình gửi mail thơng thường 180 Quy trình mã hóa tập tin đính kèm mail 180 Quy trình đính kèm thơng tin bí mật đính kèm vào mail 182 Quy trình nhận xem nội dung tập tin đính kèm thơng thường 183 iv 9.3.5 Quy trình giải mã tập tin đính kèm nhận mail 184 9.4 Cài đặt mã hóa giải mã attachment 185 9.4.1 9.4.2 9.4.3 9.4.4 9.4.5 9.5 9.6 Thêm thơng tin khóa mã hóa vào nội dung mail 185 CryptoHelper 185 Thêm thơng tin bí mật vào body mail 188 Thêm thơng tin bí mật vào header attachment 191 Thêm thơng tin bí mật vào file attachment 193 Cài đặt Add-In cho Office 196 Kết chương 200 Chương 10 Hiện thực hóa thử nghiệm hệ thống 201 10.1 Phân hệ tương tác với người dùng – User Interface 201 10.1.1 Chứng thực người dùng – Authentication 202 10.1.2 Quản lý danh sách chia sẻ 203 10.2 Môi trường phát triển thử nghiệm 204 10.3 Tốc độ xử lý 207 10.4 Hướng dẫn cài đặt sử dụng 218 10.4.1 Phạm vi ứng dụng 218 10.4.2 Cài đặt ứng dụng máy tính người dùng 220 10.4.3 Các tình huống/tính sử dụng 221 10.5 Kết chương 226 Chương 11 Kết luận 228 11.1 Các kết đạt 228 11.2 Sản phẩm đề tài 230 11.3 Hướng phát triển đề tài 233 v Danh sách hình  Hình 2.1 Số vụ rị rỉ thông tin ghi nhận từ năm 2006-2016 [67] 10 Hình 2.2 Số vụ thất thoát liệu số lượng mẩu tin thất thoát (2011 đến 2016) [67] 11 Hình 2.3 Số vụ thất thoát liệu InfoWatch ghi nhận theo quốc gia năm 2015 2016 [7][67] 12 Hình 2.4 Tỷ lệ thất thơng tin theo vai trị người làm thất liệu [4][67] 13 Hình 2.5 Phân loại thơng tin bị thất thoát năm 2015 và 2016 [4][67] 13 Hình 2.6 Tỷ lệ thơng tin rị rỉ vơ tình và có chủ ý năm 2012, 2013 và 2014 [2] [3] 14 Hình 2.7 Tỉ lệ trường hợp thất liệu có chủ ý không chủ ý 15 Hình 2.8 Tỷ lệ rị rỉ thơng tin theo kênh [2] [3] [4][67] 15 Hình 2.9 Tỉ lệ trường hợp thất liệu hình thức năm 2015 - 2016 [4][67] 16 Hình 3.1 Giao diện đăng nhập 20 Hình 3.2 Dashboard 21 Hình 3.3 Cấu hình sách bảo mật 21 Hình 3.4 Các loại file hỗ trợ 22 Hình 3.5 Quy định kiểu mã hóa 22 Hình 3.6 Device Control Setting 24 Hình 3.7 Cấu hình kênh mạng 25 Hình 3.8 Action 25 Hình 3.9 Giao diện quản lý 26 Hình 3.10 Data Identifiers 26 Hình 3.11 Giao diện quản lý khóa 31 Hình 3.12 Giao diện lịch sử hoạt động 31 Hình 3.13 Mã hóa file dạng Zip 32 Hình 3.14 Chức mã hóa ổ đĩa 32 Hình 3.15 Xem thơng tin file mã hóa 32 Hình 3.16 Chia sẻ liệu mã hóa 33 Hình 4.1: Màn hình đăng nhập Yahoo Mail Windows 42 Hình 4.2: Nhận dạng sinh trắc học vân tay tròng mắt 43 Hình 4.3: Mối quan hệ thực thể, định danh thuộc tính 44 Hình 4.4 Quy trình hoạt động hệ thống quản lý định danh 47 Hình 4.5 Microsoft Active Directory 48 vi Hình 4.6 Chương trình Keepass Password Safe[48] 50 Hình 4.7 – Kiến trúc hệ thống đăng nhập tương tác với Credential Provider 53 Hình 4.8 – Quy trình chứng thực sử dụng Credential Provider 54 Hình 4.9 Quy trình tùy biến chứng thực sử dụng Credential Provider 56 Hình 4.10 Kiến trúc tổng quát Microsoft CardSpace[46] 58 Hình 4.11 Mơ hình minh họa dòng chuyển đổi claim ADFS 63 Hình 4.12 Kiến trúc tổng quan Higgins [56] 64 Hình 4.13 Kiến trúc tổng quát Bandit [53] 65 Hình 4.14 Sự giao tiếp thành phần hệ thống OpenID với URI là địa Identity Provider[54] 66 Hình 4.15 Sự giao tiếp thành phần hệ thống OpenID với URI là địa Identity Provider[54] 67 Hình 5.1 Quy trình đăng ký tài khoản người dùng 70 Hình 5.2 Quy trình đăng nhập hệ thống 71 Hình 5.3 Quy trình đồng thông tin tài khoản người dùng trực tuyến 72 Hình 5.4 Quy trình đồng thông tin tập tin trực tuyến cục 73 Hình 5.5 Vai trị chức người sở hữu nhóm thành viên nhóm 74 Hình 5.6 Quy trình chia sẻ thơng tin tập tin với nhóm mà người dùng quản lý 75 Hình 5.7 Quy trình kiểm tra tính hợp lệ tập tin chia sẻ 76 Hình 5.8 Quy trình tìm kiếm người dùng 77 Hình 5.9 Quy trình tìm kiếm nhóm 77 Hình 5.10 Quy trình bảo mật thơng tin người dùng cục 78 Hình 5.11 Kiến trúc phần mềm cho chế liên kết định danh với Identity Provider khác 79 Hình 5.12 Quy trình đăng ký liên kết tài khoản DLP với định danh từ bên ngồi 80 Hình 5.13 Quy trình chứng thực với định danh 82 Hình 6.1 Hook Server can thiệp vào ứng dụng [14] 86 Hình 6.2 Sử dụng CreateRemoteThread() tiêm DLL vào ứng dụng 88 Hình 6.3 User mode Kernel mode Windows [14] 90 Hình 6.4 Quá trình xử lý qua Proxy DLL 92 Hình 6.5 Quá trình chặn hàm API 92 Hình 6.6 PE format thực thi chương trình [14] 94 Hình 6.7 Quá trình gọi hàm ReadFile hook IAT 94 vii Hình 6.8 Mã hóa liệu Microsoft Word 95 Hình 6.9 Giao diện lock file 96 Hình 6.10 Word Options – Trust Center 97 Hình 6.11 Trust Center – Add-ins 97 Hình 6.12 Quản lý Add-ins Word 98 Hình 6.13 Giao diện ban đầu 103 Hình 6.14 Chương trình thơng báo máy tính nhận USB 103 Hình 6.15 Chương trình thông báo USB không tương tác 103 Hình 6.16 Quá trình giám sát thiết bị lưu trữ tương tác với máy tính WMI 104 Hình 6.17 Chương trình thơng báo có USB kết nối 108 Hình 6.18 Chương trình thơng báo USB khơng cịn kết nối 108 Hình 6.19 Thêm USB khác kết nối với máy tính 108 Hình 7.1 Sơ đồ thể liên Driver với thành phần hệ thống [67] 110 Hình 7.2 – Vị trí tương đối loại Driver với [67] 111 Hình 7.3 – Vị trí Software Driver [67] 112 Hình 7.4 – Lược đồ họa giao tiếp User mode Kernel mode [67] 113 Hình 8.1 Giải pháp kỹ thuật tổng quát với DLL Injection API Intercepting 139 Hình 8.2 Áp dụng giải pháp kỹ thuật tổng quát để giám sát và thay đổi xử lý số API ứng dụng WinRAR 140 Hình 8.3 Minh họa việc can thiệp thao tác đọc/ghi tiến trình 141 Hình 8.4 Giải pháp đề xuất để đưa module giám sát vào ứng dụng 142 Hình 8.5 Quá trình tạo tiền trình thông thường và can thiệp xử lý 143 Hình 8.6 Quy trình xử lý khởi tạo tiến trình cần giám sát 144 Hình 8.7 Quá trình xử lý hàm WriteFile() 146 Hình 8.8 Quá trình xử lý hàm ReadFile() 147 Hình 8.9 Sử dụng API Monitor để phát hàm API 148 Hình 8.10 Quá trình cập nhật liệu file docx 149 Hình 8.11 Quá trình xử lý hàm ReplaceFile() 150 Hình 8.12 Nguyên tắc gọi thực thi API ứng dụng 151 Hình 8.13 Liên kết tĩnh kernel32.dll với thư viện cài đặt API 152 Hình 8.14 Quy trình khởi động ứng dụng nạp DLL 153 Hình 8.15 – Mơ tả vị trí Minifilter Driver ổ đĩa [66] 157 viii Tạo nhóm chia sẻ theo nhóm: Tạo nhóm để chia sẻ: người dùng tạo hay nhiều nhóm người dùng để thuận tiện chia sẻ tập tin Người dùng đưa tài khoản vào hay nhiều nhóm khác Chia sẻ tập tin cho nhóm: người dùng chọn chia sẻ tập tin với nhóm cụ thể Mọi thành viên/tài khoản nhóm quyền thao tác tập tin Việc chia sẻ này đồng hóa ghi nhận server trung tâm, cho phép người chia sẻ thao tác tập tin chia sẻ máy tính khác (khi người chia sẻ chứng thực thành công với hệ thống) Bảo vệ tập tin chép vào USB: 10 USB-Chép tài liệu vào USB, chưa chia sẻ: người dùng chép tập tin Word/Powerpoint/Excel vào thiết bị lưu trữ ngồi, ví dụ USB, tập tin tự động mã hóa trình người dùng soạn thảo công cụ Word/Powerpoint/Excel nên nội dung tập tin dạng bảo vệ, chép thiết bị lưu trữ ngồi Lúc này, có người dùng chủ tập tin đọc và thao tác với tập tin (ví dụ chép tập tin từ USB máy tính khác) 11 USB-Đọc tài liệu từ USB (chưa chia sẻ): người dùng khác – chưa chia sẻ tập tin – đọc tập tin lưu trữ USB thì người dùng đọc tập tin bị mã hóa 12 USB-Chia sẻ tài liệu chép vào USB: người chủ tập tin muốn chia sẻ tập tin này cho người khác chép vào USB, người chủ tập tin dùng tính chia sẻ đến cấp quyền cho tài khoản khác đọc tập tin Thao tác thực sau người chủ tập tin chép tài liệu này cho người khác qua USB 13 USB-Đọc tài liệu USB (đã chia sẻ): Sau chia sẻ thành cơng, người dùng đọc tài liệu bị mã hóa có USB 224 Bảo vệ tập tin gửi qua email: 14 eMail-Gửi kèm tập tin: người dùng đính kèm tập tin Word/Powerpoint/Excel vào email (trong phần mềm quản lý email cụ thể hay thông qua giao diện web), tập tin tự động mã hóa trình người dùng soạn thảo công cụ Word/Powerpoint/Excel nên nội dung tập tin dạng bảo vệ, đính kèm vào email Lúc này, có người dùng chủ tập tin đọc và thao tác với tập tin này đọc tập tin đính kèm email 15 eMail-Đọc tập tin đính kèm chưa chia sẻ: tập tin chưa chia sẻ nên có người chủ tập tin đọc tập tin đính kèm email 16 eMail-Chia sẻ tập tin gửi: người chủ tập tin Word/Powerpoint/Excel đính kèm email chia sẻ tập tin cho hay số tài khoản khác (kể sau gửi email) 17 eMail-Đọc tập tin chia sẻ: Sau chia sẻ thành cơng, người dùng đọc tài liệu bị mã hóa đính kèm email Bảo vệ tập tin lưu trữ với dịch vụ trực tuyến: 18 Dropbox-Lưu tài liệu vào dropbox: người dùng chép/lưu trữ tập tin Word/Powerpoint/Excel vào thư mục đồng hóa với dịch vụ lưu trữ trực tuyến (ví dụ Dropbox, OneDrive, GoogleDrive), tập tin tự động mã hóa trình người dùng soạn thảo công cụ Word/Powerpoint/Excel nên nội dung tập tin dạng bảo vệ Lúc này, có người dùng chủ tập tin đọc và thao tác với tập tin cloud hay máy tính khác 19 Dropbox-Mở tài liệu chưa chia sẻ: tập tin chưa chia sẻ nên có người chủ tập tin đọc tập tin đồng hóa cloud hay máy tính khác 225 20 Dropbox-Chia sẻ tài liệu lưu: người chủ tập tin Word/Powerpoint/Excel chia sẻ tập tin cho hay số tài khoản khác (kể sau đồng hóa xuống máy tính khác nhau) 21 Dropbox-Mở tài liệu chia sẻ: Sau chia sẻ thành cơng, người dùng đọc tài liệu bị mã hóa đồng hóa qua Dropbox Bảo vệ tập tin gửi lúc hội thoại (chat): 22 Message-Gửi tập tin qua cửa sổ hội thoại: người dùng gửi tập tin Word/Powerpoint/Excel qua ứng dụng hội thoại trực tuyến (ví dụ Facebook Messenger, Skype, Google Hangout…), tập tin tự động mã hóa trình người dùng soạn thảo công cụ Word/Powerpoint/Excel nên nội dung tập tin dạng bảo vệ 23 Message-Mở tập tin chưa chia sẻ: tập tin chưa chia sẻ nên có người chủ tập tin đọc tập tin gửi qua cửa sổ hội thoại 24 Message-Chia sẻ tập tin gửi: người chủ tập tin Word/Powerpoint/Excel chia sẻ tập tin này cho người nhận (kể sau gửi qua hội thoại) 25 Message-Mở tập tin chia sẻ: Sau chia sẻ thành cơng, người dùng đọc tài liệu bị mã hóa gửi qua hội thoại (chat) 10.5 Kết chương Trong chương này, trình bày kiến trúc tổng quát ứng dụng, đặc biệt phân hệ máy tính người dùng, việc thử nghiệm thành cơng tính máy ảo có cấu hình khác nhằm đánh giá hệ thống xây dựng hệ điều hành khác nhóm Windows 7, Windows 8, Windows 8.1 Windows 10 (trong yêu cầu đề tài Windows Windows 8) phiên 32 64 bit, kết hợp với Microsoft Office 2010 2013 phiên 32 64 bit Hiện tại, ứng dụng xây dựng hỗ trợ cho người dùng chia sẻ tập tin Thời gian xử lý tăng thêm cho thao tác khơng q 16% 226 Tính hệ thống việc mã hóa tự động tập tin tài liệu soạn thảo Word, Excel, Powerpoint, tự động bảo vệ chép Nhờ bảo vệ tập tin tạo ra/cập nhật nên tập tin bảo vệ chép (kể thiết bị lưu trữ rời), chia sẻ qua email (không giới hạn cơng cụ Outlook mà gửi qua công cụ quản lý mail khác, qua trình duyệt web) Ngồi ra, giải pháp cịn cho phép bảo vệ tập tin chia sẻ qua Messenger (dưới dạng tập tin gửi trao đổi qua Facebook Messenger, Skype, Google Hangout…) hay đồng hóa dịch vụ lưu trữ cloud (như Dropbox, Google Drive, One Drive…) 227 Chương 11 Kết luận  Nội dung Chương 11 trình bày kết đạt đề tài 11.1 Các kết đạt Mục tiêu đề tài xây dựng công cụ phần mềm bảo vệ chống thất thoát liệu tác nghiệp máy tính cá nhân hay nhóm máy tính chun dụng tình người sử dụng tình cờ làm thất liệu Việc bảo vệ liệu xét tình sau đây: bảo vệ liệu trình soạn thảo tài liệu ứng dụng Microsoft Office, bảo vệ chép liệu thiết bị lưu trữ ngoài, bảo vệ gửi qua email Chúng tơi tìm hiểu tình hình thất liệu giới, đánh giá nguy rò rỉ thông tin người dùng sơ ý và tình thường gặp Trong số liệu phân tích, nguy thất liệu khơng cố ý chiếm tỉ lệ cao, có ảnh hưởng lớn đến cá nhân, tổ chức doanh nghiệp Bên cạnh đó, năm gần đây, với phát triển dịch vụ trực tuyến, đặc biệt hệ thống lưu trữ chia sẻ cloud, nguy thất thoát liệu nhạy cảm người dùng sơ ý dễ dàng xảy Qua khảo sát phần mềm bảo vệ liệu phổ biến, nhóm đặc điểm cải thiện mặt tương tác với người dùng, giá cả, khó khăn cài đặt triển khai… Với phân tích mặt cịn hạn chế phần mềm trước, ý tưởng tạo sản phẩm thân thiện tạo cảm giác thoải mái cho người dùng thực hóa thành phần mềm thử nghiệm Dựa việc khảo sát tính giải pháp phần cứng phần mềm có, chúng tơi xây dựng thành phần giải pháp phần mềm DLP giúp ngăn ngừa việc thất liệu máy tính cá nhân tình người dùng sơ ý 228 Chúng đề xuất giải pháp theo ý tưởng hệ thống quản lý định danh số (Digital Identity Management System), cho phép người dùng đăng ký tài khoản sử dụng Ngoài việc quản lý tài khoản riêng hệ thống, giải pháp chúng tơi cịn cung cấp chế mở, cho phép bổ sung thêm sau Identity Provider khác để hỗ trợ người dùng khả sử dụng nhiều giải pháp chứng thực khác nhau, ví dụ thơng qua Facebook hay sử dụng Credential Provider Windows… Trong hệ thống tại, người dùng đăng ký thông tin để chứng thực với dịch vụ DLP Server trực tuyến, giúp đăng nhập máy tính khác (cũng thiết bị di động – mở rộng) Việc đăng nhập thực thành công hai chế độ: chứng thực trực tuyến chứng thực cục (với thông cache từ phiên đăng nhập trực tuyến thành công lần trước) Chúng cho phép phân quyền truy cập tập tin với thông tin metadata lưu trữ trực tuyến Hệ thống hỗ trợ cách kiểm tra phân quyền cục máy tính cho người sở hữu tập tin Thông tin metadata tập tin đồng hóa từ máy tính lên DLP Server Chúng cho phép định nghĩa group cho người dùng để chia sẻ nhanh tập tin theo nhóm Chúng tơi tìm hiểu giải pháp khác để xây dựng tính giám sát và bảo vệ bí mật nội dung tập tin soạn thảo ứng dụng phần mềm Microsoft Office, cụ thể Word, Excel Powerpoint Sau phân tích giải pháp, chúng tơi khơng sử dụng chế add-on Office mà đề xuất giải pháp tổng quát để giám sát thao tác đọc/ghi liệu cấp hệ thống cho ứng dụng khác Giải pháp ban đầu chèn mã xử lý nạp động vào tiến trình (DLL Injection), sau giám sát việc gọi thực thi API để can thiệp xử lý theo nhu cầu (API Intercepting) Mặc dù giải pháp đáp ứng yêu cầu bảo mật thông tin tiếp tục nghiên cứu để chọn giải pháp giúp cải tiến tốc độ xử lý, mã hóa giải mã, đồng thời đưa tính bảo vệ nội dung liệu vào tầng kernel hệ điều hành giải pháp MiniFilter Driver với kỹ thuật SwapBuffer 229 Chúng thay kỹ thuật chế độ người dùng (user mode) kỹ thuật MiniFilter Driver chế độ hạt nhân hệ điều hành (kernel mode) Bằng việc xây dựng lại tồn phần lõi cơng cụ, giải pháp mà xây dựng hoạt động cấp kernel hệ điều hành giám sát thao tác đọc/ghi liệu, đảm bảo tính an tồn cho việc lưu trữ liệu, chép thiết bị lưu trữ rời (ví dụ USB) và qua mơi trường mạng (ví dụ với cơng cụ lưu trữ cloud, gửi qua email phần mềm hội thoại qua Internet) Với giải pháp này, liệu tập tin văn phịng ln lưu trữ dạng mã hóa máy tính Nhờ vậy, tập tin này tự động đồng hóa lên cloud (thông qua Dropbox, Google Drive…), nội dung tập tin không bị tiết lộ Tương tự vậy, người dùng gửi tập tin này qua môi trường mạng, nội dung tập tin dạng mã hóa Như vậy, ngồi việc bảo vệ gửi tập tin đính kèm email qua công cụ Outlook hay chép USB (như đăng ký), giải pháp xây dựng cịn bảo vệ tập tin cơng cụ Word/Excel/Powerpoint tạo tình gửi tập tin đính kèm qua email (bằng cơng cụ quản lý email khác hay qua trình duyệt web), đồng hóa liệu với hệ thống lưu trữ cloud (như Dropbox, Google Drive, One Drive…), gửi tập tin trao đổi qua cơng cụ Messenger (ví dụ Skype, Facebook Messenger, Google Hangout…) 11.2 Sản phẩm đề tài Trong đề tài này, thực sản phẩm sau (so với hợp đồng thuyết minh đăng ký): Sản phẩm dạng kết III, IV: - Bài báo khoa học: 02 báo hội nghị quốc tế (đăng ký: 01 bài báo kỷ yếu hội nghị tạp chí khoa học nước quốc tế) (1) Lap Q Trieu, Trung-Nguyen Tran, Mai-Khiem Tran, Minh-Triet Tran, “Document Sensitivity Classification for Data Leakage Prevention with Twitter-based Document Embedding and Query Expansion,” The 13th International Conference on Computational Intelligence and Security (CIS 2017), Hong Kong, China, 15-18/12/2017, tr 537-542, ISBN: 978-1-5386-4822-3 230 (2) Lap Q Trieu, Quang-Huy Tran, Minh-Triet Tran, “News Classification from Social Media Using Twitter-based Doc2Vec Model and Automatic Query Expansion,” The Eighth International Symposium on Information and Communication Technology (SoICT 2017), Nha Trang, Vietnam, 7-8/12/2017, tr 460-467, ISBN: 978-1-45035328-1 Mục tiêu 02 báo này là đề xuất giải pháp giúp tăng cường tính thơng minh hệ thống DLP việc xác định tính nhạy cảm tài liệu Đây là bước đầu việc tiếp tục xây dựng tính giúp giải pháp DLP đánh giá tính quan trọng/nhạy cảm tài liệu dựa nội dung Bài báo hội nghị SoICT 2017 trình bày giải pháp chúng tơi tự xây dựng mơ hình document embedding để vector hóa tài liệu, phục vụ việc phân lớp tài liệu Từ đó, áp dụng vào việc xác định độ nhạy cảm tài liệu đoạn văn bản, công bố báo hội nghị CIS 2017 - Tham gia đào tạo nghiên cứu sinh: 02 nghiên cứu sinh tham gia đề tài hoàn thành Luận án Tiến sĩ và làm thủ tục bảo vệ Luận án cấp đơn vị chuyên môn (đăng ký: 01 nghiên cứu sinh trình thực luận án Tiến sĩ) • NCS Trương Toàn Thịnh (trường Đại học Khoa học Tự nhiên) • NCS Nguyễn Vinh Tiệp (trường Đại học Công nghệ Thông tin) Với chuyên mơn chun sâu an tồn thơng tin thiết kế giao thức chứng thực, NCS Trương Toàn Thịnh thành viên chủ chốt nhóm nghiên cứu, hỗ trợ chủ nhiệm đề tài việc quản lý nhóm, thiết kế phân tích tính an tồn cho giải pháp NCS Nguyễn Vinh Tiệp trực tiếp tham gia việc tìm hiểu phát triển phân hệ cấp độ hệ thống mã hóa/giải mã tập tin, đồng thời phụ trách việc nghiên cứu giải pháp để phân tích nội dung tập tin dựa vào word embedding với mạng neuron để tăng cường tính thơng tin cho giải pháp DLP phân tích nội dung - Đào tạo Thạc sĩ: 01 học viên Cao học (Trần Trung Nguyên) bảo vệ luận văn tháng 12/2017 đạt điểm 9.2/10 231 - Đào tạo Đại học: đề tài không đăng ký tiêu đào tạo Đại học, trình thực đề tài đào tạo 08 sinh viên Đại học nội dung liên quan đến đề tài, và đạt 01 giải Nhì Eureka – Sinh viên nghiên cứu khoa học cấp Thành phố năm 2016 • Sinh viên Trần Quốc Tâm và Đỗ Trung Đức (lớp Cử nhân Tài khóa 2011, điểm khóa luận 9.5/10) • Sinh viên Đỗ Ngọc Hải Đăng và Phạm Trần Anh Khoa (lớp Cử nhân Tài khóa 2012, điểm khóa luận 9.5/10) • Sinh viên Trần Anh Duy và Đinh Lê Mạnh Duy (lớp Chính quy 2012, điểm khóa luận 10/10, giải Nhì Eureka – Sinh viên nghiên cứu khoa học cấp Thành phố năm 2016) • Sinh viên Triệu Quốc Lập Trần Quang Huy (lớp APCS 2013, điểm khóa luận 10/10) Sản phẩm dạng kết I, II: Đề tài hoàn thành công cụ phần mềm bảo vệ chống thất thoát liệu tác nghiệp máy tính cá nhân tình người sử dụng tình cờ làm thất liệu theo tiêu chí đăng ký hợp đồng thuyết minh Giải pháp xây dựng dựa MiniFilter Driver với kỹ thuật SwapBuffer (hoạt động chế độ kernel) thay cho giải pháp dùng API Interception DLL Injection (hoạt động user mode) Nhờ đó, giải pháp tập tin tạo hay cập nhật kernel mode, giúp tăng hiệu sử dụng Ngồi ra, giải pháp cịn bảo vệ tập tin chép thiết bị lưu trữ rời, gửi kèm (attachment) qua email (không giới hạn với cơng cụ Outlook mà dùng cơng cụ khác, kể qua trình duyệt web) Bên cạnh tính đăng ký thuyết minh, giải pháp xây dựng cho phép bảo vệ tập tin gửi qua cơng cụ Messenger khác (ví dụ Facebook Messenger, Google Hangout, Skype,…) hay đồng hóa liệu lên dịch vụ lưu trữ cloud (như Dropbox, OneDrive, Google Drive…) 232 11.3 Hướng phát triển đề tài Chúng tiếp tục nghiên cứu để phát triển giải pháp khả mở rộng (scalability) tính ổn định (reliability) phía server để hỗ trợ nhiều người dùng Ngoài ra, xây dựng công cụ thiết bị di động để tích hợp vào hệ thống DLP có, giúp người dùng sử dụng tập tin tài liệu bảo vệ thiết bị di động Với kết đạt giải pháp tạo mơ hình document embedding (dựa phương pháp Paragraph2Vec) để vector hóa tài liệu / văn thành vector có độ dài cố định, chúng tơi áp dụng vào việc phân loại mức độ nhạy cảm tài liệu/đoạn văn bản, giúp tăng tính thơng minh việc dự đoán và cảnh báo người dùng thao tác, chia sẻ tài liệu máy tính Hiện chúng tơi tích hợp thử nghiệm tính dự đoán mức độ nhạy cảm tài liệu vào giải pháp ngăn ngừa thất thơng tin máy tính 233 Danh mục tài liệu tham khảo [1] InfoWatch, "Global Data Leakages & Insider Threats Report - 2012," InfoWatch Research Center, 2012 [2] InfoWatch, "Global Data Leakage Report - 2013," InfoWatch Analytical Center, 2014 [3] InfoWatch, "Global Data Leakage Report - 2014," 2015 [4] InfoWatch, "Global Data Leakage Report, 2015," 2016 [5] McAfee, "McAfee for Small Business," [Online] Available: http://www.shopmcafee.com/store/mfesmb/en_US/DisplayHomePage?CID=MFEMHP102 [6] McAfee, "McAfee for Business," [Online] Available: http://www.mcafee.com/us/business-home.aspx?CID=MFEen-usMHP002 [7] TrendMicro, "Worry-Free Business Security," [Online] Available: http://www.trendmicro.com/us/small-business/product-security/index.html [8] TrendMicro, "Enterprise Security Software," [Online] Available: Worry-Free Business Security [9] TrendMicro, "Integrated Data Loss Prevention," [Online] Available: http://www.trendmicro.com/us/enterprise/data-protection/data-loss-prevention/ [10] Symantec, "Products & Solutions," [Online] Available: [Online] Available: http://www.symantec.com/products-solutions/ [11] Symantec, "Data Loss Prevention," http://www.symantec.com/data-leak-prevention/ 234 [12] EMC, "RSA DATA LOSS PREVENTION," [Online] Available: [Online] Available: http://www.emc.com/security/rsa-data-loss-prevention.htm [13] WebSense, "TRITON APX Core Products," http://www.websense.com/content/triton-apx.aspx?intcmp=nav-mm-productscore-apx [14] I Ivanov, "API hooking revealed," 12 2002 [Online] Available: http://www.codeproject.com/Articles/2082/API-hooking-revealed [15] Microsoft, "Signing a Driver," [Online] Available: https://msdn.microsoft.com/en- us/library/windows/hardware/ff554809(v=vs.85).aspx [16] M Pietrek, "Peering Inside the PE: A Tour of the Win32 Portable Executable File Format," 1994 [Online] Available: https://msdn.microsoft.com/en- us/library/ms809762.aspx [17] Microsoft, "Description of how Word creates temporary files," 22 06 2014 [Online] Available: https://support.microsoft.com/en-us/kb/211632 [18] M J B Robshaw, "Stream Ciphers Technical Report TR-701, version 2.0, RSA Laboratories," 1995 [19] NSA, "https://www.nsa.gov/," 25 2014 [Online] Available: https://www.nsa.gov/ia/programs/suiteb_cryptography/index.shtml [20] Christof Paar, Jan Pelzl, "The Advanced Encryption Standard (AES)," in Understanding Cryptography, 2009 [21] NetApplication, "Desktop Operating System Market Share," [Online] Available: http://www.netmarketshare.com/operating-system-market-share.aspx 235 [22] S Podobry, "Easy way to set up global API hooks," Apriorit Inc, 19 2012 [Online] Available: http://www.codeproject.com/Articles/49319/Easy-way-to-setup-global-API-hooks [23] George Lawton, “New Technology Prevents Data Leakage”, Computer, Vol 41, Issue 9, trang 14-17, IEEE, 2008 [24] Info Tech Research Group, Inc., “Vendor Landscape: Data Loss Prevention - Plug the leak and protect your intellectual property with the right DLP solution”, [ROnline] revised June 27, 2012, http://www.trendmicro.com/cloudcontent/us/pdfs/business/reports/rpt_infotech-research_dlp-vendor-landscape.pdf [25] Tore Torsteinbø, “Data Loss Prevention Systems and Their Weaknesses”, Faculty of Engineering and Science, University of Agder, Norway, 2012 [26] Rich Mogull, “Best Practices for Endpoint Data Loss Prevention”, Securosis, L.L.C, sponsored by Symantec, 2009 [27] “Global Security Report 2014”, Trustwave, 2014 https://www2.trustwave.com/rs/trustwave/images/2014_Trustwave_Global_Security_R eport.pdf [28] Christopher Williams, “Virgin Media collects customer banking details on CD, then loses it”, The Register [ROnline] June 20, 2008 http://www.theregister.co.uk/2008/06/20/virgin_media_banking_loss/ [29] Dafydd Stuttard, Marcus Pinto, The Web Application Hacker's Handbook: Discovering and Exploiting Security Flaws, Wiley Publishing, Inc., 2008 [30] Stephen Pritchard, “The Truth About DLP”, Info Security, Vol 8, No 4, trang 18-21, July 2011 [31] Michael Hart, Pratyusa Manadhata, Rob Johnson, “Text Classification for Data Loss Prevention”, Proceedings of PETS 2011, Lecture Notes in Computer Science, Vol 6794, trang 18-37, Springer, 2011 [32] McAfee, “Host Data Loss Prevention 9.x Outlook add-in”, [ROnline] March 26, 2012 https://kc.mcafee.com/corporate/index?page=content&id=KB59774 [33] Websense Security Labs, “Websense 2014 Threat Report”, [ROnline] March 2014, http://www.websense.com/content/websense-2014-threat-report.aspx [34] Sultan Alneyadi, Elankayer Sithirasenan, Vallipuram Muthukkumarasamy, "A SemanticsAware Classification Approach for Data Leakage Prevention", Information Security and 236 Privacy, Lecture Notes in Computer Science, Volume 8544, trang 413-421, Springer, 2014 [35] Hangbae Chang, “The design of leakage prevention service for industry databases”, Computers & Mathematics with Applications, Volume 65, Issue 9, trang 1369-1377, Elsevier, May 2013 [36] Tracey Caldwell, “Data loss prevention – not yet a cure”, Computer Fraud & Security, Volume 2011, Issue 9, trang 5–9, Elsevier, September 2011 [37] Lawrence Fennelly, “Handbook of Loss Prevention and Crime Prevention“ (Fifth Editon), Elsevier , 2012 [38] Asaf Shabtai, Yuval Elovici, Lior Rokach, “A Survey of Data Leakage Detection and Prevention Solutions”, SpringerBriefs in Computer Science, Springer, 2012 [39] Kevin Roebuck, “Data Loss Protection: High-Impact Strategies - What You Need to Know: Definitions, Adoptions, Impact, Benefits, Maturity, Vendors”, Emereo Pty Limited, 2011 [40] US2014-0026181, “Data loss prevention (DLP) methods and architectures by a cloud service”, 2014 [41] US2014-0215625, “Data loss prevention of a shared network file system”, 2014 [42] CN102930212, “Data leakage prevention method for office system”, 2013 [43] AHEAD, “ISO 27000”, http://isoahead.vn/index.php?com=content&typeview=blog&mnuid=52 [44] ISO, “ISO/IEC 27001 Information security management”, http://www.iso.org/iso/home/standards/management-standards/iso27001.htm [45] Gail-Joon Ahn, John Lam (2005) Managing privacy preferences for federated identity management New York, USA: ACM Press [46] Waleed A Alrodhan, (2007) Addressing privacy issues in CardSpace Information Assurance and Security, 2007 IAS 2007 Third International Symposium on Information Assurance and Security, 285-291 [47] Axel Bucker (2005) Federated Identity Management And Web Services Security With IBM Tivoli Security Solutions An IBM Redbooks [48] A Casas (2009) Keepass Mật Safe 2.2 PC World profesional, 87 [49] Amir Hadziahmetovic (2006), "Digital Identity Management - Challenges and Benefits" [50] Marit Hansen, Ari Schwartz, Alissa Cooper (2008) Privacy and Identity Management IEEE Security & Privacy Magazine, 38-45 237 [51] Nguyen Hoang Long (2008) Secure roaming with identity metasystems Proceedings of the 7th symposium on Identity and trust on the Internet (pp 36–47) New York, New York, USA: ACM [52] Microsoft (2005) Microsoft’s Vision for an Identity http://www.identityblog.com/stories/2005/10/06/IdentityMetasystem.pdf [53] D Olds (2009), Bandit project.org/index.php/Welcome_to_Bandit/ project: Metasystem: http://www.bandit- [54] RU Rehman(2008) Get Ready for OpenID Conformix Technologies Inc [55] Sxipper Inc (2010) Sxipper: http://www.sxipper.com/ [56] P Trevithick (2009) Higgins trust framework project http://www.eclipse.org/higgins/ [57] Phillip Windley (2005) Digital Identity IEEE Technology And Society Magazine, 34-41 [58] WP2 (2005) Inventory of topics http://www.fidis.net/fileadmin/fidis/deliverables/fidis-wp2del2.1_Inventory_of_topics_and_clusters.pdf and clusters: [59] WP3, "Structured Overview on Prototypes and Concepts of Identity Management Systems," 2005 [60] Office of Systems Integration (2008) OSI Definitions http://www.bestpractices.osi.ca.gov/sysacq/definitions.aspx?index=f and Acronyms: [61] VSTOTeam, "Office Developer Tools for Visual Studio 2012: Now Available with Office 2013 and NET Framework 4.5 support," https://blogs.msdn.microsoft.com/vsto/2013/03/06/office-developer-tools-for-visualstudio-2012-now-available-with-office-2013-and-net-framework-4-5-support/ [62] MSDN,"Outlook Object Model Overview", https://msdn.microsoft.com/enus/library/ms268893.aspx [63] MSDN, "Working with Mail Items", https://msdn.microsoft.com/enus/library/bb157889.aspx [64] MSDN, "MailItem events", https://msdn.microsoft.com/enus/library/microsoft.office.interop.outlook.mailitem_events.aspx [65] MSDN, "Deploying an Office Solution by Using Windows Installer", https://msdn.microsoft.com/en-us/library/cc442767.aspx [66] Alexander Kaluzhny, "File Encryption Driver Development with per Process Access Restriction", https://www.apriorit.com/dev-blog/371-file-encryption-driver-developmentwith-per-process-access-restriction [67] InfoWatch Analytical Center, “Global Data Leakage Report – 2016”, InfoWatch, 2017 238