Với mục đích nghiên cứu những rủi ro có thé xảy ra trong quá trình vận hànhmang 5G, dé đưa ra giải pháp giảm thiểu những rủi ro đó, tôi xin chon dé tài nghiêncứu “Nghiên cứu về giải pháp
Trang 1NGUYEN HUY HẠNH
NGHIÊN CUU VE GIẢI PHÁP QUAN TRI RỦI RO AN TOÀN THONG
TIN MANG DI DONG 5G
Chuyên nghành: Hệ thống thông tin
Mã số: 8.48.01.04
TÓM TẮT LUẬN VĂN THẠC SĨ
HÀ NỘI - NĂM 2020
Trang 2Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: PGS TSKH Hoàng Đăng Hải
Phản biện 1: TS Nguyễn Hai Châu
Phản biện 2: TS Bùi Thu Lâm
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu
chính Viễn thông
Vào lúc: 8 giờ 15 ngày 09 tháng 01 năm 2020
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông.
Trang 3VR, BigData Trong tương lai mạng 5G có thể sẽ trở thành mạng “Internet”
chính, không chỉ kết nối giữa người với người mà còn giữa người với máy móc,
thiết bị,
Mạng 5G ra đời không chỉ đề giải quyết bài toán mạng chậm, đặc biệt là nhucầu về băng thông, tính nhất quán và tốc độ load Khi hiện tại, các thiết bị giải trí diđộng và IoT đã trở nên ngày càng phổ biến trong các ngành nghề đặc biệt là các ngànhcông nghiệp kỹ thuật số Mạng 5G cũng cung cấp sự linh hoạt cho các doanh nghiệp
rỉ thông tin cá nhân, tổ chức, doanh nghiệp
Hiện nay trên thế giới chủ yêu có 4 hãng sản xuất thiết bi mang 5G và mang5G đã được triển khai ở nhiều quốc gia Trong quá trình thử nghiệm và vận hành
mạng 5G, đã có 5 kịch bản quản tri rủi ro được rút ra.
Với mục đích nghiên cứu những rủi ro có thé xảy ra trong quá trình vận hànhmang 5G, dé đưa ra giải pháp giảm thiểu những rủi ro đó, tôi xin chon dé tài nghiêncứu “Nghiên cứu về giải pháp quản trị rủi ro trong mạng viễn thông di động 5G”
2 Tổng quan về van đề nghiên cứu:
- Hiện nay trên thé giới đã và đang rất quan tâm tới quản trị rủi ro của mạng5G, như liên minh châu Âu đã ra các khuyến nghị giúp các nước thành viên xây dựnglên giải pháp quan trị và giảm thiểu rủi ro của mang di động 5G Vào trung tuần thang
5 năm 2020, 32 nước và 4 hãng sản xuất thiết bị 5G đã họp mặt tại và đưa ra đề xuất
Trang 4Praha về an toàn thông tin và quản trị rủi ro của mạng 5G.
- Phân tích những điểm mới của công nghệ mạng 5G
- Áp dụng bộ tiêu chuẩn về an toàn thông tin ISO/IEC 27000 dé làm cơ sởnghiên cứu những rủi ro có thể xảy ra trong quá trình vận hành và khai thác mạngviễn thông 5G, từ đó nam được nguyên nhân và tác nhân của những rủi ro đó
- Sử dụng các tiêu chí đánh giá rủi ro trong bộ tiêu chuân ISO/IEC 27000
đánh giá rủi ro ATTT mạng 5G.
- Xây dựng công cụ đánh giá, giám sát rủi ro cho mang 5G.
3 Mục đích nghiên cứu:
Nghiên cứu những rủi ro tiềm ấn trong quá trình vận hành và khai thác mang5G, từ đó đưa ra:
- Đưa ra các kịch bản rủi ro trong mạng 5G
- Đề xuất phương pháp quản trị rủi ro trong mạng 5G, nham giảm thiểu hậuquả của những rủi ro đó.
4 Đối tượng và phạm vi nghiên cứu:
- Đối tượng nghiên cứu: Luận văn tập trung vào nghiên cứu những rủi ro cóthể xảy ra trong quá trình vận hành và khai thác mạng di động 5G
- Phạm vi nghiên cứu: Mạng 5G đang triển khai tại Việt Nam và trên thế giới
5 Phương pháp nghiên cứu:
Hệ thống mạng 5G có nhiều đột phá trong công nghệ mở ra những tiềm năngứng dụng vô tận trong cuộc sông con người, nhưng kèm theo đó sẽ là những mối lo
về rủi ro trong quá trình vận hành và khai thác của hệ thống này Làm sao dé quản lý
và giảm thiêu được những rủi ro này
Phương pháp nghiên cứu dựa trên bộ tiêu chuan về an toàn thông tin ISO/IEC
27000 đề nhận diện những rủi ro trong quá trình vận hành và khai thác mạng 5G Đưa
ra thước đo rủi ro, dựa vào đó xây dựng lên công cụ quản trị nhằm giảm thiêu những
rủi ro đó.
Đề tài sử dụng phối hợp các phương pháp nghiên cứu khoa học: phương phápnghiên cứu tài liệu; phương pháp phân tích - tổng hợp; phương pháp phân tích thứ
Trang 55.1 Phuong pháp nghiên cứu tài liệu
Nghiên cứu tài liệu nhằm thu thập thông tin về: Cơ sở lý thuyết; các thànhtựu, kết quả nghiên cứu mới nhất liên quan đến đề tài Cụ thé gồm:
- Ly thuyét mang may tinh va truyén thong
- Công nghệ mang di động 5G.
5.2 Phương pháp phân tích - tong hợp
Trước hết, phương pháp phân tích được sử dụng để nghiên cứu từng thànhphan của mang di động 5G: các nút mạng, đường truyền, giao thức truyền thông.Khả năng kết nỗi mạng của từng thành phần sẽ được xem xét riêng biệt
Sau đó, bài toán định tuyến dé truyền dữ liệu cho toàn bộ hệ thống mạng diđộng hỗn hợp 5G được nghiên cứu trên cơ sở tong hợp các kết qua phân tích về giảipháp kết nối mạng cho các thành phần mạng
5.3 Phương pháp tích thứ bậc
Phân tích đánh giá xác định mức quan trọng từng tiêu chí và đó là điểm yếucủa phương pháp và ra quyết định chọn tiêu chí
Sử dụng phương pháp phân tích thứ bậc dé đánh giá an toàn mạng 5G đảm
bảo các đặc tính co bản của an toàn thông tin (tam giác bao mật CIA):
- Tinh bảo mật thông tin.
- Tính toàn vẹn thông tin.
- Tính sãn sàng (sẵn có) của thông tin.
6 Bồ cục luận văn
Luận văn chia làm 3 chương chính:
Trang 6CHUONG I TONG QUAN VE MẠNG 5G VÀ BỘ TIỂU
CHUAN ISO/IEC 27000
1 Giới thiệu về mang viễn thông di động 5G
1.1 Mang di động 5G
Chúng ta dang chứng kiến thời kỳ chuyền tiếp từ thé hệ thứ 4 (4G) sang thé
hệ thứ 5 (5G) của mạng di động Nhờ những công nghệ đột phá mới, truyền dữ liệutrong mạng đi động 5G có thể cao hơn 100 lần tốc độ truyền dữ liệu trong mạng diđộng 4G Sự phát triển của mạng đi động 5G được kỳ vọng sẽ đáp ứng nhu cau giaotiếp đa dạng của con người trong tương lai Đặc biệt, mạng di động hỗn hợp 5Gđược xem là bước trung gian để tiễn tới Internet của mọi thứ (Internet of everything)kết nối ít nhất 100 tỷ thiết bị vào năm 2024 Tuy nhiên, những yêu cầu khắt khe về
chất lượng dịch vụ, tốc độ truyền dữ liệu cao cùng với độ trễ đầu-cuối thấp của mạng
di động 5G đòi hỏi nhiều tiêu chuẩn kỹ thuật và công nghệ mới Bên cạnh đó, xuhướng hội tụ công nghệ trong giao tiếp không dây cũng sẽ yêu cầu mạng di động5G phải có những công nghệ thích hợp.
Trang 7Phân tập phân cực: tín hiệu được truyền đi bằng cách dùng những sóng
phân cực khác nhau.
Phân tập người sử dung (multiuser diversity).
1.2.1 Kiến trúc với trọng tâm là các thiết bị
Thiết kế mạng di động có lịch sử dựa trên vai trò cơ bản của các tế bào Một
thiết bị có được dịch vụ băng cách thiết lập một kết nối lên/xuống, trong đó có chứa
cả lưu lượng điều khiển và dữ liệu với các trạm cơ sở - bộ điều khiển trung tâm củamỗi tế bào Trong vài năm trở lại đây, kiến trúc lấy thiết bị đầu cuối làm trung tâmthay cho các trạm cơ sở truyền thông đang dần hình thành xu hướng cốt lõi
1.2.2 Sóng milimet
Phổ tần số trong băng tần sóng milimet (hay còn gọi là băng tần mmWave)đang được các quốc gia trên thế giới xem xét phân bổ cho 5G, năm trong khoảng từ
24 GHz đến 100 GHz Băng tần mmWave mang lại nhiều lợi ích về hiệu suất và nó
là một phần thiết yếu của hệ thống mạng 5G
1.2.3 Công nghệ thu phát đa điễm
Công nghệ thu phát đa điểm hay còn được là MIMO (Multiple Input MultipleOutput) không phải là một đề xuất mới Nói chung, công nghệ MIMO là kỹ thuậttruyền thông sử dụng nhiều anten phat và nhiều anten thu Hình 3 biéu diễn mô hìnhtruyền thông tổng quát sử dụng MIMO
Công nghệ Massive MIMO (Massive Input
Multiple-Output) là nhiều ăngten MIMO cỡ lớn được sử dụng để giao tiếp với nhiều thiết bịkhông dây khác nhau cùng một lúc làm tăng dung lượng trong dải băng tần, giúp đạtđược tỉ số tín hiệu trên nhiễu (SNR - Signal to Noise Ratio) cao và đồng đều trong
mỗi tế bào (cell).
1.3 Ung dung 5G trong đời sống
5G là mang di động thế hệ thứ năm được mong đợi sẽ là nền tảng di động hoànhảo thỏa mãn điều kiện đa dạng về thiết bị kết nối, đáp ứng được siêu kết nối, lưu
lượng dỡ liệu toc độ cực cao, và độ trễ rất nhỏ, là hạ tâng nên tảng phát triên các
Trang 8dịch vụ, ứng dụng trong CMCN 4.0 như nhà máy thông minh, dịch vụ có độ trễ cực
thấp cho y tế từ xa, dịch vụ điều khiến thiết bị không người lái trong quân đội
2 Bộ tiêu chuẩn ISO/IEC 27000
2.1 Tập các tiêu chuẩn ISO/IEC 27000.
Còn được gọi là "Tập các tiêu chuẩn ISMS' hoặc 'ISO/IEC 27000, bao gồm cáctiêu chuẩn an toàn thông tin được công bố bởi Tổ chức Tiêu chuẩn quốc Tế(International Organization for Standardization - ISO) và Ủy ban Kỹ thuật Điện Quốc
tế (International Electrotechnical Commission - IEC), cung cấp một khung ứng dụngATTT rộng rãi, được áp dụng cho tất cả các tô chức với loại hình và quy mô khácnhau Bộ tiêu chuẩn này được chia thành các tiêu chuẩn nhỏ hơn tùy theo nội dungnhư: ISO/IEC 27000 cung cap bức tranh về các tiêu chuẩn tổng quan về việc đảm bảoATTT; ISO/IEC 27001 giúp xác định các yêu cầu của chương trình ATTT vàISO/IEC 27002 cung cấp định nghĩa các bước hoạt động cần thiết trong một chương
trình ATTT.
2.2 Quan lý rút ro chỉ ra trong ISO/IEC 27005
Năm 2011, phiên bản cuối cùng của tiêu chuan ISO / IEC 27005 đã được thôngqua, trong đó tiêu chuẩn này đã được sửa đổi và cập nhật phù hợp với các yêu cầu
của các tài liệu sau:
- ISO 31000: 2009 - Quản lý rủi ro - Nguyên tắc và hướng dẫn;
- ISO/TEC 31010: 2009 - Quản lý rủi ro - Kỹ thuật đánh giá rủi ro;
- ISO Guide 73: 2009 - Quan lý rủi ro - Từ vựng.
ISO/IEC 27005 — Công nghệ thông tin — Kỹ thuật an toàn — Quản lý rủi ro an
toàn thông tin * Mục tiêu của ISO/IEC 27005 là cung cấp các định hướng cho quan
lý rủi ro an toàn thông tin ISO/IEC tin ISO/IEC 27005 được thiết kế nhằm hỗ trợtriển khai an toàn thông tin một cách thỏa đáng dựa trên phương thức tiếp cận quản
lý rủi ro.
2.3 Kết luận chương
- chương này giới thiệu về lịch sử phát triển của mạng viễn thông di động, từ đó cho
Trang 9ta thấy tại sao xu hướng chung của thé giới đều sẽ phát triển lên mang 5G dé ứngdụng vào mọi mặt của đời sống như sinh hoạt, giải trí, sản xuất
- TSO 27000 là một phan của hệ thống quản lý chung trong tổ chức, được thực hiệndựa trên nguyên tắc tiếp cận các rủi ro trong hoạt động, đề thiết lập, áp dụng, thực
hiện, theo dõI, xem xét, duy tri va cải tiên đảm bảo an toàn thông tin của tô chức.
Trang 10CHƯƠNG 2 CÁC KỊCH BẢN RỦI RO TRONG MẠNG 5G
VÀ MÔ HÌNH GIAM THIẾU RỦI RO
1 Ứng dụng ISO/IEC 27005:2011 vào quản lý rủi ro cho mạng viễn thông
di động 5G
Hiện nay các nước đã và đang triển khai mạng 5G đang xây dựng các bộ công
cụ quản trị rủi ro thích ứng với từng nước và khu vực Trên cơ sở ứng dụng triển
ISO/IEC 27005.
2 Các mối đe dọa và tác nhân của các mối đe dọa đối với mạng 5G
2.1 Các mối đe dọa
Việc triển khai mạng 5G đang diễn ra trong bối cảnh an ninh mạng toàn cầuđang bị đe dọa, đặc biệt với sự gia tăng các cuộc tấn công dọc theo chuỗi cung ứng
dịch vụ mạng.
2.2 Chủ thể của các mỗi đe dọa
Mức độ liên quan của các tác nhân đe dọa tới mạng 5G được đánh giá bằngcách kết hợp hai tham số: đánh giá khả năng (nguồn lực) và ý định tan công Các mối
đe dọa từ nhà nước hoặc từ các tổ chức được nhà nước hỗ trợ được coi là cấp báchnhất Những tác nhân đe dọa này có ảnh hưởng nghiêm trọng nhất và có khả năngxảy ra nhất, vì có thé có động cơ và ý định rõ ràng Quan trọng nhất là các chính phủ
có nguôn lực đồi dao dé tiến hành các cuộc tan công liên tục và phức tạp chống lại
an ninh của mạng 5G của đối phương Sự kết hợp của động cơ, ý định và mức độnguồn lực cao cho phép các quốc gia phát động các cuộc tan công có thé rất phức tap
và có tác động nghiêm trọng đến cả hệ thống mạng, làm mất đi niềm tin vào các nhàkhai thác và công nghệ di động Ví dụ: nhà nước hoặc các tô chức được hỗ trợ bởinhà nước có thé gây ra sự cố ngừng hoạt động quy mô lớn hoặc gián đoạn đáng kéđối với các dịch vụ viễn thông thông qua việc sử dụng các cuộc tấn công mạng hoặccác cuộc tấn công vào các cơ sở hạ tầng quan trọng phụ thuộc lẫn nhau (ví dụ: hạtầng điện lưới )
2.3 Độ nhạy cảm của những tài sản chính của hệ thong viễn thông 5G
Trang 11Việc triển khai mang 5G đòi hỏi những thay đổi lớn hơn nhiều trong quá trìnhvận hành của các nhà khai thác dich vụ viễn thông so với bat kỳ quá trình chuyên đổinào trước đây Các chức năng và quy trình mới sẽ yêu cầu tô chức lại toàn diện các
mạng hiện có, mặc dù trong giai đoạn đầu, chúng sẽ tiếp tục xây dựng trên các mạng
3G và 4G hiện có Ngoài ra, công nghệ 5G vẫn đang được phát triển và kiến trúc củamạng 5G cuối cùng vẫn chưa được thiết lập, nhưng những tài sản chính trong mạng
5G cũng đã được xác định.
2.4 Những điểm yếu của mạng viễn thông 5G
Giống như bat kỳ cơ sở hạ tầng kỹ thuật số nào, trên mang 5G có thé có mộtloạt lỗ hong kỹ thuật phổ biến có thé ảnh hưởng đến phần mềm hoặc phan cứng hoặc
do các lỗ hồng tiềm ân trong quy trình bảo mật của bất kỳ bên liên quan nào Ngoài
ra, các lỗ hồng trong cơ sở hạ tầng 3G và 4G hiện có cũng cần được xem xét khi triểnkhai mạng 5G Mặc dù một số lỗ hồng trong số đó có thể không xuất hiện trên mạng5G, nhưng số lượng và ý nghĩa của chúng có thé sẽ tăng lên cùng với sự phát triển
của 5G do mức độ phức tap của công nghệ ngày càng tăng va sự phụ thuộc lớn hơn
trong tương lai của các nền kinh tế và xã hội vào cơ sở hạ tầng này
2.4.1 Đối với tat cả các bên liên quan, đặc biệt là các nhà khai thác di động cụ thé
và các nhà cung cấp của họ
Thiếu nhân sự chuyên dụng và được đảo tạo dé bảo mật, giám sat và duy trimạng 5G - Bồi cảnh và công nghệ mối đe dọa phát triển nhanh chóng, cũng như sựphức tạp của mạng 5G sẽ làm tăng nhu cầu về các chuyên gia bảo mật CNTT có kiếnthức chuyên môn (ví dụ: năng lực kiến trúc đám mây)
Thiếu các biện pháp kiểm soát an ninh nội bộ đầy đủ, các phương pháp giámsát, hệ thống quản lý bảo mật và thiếu sót trong thực tiễn quản lý rủi ro - những thiếusót này ảnh hưởng đến khả năng ngăn ngừa và giảm thiểu rủi ro bảo mật đối với tàisản vật lý có thể do lỗi, tai nạn, thiên tai hoặc các hành động gây hại có chủ đích gây
ra Đối với các nhà khai thác di động
Thiết kế kiến trúc mạng yếu kém ( bao gồm thiếu các cơ chế khẩn cấp và duytrì sự liên tục, thiết lập cau hình không chính xác ), điều này có thé làm tăng đáng ké
Trang 12kha nang chiu hau qua nang (vi du: thiếu sự cách ly với các hệ thống có mức độ tincậy thấp, khả năng vi phạm bảo mật cao)
2.5 Những rủi ro và kịch bản rủi ro của mang 5G
Dựa trên những phát hiện về các tham số khác nhau được nêu trong các phầntrước của báo cáo, một số loại rủi ro đã được xác định có tầm quan trọng chiến lượcdựa trên quan điểm của các nước đã triển khai mạng 5G
2.5.1 Rủi ro từ phía nhà cung cấp
2.5.2 Rủi ro từ sự thiếu an toàn của hệ thống viễn thông 5G
2.5.3 Rui ro từ những cuộc tấn công
2.5.4 Rủi ro từ sự phụ thuộc lẫn nhau giữa các hệ thống
2.5.5 Rủi ro từ thiết bị người dùng cuối
2.6 Các biện pháp và hoạt động hỗ trợ
Đôi với từng những rủi ro đã được xác định trong luận văn này có thê đưa racác kế hoặc giảm thiêu rủi ro Chúng bao gồm các tổ hợp có thé có của các phươngpháp chiến lược và các phương pháp kỹ thuật (cùng với các hoạt động hỗ trợ thíchhợp) nhằm giảm thiêu rủi ro an ninh thông tin cho hệ thống mạng viễn thông 5G
Các biện pháp giảm thiểu được phân nhóm thành hai loại: biện pháp chiếnlược và giải pháp kỹ thuật Các biện pháp này (chi tiết ghi rõ trong phụ luc , bang 1)
có thé được sử dụng dé giảm thiêu những rủi ro đã được xác định trong báo cáo đánhgiá của EU Ngoài ra, hiệu quả của các biện pháp này có thê được củng có thêm bang
việc thực hiện những hoạt động hỗ trợ.
2.6.1 Các phương pháp chiến lược
Các biện pháp chiến lược bao gồm các biện pháp liên quan đến việc tăng cườngquyền quản lý của các cơ quan chức năng dé sát sao việc mua bán thiết bi và triểnkhai mạng; các biện pháp giải quyết rủi ro liên quan đến các lỗ hồng phi kỹ thuật (ví
dụ do can thiệp bởi nước thứ ba hoặc rủi ro phụ thuộc), cũng như các sáng kiến tăngcường tính đa dạng cũng như bền vững của chuỗi cung ứng 5G và chuỗi giá trị nhằmtránh các rủi ro phụ thuộc mang tính hệ thống dài hạn
Tám biện pháp được ghi rõ dưới đây: