GIẢI PHÁP AN NINH BẢO MẬT MẠNG TRUYỀNSỐ LIỆU CHUYÊN DÙNG VÀ ỨNG DỤNG CHO VÙNG TÂY NGUYÊN Trong lĩnh vực công nghệ thông tin truyền thông nói chung và trong lĩnh vực truyền số liệu nói riêng, vấn đề an ninh, bảo mật cho thông tin, dữ liệu là rất quan trọng bởi tầm quan trọng của nội dung thông tin, dữ liệu. Các dữ liệu không chỉ đòi hỏi phải bảo mật với các ứng dụng khác nhau, mà còn đòi hỏi bảo mật với chính các ứng dụng trong nội bộ hệ thống.
1 HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - NGUYỄN XUÂN KHÁNH GIẢI PHÁP AN NINH BẢO MẬT MẠNG TRUYỀN SỐ LIỆU CHUYÊN DÙNG VÀ ỨNG DỤNG CHO VÙNG TÂY NGUYÊN Chuyên ngành: Kỹ Thuật Viên Thông Mã số: 60.52.02.08 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – 2014 MỞ ĐẦU Trong lĩnh vực công nghệ thơng tin - truyền thơng nói chung lĩnh vực truyền số liệu nói riêng, vấn đề an ninh, bảo mật cho thông tin, liệu quan trọng tầm quan trọng nội dung thông tin, liệu Các liệu khơng địi hỏi phải bảo mật với ứng dụng khác nhau, mà địi hỏi bảo mật với ứng dụng nội hệ thống Thực tế nay, khu vực Tây Nguyên gồm tỉnh Gia Lai, Kon Tum, Lâm Đồng, Đắk Lắk, Đắk Nông với đông dân tộc người sinh sống Ba Na, Gia Rai, Ê Đê, Cơ Ho, Mạ, Xơ Đăng, Mơ nông, Tây Nguyên xác định có nhiều bất ổn an ninh, trị mà điển hình phần tử cực đoan theo Fulro với tuyên bố thành lập nhà nước “Cộng hòa Đêga” năm 2001, vụ gây rối trị quy mơ lớn với gần 10 nghìn người tham gia đồng loạt tỉnh Đắk Lắk, Gia Lai, Đắk Nông tháng năm 2004 Trước tình hình này, Đảng, Nhà nước quan tâm tới ổn định an ninh, trị, trật tự xã hội khu vực Tây Nguyên Đặc biệt với mạng truyền số liệu chuyên dùng vùng Tây Nguyên yêu cầu phải bảo đảm an ninh, an toàn truyền tải thông tin, liệu quan quản lý nhà nước tỉnh vùng Tây Nguyên Cho nên, nội dung đề tài đặt vấn đề nghiên cứu, đề xuất giải pháp an ninh bảo mật tồn trình từ đầu cuối tới đầu cuối, bao gồm lớp mạng, lớp sở liệu lớp đầu cuối người sử dụng ứng dụng cho vùng Tây Nguyên Các giải pháp an ninh, bảo mật kết hợp với giải pháp hạ tầng kỹ thuật mạng hình thành nên hệ thống sở hạ tầng công nghệ thông tin - truyền thơng tồn diện bảo đảm đủ điều kiện phục vụ cho công tác quản lý nhà nước vùng Tây Nguyên Luận văn: “Giải pháp an ninh bảo mật mạng truyền số liệu chuyên dùng ứng dụng cho vùng Tây Nguyên” đưa đánh giá giải pháp an ninh tổng thể, mạng thông tin truyền thông nói chung mạng truyền số liệu chuyên dùng vùng Tây Nguyên nói riêng trọng bảo đảm an ninh, bảo mật Tuy nhiên, điều thực lớp mạng lớp truyền tải Còn lớp ứng dụng lớp đầu cuối người sử dụng gần chưa quan tâm bảo đảm an ninh, an toàn Cho nên nguy an ninh, an toàn bảo mật mạng lớn Vì vậy, vấn đề nghiên cứu đặt nghiên cứu tồn diện giải pháp an ninh, bảo mật cho lớp mạng, lớp truyền tải lớp ứng dụng, lớp đầu cuối người dùng Có bảo đảm đáp ứng yêu cầu an ninh, bảo mật cho nội dung thông tin liệu truyền mạng thu thập, phân tích thực trạng hạ tầng thông tin truyền thông vùng Tây Nguyên (gồm tỉnh: Lâm Đồng, Gia Lai, Kom Tum, Đắk Lắk, Đắk Nông), nghiên cứu lựa chọn công nghệ cho hạ tầng mạng thông tin truyền thông, qua đề xuất giải pháp tổ chức kiểm sốt lưu lượng mạng thông tin truyền thông vùng Tây Nguyên nói riêng mạng đường trục nói chung 6 CHƯƠNG I GIẢI PHÁP KỸ THUẬT CÔNG NGHỆ AN NINH BẢO MẬT MẠNG THƠNG TIN Chương I nêu lên tình hình chung an ninh bảo mật tình hình triển khai hệ thống an ninh bảo mật quan nhà nước Tổng quan kỹ thuật áp dụng chưa giải triệt để vấn đề an ninh, ln có nhìn nhận vấn đề an ninh thỏa đáng cấp thiết để đề xuất giải pháp thích hợp, mạng TSLCD Đảng Nhà nước triển khai I.1 Tổng quan an ninh bảo mật Có nhiều nguyên nhân dẫn đến việc hệ thống mạng bị công nhiều hơn, số ngun nhân kể đến lỗ hổng hệ điều hành, ứng dụng thương mại điện tử, nguyên nhân xuất phát từ cảnh giác người dùng, chủ ý kẻ phá hoại…, tạo nên nguy an tồn thơng tin Cũng cần lưu ý nguy an toàn mạng khơng cơng từ bên ngồi mà phần lớn lại từ nội bộ: nhân viên bất mãn, sai sót người sử dụng, ý thức bảo mật kém,… I.1.1 Tình hình an ninh, bảo mật mạng Việt Nam I.1.2 Tình hình triển khai bảo đảm an toàn, an ninh mạng Việt Nam Mơi trường pháp lý ATTT Tình hình triển khai ATTT số Về quản lý ATTT I.2 Giải pháp kỹ thuật - công nghệ an ninh, bảo mật I.2.1 Phương pháp chung ngăn chặn kiểu công Công tác bảo mật thường bắt đầu cách thiết lập hệ thống, sách cơng ty: Đối với tài khoản hệ thống: Đối với nơi lưu trữ: Đối với hệ thống: I.2.2 Một số giải pháp an ninh mạng Đây giải pháp đã, triển khai diện rộng mạng thông tin truyền thơng nói chung Các giải pháp kết hợp với mang tính bảo mật cho tồn hệ thống cao 8 I.2.2.1 Giải pháp tường lửa I.2.2.2 Giải pháp phát hiện, ngăn chặn công (IPS/ IDS) I.2.2.3 Giải pháp xác thực sử dụng máy chủ AAA I.2.2.4 Giải pháp thiết lập kết nối an toàn mã hóa liệu I.2.2.5 Giải pháp phịng chống virus mã độc I.2.2.6 Giải pháp quản lý hệ thống kết nối an ninh mạng I.2.2.7 Giải pháp phân quyền quản trị I.2.2.8 Quản trị đơn giản cho công việc phức tạp I.2.2.9 Giải pháp rà quét khắc phục lỗ hổng an ninh, bảo mật hệ thống I.3 Kết luận chương CHƯƠNG II THỰC TRẠNG AN NINH BẢO MẬT MẠNG TRUYỀN SỐ LIỆU CHUYÊN DÙNG VÙNG TÂY NGUYÊN Chương II nêu lên cấu hình mạng TSLCD Vùng Tây Ngun, từ phân tích vấn đề an tồn mạng có ảnh hưởng trực tiếp tới mạng TSLCD vùng Tây Nguyên Các giải pháp đưa sở để giải cụ thể vấn đề bảo đảm an toàn mạng thảo luận chương sau II.1 Kiến trúc mạng truyền số liệu chuyên dùng vùng Tây Nguyên Mạng TSLCD mạng truyền dẫn tốc độ cao với công nghệ đại, sử dụng phương thức chuyển mạch nhãn đa giao thức (IP/MPLS) Kết nối mạng tất điểm sử dụng cáp quang tốc độ 100/1000 Mbps cáp đồng; kết nối đảm bảo tính dùng riêng, an ninh an tồn bảo mật, tính dự phịng cao, cho phép hoạt động thơng suốt 24 / ngày Trên sở hạ tầng mạng tiên tiến đồng bộ, mạng TSLCD đáp ứng tốt nhiều dịch vụ như: Truyền hình hội nghị; quản lý điều hành qua văn điện tử; thư điện tử; truy cập Internet tốc độ cao; cho thuê chỗ đặt máy chủ (Hosting); kết nối mạng riêng ảo; truy nhập từ xa (Remote Access IP VPN); truyền hình Internet chất lượng cao (IPTV)… 10 II.1.1 Hiện trạng hạ tầng mạng thông tin truyền thông chung tỉnh vùng Tây Nguyên Về thiết bị kết nối Về công nghệ Về kết nối mạng II.1.2 Đánh giá trạng mạng thông tin truyền thông kết nối phạm vi nội tỉnh vùng Tây Nguyên II.2 Thu thập tổng hợp thực trạng yêu cầu an ninh, bảo mật mạng TSLCD vùng Tây Nguyên II.2.1 Thực trạng an ninh, bảo mật mạng TSLCD vùng Tây Nguyên II.2.2 Đánh giá lực hệ thống bảo mật mạng TSLCD vùng Tây Nguyên - Hiện tại, mạng TSLCD tập trung bảo mật cổng Gateway Internet sử dụng cặp Firewall Core Switch thiết bị phát công (IDS) Tuy nhiên, lực thiết bị IDS đáp ứng 500Mbps không đủ đáp ứng tốc độ kết nối Internet trung tâm Vùng, thời gian tới nâng cấp lên 2.5Gbps) - Các máy chủ ứng dụng cung cấp dịch vụ website, email có bảo vệ thơng qua lực xử lý định tuyến rõ ràng chưa đủ Các máy chủ ứng dụng phải có hệ thống bảo vệ riêng, chuyên dụng để chống công mức ứng dụng thiết bị 11 bảo mật website, chặn lọc virus/spam công vào hệ thống email… - Nguy công nội khách hàng mạng TSLCD cao chưa có thiết bị để ngăn chặn công Điều đặc biệt quan trọng đặc thù khách hàng quan Đảng, Nhà nước quan tâm đến vấn đề bảo mật II.3 Các vấn đề an ninh bảo mật mạng TSLCD vùng Tây Nguyên II.3.1 Một số vấn đề an ninh an toàn cho mạng TSLCD vùng Tây Nguyên II.3.1.1 Các vấn đề an ninh chung mạng TSLCD vùng Tây Nguyên Ngoài việc tồn vấn đề an ninh mạng TSLCD, mạng TSLCD triển khai cho vùng Tây Nguyên phải giải vấn đề an ninh bảo mật đầu cuối, nơi mà lực phản động, thù địch dễ dàng tân cơng vào nhất, xác xuất công đầu cuối cao II.3.1.2 Vấn đề an ninh cho mạng LAN không dây kết nối đầu cuối II.3.2 Các giải pháp tăng cường an ninh bảo mật mạng TSLCD II.3.2.1 Giải pháp an ninh mạng bảo vệ hệ thống cổng kết nối Internet 12 Trang bị giải pháp tường lửa hệ Next Generation Firewall (bao gồm: Firewall, Application Firewall, IPS, Anti-Bot, ) để đáp ứng yêu cầu mức độ an ninh cổng kết nối Internet tốc độ xử lý cổng Internet Thiết bị Firewall có điều chuyển để bảo vệ vị trí khác Trung tâm liệu Bổ sung giải pháp kiểm soát lọc nội dung web, loại bỏ virus mã độc hại qua việc truy cập Web II.3.2.2 Giải pháp an ninh mạng, tăng cường cho Trung tâm liệu - Sử dụng Firewall có để bảo vệ riêng cho Trung tâm liệu - Bổ sung giải pháp IPS chuyên dụng để tăng cường bảo vệ cho Trung tâm liệu II.3.2.3 Giải pháp giám sát an ninh mạng tập trung - Bổ sung hệ thống thu thập log kiện hệ thống mạng - Phân tích, nhận dạng cảnh báo sớm nguy cố an toàn mạng - Phản ứng nhanh với cố an ninh mạng số phận quan trọng II.4 Kết luận chương 13 CHƯƠNG III GIẢI PHÁP AN NINH BẢO MẬT MẠNG TRUYỀN SỐ LIỆU CHUYÊN DÙNG VÙNG TÂY NGUYÊN Chương III đưa giải pháp xuyên suốt từ an ninh bảo mật cho sở liệu ứng dụng mạng lõi, bảo mật đường truyền kết nối phân cấp từ Vùng Tỉnh - Huyện, biện pháp kỹ thuật hỗ trợ người dùng đầu cuối nâng cao tính bảo mật chống thất liệu Mạng TSLCD ứng dụng cho Vùng Tây Nguyên cấu hình ổn định truyền tải an ninh mạng III.1 Giải pháp an ninh, bảo mật cho lớp mạng lõi ứng dụng Cơ sở liệu (CSDL) chạy cho hệ thống mạng lõi mạng TSLCD vùng Tây Nguyên sử dụng cấu trúc SQL để truy vấn, máy chủ SQL đặt Trung tâm Vùng Bản thân SQL thiết kế với tính an ninh bảo mật cao, cần tận dụng triệt để màng an ninh dịch vụ sử dụng III.1.1 An ninh bảo mật cho hệ Cơ sở liệu III.1.2 Bảo mật ứng dụng lọc nội dung Web III.2 Giải pháp an ninh, bảo mật lớp mạng truyền tải vùng Tây Nguyên 14 III.2.1 An ninh, bảo mật mạng VPN – MPLS Các tính bảo mật bật MPLS VPN thường ý là: tách biệt VPN, chống lại cơng từ bên ngồi, bảo vệ chống giả mạo III.2.1.1 Tách biệt VPN III.2.1.2 Chống lại công III.2.1.3 Bảo vệ mạng lưới MPLS III.2.1.4 Bảo vệ chống lại giả mạo III.2.2 Xây dựng giải pháp giám sát an ninh tập trung Vùng – Tỉnh – Huyện III.2.2.1 Giải pháp hệ thống giám sát an ninh tập trung phạm vi Vùng - Thiết bị an ninh mạng: FW, IPS/IDS, hệ thống chống virus, … - Thiết bị mạng: chuyển mạch, định tuyên - Hệ thống máy chủ - Các ứng dụng, phần mềm - Các cảnh báo tổ chức nghiên cứu nước - Thu thập, lưu trữ kiện, log hệ thống mạng cho mục đích tìm kiếm, thống kê, nghiên cứu phân tích cố an ninh mạng sau - Phân tích, nhận dạng cảnh báo sớm nguy cố an toàn mạng - Hỗ trợ phận liên quan: bảo mật, mạng phản ứng nhanh với cố an ninh mạng 15 III.2.2.2 Giải pháp hệ thống giám sát an ninh tập trung phạm vi Tỉnh III.2.2.3 Giải pháp hệ thống giám sát an ninh tập trung phạm vi Huyện III.2.3 Giải pháp ứng dụng mật mã đường truyền điểm – điểm Đối với hệ thống truyền thông tin nộ tỉnh hay nội vùng, việc bảo đảm bí mật yếu tố quan trọng Thơng tin truyền cần mã hóa phải đáp ứng hai yêu cầu: Toàn vẹn liệu Truyền khóa bí mật III.3 Giải pháp an ninh, bảo mật lớp đầu cuối người dùng ứng dụng cho vùng Tây Nguyên III.3.1 Giải pháp giám sát kết nối đầu cuối nội mạng TSLCD Các nguy hệ thống mạng TSLCD yếu tố ảnh hưởng gần tới an minh bảo mật liệu Việc kết nối đầu cuối mạng TSLCD trước chưa thực tiếp cận rà soát xử lý triệt để Các biện pháp từ ý thức cán sử dụng tới công cụ phần cứng phần mềm hỗ trợ Ngoài vấn đề liên quan tới ý thức cán sử dụng (chỉ thơng qua văn bản, đợt tập huấn nghiệp vụ, ), kỹ sư thiết kế hệ thống đưa công cụ hỗ trợ khác Khi việc tích hợp phần mềm phần cứng bán sản phẩm thị 16 trường, đơn vị sử dụng lựa chọn nhiều giải pháp hãng khác Nhưng việc đưa thêm phần cứng vào hệ thống (khi mà trước có nhiều thành phần phần cứng chèn vào phân đoạn mạng) gây nhiều rắc rối cho việc vận hành giám sát Đối với mạng nội mở rộng sử dụng phần mềm để thực giám sát, phát hiện, ngăn ngừa mối nguy hiểm phương án khả thi, việc cấu hình phần mềm thiết bị phần cứng (máy chủ) đặt hệ thống dễ dàng III.3.1.1 Yêu cầu đề xuất III.3.1.2 Giải pháp hệ thống III.3.1.3 Đánh giá sau tích hợp hệ thống III.3.2 Đề xuất giải pháp an ninh bảo mật truy cập wifi đầu cuối mạng TSLCD tỉnh thuộc vùng Tây Nguyên III.3.2.1 Yêu cầu đề xuất III.3.2.2 Giải pháp hệ thống III.3.2.3 Đánh giá sau tích hợp hệ thống III.4 Kết luận chương 17 KẾT LUẬN VÀ KIẾN NGHỊ Sự phát triển bùng nổ công nghệ mức độ phức tạp ngày tăng dẫn đến khả khơng kiểm sốt hệ thống mạng TSLCD, làm tăng số điểm yếu nguy an toàn toàn hệ thống An ninh bảo mật khái niệm rộng xác định theo mơi trường cụ thể Khơng có mơ hình xác phù hợp cho tất hệ thống, mà để đảm bảo an toàn bảo mật phải kết hợp cơng nghệ sách Bên cạnh giải pháp công nghệ trên, cần triển khai giải pháp sách Đó là: Xây dựng hành lang pháp lý hoạt động hệ thống, bao gồm quy chế, sách, tiêu chuẩn an tồn bảo mật thơng tin; Xây dựng chế quản lý tài nguyên hệ thống nguy tương ứng tài nguyên đó; Xây dựng chế quản lý kiểm sốt an tồn thơng tin, kiểm sốt phân quyền truy cập đồng với quy trình quản trị hệ thống ứng dụng phần mềm quản lý sách Ngồi ra, an tồn bảo mật q trình, khơng có kết thúc, khơng phải vấn đề 18 giải lần Do vậy, cần triển khai chiến lược đảm bảo an toàn, bảo mật tổng thể, bảo vệ theo chiều sâu Đó kết hợp nhiều thành phần bảo mật khác Mạng TSLCD triển khai nước nói chung triển khai vùng Tây Ngun nói riêng, ln có thay đổi cấu hình mạng để phù hợp với tình hình thực tế qua giải đoạn phát triển, gải pháp kỹ thuật an ninh bảo mật phải thường xuyên cập nhật, triển khai dựa thay đổi cấu hình mạng yêu cầu cụ thể cho thành phần mạng ... vụ cho công tác quản lý nhà nước vùng Tây Nguyên Luận văn: ? ?Giải pháp an ninh bảo mật mạng truyền số liệu chuyên dùng ứng dụng cho vùng Tây Nguyên? ?? đưa đánh giá giải pháp an ninh tổng thể, mạng. .. tận dụng triệt để màng an ninh dịch vụ sử dụng III.1.1 An ninh bảo mật cho hệ Cơ sở liệu III.1.2 Bảo mật ứng dụng lọc nội dung Web III.2 Giải pháp an ninh, bảo mật lớp mạng truyền tải vùng Tây Nguyên. .. người dùng đầu cuối nâng cao tính bảo mật chống thất thoát liệu Mạng TSLCD ứng dụng cho Vùng Tây Nguyên cấu hình ổn định truyền tải an ninh mạng III.1 Giải pháp an ninh, bảo mật cho lớp mạng lõi ứng