0 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ ĐẶNG THỊ THÙY TRANG NGHIÊN CỨU ĐỀ XUẤT GIẢI PHÁP TRUY CẬP INTERNET AN TOÀN CHO MẠNG NỘI BỘ TRONG CÁC CƠ QUAN NHÀ NƢỚC LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN Hà Nội – 2014 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ ĐẶNG THỊ THÙY TRANG NGHIÊN CỨU ĐỀ XUẤT GIẢI PHÁP TRUY CẬP INTERNET AN TOÀN CHO MẠNG NỘI BỘ TRONG CÁC CƠ QUAN NHÀ NƢỚC Ngành: Công nghệ thông tin Chuyên ngành: Truyền liệu mạng máy tính Mã số: LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN NGƢỜI HƢỚNG DẪN KHOA HỌC: TS LÊ QUANG MINH Hà Nội - 2014 LỜI CAM ĐOAN Tôi xin cam đoan luận văn với đề tài: “Nghiên cứu đề xuất giải pháp truy cập Internet an toàn cho mạng nội quan nhà nước” hoàn toàn kết nghiên cứu thân tơi chưa cơng bố cơng trình nghiên cứu người khác Trong trình thực luận văn, thực nghiêm túc quy tắc đạo đức nghiên cứu; kết trình bày luận văn sản phẩm nghiên cứu, khảo sát riêng cá nhân tôi; tất tài liệu tham khảo sử dụng luận văn trích dẫn tường minh, theo quy định Tơi xin hồn tồn chịu trách nhiệm tính trung thực số liệu nội dung khác luận văn mình./ Hà Nội, ngày 10 tháng 06 năm 2014 Tên tác giả Đặng Thị Thùy Trang MỤC LỤC LỜI CAM ĐOAN MỤC LỤC DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT DANH MỤC CÁC BẢNG DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ MỞ ĐẦU Chƣơng 1: TỔNG QUAN VỀ VẤN ĐỀ BẢO VỆ AN TOÀN AN NINH DỮ LIỆU TRONG MẠNG LAN VÀ KẾT NỐI INTERNET TẠI VIỆT NAM 11 1.1.Trọng tâm ứng dụng CNTT 2011-2015 11 1.2.Yêu cầu thực tiễn bảo vệ an toàn an ninh mạng LAN kết nối Internet Việt Nam 11 1.2.1.Hiện trạng kỹ thuật công nghệ mạng LAN phổ biến 11 1.2.1.1.Mạng LAN kết nối Internet 11 1.2.1.2.Các loại người sử dụng phân quyền truy cập .12 1.2.2.Yêu cầu thực tế 13 1.2.3.Vấn đề thực tiễn 13 1.2.4.Các quy định quan nhà nước 14 1.3.Xác định vấn đề bảo vệ an toàn an ninh liệu mạng LAN kết nối Internet Việt Nam 14 1.3.1.Vấn đề an toàn an ninh mạng vấn đề toàn cầu 14 1.3.2.Vấn đề trọng tâm an toàn an ninh mạng 15 1.3.2.1.Thất thơng tin: Wikileak 15 1.3.2.2.Mã độc lây lan bom nổ chậm .15 1.3.3.Tình hình Việt Nam 15 1.3.4.Nguyên nhân 16 1.3.4.1.Năng lực kỹ thuật 16 1.3.4.2.Đầu tư thiếu đồng 16 1.3.4.3.Việt Nam điểm ưa thích hacker quốc tế 16 1.3.4.4.Thiếu cơng nghệ phù hợp với hồn cảnh Việt Nam 17 Chƣơng 2: NGHIÊN CỨU CÔNG NGHỆ ẢO HĨA ĐỂ ĐẢM BẢO AN TỒN THƠNG TIN 18 2.1 Giới thiệu ảo hóa 18 2.1.1 Ảo hóa vấn đề liên quan 18 2.1.1.1 Ảo hóa gì? 18 2.1.1.2 Lợi ích ảo hóa 19 2.1.1.3 Quá trình phát triển xu giới 20 2.1.2 Phân loại ảo hóa 21 2.1.2.1 Network Virtualization (Ảo hóa hệ thống mạng) .21 2.1.2.2 Storage Virtualization (Ảo hóa hệ thống lưu trữ) 23 2.1.2.3 Application Virtualization (Ảo hóa ứng dụng) 25 2.1.2.4 Server Virtualization (Ảo hóa hệ thống máy chủ) 27 2.2 Các công nghệ hỗ trợ ảo hóa .29 2.2.1 Công nghệ máy ảo 29 2.2.2 Công nghệ Raid 30 2.2.2.1 Khái niệm Raid 30 2.2.2.2 Lịch sử đời phát triển Raid 31 2.2.2.3 Các chuẩn Raid 31 2.2.2.4 Các loại Raid 32 2.2.3 Công nghệ lưu trữ mạng Sans 35 2.2.4 Công nghệ High Availability 35 2.2.4.1 Yêu cầu Vmware High Availability 36 2.2.4.2 Ưu điểm High Availability 36 2.2.4.3 Hạn chế High Availability 37 2.3 Công nghệ ảo hóa ứng dụng đảm bảo sử dụng an tồn thơng tin tiện lợi mạng LAN 37 2.3.1 Ảo hóa ứng dụng 37 2.3.2 Lợi ích ảo hóa ứng dụng 38 2.3.3 Ảo hóa ứng dụng mơ hình Thin Client Architecture 37 Chƣơng 3: TÌM HIỂU CƠNG NGHỆ THIN CLIENT VÀ GIAO THỨC REMOTE DESKTOP PROTOCOL 38 3.1 Giới thiệu thin clients 40 3.1.1 Khái niệm thin clients 40 3.1.2 Đặc điểm thin client 40 3.1.3 Tiêu chuẩn cho kiến trúc thin client 40 3.1.3.1 Tổng quan kiến trúc thin client 42 3.1.3.2 Ứng dụng kiến trúc thin client 43 3.1.3.3 Thin client 44 3.1.3.4 Fat server 45 3.2 Các công nghệ thin client 46 3.2.1 Các cơng nghệ trình diễn phân tán 47 3.2.1.1 Kiến trúc tính tốn độc lập (ICA) .47 3.2.1.2 Giao thức RDP (Remote Desktop Protocol) 49 3.2.1.3 X Windows 50 3.2.1.4 Tổng kết cơng nghệ trình diễn phân tán 51 3.2.2 Các công nghệ trình diễn từ xa 53 3.2.2.1 Các công nghệ dựa trình duyệt (browser) 53 3.2.2.2 Khung làm việc thin-client IBM (TCF-Thin-Client Framework) 54 3.2.2.3 Tổng kết cơng nghệ trình diễn từ xa 56 3.3 Giao thức hiển thị từ xa Remote Desktop Protocol (RDP) 57 3.3.1 Giới thiệu Remote Desktop Protocol (RDP) 57 3.3.2 Cơ chế làm việc giao thức RDP 57 3.3.2.1 Connection Initiation 57 3.3.2.2 Basic Settings Exchange 58 3.3.2.3 Channel Connection 59 3.3.2.4 RDP Sercurity Commencement 59 3.3.2.5 Secury Settings Exchange 59 3.3.2.6 Licensing 59 3.3.2.7 Capabilities Negotiation 60 3.3.2.8 Connection Finalization 60 Chƣơng 4: MƠ HÌNH MẠNG LAN TRONG GIẢI PHÁP V-AZUR BẢO VỆ AN NINH DỮ LIỆU CHO MẠNG NỘI BỘ KHI TRUY CẬP INTERNET VÀ LÀM VIỆC TỪ XA QUA INTERNET 61 4.1.Phân chia mạng nội toán truy cập Internet, làm việc từ xa an toàn 61 4.1.1 Phân chia mạng nội 61 4.1.2 Bài toán truy cập Internet làm việc từ xa an toàn 62 4.2 Nhƣợc điểm vấn đề giải pháp có 62 4.2.1.Nhược điểm giải phảp có 62 4.2.2 Các vấn đề với RDP VDI 62 4.3 Giải pháp V-Azur bảo vệ an ninh liệu cho mạng nội truy cập Internet làm việc từ xa qua Internet .63 4.3.1 Mơ hình kiến trúc hệ thống mạng LAN giải pháp V-Azur 63 4.3.2 Mô tả giải pháp công nghệ VCM12 sử dụng V-Azur 64 4.3.2.1 Bản chất kỹ thuật giảp pháp 64 4.3.2.2 Truy cập Internet an toàn 65 4.3.2.3 Làm việc từ xa an toàn 67 4.3.2.4 Yêu cầu kỹ thuật 68 4.4 Đánh giá công nghệ VCM12 69 4.4.1 Tính mới, ưu việt tiên tiến công nghệ 69 4.4.2 So sánh với trình độ cơng nghệ có Việt Nam giới 69 4.4.3 Khả triển khai tính phù hợp giải pháp với thị trường nước 70 4.4 Đề xuất giải pháp sách khuyến nghị 70 4.4.1 Nâng cao nhận thức 70 4.4.2 Bảo vệ nhiều lớp 70 4.4.3 Kết luận & kiến nghị 71 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN CỦA ĐỀ TÀI 72 DANH MỤC CƠNG TRÌNH KHOA HỌC CỦA TÁC GIẢ LIÊN QUAN ĐẾN LUẬN VĂN 73 TÀI LIỆU THAM KHẢO 74 DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT Từ viết tắt AD GUI ICA IP LAN LDAP MPLs NAS OSI RAID RDP SAN TCF TCO TCP VDI VMM VPN VRF VT Từ gốc Active Directory Graphical User Interface Independent Computing Architecture Internet Protocol Local Area Network Lightweight Directory Access Protocol Multiprotocol Label Switching Network Attached Storage Open Systems Interconnection Nghĩa tiếng việt Dịch vụ thư mục Giao diện người dùng đồ họa Kiến trúc tính tốn độc lập Giao thức mạng Mạng cục Giao thức ứng dụng truy cập cấu trúc thư mục Chuyển mạch nhãn đa giao thức Mạng lưu trữ đính kèm Mơ hình tham chiếu kết nối hệ thống mở Redundent Array of Independent Sự tận dụng phần dư Disks ổ cứng độc lập Remote Desktop Protocol Giao thức làm việc từ xa Storage Area Network Mạng lưới khu vực lưu trữ Thin- Client Framework Khung làm việc thin-client Total Cost of Ownership Tổng chi phí sở hữu Transsmission Control Protocol Giao thức điều khiển truyền vận Virtual Desktop Infrastructure Ảo hóa hạ tầng máy tính Virtual Machine Monitor Lớp tảng ảo hóa Virtual Private Network Mạng riêng ảo Virtual Routing and Forwarding Bảng định tuyến ảo Virtualization Technology Cơng nghệ ảo hóa DANH MỤC CÁC BẢNG Bảng 3.1: Các phạm trù ứng dụng 44 Bảng 3.2: Các cấu hình phần cứng thin client 44 Bảng 3.3: Operating System Footprint 45 Bảng 3.4: Tài nguyên phần cứng cho hai loại kịch 45 Bảng 3.5: Tổng kết công nghệ trình diễn phân tán 51 Bảng 3.6: Browser clients footprints .54 Bảng 3.7: Tổng kết cơng nghệ trình diễn từ xa 56 DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 1.1: Các thành phần mạng LAN 12 Hình 1.2: Các loại người sử dụng mạng LAN 12 Hình 2.1: Một server vật lý hệ thống ảo hóa 18 Hình 2.2: Ảo hóa lớp mạng 22 Hình 2.3: Kiến trúc ảo hóa mạng Cisco 23 Hình 2.4: Áo hóa hệ thống lưu trữ .24 Hình 2.5: Host-based Storage Virtualization .24 Hình 2.6: Storage-device based Storage Virtualization 25 Hình 2.7: Network-based Storage Virtualization 25 Hình 2.8: Mơ hình Application Streaming Citrix 26 Hình 2.9: Kiến trúc Host-based 28 Hình 2.10: Kiến trúc Hypervisor-based .29 Hình 2.11: Sơ đồ truy cập tài nguyên phần cứng máy ảo 30 Hình 2.12 Sơ đồ hoạt động chuẩn Striping 32 Hình 2.13: Sơ đồ hoạt động chuẩn Duplexing 32 Hình 2.14: Sơ đồ hoạt động Raid level 33 Hình 2.15: Sơ đồ hoạt động Raid 33 Hình 2.16: Sơ đồ hoạt động Raid 34 Hình 2.17: Sơ đồ hoạt động Raid 1-0 .34 Hình 2.18: Sơ đồ lưu trữ San 35 Hình 2.19: Sơ đồ hoạt động Vmware High Availability 36 Hình 2.20: Cơng nghệ ảo hóa ứng dụng 37 Hình 2.21: Ảo hóa ứng dụng mơ hình Thin Client Architecture 39 Hình 3.2: Kiến trúc thin client 42 Hình 3.3: Mơ hình ba thành phần thin client 47 Hình 3.4: Kiến trúc trình diễn phân tán 47 Hình 3.5: Thông tin ICA client server 48 Hình 3.6: Giao thức ICA tầng giao vận 49 Hình 3.7: Sơ đồ kiến trúc X Window 51 Hình 3.8: Kiến trúc TCF 55 Hình 3.9: Giao thức Remote Desktop 57 Hình 4.1: Mơ hình phân chia mạng nội 61 Hình 4.2: Tổ chức mạng LAN giải pháp V-Azur 63 Hình 4.3: Giải pháp VCM12 bố trí mạng LAN 65 Hình 4.4: Triển khai chức Truy cập Internet an toàn 65 Hình 4.5: Mơ hình giải hệ thống giải pháp VPN 67 Hình 4.6: Mơ hình bảo vệ nhiều lớp 71 MỞ ĐẦU Hiện nay, vấn đề an ninh mạng hay chống tin tặc vấn đề quan tâm ý nhiều quan, tổ chức cộng đồng, đặc biệt với đơn vị yêu cầu bảo mật tuyệt đối Theo đánh giá gần đây, Website mạng nội Việt Nam có mức độ an toàn cao Việt Nam quốc gia dễ bị tổn thương an ninh mạng Theo báo cáo năm 2011 Bộ Công an, tình hình an ninh mạng Việt Nam trở nên nghiêm trọng, đặc biệt quan hệ thống trị, ngân hàng tổng công ty lớn Từ năm 2004, Bộ trưởng Bộ Cơng an, có Quyết định số 71/2004/QĐ-BCA [1], quy định bảo đảm an toàn an ninh mạng liên quan đến sử dụng quản lý Internet có giải pháp nghiêm cấm hành vi “Lưu giữ máy tính kết nối Internet tin, tài liệu, số liệu thuộc bí mật nhà nước” Biện pháp giải thích theo nhiều cách sai lệch “cấm tuyệt đối sử dụng Internet”, “mỗi cán công chức phải trang bị máy tính” “máy tính có tài liệu bí mật khơng nối mạng”,… Có hai nhu cầu ngày tăng quan nhà nước doanh nghiệp truy cập Internet làm việc từ xa Việc cấm tuyệt đối sử dụng Internet ngược lại với chủ trương ứng dụng CNTT để đại hóa đất nước Hiện nay, cán bộ, cơng chức có thói quen tải tài liệu quy phạm pháp luật, biểu mẫu từ website Chính phủ cung cấp để giúp cho việc soạn thảo văn công tác nghiệp vụ Việc đọc tin tức, trau dồi kiến thức sử dụng tài nguyên mạng trở thành thói quen phương tiện làm việc hữu hiệu thiếu cán Mọi biện pháp ngăn cấm dẫn tới biện pháp “vượt rào” tự phát, làm tình hình thêm phức tạp Bên cạnh đó, cán lãnh đạo công tác xa làm việc nhà có nhu cầu truy cập vào mạng nội để xử lý công văn, đơn thư đọc hồ sơ tài liệu Việc sử dụng máy tính, khơng cho nối mạng khơng làm tăng tính an tồn Do nhu cầu cơng việc, cán công chức thường sử dụng thiết bị lưu trữ theo cổng USB, thiết bị truy cập 3G,… chuyển hồn tồn sang dùng máy tính cá nhân riêng đưa tài nguyên, tài liệu, số liệu bí mật chép lung tung làm phá vỡ quy định sách bảo mật nội có Bảo mật vấn đề người Nếu khơng có nhận thức phù hợp, với biện pháp kỹ thuật làm cơng việc trở nên tiện lợi sách rõ ràng, dễ thực hiện, biện pháp túy hành vơ ích, gây cản trở tiến gây lãng phí cải Nhà nước mà tình hình giữ bảo mật an ninh ngày khó kiểm sốt Xuất phát từ nhu cầu thực tiễn, với đề tài: “Nghiên cứu đề xuất giải pháp truy cập Internet an toàn cho mạng nội quan nhà nước”, luận văn sâu nghiên cứu tìm hiểu: Tình hình bảo vệ an tồn an ninh liệu mạng LAN kết nối Internet Việt Nam, xây dựng kiến trúc an toàn an ninh thông tin phù hợp với điều kiện Việt Nam; Nghiên cứu cơng nghệ ảo hóa để đảm bảo an toàn 60 giấy phép đến nơi lưu trữ Trên thực tế, gói trao đổi thời gian pha giao thức phụ thuộc chế cấp phép từ server 3.3.2.7 Capabilities Negotiation Server gửi tập hợp khả mà hỗ trợ đến client Demand Active PDU Client trả lời với khả cách gửi gói Confirm Active PDU 3.3.2.8 Connection Finalization Client server gửi PDUs xuyên suốt trình kết nối PDUs từ client tới người server từ server tới client trao đổi suốt pha Sau client nhận Font Map PDU bắt đầu điều khiển chuột phím đến server, tiến hành tương tác với Remote computer với giao diện đồ họa 61 Chƣơng 4: MƠ HÌNH MẠNG LAN TRONG GIẢI PHÁP V-AZUR BẢO VỆ AN NINH DỮ LIỆU CHO MẠNG NỘI BỘ KHI TRUY CẬP INTERNET VÀ LÀM VIỆC TỪ XA QUA INTERNET 4.1 Phân chia mạng nội toán truy cập Internet, làm việc từ xa an toàn 4.1.1 Phân chia mạng nội Mạng nội kết nối với Internet thông qua modem chia thành mạng mạng cách dây vật lý nhờ thiết bị switch có chức cấu hình mạng ảo (VLAN) tương đương Cisco 2950-T24 trở lên Mạng ngồi gồm có máy chủ Web, E-mail thiết bị máy chủ khác có kết nối với Internet Mạng gồm máy chủ ứng dụng liên quan tới liệu, tài liệu cần giữ bí mật, máy trạm mạng bảo vệ tường lửa Tường lửa ngồi kiểm sốt đường truyền Internet với mạng ngồi mạng Như mạng bảo vệ 02 tường lửa cấu hình hợp lý, nâng mức an toàn hệ thống mạng lên bậc Hình 4.1: Mơ hình phân chia mạng nội  Yêu cầu an ninh: Các máy tính thuộc mạng không sử dụng phương thức thiết bị liệt kê đây: - Đường kết nối Internet trực tiếp 62 - Các cổng USB cho thiết bị lưu trữ thiết bị kết nối mạng phương thức truyền liệu khác 4.1.2 Bài toán truy cập Internet làm việc từ xa an toàn Truy cập Internet an toàn: Cho phép người dùng làm việc mạng trong, khơng có kết nối Internet, truy cập Internet bảo vệ an ninh liệu, chống thất liệu, thơng tin ngăn chặn phơi nhiễm mã độc Làm việc từ xa an tồn: Cho phép người dùng có kết nối Internet, truy cập vào mạng nội làm việc từ xa, chống thất thoát liệu ngăn chặn phơi nhiễm mã độc 4.2 Nhƣợc điểm vấn đề giải pháp có 4.2.1 Nhược điểm giải phảp có  Các máy trạm mạng có kết nối Internet Hơn 90% mạng nội dùng giải pháp gây tình trạng rỏ rỉ liệu nhiễm mã độc trầm trọng  Mỗi người dùng trang bị hai máy tính nối riêng rẽ với mạng mạng ngồi Giải pháp gây lãng phí lớn khơng ngăn rò rỉ liệu nhiễm mã độc người dùng buộc phải chép liệu hai máy, chí giải pháp làm tình hình rối ren khó kiểm sốt  Giải pháp dùng chung máy tính để truy cập Internet gây cản trở công việc cho nhiều người Nếu không phân quyền cẩn thận người dùng có sơ suất người truy cập vào tài nguyên người Đồng thời giải pháp không ngăn chặn việc chép file đưa mã độc vào mạng nội bộ, chí khơng thể truy tìm thủ phạm khơng có chế kiểm soát người dùng máy truy cập Internet  Cấm sử dụng Internet công sở ngược với xu hướng chung đại hóa cơng sở Trong thực tế, nhân viên bắt buộc phải sử dụng thiết bị truy cập Internet cá nhân, tình trạng an ninh khó kiểm sốt  Hệ thống thin-client tập trung vào ảo hóa phần cứng ứng dụng kể trình duyệt Internet máy chủ Hệ thống có nhược điểm làm lãng phí tài nguyên, nghẽn cổ chai máy chủ hạn chế lực tính tốn người dùng Đặc biệt, máy trạm có từ trước bị bỏ phí dùng giải pháp Ngồi ra, mơ hình giải pháp gây khó khăn cho việc bảo đảm an tồn mạng nội có dùng giải pháp truy cập từ xa qua hệ thống mạng riêng ảo (Virtual Private Network - VPN) Việc lây nhiễm mã độc từ máy từ xa vào mạng LAN điều hồn tồn xảy 4.2.2 Các vấn đề với RDP VDI  RDP VDI dịch vụ, tiện ích Khơng phải ứng dụng bảo vệ an toàn an ninh 63  Hỗ trợ Microsoft với hỗ trợ doanh nghiệp Việt Nam Khi có lỗi, cần tờ tháng trở lên để có phiên  Sử dụng RDP cho giải pháp phụ thuộc vào Active Directory, LDAP, kiến trúc SSO Microsoft  Rất nhiều vấn đề an toàn AD, LDAP  Vấn đề làm việc từ xa nào? 4.3 Giải pháp V-Azur bảo vệ an ninh liệu cho mạng nội truy cập Internet làm việc từ xa qua Internet Sản phẩm V-Azur với giải pháp công nghệ VCM12[12] khắc phục nhược điểm giải pháp kỹ thuật nói trên, tuân thủ quy định Bộ Công An, tiết kiệm đầu tư đảm bảo tiện lợi cho người dùng Đặc biệt, giải pháp VCM12 cịn cho phép máy trạm từ xa truy cập vào ứng dụng tác nghiệp mạng trong, bảo đảm nguyên tắc an tồn theo quy định 4.3.1 Mơ hình kiến trúc hệ thống mạng LAN giải pháp V-Azur Các máy tính mạng truy cập tới chứa tài liệu, liệu, thông tin cần bảo mật, hồn tồn khơng có kết nối Internet tn thủ hướng dẫn Bộ Công an Quyết định 71/2004/QĐ-BCA Mạng mạng bị ngăn cách “Tường lửa trong” Tường lửa ngăn chặn kênh kết nối, trừ kênh kết nối riêng cho giao thức đặc biệt, đảm bảo an toàn theo dõi chặt chẽ Hình 4.2: Tổ chức mạng LAN giải pháp V-Azur 64 Hệ thơng V-Azur có nhóm chức sau đây:  Truy cập Internet an toàn: Người dùng sử dụng phần mềm VCM12 client P0 máy trạm thuộc mạng khơng có kết nối Internet, kích hoạt giao thức an tồn đặc biệt, nối bàn phím hình máy trạm tới máy chủ VIE-P0 mạng Máy chủ VIE-P0, sau kiểm soát quyền truy cập máy trạm, sinh máy ảo khởi động trình duyệt máy ảo Mọi hình ảnh trình duyệt ảo hóa truyền tới hình máy trạm mạng trong, tác động bàn phím máy truyền tới ứng dụng trình duyệt nhờ giao thức nói Giữa ứng dụng, thông tin máy trạm mạng trình duyệt ảo hóa VIE-P0 hồn tồn khơng có trao đổi liệu nào, dù vơ tình hay cố ý Vì người dùng khơng thể chuyển liệu, tài liệu mạng từ lên Internet khơng thể đưa mã độc vào mạng trong, dù vơ tình hay cố ý Các tài liệu tải từ mạng về, người dùng có yêu cầu chuyển vào mạng bên trong, hệ thống tiến hành quét cho phép tệp quy định an toàn chuyển vào mạng nhờ giao thức an tồn nói  Làm việc từ xa an toàn: Người dùng sử dụng phần mềm VCM12 Client P3 truy cập vào mạng mạng nội Module VIE-VPN2.0 [13] kiểm tra quyền truy cập dựa thông số cài phần mềm thông số phần cứng máy trạm từ xa đăng ký từ trước Sau máy truy cập từ xa trở thành thành viên mạng bên ngoài, phần mềm VCM12 Client P3 lại tiếp tục kích hoạt giao thức an tồn nói để kết nối hình bàn phím máy trạm từ xa với ứng dụng ảo hóa máy chủ VIE-P3 mạng bắt đầu truy cập tài liệu thông tin mạng Nhờ chế tương tự, suốt phiên làm việc ứng dụng ảo hóa hồn tồn cách ly với ứng dụng, clipboard, nhớ máy truy cập từ xa Do việc truyền mã độc từ ngồi vào thất liệu từ mạng Internet tuyệt đối bị loại trừ Các chức thực sở tuân thủ quy định Quyết định 71a/2004/QĐ-BCA Bộ trưởng Bộ Công an 4.3.2 Mô tả giải pháp công nghệ VCM12 sử dụng V-Azur 4.3.2.1 Bản chất kỹ thuật giảp pháp Bản chất kỹ thuật giải pháp cơng nghệ VCM12 sản phẩm V-Azur bố trí thêm vào mạng nội có kết nối Internet thành phần Hình 4.3 65 Máy chủ Web Tường lửa ngồi Thiết bị ảo hóa trình duyệt VIE-P0 Máy chủ e-mail Modem Switch Máy chủ ứng dụng Máy chủ mạng Windows 2008 ` MÁY TRẠM LÀM VIỆC TỪ XA (VCM12 client P3) Máy trạm mạng (VCM12 client P0) Tường lửa Thiết bị ảo hóa ứng dụng nội VIE-P3 Hình 4.3: Giải pháp VCM12 đƣợc bố trí mạng LAN Các thành phần giải pháp VCM12 chia thành nhóm thành phần với chức “Truy cập Internet an toàn” “Làm việc từ xa an toàn” 4.3.2.2 Truy cập Internet an toàn Hình 4.4: Triển khai chức Truy cập Internet an tồn Nhóm gồm ba (03) thiết bị phần mềm sau đây:  Thiết bị VIE-P0 Thiết bị VIE-P0 có chức sau đây: Người dùng, từ máy trạm mạng trong, truy cập vào Internet thông qua giao thức VIE-RDP mở rộng đặc biệt giao thức RDP sử dụng công nghệ ảo hóa ứng dụng 66 Trong phiên truy cập Internet, sau trình xác thực cẩn mật, giao thức VIERDP nối bàn phím hình máy trạm với trình duyệt ảo hóa chạy VIE-P0 thơng qua cổng kiểm sốt chặt chẽ tường lửa Khi đó, thực chất, người dùng làm việc VIE-P0 dùng hình, bàn phím phần nhỏ tài nguyên CPU nhớ máy trạm Khả bị chiếm quyền máy chủ máy trạm, rò rỉ liệu, lây nhiễm mã độc bị loại bỏ hoàn toàn chế ảo hóa đa tầng, giao thức an tồn VIE-RDP kiểm sốt hồn tồn việc truyền liệu phần mềm máy trạm VIE-P0, máy trạm từ xa VIE-P3 Nhờ giao thức VIE-RDP, hình vừa hiển thị trình duyệt chạy VIE-P0, vừa tiếp tục hiển thị giao diện ứng dụng cho công việc tương ứng với ứng dụng máy trạm Các ứng dụng dùng tài nguyên độc lập máy trạm Trong trường hợp người dùng cần tải tệp liệu với định dạng phép, thiết bị VIE-P0 cho phép lưu tệp vào thư mục cho trước Sau tệp quét kỹ phần mềm hãng thứ ba, VIE-P0 tự động chuyển tệp máy trạm cách an toàn nhờ giao thức VIE-RDP Trong trường hợp xét thấy cần thiết an toàn, quản trị viên cấu hình VIE-P0 cho phép người dùng chép liệu từ clipboard VIE-P0 vào ứng dụng chạy máy trạm, hoàn toàn khơng có cách chép liệu từ clipboard máy trạm để chuyển lên VIE-P0 Như vậy, người sử dụng sử dụng Internet VIE-P0 để tra cứu tài liệu chuyển nội dung tham khảo vào máy trạm để soạn thảo, hồn tồn khơng thể chuyển liệu từ máy trạm lên máy VIE-P0 để gửi liệu ngồi Các sách quản lý sử dụng tài nguyên, phiên làm việc phân tải giúp nâng cao hiệu sử dụng, tính ổn định hiệu tồn hệ thống  Phần mềm ứng dụng VCP0 Đây phần mềm cài đặt máy trạm mạng trong, kết nối VCM12-Client P0 (VCP0) VIE-P0 thông qua tường lửa tuân thủ giao thức VIE-RDP Khi VCP0 hoạt động, giao thức VIE-RDP khởi động truyền liệu hình, bàn phím máy trạm với ứng dụng ảo tạo sinh thiết bị VIE-P0 Tường lửa ngăn cách mạng mạng cấu hình để mở cổng có kiểm soát dành cho VIE-RDP  Tƣờng lửa Mạng ngăn cách với mạng tường lửa có chức tương đương với ISA Microsoft Tường lửa cấu hình theo đặc tả kỹ thuật chuyên biệt VCM12 phép VIE-RDP hoạt động giữ ngăn cách an toàn tuyệt đối Tiện ích VCM12-VS (VS = vulnerability scanning) dùng để kiểm tra thiết lập phía máy chủ ứng dụng, mạng tường lửa thỏa mãn tiêu 67 chuẩn an ninh giải pháp chưa Đây tiện ích khơng thể thiếu cho chuyên viên triển khai hệ thống 4.3.2.3 Làm việc từ xa an tồn Nhóm gồm bốn (03) thiết bị, máy chủ phần mềm:  Thiết bị VIE-P3 Thiết bị ảo hóa ứng dụng liên quan phép máy phép làm việc từ xa truy cập tới tài liệu, số liệu cần bảo mật mạng bên mạng nội Thiết bị VIE-P3 sử dụng nguyên tắc công nghệ tương tự VIE-P0 thay đổi sách hoạt động Máy ảo để chạy ứng dụng nối với bàn phím hình máy làm việc từ xa có cài đặt sẵn phần mềm ứng dụng VIE-VPN đăng ký từ trước Chính sách hoạt động VIE-P3 khác VIE-P0 với mục tiêu chống rò rỉ liệu loại bỏ hoàn toàn nguy lây nhiễm mã độc cho VIE-P3 kết nối máy trạm từ xa máy mạng kết nối qua môi trường Internet  Máy chủ mạng Hình 4.5: Mơ hình giải hệ thống giải pháp VPN Máy chủ mạng máy chủ VPN (Virtual Private Network – Mạng riêng ảo) dùng để thiết lập mạng riêng ảo từ máy từ xa đến thiết bị VIE-P3 Theo nguyên tắc thành phần máy chủ VPN thay giải pháp VPN hãng thứ ba Tuy nhiên, với mục tiêu đảm an ninh cách toàn vẹn, giải pháp VCM12 trang bị tính kết nối VPN quy trình xác thực riêng dựa tảng giao thức bảo mật IpSec  Phần mềm ứng dụng làm việc từ xa VCP3 68 Phần mềm VCM12 Client P3 (VCP3) sử dụng chung giao thức với VCP0 có bổ sung thêm chức bảo mật truy cập từ xa cần thiết Các tác vụ sau thực khởi động VIE-VPN: - Máy trạm từ xa dùng VIE-VPN truy cập tới máy chủ mạng để yêu cầu kết nối vào mạng nội chế mạng riêng ảo VPN; - Sau máy trạm phép gia nhập mạng mạng nội bộ, VCP3 sử dụng thành phần tương tự VCP0 để kích hoạt giao thức VIERDP truyền liệu hình bàn phím máy trạm với máy ảo thiết bị VIE-P3; - Người sử dụng mở ứng dụng ảo hóa VIE-P3 để truy cập tới tài liệu liệu cần thiết, tải chúng máy trạm tải mã độc từ máy trạm lên VIE-P3; - Khi VCP3 chấm dứt hoạt động, kênh truyền VIE-RDP đóng lại, máy trạm chuyển chế độ hoạt động độc lập bình thường; Người dùng đưa tệp máy trạm từ xa với định dạng phép lên VIE-P3 thông qua kênh truyền liệu kiểm soát Các tệp tiếp tục quét kỹ phần mềm hãng thứ ba Người sử dụng mở tệp để tác nghiệp VIE-P3 Trong trường hợp xét thấy cần thiết an tồn, quản trị viên cấu hình VIE-P3 cho phép người dùng chép liệu từ clipboard máy trạm từ xa vào ứng dụng tác nghiệp chạy VIE-P3, hồn tồn khơng có cách chép liệu từ clipboard VIE-P3 máy trạm từ xa Như vậy, người sử dụng sử dụng Internet máy trạm từ xa để tra cứu tài liệu chuyển nội dung tham khảo vào VIE-P3 để soạn thảo, hồn tồn khơng thể chuyển liệu từ VIE-P3 máy trạm từ xa 4.3.2.4 Yêu cầu kỹ thuật  Mạng nội  Mạng khơng có kết nối Internet  Mạng ngăn cách với mạng tường lửa có chức tương đương với ISA Microsoft  Thiết bị wifi, modem thiết bị cần có kết nối Internet máy chủ Web, máy chủ E-mail,… bố trí mạng ngồi  Các thiết bị nhớ ngoại vi, cổng USB thiết bị truy cập Internet khơng dây khơng bố trí máy tính thuộc mạng  Chỉ cổng dành cho giao thức VIE-RDP mở kiểm sốt chặt chẽ  Các đặc tính an ninh Khóa mã hóa xác thực theo phiên, mật sử dụng lần (OTP) khóa cứng áp dụng quy trình xác thực nhằm chấm dứt tình trạng rị rỉ tài 69 khoản đăng nhập, giảm thiểu tối đa rủi ro bị cướp quyền truy cập hệ thống mát liệu đường truyền Các ứng dụng ảo hóa thiết bị VIE-P3 VIE-P0 cách ly hoàn toàn với hệ điều hành thiết bị Cơ chế ngăn chặn xâm phạm từ công (dựa vào lỗ hổng phần mềm ảo hóa,…) trực tiếp vào thiết bị để chiếm quyền điều khiển thiết bị thay đổi sách an ninh thiết bị Mọi truy cập vào thiết bị mà không thông qua giao thức VIE-RDP bị từ chối Mọi kết nối bất thường vào máy chủ, kết nối sử dụng giao thức VIE-RDP bị từ chối bị phát tính phát truy cập bất thường có thiết bị VIE-P0/P3 Cho phép tích hợp phần mềm quét mã độc hãng thứ ba vào thiết bị: phần mềm quét mã độc từ hãng thứ ba tích hợp vào thiết bị thay cho trình quét mã độc mặc định hệ thống Chỉ cho phép truyền liệu chiều thiết bị VIE-P0 vào máy tính mạng trong, máy tính từ xa đến thiết bị VIE-P3  Các đặc tính hiệu Trong lúc cao điểm, người sử dụng sử dụng tài nguyên thiết bị theo hạn ngạch thiết lập Chính sách nhằm ngăn chặn tắt nghẽn cục (treo máy) thiết bị nhiều người sử dụng hết công suất phục vụ phần cứng Các thiết bị loại kết nối với cân tải; thiết bị VIE-P0/P3 kiêm ln chức cân tải cho hệ thống Khi có yêu cầu sử dụng thiết bị, máy cân tải chọn thiết bị với lực phục vụ lớn để phục vụ người sử dụng Tính khả chuyển cao: thiết bị VIE-P0 VIE-P3 lắp thêm vào hệ thống với vài thao tác đơn giản Việc lắp thêm thiết bị với mục đích nâng cao lực phục vụ người dùng hệ thống 4.4 Đánh giá cơng nghệ VCM12 4.4.1 Tính mới, ưu việt tiên tiến công nghệ Việc sử kết hợp sử dụng thành công giải pháp bảo đảm an toàn an ninh mạng phân quyền, tường lửa, ISA… với việc viết lại phần mềm Server – Client giao thức RDP (Remote Desktop Protocol) hay VPN (Virtual Private Network) tính mới, ưu việt giải pháp 4.4.2 So sánh với trình độ cơng nghệ có Việt Nam giới - Hệ thống V-Azur với tính đưa hồn toàn tương đương với giải pháp Nhật Bản tập đoàn Viettel tiếp cận nghiên cứu tiến hành mua quyền dùng phần mềm Bản chất sản phẩm sử dụng giao thức RDP xây dựng lại phần mềm trao đổi client server để đảm bảo truy nhập an tồn Việc truy cập việc truy cập an toàn khái niệm Zero Client Thin Client; 70 - Tuy nhiên việc Hệ thống V-Azur cho mạng LAN có 100 máy tính có giá thành khoảng 25.000 USD, tức triển khai tồn cho Văn phịng Chính phủ có tổng chi phí khoảng 150.000 USD theo mức độ báo giá Viettel tham gia tư vấn cho Văn phịng Chính phủ lên tới 1.5 triệu USD 4.4.3 Khả triển khai tính phù hợp giải pháp với thị trường nước Theo tính tốn sơ nước có tới vài chục ngàn mạng cục (LAN) mạng cục cần tới giải pháp truy cập Internet an tồn VAzur cung cấp, thị trường cung cấp sản phẩm tính tới hàng chục ngàn tỷ đồng Sản phẩm V-Azur sản phẩm tích hợp giải pháp phần cứng với phần mềm, có nhu cầu lớn nhanh chóng triển khai việc cài đặt phần mềm khơng q phức tạp Với lý đó, V-Azur hồn tồn phù hợp cơng nghệ khả triển khai thị trường nước 4.4 Đề xuất giải pháp sách khuyến nghị 4.4.1 Nâng cao nhận thức  Thiếu hướng dẫn để thống nâng cao nhận thức Nhận thức chung an toàn an ninh mạng chưa cao chí rối loạn  Đơn giản hóa an ninh thông tin với vấn đề quét virus  Yêu cầu phi thực tế sản phẩm  Một số quan điểm xích sản phẩm nước ngồi cách cực đoan 4.4.2 Bảo vệ nhiều lớp Ngày nay, tổ chức có kết nối Internet sử dụng firewall để tự bảo vệ trước giới nhiều biến động bên Và lớp phịng vệ bên ngồi tổ chức Với tiến vượt bậc công nghệ, công cụ, kỹ thuật công ngày dễ dàng hơn, có vơ số website hướng dẫn cung cấp miễn phí cơng cụ cơng Internet Do đó, phịng thủ vịng ngồi phịng thủ lớp khơng thơi khơng đủ đển đảm bảo vấn đề an ninh mạng Cho đến nay, tổ chức buộc phải triển khai nhiều thứ công nghệ bảo mật để đối phó với mối đe dọa xuất Phịng ngừa virus, lục chống thư rác (spam mail), tường lửa để kiểm soát truy cập, phát xâm nhập để chống hacker, … Tồn q trình tốn kém, cồng kềnh dư thừa Mục tiêu thực bảo mật đưa giải pháp bảo mật tốt với chi phí đầu tư thấp 71 Hình 4.6: Mơ hình bảo vệ nhiều lớp 4.4.3 Kết luận & kiến nghị Các giải pháp thơng dụng mang tính đối phó, lãng phí gây khó khăn cho người dùng Tiềm tàng nhiều lỗ hổng Theo thời gian số lỗ hổng tăng lên vơ tình hay cố ý Khơng kiểm soát việc cố ý vi phạm Cần giải pháp tiện dụng, dễ quản lý hơn, tốn cho chủ đầu tư, nâng cấp mở rộng Hỗ trợ chỗ, customize để phối hợp với ứng dụng công nghệ đầu tư Cần có chuẩn - Sản phẩm phù hợp với Việt Nam  - Kiến trúc an toàn an ninh chuẩn công nghiệp mặc định Việt Nam - Chuẩn cơng bố - Trước hết cần có quy định an toàn an ninh mạng LAN cho quan nhà nước (tương tự 2615 Bộ Tài chính) Chính sách khuyến nghị sản phẩm cơng nghệ - Chính sách ưu tiên phát triển sản phẩm Danh mục sản phẩm công nghệ cao ưu tiên khuyến khích đầu tư 49/2010/QĐ-TTg - Có chương trình hỗ trợ, quảng bá sản phẩm an toàn an ninh mạng theo quy hoạch an tồn thơng tin số QĐ 63/2010/QĐ-TTg - Có sách minh bạch khuyến khích doanh nghiệp, quan nghiên cứu phát triển công nghệ sản phẩm tránh trao độc quyền cho số quan khơng có lực nhiệt tình triển khai 72 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN CỦA ĐỀ TÀI Những kết nghiên cứu đạt đƣợc luận văn Nghiên cứu tổng quan vấn đề bảo vệ an toàn an ninh liệu mạng LAN kết nối Internet Việt Nam Xây dựng kiến trúc an tồn an ninh thơng tin phù hợp với điều kiện Việt Nam Nghiên cứu cơng nghệ ảo hóa để đảm bảo an tồn thơng tin Ảo hóa ứng dụng đảm bảo sử dụng an tồn thơng tin tiện lợi mạng LAN Tìm hiểu cơng nghệ Thin Clients giao thức Thin Clients: Remote Desktop Protocol (RDP), Independent Computing Architecture (ICA) Protocol, X Protocol Nghiên cứu giải pháp sử dụng công nghệ Thin Clients giao thức RDP So sánh, đánh giá ưu nhược điểm giải pháp Tham gia đề xuất mơ hình mạng LAN giải pháp V-Azur: Ứng dụng công nghệ VCM12 để phát triển giải pháp V-Azur bảo vệ an ninh liệu mạng LAN truy cập Internet làm việc từ xa qua Internet Hƣớng phát triển luận văn VCM12 công nghệ mới, V-Azur giải pháp tảng Đem vào ứng dụng thực tiễn, cần phải phối hợp với ứng dụng đa dạng, quan trọng hệ thống quản lý văn bản, công văn, báo cáo nội bộ, thư công vụ, … môi trường phân tán địa lý Các ứng dụng thiết yếu cần bảo vệ tốt Giải pháp xây dựng số ứng dụng mang tính an tồn cao, có tích hợp cơng nghệ VCM12 V-Azur Các cơng nghệ ảo hóa, RDP, tường lửa, có nhiều mã nguồn mở Giải pháp đầu tư cho việc hoàn thiện, làm chủ, thích nghi hóa phát triển thêm chức phù hợp với yêu cầu sử dụng lại Việt Nam 73 DANH MỤC CƠNG TRÌNH KHOA HỌC CỦA TÁC GIẢ LIÊN QUAN ĐẾN LUẬN VĂN 74 TÀI LIỆU THAM KHẢO Tiếng Việt Bộ Thông tin Truyền thông (2007), Quyết định 71/2004/QĐ-BCA Bộ trưởng Bộ Công an ngày 29 tháng năm 2004 việc ban hành Quy định đảm bảo an toàn, an ninh hoạt động quản lý, cung cấp, sử dụng dịch vụ Internet Việt Nam, Hà Nội Bộ Tài Chính (2012), Quyết định 2615/QĐ-BTC Bộ trưởng Bộ Tài ngày 19 tháng 10 năm 2012 việc ban hành quy định việc đảm bảo an tồn thơng tin mơi trường máy tính mạng máy tính, Hà Nội Chính phủ (2010), Quyết định số 1605/QĐ-TTg ngày 27/8/2010 Thủ tướng Chính phủ phê duyệt Chương trình quốc gia ứng dụng CNTT hoạt động quan nhà nước giai đoạn 2011-2015, Hà Nội Hà Quang Chiến (2012), Ứng dụng công nghệ ảo hóa hệ thống cơng nghệ thơng tin, Luận văn Thạc sĩ, Trường Học viện Cơng nghệ Bưu viễn thông, tr.5 Tiếng Anh Jeroen van de Kamp (1999), Thin Client Server Computing, Brian Madden Norman Ken Ouchi (1978), System for recovering data stored in failed memory unit, IBM "Microsoft Application Virtualization Technical Overview" Microsoft Published in May 2006, windows Server Virtualization – An Overview, Microsoft Corporation Palo Alto (2009), Fibre Channel SAN Configuration Guide, Vmware Publishing 10 Ron Oglesby and Scott Herold (2005), Vmware ESXServer Advanced Technical Design Guide Brian Madden Publishing 11 ScottLowe (2009), Mastering Vmware vSphere Wiley Publishing Website 12 LAN Security - VCM12 công ty VIEGRID, http://www.viegrid.com 13 VIE-VPN công ty VIEGRID, http://www.viegrid.com 14 http://en.wikipedia.org/wiki/Virtualization 15 http://www.intel.com/content/www/us/en/virtualization 16 http://vmware.com 17 http://en.wikipedia.org/wiki/Thin_client 18 http://w.w.w.thinclients.co.in 19 http://www.search.com/reference/Thin_client 20 http://en.wikipedia.org/wiki/Remote_Desktop_Protocol 21 http://viegrid.com ... HÀ NỘI TRƢỜNG ĐẠI HỌC CÔNG NGHỆ ĐẶNG THỊ THÙY TRANG NGHIÊN CỨU ĐỀ XUẤT GIẢI PHÁP TRUY CẬP INTERNET AN TOÀN CHO MẠNG NỘI BỘ TRONG CÁC CƠ QUAN NHÀ NƢỚC Ngành: Công nghệ thông tin Chuyên ngành: Truy? ??n... sốt Xuất phát từ nhu cầu thực tiễn, với đề tài: “Nghiên cứu đề xuất giải pháp truy cập Internet an toàn cho mạng nội quan nhà nước? ??, luận văn sâu nghiên cứu tìm hiểu: Tình hình bảo vệ an tồn an. .. qua Internet (4.1 Phân chia mạng nội toán truy cập Internet, làm việc từ xa an toàn; 4.2 Nhược điểm vấn đề giải pháp có; 4.3 Giải pháp V-Azur bảo vệ an toàn an ninh liệu cho mạng nội truy cập Internet