Đang tải... (xem toàn văn)
Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (tt)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (tt)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (tt)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (tt)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (tt)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (tt)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (tt)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (tt)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (tt)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (tt)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (tt)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (tt)Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (tt)
HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG - LÊ THÁI GIANG NGHIÊN CỨU GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN NGÀNH HẢI QUAN CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN MÃ SỐ: 60.48.01.04 TÓM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2017 Luận văn hoàn thành tại: HỌC VIỆN CÔNG NGHỆ BƢU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS Phạm Hoàng Duy Phản biện 1: Hoàng Xuân Dậu Phản biện 2: Lương Thế Dũng Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thông Vào lúc: Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thông MỞ ĐẦU Tính cấp thiết đề tài i với nước ta tình trạng tin t c xâm nhập cài đ t ph n m m gi n điệp vào hệ th ng mạng Chính phủ c c Bộ Ngành đ a phương có kết n i tới mạng Internet đ gây s c làm sai lệch d liệu đ nh c p thông tin đ t ng x y Ch ri ng năm 2008 hàng ch c hệ th ng mạng c c quan đ b tmạng lưới gi n điệp điện t Ghostnet xâm nhập Bản thân s ứng d ng ngành Tài đ t ng b hacker công gây thiệt hại c c mức độ kh c Trong ngành hải quan c c hệ th ng CNTT Hải quan có vai trò đ c biệt quan trọng để đảm bảo cho toàn hoạt động Hải quan hàng ngày th c chế c a qu c gia ến g n 100% tờ khai hải quan th c thủ t c hải quan điện t C c nghiệp v kh c ngành kiểm tra sau thông quan thông tin tình b o x lý thông qua c c ứng d ng tập trung TTDL Do đảm bảo an ninh an toàn cho hệ th ng thông tin hải quan có ý nghĩa s ng đến hoạt động ngành Hải quan Li n quan đến việc đảm bảo an ninh an toàn cho hệ th ng công nghệ thông tin việc triển khai an ninh an toàn phải đồng toàn diện t chế s ch m y tổ chức đến c c giải ph p kỹ thuật cho ph n cứng hạ t ng kỹ thuật ph n m m ứng d ng k nh truy n theo ti u chu n TCVN ISO/IEC 27001:2009 Năm 2014 C c Công nghệ thông tin th ng k Hải quan đ có đ tài nghi n cứu cấp ngành với nội dung “Nghi n cứu p d ng ti u chu n TCVN ISO/IEC 27001:2009 đảm bảo an ninh an toàn cho hệ th ng thông tin Hải quan” Nội dung đ tài tập trung nghi n cứu v chế độ s ch hoàn thiện c c quy đ nh để đảm bảo an ninh an toàn đồng thời nâng cao nhận thức L nh đạo c n toàn Ngành v đảm bảo an ninh an toàn Tiếp năm 2015 C c Công nghệ thông tin th ng k Hải quan bước đ u triển khai để hoàn quy chế quy trình đảm bảo an ninh chu n hóa công t c quản lý mật kh u hệ th ng Tuy nhi n để đảm bảo an ninh an toàn cho hệ th ng CNTT Hải quan c n phải có nh ng giải ph p tổng thể phù hợp với Kế hoạch ứng d ng CNTT năm giai đoạn 20162020 Trong c c năm trước ngành Hải quan đ chủ động có nh ng biện ph p bảo mật an ninh an toàn đa ph n có tính chất t ph t phân t n nhỏ lẻ Do để đảm bảo an ninh an toàn hệ th ng thông tin ngành Hải quan toàn diện c n phải có kế hoạch tổng thể nh ng giải ph p kỹ thuật c thể phù hợp với phương n quản lý tập trung c c hệ th ng ứng d ng phù hợp với ti u chu n nước v đảm bảo an ninh thông tin Tr n sở nhu c u cấp thiết đ tài “Nghi n cứu giải ph p đảm bảo an toàn cho hệ th ng thông tin ngành Hải quan” đời nhằm th c hóa nh ng y u c u đảm bảo an ninh an toàn cho hệ th ng công nghệ thông tin ngành Hải quan Nội dung đ tài đ nh gi th c trạng việc đảm bảo an ninh thông tin ngành Hải quan t đ xuất thiết kế tổng thể kế hoạch triển khai hệ th ng an ninh thông tin ngành Hải quan giai đoạn 2016-2020 nhằm đảm bảo cho hệ th ng hoạt động ổn đ nh an toàn ch ng c c nguy công t Hacker Mục đích nghiên cứu Nghi n cứu đ xuất c c giải ph p đảm bảo an ninh an toàn cho hệ th ng công nghệ thông tin ngành hải quan Đối tƣợng nghiên cứu phạm vi nghiên cứu Luận văn tập trung vào nghi n cứu c c khuyến ngh ti u chu n ISO 27001 v hệ th ng quản lý an toàn thông tin c c giải ph p ph t ngăn ch n công APT để p d ng vào bảo vệ c c hệ th ng công nghệ thông tin ngành hải quan Cấu trúc luận văn Cấu trúc luận văn bao gồm: Mở đ u; Ba chương nội dung; Kết luận luận văn; Tài liệu tham khảo Chƣơng I: Thực trạng hệ thống an ninh, an toàn ngành hải quan Chương giới thiệu trạng hệ thống mạng, phần mềm ngành hải quan trước đưa đề xuất xây dựng mô hình tổng thể Tiếp đánh giá rủi ro hệ thống để điểm yếu tồn hệ thống mà công APT khai thác Nội dung chi tiết: Th c trạng hệ th ng mạng ngành hải quan Mô hình triển khai ứng d ng nghiệp v ngành hải quan Th c trạng hệ th ng bảo mật ngành hải quan nh gi rủi ro Chƣơng II: Các giải pháp phòng chống công APT Trong chương giới thiệu kiến thức cách thức công APT trình bày hai giải pháp phòng chống công APT đánh giá cao hãng Fireeye hãng Checkpoint Chương cung cấp thông tin tảng cho việc xây dựng mô hình đảm bảo an toàn thông tin cho ngành hải quan chương Nội dung chi tiết: Vấn đ công APT Giải ph p ngăn ch n công APT h ng Fireeye Giải ph p ngăn ch n công APT h ng Checkpoint Chƣơng III: Mô hình đảm bảo an toàn cho hệ thống thông tin ngành hải quan Nội dung chương trình bày biện pháp phòng chống công APT đồng thời đề xuất mô hình đảm bảo an ninh an toàn cho hệ thống thông tin ngành hải quan phòng chống công APT Cụ thể phần đầu chương tiến hành phân tích kết hợp với ý kiến chuyên gia nghiên cứu APT từ lựa chọn giải pháp phù hợp với trạng tìm hiểu phần đầu luận văn Phần trình bày mô hình phương án triển khai giải pháp APT đề xuất cho hệ thống thông tin ngành hải quan Cuối số kết triển khai thử nghiệm đánh giá Nội dung chi tiết: Thiết kế hệ th ng an toàn ch ng lại APT xuất cho hệ th ng thông tin ngành hải quan Một s kết th nghiệm đ nh gi CHƢƠNG THỰC TRẠNG HỆ THỐNG AN NINH, AN TOÀN NGÀNH HẢI QUAN Chương giới thiệu trạng hệ thống mạng, phần mềm ngành hải quan trước đưa đề xuất xây dựng mô hình tổng thể Tiếp đánh giá rủi ro hệ thống để điểm yếu tồn hệ thống mà công APT khai thác 1.1 Thực trạng hệ thống mạng ngành hải quan Ngành hải quan hoạt động theo mô hình x lý tập trung tiếp nhận x lý d liệu cấp Tổng c c Hải quan Theo mô hình c c C c hải quan c c T nh c c Chi c c hải quan cấp Quận Huyện c n phải có kết n i mạng với Tổng c c hải quan thông qua hạ t ng mạng WAN Mô hình tổng thể kết n i mạng ngành hải quan thể qua hình đây: Hình 1: Mô hình tổng thể kết nối mạng ngành hải quan Mạng ngành hải quan bao gồm: Mạng Tổng c c Hải quan: Mạng 35 C c Hải quan(CHQ): C c Hải quan lớn 26 C c Hải quan nhỏ Mạng khoảng 200 đơn v Hải quan cấp Chi c c(CCHQ) tương đương; a) Hạ tầng Cục Hải quan có Trung tâm liệu DMZ Internet IPS DataBase IPS FW MGT Proxy APP Proxy IWSS FW AD WAN BTC Users Zone Ghi chú: GbE Copper GbE Fibber Kết nối WAN Hình 2: Hiện trạng mô hình mạng Cục Hải quan có TTDL - Kh i mạng người dùng cu i: đ chia thành c c VLAN với vai trò người dùng kh c - Kh i Trung tâm d liệu C c gồm c c vùng mạng: VLAN MGT, VLAN AD, VLAN – Database, VLAN APP - Kh i Internet: Vùng Internet Access VLAN DMZ - Kh i kết n i WAN gi a c c Chi c c Tổng c c qua hạ t ng truy n thông Bộ Tài S d ng chung tường l a với c p tường l a kh i trung tâm d liệu b) Hạ tầng Cục Hải quan Trung tâm liệu Internet WAN BTC FW Hình 3: Hiện trạng mô hình mạng Cục Hải quan TTDL - Kh i mạng người dùng cu i: đ chia thành c c Vlan với vai trò cho người dùng kh c - Kh i Trung tâm d liệu C c gồm c c vùng mạng:VLAN MGT, VLAN AD, VLAN DB & APP - Kh i Internet: Vùng Internet Access VLAN Public - Kh i kết n i WAN gi a c c Chi c c Tổng c c qua hạ t ng truy n thông Bộ Tài S d ng chung tường l a với c p tường l a kh i trung tâm d liệu c) Hạ tầng truyền thông Chi cục Hải quan C c chi c c Hải quan (hình 4) kết n i tr c tiếp vào hạ t ng truy n thông Bộ Tài Tại Chi c c Hải quan ch có mạng LAN hệ th ng server Hiện trạng hệ thống Chi cục User Zone WAN /HT BTC Ghi chú: GbE Copper GbE Fibber 10 GbE Kết nối WAN Hình 4: Hạ tầng truyền thông Chi cục Hải quan d) Hạ tầng trung tâm liệu Tổng cục Hải quan: Internet Core Servers APP DB Core Network Internet Service IPS Core IPS IPS FW Anti-DDoS FW Partners (LL, MegaWAN) SSL VPN WAN Module FW WAN BTC DDoS QOS Hình 5: Hiện mạng mô hình mạng TTDL Tổng cục Hải quan Kh i Internet: bao gồm c c vùng mạng Internet Access, DMZ, Internet Service, Remote Access: Kh i mạng lõi: Trung tâm chuyển s d ng 01 c p Core Switch S d ng c c giải ph p bảo mật mức mạng để ngăn ch n công gi a c c vùng mạng: Kh i m y chủ ứng d ng/CSDL (Datacenter): Kh i kết n i WAN gi a c c chi c c c c v tổng c c qua hạ t ng truy n thông Bộ Tài Kh i người dùng (LAN Building) 1.2 Mô hình triển khai ứng dụng ngành hải quan a) Thông tin chung ứng dụng: - C c ứng d ng nội (kh i văn phòng); - Ứng d ng nghiệp v c t lõi dành cho c n làm công t c nghiệp v hải quan, bao gồm: + Hệ th ng Thông quan điện t ; + Hệ th ng kế to n Thuế- Xuất nhập kh u; + Hệ th ng thông tin quản lý d liệu gi tính thuế; + Hệ th ng thông tin hỗ trợ quản lý rủi ro; + Hệ th ng thông tin th ng k tập trung; + Hệ th ng tiếp nhận tập trung b) Mô hình Logic chung ứng dụng Hình 6: Mô hình logic tổng thể ứng dụng nghiệp vụ 1.3 Thực trạng hệ thống bảo mật ngành hải quan 1.3.1 Mô hình hệ thống Internet Core Servers LB WAF APP DB Core Network Internet Service IPS 13 12 Core IPS IPS Anti-DDoS FW FW Partners (LL, MegaWAN) SSL VPN 14 WAN Module FW 10 WAN BTC 11 DDoS 15 QOS Hình 7: Hiện trạng bảo mật Trung tâm liệu TCHQ Hiện trạng c c hạng m c bảo mật đ triển khai sau: S d ng 01 c p thiết b có chức Proxy caching lọc web; S d ng giải ph p ngăn ch n thư r c m độc đính kèm thư; Tại module SSL VPN; C p tường l a triển khai Internet Service Modue; C p tường l a triển khai WAN Modue ; C p tường l a Juniper SRX3600 triển khai Core Modue ; Thiết b tường l a triển khai Lan Building; C p thiết b ph t ngăn ch n xâm nhập tr i phép IPS; Hệ th ng m y chủ Anti-Virus quản tr hệ th ng m y trạm toàn Ngành 13 2.2 Giải pháp ngăn chặn công APT hãng Fireeye 2.2.1 Giải pháp kỹ thuật chống lại APT Fireeye ể ngăn ch n c c công Zero-day c c thiết b FireEye MPS s d ng Virtual Excution (VX) engine Callback Filter để ph t c c m độc chưa biết vào b n trong: Virtual Excution (VX) engine: tất c c thiết b FireEye - MAS, MPS Web, MPS Email File MPS - th c thi file nghi ngờ file đính kèm tập tin URL T động quét ph n m m độc hại đ ng nghi ngờ thông qua c c quy t c(rules) lọc để so s nh với c c thiết lập có biết đến sau chuyển qua môi trường giả lập ảo FireEye (VX) để th c thi Hình 8: Môi trƣờng giả lập FireEye MVX Trong môi trường ảo (VX) c c ph n m m độc hại b nghi ngờ th c thi c c th nghiệm kiểm tra tr n loạt c c hệ u hành ứng d ng trình duyệt tiện ích kh c Trong môi trường VX FireEye ph n m m độc hại phép kích hoạt công zero-day callbacks c c chức kh c để FireEye kiểm tra đ nh gi đ y đủ ti m đe dọa M i đe dọa th c s đ i với c c doanh nghiệp x c đ nh d ng lại môi trường giả lập VX FireEye FireEye đưa b o c o v kết th c thi Giải ph p FireEye thu thập đ y đủ thông tin t môi trường VX như: đ a ch IP ph n m m độc hại c c giao thức mạng s d ng cổng c thể nh m tới c ch thức ph n m m n nấp giao tiếp phân ph i payload S d ng d liệu c c giải ph p FireEye ch n callback tất trao đổi dư liệu gi a ph n m m độc hại m y chủ C&C 14 Với tính b o c o chi tiết dễ dàng ph t c c m y trạm b nhiễm đưa lộ trình để duyệt ph n m m độc hại FireEye ti n phong việc s d ng c c m y tính ảo đóng vai trò nạn nhân su t hoạt động thiết b mạng để ph t c c công phân tích c c ph n m m m độc b nhiễm thời gian th c VX Engine th c bao gồm giai đoạn phân tích đ u ti n để n m b t c c đ i tượng Web c c email c c hành động đ ng ngờ s d ng thuật to n chu n đo n tích c c Sau thu thập thông tin v c c m độc bước thứ hai triển khai để loại bỏ c c mẫu dương tính với m độc Bước : n m b t c c luồng d liệu nghi ngờ d a tr n qu trình chu n đo n phức tạp; Bước : loại bỏ c c mẫu dương tính c c d liệu Web nghi ngờ t i tạo lại c c m y chủ ảo “nạn nhân” để x c đ nh rõ c c m độc zero-day biết chưa biết Với c c ph n m m độc hại zero-day x c nhận môi trường ảo c c đ c tính th m vào m độc thu thập su t qu trình phân tích đích đến callback phân tích nh phân thay đổi registry hay gây tình trạng lỗi c c file Qu trình phân tích đưa vào vòng l p g i tới FireEye Malware Protection Cloud để bảo vệ nh ng đ i tượng kh c Hình 9: Công nghệ Fireeye Callback Filter : theo dõi c c d liệu ngăn ch n tr n c c giao thức kết n i không phép tới c c m y chủ tội phạm mạng FireEye x c ngăn ch n c c m i đe dọa chưa biết với việc s d ng VX Engine môi trường th nghiệm ảo đ y đủ tính th c thi c c đoạn m độc hại nhằm giúp ph t c c lỗ hổng hệ u hành ứng d ng trình duyệt c c plug-in Nó b t 15 thông tin v c c công cho phép FireEye x c nhận c c dấu hiệu nhận biết v c c m độc ngăn ch n m độc b n mạng qua c c giao thức kh c HTTP IRC FTP c c giao thức kh c thiết kế c c tổ chức tội phạm mạng C c thiết b FireEye triển khai b n lớp an ninh mạng để bổ sung c c giải ph p an ninh mạng endpoint có c ch ngăn ch n c c m i đe dọa chưa biết c c kết n i b n đảm bảo tính bảo mật thông minh cho hệ th ng IT c c tổ chức C c ph n m m bảo mật thiết b đ u cu i đóng vai trò bảo mật quan trọng hệ th ng thông tin Bằng c ch theo dõi c c kết n i b n bất hợp ph p tới c c m y chủ C&C (Control & Command) bọn tội phạm c c m y tính b nhiễm ph n m m độc hại n g n cờ cho việc dọn dẹp ch n tạm thời việc khai th c d liệu FireEye đồng thời phân tích c c giao thức nội dung s d ng để kết n i tới c c m y chủ C&C ph t x c c c m y tính b nhiễm m độc ngăn ch n nỗ l c trộm c p d liệu tr n c c m y tính FireEye Malware Protection Cloud: d a tr n n n tảng điện to n đ m mây FireEye cung cấp sở d liệu cho toàn c c kh ch hàng D liệu cập nhật chia sẻ đ i với loại m độc ph t tr n giới Hệ th ng ngăn ch n m độc FireEye giải ph p hoàn ch nh để ngăn ch n c c công nâng cao nh m m c ti u qua Web email hay c c ph n m m độc hại qu trình chia sẻ file C c giải ph p FireEye bổ sung khả phòng thủ truy n th ng chẳng hạn c c thiết b tường l a truy n th ng tường l a hệ c c thiết b IPS AV WebGateway ngăn ch n c c loại m độc ti n tiến để lại c c lỗ hổng hệ th ng mạng ph n lớn doanh nghiệp tổ chức 2.2.2 Mô hình triển khai giải pháp Mô hình triển khai giải ph p Fireeye linh hoạt tùy theo t ng tình hu ng c thể để tích hợp vào hệ th ng mạng kh ch hàng C c thành ph n giải ph p FireEye triển khai theo mô hình sau: - Mô hình triển khai cổng mở rộng (Span port) c c thiết b chế độ gi m s t nằm ri ng biệt so với hệ th ng mạng kh ch hàng: 16 Hình 10: Mô hình triển khai cổng mở rộng (SPAN port) - Mô hình triển khai tr c tiếp (Inline) c c thiết b hoạt động chế độ ngăn ch n gi m s t hệ th ng: Hình 11: Mô hình triển khai trực tiếp 2.2.3 Mô hình quản lý Bằng c ch kết hợp khả ph t theo ch ký(Signature) ho c Signature-less, tích hợp khả bảo vệ web email file FireEye ch n đứng c c công nh m m c ti u ti n tiến với sai s g n tuyệt đ i C c thành ph n giải ph p FireEye bao gồm: 17 Hình 12: Các thành phần quản lý giải pháp Fireeye Web Malware Protection System; Email Malware Protection System; File Malware Protection System; Malware Analysis System; Central Management System; FireEye Dynamic Threat Intelligent cloud Hình 13: Mô hình thu thập chia sẻ thông tin công 18 Khi thiết b x c nhận công khu v c tạo signature động n danh công phân ph i thông qua hệ th ng đ m mây để cảnh b o người dùng kh c 2.3 Giải pháp ngăn chặn công APT hãng Checkpoint Check Point Software Technologies Ltd nhà tiên phong lĩnh vực An ninh Internet Check Point đề xuất giải pháp an ninh tổng thể có tính cổng hợp nhất, agent điểm cuối (endpoint) đơn kiến trúc quản trị nhất, tùy biến để thích ứng với nhu cầu kinh doanh động khách hàng Check Point hợp đề xuất thành tiên phong đổi thị trường tường lửa doanh nghiệp, tường lửa/endpoint cá nhân, An ninh liệu, VPN giải pháp chống công có chủ đích hệ 2.3.1 Giải pháp kỹ thuật chống lại APT Checkpoint ể tăng cường khả bảo vệ cho hệ th ng thông tin ph t ngăn ch n sớm c c công APT c c m i đe dọa chưa biết h ng Checkpoint đưa hệ th ng ph t ngăn ch n sớm c c m i đe dọa an ninh (Threat Dection & Prevention –TDP) TDP cho phép ph t ngăn ch n sớm c c nguy đe dọa có khả ph t ngăn ch n m độc d a tr n c c mẫu (Signatures) nh ng công chưa biết d a tr n n n tảng công nghệ CPU-level Sandboxing (môi trường th c thi ảo) Khi c c tệp tin (file) g i/nhận qua email tải v t Internet truy n gi a c c vùng mạng hệ th ng…sẽ chuyển đến thiết b Threat Emulation C c tệp tin kiểm tra d a theo mẫu có sẵn không ph t m độc đưa vào th c thi môi trường ảo Sandbox tr n thiết b TDP Sandbox theo dõi qu trình tập tin th c thi x c đ nh c c tệp tin chứa m độc hại hay không? D a tr n c c hành động nghi ngờ như: thay đổi registry kết n i mạng tới m y chủ C&C tạo tệp tin xóa c c file hệ u hành…Tệp tin chứa m độc b ph t ngăn ch n B n cạnh Checkpoint kết hợp với IPS Anti-Bot, Anti-Virus Sandbox để tạo n n giải ph p có đa lớp bảo vệ v ng ch c Công nghệ CPU-level: không gi ng c c giải ph p kh c Check Point s d ng công nghệ độc đ o mà tiến hành kiểm tra CPU-lever để ngăn ch n c c công trước chúng có hội để khởi động Hiện có hàng ngàn lỗ hổng hàng triệu ph n m m độc hại có phương ph p mà tội phạm mạng s d ng để khai th c lỗ hổng Check Point gi m s t c c dấu hiệu d a tr n CPU c c ph n m m c g ng để vượt qua vòng 19 kiểm so t an ninh hệ u hành Bằng c ch ph t c c dấu hiệu thời gian trước chúng có hội lây nhiễm vào c c khu v c kh c Giải pháp IPS: hệ th ng phòng ch ng xâm nhập chuy n d ng cung cấp s bảo vệ cho nh ng trường hợp quan trọng thiết yếu với khả quản lý phân tích chứng độc đ o triển khai linh hoạt Giải pháp Anti-Bot: Checkpoint đ hoàn thành giải ph p Anti-Bot tích hợp vào kiến trúc Check Point Software Blade giúp kh m ph ngăn ch n đ nh gi thiệt hại bot tr n cổng nhất, quản lý th ng tập trung Giải pháp Antivirus: bảo vệ hệ th ng theo thời gian th c với hàng triệu mẫu virus lưu tr tr n mạng với công nghệ điện to n đ m mây có mạng lưới cộng t c để ch ng lại tội phạm mạng để ph t ngăn ch n ph n m m độc hại trước người dùng b ảnh hưởng 2.3.2 Các mô hình triển khai giải pháp TDP triển khai theo c c mô hình: Inline; tích hợp MTA (Message Transfer Agent); Private Cloud Mirror/TAP mode - Triển khai Inline: Thiết b đ t Inline c c file qua thiết b kiểm tra thông qua Sandbox C c file đính kèm th c thi tr n Sandbox Nếu file chứa m độc b ch n - Triển khai Mirror/TAP mode: Phân tích tệp tin nhận t Mirror Port ho c TAP device ưa b o c o phân tích mô hình ch có khả ph t khả ngăn ch n - Private Cloud: Khi TDP đóng vai cho Private Clould cho phép c c gateways cấu hình g i file l n phân tích Private Cloud Hình 14: Mô hình triển khai giải pháp Threat Dection & Prevention 20 2.3.3 Mô hình quản lý TDP kết hợp với hệ th ng bảo mật sẵn có kh ch hàng tạo l n hệ th ng phòng thủ toàn diện sau: - NGFW IPS AV SWG Email Secure: Ngăn ch n c c m i đe đ biết d a vào c c mẫu công đ biết; - TDP th c kiểm tra sâu mức CPU level ch n nh ng công nguy hiểm trước ph n m m độc hại có hội th c thi l n tr nh TDP kiểm tra nhi u đ nh dạng file cấp OS-level bao gồm c c file th c thi c c tập tin d liệu Với khả kiểm tra mức CPU-Level OS-Level TDP mang lại tỷ lệ b t thành công cao g n miễn nhiễm với c c kỹ thuật tr n sandbox - Sanboxing: bổ sung khả ph t ngăn ch n c c công khai th c lỗ hổng (Zero-day attacks) c c công có chủ đích s d ng công nghệ Sandboxing (môi trường th c thi ảo) Hình 15: Mô hình khả tích hợp với hệ thống có 2.4 Kết luận chƣơng Nội dung chương trình bày tổng quan v công APT l n HTTT bao gồm: đ nh nghĩa c c kh i niệm phân tích c c đ c điểm giai đoạn phân loại c c công c thường s d ng công APT T thấy công APT khó ph t nguy hiểm s kh c biệt rõ với c c công truy n th ng S kh c biệt thể nh ng biến thể công APT tương lai Chương trình bày 02 giải ph p phòng ch ng công APT h ng Fireeye CheckPoint cung cấp c c phân tích đ nh gi c c giải ph p v khả phòng ch ng công APT kết đ nh gi cho thấy giải ph p h ng Checkpoint phù 21 hợp cho Tổng c c Hải quan đ c biệt xét v góc độ tích hợp với trang thiết b có ngành hải quan Hiệu giải ph p đ xuất d kiến đạt được: Ngăn ch n ph t sớm c c công chưa biết (Zero day attacks) theo thời gian th c; Tích hợp với c c gateways để đ nh x c tức thì; Nâng cao bảo mật với việc chia sẻ thông tin công l n Cloud C c chuy n gia sớm tìm công đưa c c mẫu công giúp chia sẻ cho cộng đồng mạng s d ng CHƢƠNG MÔ HÌNH ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG TIN NGÀNH HẢI QUAN Chương III cách thức phòng chống công APT, đồng thời đề xuất mô hình đảm bảo an ninh an toàn cho hệ thống thông tin ngành hải quan phòng chống công APT Phần trình bày kết thu từ mô hình đề xuất đánh giá hiệu áp dụng giải pháp chọn lựa 3.1 Thiết kế hệ thống an toàn chống lại APT Một giải pháp phòng chống APT toàn diện cần đảm bảo ba yêu cầu sau: Chống lại mối đe dọa: c n có c c tính năng: Nâng cao khả ph t ph n m m độc hại: Gi m đ nh ph n m m độc hại: Phòng ch ng c c nguy thời gian th c: T động nhận biết c c m i đe dọa: Hiệu suất cao: Bảo vệ liệu khỏi bị đánh cắp: c c y u c u kỹ thuật c n có bao gồm: Kiểm so t luồng d liệu: Hiển th nội dung: Hỗ trợ phân loại d liệu: Cảnh b o: Phân tích vấn đề an ninh mạng: y u c u kỹ thuật gồm có: Ghi lại đ y đủ d liệu: Phân tích đa chi u: Tổng kết: 22 B o c o linh hoạt: Cảnh b o nguy cơ: Thiết kế tổng thể hệ th ng ATTT cho TCHQ xây d ng tr n sở tham khảo th m c c giải ph p kỹ thuật để th c nh ng biện ph p kiểm so t theo ISO27001 Dưới bảng mô tả c c giải ph p kỹ thuật c n đ p ứng để đảm bảo đ p ứng c c kiểm so t theo s m c ti u kiểm so t ti u chu n ISO27001 Các kiểm soát ISO 27001:2005 lĩnh vực STT Giải pháp kỹ thuật cần áp dụng Mục tiêu kiểm soát Bảo vệ hệ thống khỏi mã độc hại mã phần mềm kích hoạt từ xa - Giải ph p phòng ch ng m độc hại - Giải ph p bảo vệ thư điện t 1.1 M độc hại - Giải ph p lọc nội dung - Giải ph p ngăn ch n công có chủ đích - Giải ph p quản lý điểm yếu lỗ hổng bảo mật Bảo vệ hệ th ng khỏi 1.2 c c ph n m m kích hoạt t xa - Giải ph p tường l a ứng d ng web; - Giải ph p gi m s t dò quét đ nh gi website; - Giải ph p lọc nội dung - Giải ph p ngăn ch n công có chủ đích - Giải ph p tường l a; Các biện pháp kiểm soát ATTT cho mạng máy tính - Giải ph p kiểm so t truy cập (NAC); - Giải ph p ngăn ng a phòng ch ng xâm nhập (IPS); - Giải ph p ch ng thất tho t d liệu (DLP); - Giải ph p ngăn ch n công có chủ đích - Giải ph p quản lý lỗ hổng điểm yếu bảo mật Bảng 3: Bảng mô tả giải pháp kỹ thuật cần đƣợc thực theo kiểm soát ISO27001 xuất đưa thiết kế tổng thể cho Tổng c c hải quan: 23 Hình 16: Thiết kế mô hình tổng thể chống lại APT - V trí s 1: đ t 01 c p thiết b có chức Proxy caching lọc web cho hệ th ng người dùng Internet; - V trí s 2: đ t giải ph p phòng ch ng công APT; - V trí s 3: đ t thiết b cân tải; - V trí s 4: đ t thiết b t i ưu hóa ứng d ng; - V trí s 5: đ t c c m y chủ vùng DMZ; - V trí s 6: đ t thiết b IPS; - V trí s 7: đ t thiết b tường l a vùng DMZ; - V trí s 8: đ t thiết b phòng ch ng DDoS; - V trí s 9: đ t thiết b VPN; - V trí s 10: đ t thiết b tường l a vùng WAN; - V trí s 11: đ t thiết b QoS; - V trí s 12: đ t thiết b tường l a vùng Core; - V trí s 13: đ t thiết b IPS vùng Core; - V trí s 14: đ t thiết b tường l a vùng người dùng cu i; - V trí s 15: vùng người dùng cu i; - V trí s 16: vùng ứng d ng Core sở d liệu Core; 24 3.2 Đề xuất cho hệ thống thông tin ngành hải quan ể l a chọn giải ph p ch ng lại công APT phù hợp với hệ th ng ngành hải quan xin đ xuất so s nh hai giải ph p n u tr n theo c c yếu t sau để l a chọn giải ph p phù hợp: Giải ph p bạn n n bảo vệ mạng bạn khỏi tất c c loại m i đe dọa; Giải ph p ch n ph n m m độc hại trước đến với mạng; Giải ph p bạn n n đơn giản dễ dàng để thiết lập quản lý; Có khả tương thích tích hợp với c c giải ph p bảo mật kh c có tổ chức V việc ph t c c m độc Fireeye s d ng lọc để phân biệt c c m độc đ biết chưa biết i với c c m độc đ nhận biết trước lưu tr tr n Cloud Fireeye ngăn ch n c c m độc đ i với c c tập tin nghi ngờ Fireeye chuyển vào môi trường giả lập (VX) để th c thi t phân tích xem tập tin có chứa m độc hay không phân tích xem t c động đ i với môi trường giả lập để có biện ph p ngăn ch n tương lai Check Point ngăn ch n m i đe dọa c ch rà so t c c tập tin tải v file đính kèm email phổ biến file th c thi EXE Adobe PDF c c tập tin Microsoft s d ng công nghệ Sandbox (môi trường th c thi ảo) Tệp tin đ ng ngờ b Sandbox theo dõi gi m s t c c hành vi: thay đổi registry xóa file hệ th ng tạo file kết n i mạng tới m y chủ u khiển bot (C&C) cung cấp kết đ nh gi tệp tin theo thời gian th c Nếu tệp tin b ph t m độc b ngăn ch n trước chúng nhiễm vào hệ th ng thật Mẫu m độc ph t cập nhật l n Check Point ThreatClould™ tất kh ch hàng Check Point chia sẻ mẫu bảo vệ ch ng lại c c ph n m m độc hại c ch t động Khi đưa so s nh đ nh gi tổng thể giải ph p FireEye lại yếu giải ph p CheckPoint tr n ti u chí c thể: - Giải pháp đa lớp CheckPoint bảo vệ khỏi công biết, công chƣa biết: kết hợp nhi u giải ph p với IPS AV AB Sandbox Ngoài CheckPoint có đội ngũ chuy n gia nghi n cứu kết hợp với mạng lưới c c thu thập thông tin toàn c u sở hạ t ng an ninh hợp t c đ u ti n để ch ng lại 25 tội phạm mạng Trong Fireeye lại đưa c c mẫu chưa biết vào th c thi VX để đ nh gi t c động mẫu vào hệ th ng - Checkpoint ngăn chặn phần mềm độc hại trƣớc đến với mạng bạn: Cấu hình theo chế độ tr c tiếp MTA giúp ngăn ch n ph n m m độc hại trước đến vào mạng kiểm tra phòng ch ng c c m i đe dọa qua việc hỗ trợ kiểm tra giao thức SSL đồng thời cho phép ngăn ch n c c m i đe dọa với thời gian th c Fireeye không làm u - Giải pháp CheckPoint đơn giản để thiết lập quản lý: ph n cứng bổ sung c n thiết thiết b tăng cường th m sở hạ t ng quản lý an ninh bạn Hỗ trợ nhi u c ch thức cấu hình quản lý tr c tiếp gi n tiếp MTA điện to n đ m mây Còn đ i với Fireeye c n phải trang b th m thiết b ph n cứng cấu hình phức tạp khó quản tr đ i với c n quản tr ngành hải quan đ quen với việc s d ng sản ph m Checkpoint lâu Qua ph n đ nh gi tr n, ta thấy 02 giải ph p phòng ch ng công có chủ đích đ u hiệu v m t giải ph p phòng ch ng Tuy nhi n xét v tổng thể giải ph p phòng ch ng công có chủ đích Checkpoint trội hẳn giải ph p Fireeye tr n c c phương diện: bảo vệ khỏi công biết, công chưa biết, ngăn chặn phần mềm độc hại trước đến với mạng, đơn giản để thiết lập quản lý M t kh c c c c n quản tr đ quen thuộc với c ch quản tr c c hệ th ng Checkpoint đưa th m nội dung phòng ch ng công có chủ đích vào công việc đào tạo c n quản tr tiếp cận nhanh chóng tiếp cận giải ph p hoàn toàn Do giải ph p phù hợp đ i với ngành hải quan giải ph p h ng Checkpoint 3.3 Một số kết thử nghiệm đánh giá Hình 17: Báo cáo tổng hợp hệ thống 26 Hình 18: Báo cáo mã độc bị phát Hình 19: Báo cáo tổng hợp kiểu mã độc 3.4 Kết luận chƣơng Ph n mở đ u chương cung cấp sở lý thuyết thiết kế tổng thể hệ th ng mạng bảo mật cho Tổng c c Hải quan d a tr n c c khuyến c o theo ti u chu n ISO 27001 ây sở cho việc đ xuất thiết kế tổng thể hệ th ng mạng ngành hải quan Tiếp mô hình l a chọn giải ph p phòng ch ng APT cho hệ th ng ngành hải quan đ xuất d a vào c c kết so s nh 02 giải ph p Fireeye Checkpoint giới thiệu Chương C c kết b o c o t hệ th ng đ triển khai cho thấy mô hình đ xuất đ x c đ nh nhi u m độc mà c c biện ph p ngăn ng a kh c không ph t Như mô hình đ xuất chứng tỏ hiệu ngăn ch n ph t sớm cho hệ th ng thông tin ngành hải quan KẾT LUẬN A Những vấn đề giải đƣợc luận văn 27 ể giải to n đảm bảo an toàn cho hệ th ng ngành hải quan trước c c công APT tr nh c c rủi ro đ ng tiếc xảy gây ảnh hưởng đến hoạt động ngành hải quan c c doanh nghiệp xuất nhập kh u luận văn đ đạt kết quan trọng: Một là: Trình bày tổng quan v trang trang thiết b bảo mật mô hình mạng mô hình c c ứng d ng quan trọng ồng thời đ th c đ nh gi rủi ro đ i với hệ th ng mạng c c ứng d ng nghiệp v hệ th ng bảo mật ngành hải quan Hai là: Trình bày tổng quan v công APT l n HTTT bao gồm: đ nh nghĩa c c kh i niệm phân tích c c đ c điểm giai đoạn phân loại c c công c thường s d ng công APT T thấy rằng: công APT khó ph t nguy hiểm s kh c biệt rõ với c c công truy n th ng S kh c biệt thể nh ng biến thể công APT tương lai Ba là: Trình bày sở lý thuyết để thiết kế tổng thể hệ th ng mạng bảo mật cho Tổng c c Hải quan d a tr n c c khuyến c o ISO 27001 t thiết kế tổng thể hệ th ng mạng ồng thời trình bày 02 giải ph p phòng ch ng công APT h ng Fireeye CheckPoint t đ xuất l a chọn giải ph p thích hợp cho Tổng c c Hải quan B Kiến nghị hƣớng nghiên cứu tƣơng lai Việc trang b hệ th ng phòng ch ng công APT cho ngành hải quan để đảm bảo an toàn thông tin tổ chức Tuy nhi n việc không khẳng đ nh ngành hải quan an toàn tuyệt đ i Do c n li n t c nghi n cứu th m v c c dạng công APT đ nh gi rủi ro x c đ nh c c m i đe dọa điểm yếu hệ th ng để có nh ng hiểu biết t t v hệ th ng thông tin t nghi n cứu c c giải ph p để giảm thiểu rủi ro ể nâng cao trình độ cho thân thân mong mu n tiếp t c tìm hiểu nghi n cứu hoàn thiện p d ng c c phương ph p ti n tiến để đạt hiệu t t việc phòng ch ng đ p trả công APT để p d ng đưa vào hệ th ng Tổng c c Hải quan ồng thời nghi n cứu th m phương ph p truy tìm dấu vết công APT ... tài “Nghi n cứu giải ph p đảm bảo an toàn cho hệ th ng thông tin ngành Hải quan đời nhằm th c hóa nh ng y u c u đảm bảo an ninh an toàn cho hệ th ng công nghệ thông tin ngành Hải quan Nội dung... ng thông tin hải quan có ý nghĩa s ng đến hoạt động ngành Hải quan Li n quan đến việc đảm bảo an ninh an toàn cho hệ th ng công nghệ thông tin việc triển khai an ninh an toàn phải đồng toàn diện... an toàn ch ng c c nguy công t Hacker Mục đích nghiên cứu Nghi n cứu đ xuất c c giải ph p đảm bảo an ninh an toàn cho hệ th ng công nghệ thông tin ngành hải quan Đối tƣợng nghiên cứu phạm vi nghiên