ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH *** *** *** NGUYỄN VĂN HỘI THỰC TRẠNG VÀ GIẢI PHÁP PHÒNG NGỪA, NGĂN CHẶN HOẠT ĐỘNG TẤN CÔNG MẠNG QUA VIỆC CHIẾM QUYỀN ĐIỀU KHIỂN HỆ THỐNG CAMERA GIÁM SÁT KẾT NỐI INTERNET CỦA CÔNG AN THÀNH PHỐ HÀ NỘI LUẬN VĂN THẠC SĨ QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS) Hà Nội - 2017 ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH *** *** *** NGUYỄN VĂN HỘI THỰC TRẠNG VÀ GIẢI PHÁP PHỊNG NGỪA, NGĂN CHẶN HOẠT ĐỘNG TẤN CƠNG MẠNG QUA VIỆC CHIẾM QUYỀN ĐIỀU KHIỂN HỆ THỐNG CAMERA GIÁM SÁT KẾT NỐI INTERNET CỦA CÔNG AN THÀNH PHỐ HÀ NỘI Chuyên ngành: Quản trị an ninh phi truyền thống Mã số: Chƣơng trình thí điểm LUẬN VĂN THẠC SĨ QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS) NGƢỜI HƢỚNG DẪN KHOA HỌC: Thiếu tƣớng,TS NGUYỄN THẾ BÌNH Hà Nội - 2017 CAM KẾT Tác giả cam kết kết nghiên cứu luận văn kết lao động tác giả thu chủ yếu thời gian học, nghiên cứu chưa công bố chương trình nghiên cứu người khác Những kết nghiên cứu tài liệu người khác (trích dẫn, bảng, biểu, cơng thức, đồ thị tài liệu khác) sử dụng luận văn tác giả đồng ý trích dẫn cụ thể Tơi hồn tồn chịu trách nhiệm trước Hội đồng bảo vệ luận văn, Khoa Quản trị Kinh doanh, pháp luật cam kết nói Hà Nội, ngày …… tháng … năm 2017 Tác giả luận văn Nguyễn Văn Hội LỜI CẢM ƠN Qua hai năm học tập nghiên cứu chuyên ngành Quản trị An ninh phi truyền thống Khoa Quản trị Kinh doanh, Đại học Quốc gia Hà Nội, với kiến thức, cách tiếp cận khác trình học tập, nghiên cứu ứng dụng, giúp tác giả rèn luyện kỹ tiếp cận hệ thống, kỹ tư chiến lược, phát triển tri thức, lựa chọn sử dụng công cụ liên quan đến vấn đề cần nghiên cứu công tác Quản trị An ninh phi truyền thống, giúp tác giả có kiến thức tảng để nghiên cứu hoàn thành luận văn thạc sỹ: "Thực trạng giải pháp phòng ngừa, ngăn chặn hoạt động công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet Công an thành phố Hà Nội", mục tiêu học tập suốt đời Tác giả xin trân trọng cảm ơn thầy giáo, cô giáo Khoa Quản trị Kinh doanh, Đại học Quốc gia Hà Nội, đặc biệt Phó Giáo sư – Tiến sỹ Hồng Đình Phi, Chủ nhiệm Khoa Quản trị Kinh doanh, Đại học Quốc gia Hà Nội; Thượng tướng, Tiến sỹ Nguyễn Văn Hưởng, nguyên Thứ trưởng Bộ Cơng an; Thượng tướng, Phó Giáo sư – Tiến sỹ Bùi Văn Nam, Thứ trưởng Bộ Công an tác giả nghiên cứu, xây dựng khung chương trình triển khai đào tạo Thạc sỹ Quản trị An ninh phi truyền thống Xin trân trọng cảm ơn Thiếu tướng.TS Nguyễn Thế Bình - Phó Tổng cục trưởng Tổng cục IV - Bộ Cơng an tận tình hướng dẫn, giúp đỡ để tác giả hoàn thành luận văn thạc sỹ: "Thực trạng giải pháp phòng ngừa, ngăn chặn hoạt động công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet Công an thành phố Hà Nội" Hà Nội, ngày … tháng …… năm 2017 Tác giả luận văn Nguyễn Văn Hội MỤC LỤC Chữ viết tắt Danh mục bảng Danh mục hình vẽ Mở đầu Tính cấp thiết việc nghiên cứu đề tài 11 Tổng quan tình hình nghiên cứu đề tài 12 Mục đích nghiên cứu 13 Đối tượng phạm vi nghiên cứu 13 Phương pháp nghiên cứu 14 Kết nghiên cứu đề tài 15 Ý nghĩa lý luận thực tiễn đề tài 15 Kết cấu luận văn 15 Chƣơng I Một số khái niệm mơ hình hệ thống Camera giám sát kết nối Internet 16 1.1 Một số khái niệm 16 1.1.1 Khái niệm phòng ngừa 16 1.1.2 Khái niệm ngăn chặn 16 1.1.3 Khái niệm công mạng, nguy công mạng 16 1.1.4 Khái niệm chiếm quyền điều khiển 17 1.1.5 Khái niệm hệ thống Camera giám sát, thiết bị dùng hệ thống 17 1.1.6 Khái niệm Internet, phương thức kết nối Internet 22 1.2 Mơ hình hệ thống Camera giám sát kết nối Internet, lỗ hổng bảo mật hệ thống Camera giám sát 24 1.2.1 Mơ hình hệ thống Camera giám sát kết nối Internet 24 1.2.2 Lỗ hổng bảo mật hệ thống Camera giám sát kết nối Internet 25 1.3 Các yếu tố nội hàm phương trình khoa học 28 1.3.1 Các yếu tố nội hàm đề tài 28 1.3.2 Phương trình khoa học 29 1.3.3 Bảng hỏi đánh giá lực phòng ngừa, ngăn chặn hoạt động công mạng qua việc chiếm quyền điều khiển hệ thống camera giám sát kết nối Internet 29 Chƣơng II Thực trạng hệ thống Camera giám sát kết nối Internet Công an thành phố Hà Nội nguy an ninh, an toàn 31 2.1 Thực trạng hệ thống Camera giám sát kết nối Internet Công an thành phố Hà Nội 31 2.1.1 Mô hình hệ thống Camera giám sát kết nối Internet CATP Hà Nội 31 2.1.2 Thiết bị, công nghệ, người, quy trình, sách thực hệ thống Camera giám sát kết nối Internet CATP Hà Nội 32 Đánh giá lực phòng ngừa, ngăn chặn hoạt động công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet Công an thành phố Hà Nội 46 Chƣơng III Giải pháp phịng ngừa, ngăn chặn hoạt động cơng mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet Công an thành phố Hà Nội 52 2.2 3.1 Nhóm giải pháp sách 52 3.2 Nhóm giải pháp cơng nghệ, kỹ thuật 52 3.2.1 Giải pháp phòng ngừa nguy an ninh, an toàn từ bên vào hệ thống Camera kết nối Internet 53 3.2.2 Giải pháp phòng ngừa nguy an ninh, an toàn từ bên hệ thống Camera kết nối Internet bên 56 3.2.3 Giải pháp phịng ngừa nguy an ninh, an tồn đơn vị sử dụng hệ thống Camera kết nối Internet 3.3 Nhóm giải pháp nguồn lực sách 64 3.4 Nhóm giải pháp tài 65 3.5 Nhóm giải pháp hợp tác ngồi nước 65 Kết Luận 67 Tài liệu tham khảo Phụ lục: Đánh giá mức độ an ninh, an toàn hệ thống Camera giám sát kết nối Internet Công an thành phố Hà Nội 69 CHỮ VIẾT TẮT Ngành: Bộ Công an CATP: Công an thành phố Hà Nội UTM: Unified Threat Management – Giải pháp bảo mật toàn diện IDS: Intrusion Detection Systems – Hệ thống phát xâm nhập IPS: Intrusion Prevention System - Hệ thống phòng chống xâm nhập VPN: Vitual Private Network – mạng riêng ảo DMZ: Demilitarized Zone – vùng phi quân sự/ thuật ngữ kỹ thuật vùng mạng trung lập mạng nội mạng Internet APT: Advanced Persistent Threat – Tấn cơng có chủ đích DANH MỤC BẢNG Bảng 1.1 Danh sách 79 nhà cung cấp tồn lỗ hổng thực thi mã từ xa CCTV 27 Bảng 1.2 Bảng hỏi, đánh giá lực phòng ngừa, ngăn chặn hoạt động công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet 29 Bảng 2.1 Tổng hợp đánh giá lực phòng ngừa, ngăn chặn hoạt động công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet CATP 50 CÁC HÌNH VẼ Hình 1.1 Camera giám sát nhà 17 Hình 1.2 Góc quan sát Camera 19 Hình 1.3 Góc quan sát camera có tiêu cự khác 20 Hình 1.4 Cáp Đồng Trục (Camera Analog); Cáp Mạng RJ-45 (Camera IP) 21 Hình 1.5 Mơ tả kết nối Internet 22 Hình 1.6 Mơ hình hệ thống Camera giám sát kết nối Internet 24 Hình 2.1 Mơ hình hệ thống Camera giám sát kết nối Internet CATP 32 Hình 2.2 Mơ hình giải pháp bảo mật tồn diện, đa lớp 33 Hình 2.3 Mơ hình lớp Firewall bên ngồi 34 Hình 2.4 Mơ hình lớp Firewall bảo vệ hệ thống máy chủ 35 Hình 2.5 Mơ hình IDPs đặt trước Firewall 43 Hình 2.6 Mơ hình IDPs đặt Firewall miền DMZ 44 Hình 2.7 Mơ hình IDPs modul giải pháp bảo mật UTM 45 Hình 3.1 Mơ hình mạng VPN 53 Hình 3.2 Mơ hình IPSec VPN 55 Hình 3.3 Mơ hình SSL VPN 55 Hình 3.4 Mơ hình PPTP dùng song song với IPSec VPN 56 Hình 3.5 Mơ hình hóa cơng APT 57 Hình 3.6 Mơ hình hệ thống Camera giám sát kết nối Internet CATP bổ sung VPN, phịng chống APT Firewall quy mơ nhỏ 64 MỞ ĐẦU Qua nghiên cứu tác giả nhận thức An ninh mạng vấn đề cốt lõi An ninh phi truyền thống Để phân tích nhận định trên, tác giả từ quan điểm: - Theo tác giả nghiên cứu, xây dựng khung chương trình triển khai đào tạo Thạc sỹ Quản trị An ninh phi truyền thống Khoa Quản trị Kinh doanh, Đại học Quốc gia Hà Nội: Thượng tướng, Tiến sỹ Nguyễn Văn Hưởng, nguyên Thứ trưởng Bộ Công an; Thượng tướng, Phó Giáo sư – Tiến sỹ Bùi Văn Nam, Thứ trưởng Bộ Cơng an; Phó Giáo sư – Tiến sỹ Hồng Đình Phi, Chủ nhiệm Khoa Quản trị Kinh doanh, Đại học Quốc gia Hà Nội, An ninh phi truyền thống an ninh nhà nước, người doanh nghiệp (Cách tiếp cận lấy người làm trung tâm); mục tiêu quản trị An ninh phi truyền thống ổn định phát triển bền vững nhà nước, người (cộng đồng) doanh nghiệp; An ninh phi truyền thống tác động trực tiếp đến quốc tế (VD: An ninh mạng ), khu vực (VD: Đói, dịch bệnh ), nhà nước (đảng cầm quyền, thể chế…), an ninh người (cộng đồng) an ninh doanh nghiệp - Năm 1994, báo cáo Phát triển Con người Chương trình Phát triển Liên Hiệp Quốc (UNDP) đề khái niệm “An ninh người”, bao gồm thành tố chính: an ninh kinh tế, an ninh lương thực, an ninh y tế, an ninh môi trường, an ninh cá nhân, an ninh cộng đồng, an ninh trị  An ninh kinh tế: Bảo đảm mức thu nhập người (thông qua công việc khu vực kinh tế tư nhân hay nhà nước, công việc làm công ăn lương hay từ phúc lợi xã hội phủ) Mối đe doạ an ninh kinh tế tình trạng đói nghèo  An ninh lương thực: Đảm bảo người dân tiếp cận nguồn lương thực để đảm bảo đủ chất dinh dưỡng cho sống hiệu khoẻ mạnh Nguồn lương thực sẵn có để cung cấp điều cần thiết chưa phải điều kiện đủ để đảm bảo an ninh lương thực người chết đói khơng có khả tiếp cận đến nguồn lương thực hệ thống phân phối không hiệu hay người thiếu khả mua hàng sản xuất cho thân họ sử dụng  An ninh y tế: Đảm bảo sức khỏe cho người dân Sức khoẻ nhân tố quan trọng trực tiếp ảnh hưởng đến an ninh Ớ nước phát triển, bệnh truyền nhiễm ký sinh nguyên nhân gây nên chết hàng triệu người năm Bệnh tật gắn liền với điều kiện sống khơng an tồn ảnh hưởng từ nguốn nước hay nguồn lương thực thiếu dưỡng chất Còn nước phát triển nhân tố gây tử IPSec dùng chủ yếu Transport mode, tunnel (hay gọi hầm - khái niệm hay dùng Proxy, SOCKS) để mã hóa liệu VPN Sự khác biệt mode là: Transport mode có nhiệm vụ mã hóa liệu bên gói (data package - cịn biết từ payload) Trong Tunnel mã hóa tồn data package Hình 3.3 Mơ hình IPSec VPN Do vậy, IPSec thường coi Security Overlay, IPSec dùng lớp bảo mật so với Protocol khác - Secure Sockets Layer (SSL) Transport Layer Security (TLS): Có phần tương tự IPSec, giao thức dùng mật để đảm bảo an tồn kết nối mơi trường Internet Hình 3.3 Mơ hình SSL VPN 55 Bên cạnh đó, giao thức cịn sử dụng chế độ Handshake - có liên quan đến q trình xác thực tài khoản client server Để kết nối coi thành cơng, q trình xác thực dùng đến Certificate - khóa xác thực tài khoản lưu trữ server client - Point-To-Point Tunneling Protocol (PPTP): Là giao thức dùng để truyền liệu qua hầm - Tunnel tầng traffic Internet L2TP thường dùng song song với IPSec (đóng vai trị Security Layer- đề cập đến phía trên) để đảm bảo trình truyền liệu L2TP qua môi trường Internet thông suốt Không giống PPTP, VPN "kế thừa" tồn lớp L2TP/IPSec có key xác thực tài khoản chia sẻ Certificate Hình 3.4 Mơ hình PPTP dùng song song với IPSec VPN 3.2.1.3 Hạn chế VPN: VPN khơng có khả quản lý Quality of Service (QoS) qua mơi trường Internet, gói liệu - Data package có nguy bị thất lạc, rủi ro Khả quản lý đơn vị cung cấp VPN có hạn, khơng ngờ trước xảy với khách hàng họ, hay nói ngắn gọn bị hack Ở thời điểm tại, triển khai VPN Server Trung tâm VPN Client cho thiết bị giám sát từ xa biện pháp hữu hiệu để ngăn chặn tin tặc đánh cắp Username Password thiết bị giám sát từ xa thông qua Internet truy nhập vào hệ thống với ý đồ xấu 3.2.2 Giải pháp phòng ngừa nguy an ninh, an toàn từ bên hệ thống Camera giám sát kết nối Internet bên ngoài: 56 Triển khai giải pháp phịng chống cơng có chủ đích APT Server Trung tâm APT Client Công an quận Cơng an phường Giải pháp phịng chống APT cụ thể sau: Thuật ngữ APT (Advanced Persistent Threat) dùng để kiểu công dai dẳng có chủ đích vào thực thể Kẻ cơng hỗ trợ phủ nước nhằm tìm kiếm thơng tin tình báo từ phủ nước khác Tuy nhiên khơng loại trừ mục tiêu cơng tổ chức tư nhân Cho đến nay, công APT thường dùng với mục đích: - Thu thập thơng tin tình báo có tính chất thù địch - Đánh cắp liệu bán lại bí mật kinh doanh cho đối thủ - Làm uy tín quan tổ chức - Phá hoại, gây bất ổn hạ tầng CNTT, viễn thông, điện lực, APT diễn nào? “Vòng đời” cơng APT mơ tả theo ba giai đoạn sau, giai đoạn có nhiều bước Hình 3.5 Mơ hình hóa cơng APT Giai đoạn chuẩn bị: Ở giai đoạn này, kẻ công xác định mục đích cơng, từ tìm kiếm mục tiêu phù hợp Sau nhắm mục tiêu công, chúng chế tạo công cụ công đầu tư thời gian, công sức để nghiên cứu mục tiêu (về người hạ tầng CNTT mục tiêu) Bước tiếp theo, chúng thực công thử 57 Giai đoạn khởi động công – xâm nhập: Kẻ công triển khai công theo kịch dựng sẵn, sau khởi tạo việc xâm nhập, cài cắm virus, backdoor vào hệ thống bị công khởi sinh kết nối “ẩn” từ bên ngồi thơng qua backdoor Thực đánh cắp liệu, phá hoại: Thông qua kết nối cài cắm, kẻ công tìm cách mở rộng ảnh hưởng vào hệ thống thông tin nạn nhân thực hoạt động đánh cắp định danh, đánh cắp liệu Sau đó, chúng thực bước xóa dấu vết nhằm che giấu hành vi thực Đánh giá cơng APT Có thực “Advance”: tất ví dụ minh họa thống kê cơng APT khơng có mơ tả kỹ thuật công mới, hay cao siêu áp dụng kẻ công tiến hành APT Từng kỹ thuật sử dụng quen thuộc với chun gia an tồn thơng tin Hầu hết cơng sau phân tích thấy rằng, tổng hợp số kiểu công phổ biến Kẻ công phối hợp biện pháp với khoa học, tỉ mỉ thông minh Đánh giá giúp bên phòng thủ nhận thức rằng: việc áp dụng công cụ, biện pháp bảo mật tối tân, đắt tiền, chưa tránh công APT xảy Không phải ngẫu nhiên mà số tài liệu gọi kẻ công “Nghệ sĩ” “Nghệ sĩ” thường kiên trì để vịng tránh qua biện pháp bảo mật sẵn có Có nhiều ví dụ việc nạn nhân có đủ biện pháp bảo mật Firewall, IPS, Antivirus, hệ thống bị thiệt hại công APT Bị công “Dai dẳng”: Kẻ cơng bỏ hàng tháng để thu thập thông tin cá nhân nạn nhân nhằm làm tiền đề cho công, từ cách đặt tên file, mối quan tâm mở email, mối quan hệ nạn nhân giới ảo, Kẻ công bỏ nhiều tháng để thử thử lại công cụ, phương thức công cho khai thác lỗi bảo mật hệ thống “nạn nhân”, sau chờ vài tháng để kích hoạt hành động công Chống lại APT Một điều dễ nhận thấy chuỗi thao tác, cần thao tác bị phát chặn đứng, cơng APT coi thất bại Nếu tình sau xảy cơng APT khó thành cơng: - Khơng có thơng tin nạn nhân (tên tuổi, địa email, số điện thoại, ), khơng có mơ tả hệ thống nạn nhân, việc đưa kịch công bế tắc 58 - Khơng có điểm yếu, lỗ hổng hệ thống (lỗi hệ điều hành, lỗi ứng dụng, lỗi phần mềm bên thứ 3), kẻ cơng khơng có hội để lợi dụng lấn sâu, khai thác hệ thống - Phát ngăn chặn kịp thời kết nối tới máy chủ điều khiển - Phát ngăn chặn kịp thời hành động phát tán, cài đặt mã độc hại hệ thống Chính cơng APT tỉ mỉ, bao gồm nhiều bước dường thiết kế riêng cho cá nhân, điểm yếu APT thành cơng với số nạn nhân định, thất bại môi trường nạn nhân thay đổi Từ cách thức, đánh giá giải pháp chống lại APT trình bày trên, có nhiều hãng cho đời kiến trúc nhằm ứng phó hiệu trước công mạng Advanced Threat Đơn cử kiến trúc Hãng bảo mật LastLine Inc - Mỹ, cụ thể: - LastLine tiếp cận theo kiến trúc Software thay cho kiến trúc Appliance đắt giá - LastLine cho phép linh hoạt tích hợp kiến trúc với kiến trúc khác hữu thơng qua API hồn thiện - LastLine cung cấp đầy đủ hai chế tùy chọn Cloud-based On-Premise phù hợp với tất hệ thống TTDL đa dạng khác - LastLine đặc biệt giải hiệu nguy APT nhắm đến dịch vụ mạng như: Email, Web, File ứng dụng thiết bị di động Laptop, Smartphones người dùng cuối - LastLine cung cấp phần mềm quyền tính theo số lượng người dùng cuối để giúp dễ mở rộng linh hoạt không phụ thuộc vào kiến trúc hạ tầng TTDL có thay đổi tương lai Thành phần kiến trúc: 59 Mơ hình lựa chọn triển khai * Tùy chọn Cloud-based (Hosted by LastLine): Trong tùy chọn này, cần triển khai Thành phần “Sensor” phân khúc mạng cần thiết để giám sát ngăn chặn APT thông qua cách thức triển khai linh hoạt Tap/Span mode Tùy theo dịch vụ mạng bên hệ thống triển khai mà có cách thức thiết lập Sensor cụ thể, đặc biệt thời gian triển khai vòng 30 phút 60 phút hồn tất mơ hình cài đặt cách nhanh chóng * Tùy chọn On-Premise (Đặt Trung tâm quản lý, lưu trữ CATP): 60 Trong tùy chọn này, thiết lập thành phần “Sensor”, “Engine” “Manager” Trung tâm quản lý, lưu trữ CATP Cả thành phần cài đặt dạng Software Package đóng gói theo tiêu chuẩn LastLine Inc tảng phần cứng khuyến nghị chi tiết Chức thành phần mô tả phần bên với cách thức hoạt động tương ứng mơ hình tùy chọn Khả tích hợp & Cách thức hoạt động: * Mức độ tích hợp: * Cách hoạt động: 61 Trên tùy chọn Cloud-based: Trên tùy chọn On-Premise: Những lợi ích mang lại: - Dễ dàng triển khai giải pháp LastLine phân mạng cần quan tâm cho giao thức hay ứng dụng mạng triển khai 62 - Cơ chế phát nhanh chóng ngăn chặn công tự động không lệ thuộc vào hệ điều hành, máy chủ ảo hay vật lý, giao thức /dịch vụ mạng triển khai - Gỡ bỏ giới hạn khoảng cách tích hợp với hệ thống an ninh có sẵn, đầu tư trước mạng doanh nghiệp - Chỉ định đích danh công lẫn tránh mà hệ thống an ninh truyền thống Sandbox trước phát - Phân tích theo thời gian thực để đánh giá tức thì, xác tình trạng hệ thống diễn biến - Khả cập nhật liên tục với Tài nguyên Intelligence Threat LastLine Inc - Tạo báo cáo chi tiết, phù hợp với tiêu chuẩn an toàn mạng phổ biến Hiện tại, triển khai giải pháp phịng chống cơng có chủ đích APT Server Trung tâm APT Client Công an quận Công an phường giải pháp hữu hiệu nhằm phòng ngừa, ngăn chặn tin tặc lợi dụng điểm yếu, lỗ hổng bảo mật (lỗi hệ điều hành, lỗi phần mềm điều khiển nhúng hãng sản xuất CCTV) để cài mã độc cửa hậu, chiếm quyền điều khiển Camera, cơng có chủ đích (tấn cơng APTAdvanced Persistent Threat) vào hệ thống Camera, chúng sử dụng hệ thống Camera tạo thành mạng Botnet để công từ chối dịch vụ vào hệ thống thông tin quan, doanh nghiệp, gây tổn hại uy tín CATP 3.2.3 Giải pháp phòng ngừa nguy an ninh, an toàn đơn vị sử dụng hệ thống Camera giám sát kết nối Internet: Triển khai Firewall quy mô nhỏ Công an quận Công an phường nhằm phịng ngừa nguy an ninh, an tồn đơn vị Giải pháp Firewall đươc trình bày cụ thể điểm 2.1.2.3 (giải pháp bảo mật toàn diện, đa lớp) chương II Khi thiết lập Firewall thông tin từ Công an quận, Công an phường đóng gói liệu (data pakets), gán địa để nhận dạng, dùng phép truyền packet mạng: - Địa IP nơi xuất phát ( IP Source address) - Địa IP nơi nhận (IP Destination address) - Những thủ tục truyền tin (TCP, UDP, ICMP, IP tunnel) - Cổng TCP/UDP nơi xuất phát (TCP/UDP source port) - Cổng TCP/UDP nơi nhận (TCP/UDP destination port) - Dạng thông báo ICMP ( ICMP message type) - Giao diện packet đến ( incomming interface of packet) 63 - Giao diện packet ( outcomming interface of packet) Chỉ có packet thoả mãn chuyển qua firewall Nếu không packet bị bỏ Nhờ mà Firewall ngăn cản kết nối vào máy chủ, khoá việc truy cập vào hệ thống Trung tâm quản lý, lưu trữ liệu CATP từ kết nối không phép Việc này, phòng chống nguy đơn vị truy nhập hệ thống Camera đơn vị khác để xem, chép thơng tin với mục đích khác nhau, nằm ngồi kiểm sốt Hình 3.6 Mơ hình hệ thống Camera giám sát kết nối Internet CATP bổ sung VPN, phịng chống APT Firewall quy mơ nhỏ 3.3 Nhóm giải pháp nguồn lực tổ chức: - Tăng cường đào tạo, nâng cao kiến thức an ninh, an tồn thơng tin quản trị hệ thống Camera giám sát kết nối Internet cho huy đơn vị, cán sử dụng hệ thống Liên kết với tổ chức, cá nhân ngành tổ chức đào tạo chuyên sâu an ninh, an tồn thơng tin cho cán quản trị hệ thống Thường xuyên phối hợp với hãng bảo mật tổ chức hội thảo giới thiệu công nghệ nghiên cứu đưa vào ứng dụng để phòng ngừa, ngăn chặn hoạt động công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet 64 - Xây dựng sách đãi ngộ thích hợp để thu hút cán có chất lượng quy định thời gian công tác lâu dài cán làm CNTT Tăng cường cán làm CNTT chuyên trách đơn vị quản lý, đơn vị sử dụng hệ thống Camera đảm bảo số lượng trình độ, theo nguyên tắc "chuyên sâu việc, biết nhiều việc" nhằm phát huy tối đa lực, suất, hiệu suất cơng tác 3.4 Nhóm giải pháp tài chính: - Ưu tiên tập trung vốn ngân sách nhà nước cho đầu tư phát triển hạ tầng truyền dẫn phục vụ kết nối hệ thống Camera giám sát, sớm hoàn thành tuyến cáp quang đến phường để chủ động triển khai hệ thống với đường truyền dùng riêng; cho công tác đào tạo, nâng cao kiến thức an ninh, an tồn thơng tin, đào tạo chun sâu an ninh, an tồn thơng tin cho cán làm CNTT CATP - Khai thác sử dụng hiệu tối đa nguồn vốn hợp pháp khác để đẩy nhanh tiến độ xây dựng, triển khai chương trình, đề án xây dựng hệ thống Camera giám sát CATP nhằm hỗ trợ lực lượng công tác đảm bảo an ninh trật tự địa bàn thành phố Hà Nội 3.5 Nhóm giải pháp hợp tác nƣớc: - Tăng cường hợp tác với đơn vị thuộc Bộ, điện lực thành phố, VNPT Hà Nội đầu tư chia sẻ, dùng chung hạ tầng truyền dẫn cáp quang, tuyến cống bể nhằm tiết kiệm kinh phí đầu tư - Xây dựng kế hoạch hợp tác, phối hợp với trường đại học, trung tâm nghiên cứu, doanh nghiệp triển khai đề án nghiên cứu CNTT, giải pháp an ninh, an tồn thơng tin; triển khai chương trình đào tạo, tập huấn, hội thảo nhằm nâng cao, cập nhật kiến thức triển khai, quản lý, khai thác sử dụng hệ thống Camera giám sát - Tăng cường hợp tác với tổ chức, doanh nghiệp quốc tế lĩnh vực CNTT, bảo mật, Camera giám sát nhằm tranh thủ hỗ trợ, chia sẻ thông tin, đặc biệt nghiên cứu thử nghiệm sản phẩm công nghệ mới, cơng nghệ tiến tiến để có đánh giá khoa học đưa vào ứng dụng phục vụ công tác hiệu - Tăng cường nghiên cứu; phối hợp với đơn vị ngồi ngành Cơng an, hãng bảo mật tổ chức giới thiệu, đào tạo, cập nhật kiến thức công nghệ Camera tiên tiến phù hợp với đặc thù ngành kinh phí đầu tư, triển khai hệ thống Test chuyên dụng, công nghệ nhằm phát hiện, ngăn chặn hoạt động công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet CATP - CATP phối hợp với cụm công nghiệp an ninh, nhà máy việc thúc đẩy tăng cường nghiên cứu sản xuất hệ thống Camera giám sát, tự xây dựng phần mềm quản 65 lý, điều khiển hệ thống Camera để chủ động công tác triển khai, rà quét, vá lỗ hổng nhằm phịng ngừa, ngăn chặn hoạt động cơng mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet hiệu 66 KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN TIẾP THEO Việc nghiên cứu đề tài tìm hiểu, làm rõ sở lý luận, sở thực tiễn, khoa học thực trạng an ninh, an toàn hệ thống Camera giám sát có Trung tâm quản lý, lưu trữ kết nối Internet Cơng an thành phố Hà Nội, từ đề xuất giải pháp phòng ngừa, ngăn chặn hoạt động công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát Kết nghiên cứu áp dụng vào thực tế nhằm phòng ngừa, ngăn chặn hoạt động công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát Công an thành phố Hà Nội Các kết đạt cụ thể gồm: − Nghiên cứu hệ thống Camera giám sát có Trung tâm quản lý, lưu trữ kết nối Internet lỗ hổng bảo mật hệ thống Camera giám sát với hậu − Nghiên cứu, đánh giá thực trạng nguy tồn lỗ hổng bảo mật hệ thống Camera giám sát có Trung tâm quản lý, lưu trữ kết nối Internet CATP − Nghiên cứu đề xuất giải pháp khắc phục nguy tồn lỗ hổng bảo mật hệ thống Camera giám sát có Trung tâm quản lý, lưu trữ kết nối Internet CATP Tuy nhiên, tất giải pháp, quy trình, sách đề xuất phải thường xuyên nghiên cứu cập nhật mới, điều chỉnh, bổ sung cho phù hợp với tình hình thực tiễn, CATP phải xác định cơng tác đảm bảo an ninh, an tồn thơng tin cơng việc thường xuyên, chiến không gian mạng với tin tặc khơng có hồi kết Về mặt thời gian nghiên cứu có hạn, phạm vi nghiên cứu chưa sâu, kết đạt đề tài không tránh khỏi hạn chế định Khả ứng dụng vào thực tế hướng phát triển đề tài là: - Triển khai E-Token triển khai thiết lập mạng riêng ảo VPN Server Trung tâm VPN Client cho tất thiết bị giám sát từ xa phép truy cập hệ thống nhằm phòng ngừa nguy an ninh, an toàn từ bên vào hệ thống Camera giám sát CATP - Triển khai giải pháp phòng chống cơng có chủ đích APT Server Trung tâm APT Client Công an quận Công an phường nhằm phòng ngừa nguy an ninh, an toàn từ bên hệ thống Camera giám sát CATP bên ngồi - Triển khai Firewall quy mơ nhỏ Công an quận Công an phường nhằm phịng ngừa nguy an ninh, an tồn đơn vị sử dụng hệ thống Camera giám sát CATP - Nghiên cứu cập nhật, triển khai hệ thống phân tích, đánh giá, kiểm tra, kiểm soát truy nhập để ngăn chặn xâm nhập bất hợp pháp vào hệ thống Camera giám sát CATP; nghiên cứu triển khai hệ thống tối ưu băng thông, quản lí lưu lượng cho tồn 67 mạng Camera CATP nhằm tiết kiệm tài nguyên; nghiên cứu triển khai hệ thống Camera có cơng nghệ lưu trữ liệu tiên tiến, có khả giảm dung lượng lưu trữ từ đến 10 lần, tăng số lượng Camera triển khai đường truyền đến lần so với hệ thống Camera trước đáp ứng yêu cầu mở rộng hệ thống Camera giám sát 68 TÀI LIỆU THAM KHẢO Luật An tồn thơng tin mạng số 86/2015/QH13 ngày 19/11/2015 Quốc hội khóa XIII nước CHXHCN Việt Nam Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 Chính phủ bảo đảm an tồn hệ thống thông tin theo cấp độ Quyết định số 99/QĐ-TTg ngày 14/01/2014 Thủ tướng Chính phủ phê duyệt Đề án "Đào tạo phát triển nguồn nhân lực an tồn, an ninh thơng tin đến năm 2020" Thơng tư số 05/2014/TT-BTTTT ngày 19/3/2014 Bộ Thông tin Truyền thông quy định danh mục sản phẩm, hàng hóa có khả gây an tồn thuộc trách nhiệm quản lý Bộ Thông tin Truyền thông Thông tư số 11/2010/TT-BCA ngày 25/3/2010 Bộ Công an quy định Danh mục bí mật nhà nước độ Mật lực lượng Công an nhân dân Thông tư số 36/2011/TT-BCA ngày 27/5/2011 Bộ Công an quy định bảo đảm an tồn thơng tin số Công an nhân dân Quyết định số 400/QĐ-CAHN-PV11-PH41B ngày 08/5/2013 Công an thành phố Hà Nội ban hành Quy định đảm bảo an tồn thơng tin số Công an thành phố Hà Nội Cuốn sách “Không gian mạng, tương lai hành động” Đại tướng, PGS.TS Trần Đại Quang Nhà xuất Công an nhân dân xuất năm 2015 Cuốn sách “An ninh phi truyền thống: nguy cơ, thách thức, chủ trương giải pháp đối phó Việt Nam”, nhà xuất Đại học quốc gia Hà Nội năm 2014 Thượng tướng, TS Nguyễn Văn Hưởng 10 Tập giảng Tổng quan quản trị An ninh – Khoa quản trị kinh doanh, Đại học quốc gia Hà Nội, 2015 Thượng tướng, TS Nguyễn Văn Hưởng, Thượng tướng, PGS.TS Bùi Văn Nam, PGS.TS Hồng Đình Phi 11 Tập giảng Tổng quan quản trị An ninh phi truyền thống – Khoa quản trị kinh doanh, Đại học quốc gia Hà Nội, 2015 Thượng tướng, TS Nguyễn Văn Hưởng, Thượng tướng, PGS.TS Bùi Văn Nam, PGS.TS Hồng Đình Phi 12 Tập giảng Hệ thống thông tin an ninh thông tin – Khoa quản trị kinh doanh, Đại học quốc gia Hà Nội, 2015 Đại tá, PGS.TS Trần Văn Hịa 13 Tập giảng Khoa học, cơng nghệ an ninh - Khoa quản trị kinh doanh, Đại học quốc gia Hà Nội, 2015 PGS.TS Hoàng Đình Phi 14 Tạp chí an tồn, an ninh thơng tin Bộ Thông tin Truyền thông, Bộ, ngành, hãng bảo mật báo cáo tình hình an tồn thơng tin cảnh báo 15 Tài liệu hệ thống kỹ thuật dò quét lỗ hổng bảo mật, đánh giá mức độ rủi ro, đưa phương án sửa chữa phịng chống cơng hãng bảo mật 69 ... Camera giám sát kết nối Internet CATP Hà Nội 32 Đánh giá lực phòng ngừa, ngăn chặn hoạt động công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet Công an thành phố Hà. .. Nội 46 Chƣơng III Giải pháp phòng ngừa, ngăn chặn hoạt động công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet Công an thành phố Hà Nội 52 2.2 3.1 Nhóm giải pháp. .. điều khiển hệ thống camera giám sát kết nối Internet 29 Chƣơng II Thực trạng hệ thống Camera giám sát kết nối Internet Công an thành phố Hà Nội nguy an ninh, an toàn 31 2.1 Thực trạng hệ thống Camera