HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG - Mai Anh Chung NGHIÊN CỨU GIẢI PHÁP BẢO MẬT TRUYỀN HÌNH HỘI NGHỊ IP VIDEO CONFERENCING CHO KHỐI CƠ QUAN CHÍNH PHỦ Chun ngành: Hệ thống thơng tin Mã số: 60.48.01.04 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI - 2013 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TIẾN SỸ HÀ HẢI NAM Phản biện 1: …………………………………………………… Phản biện 2: …………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Công nghệ Bưu Viễn thơng Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng MỞ ĐẦU Truyền hình hội nghị (THHN) IP Video Conferencing người sử dụng biết đến cách rộng rãi Truyền hình hội nghị cơng cụ đem lại thuận tiện việc trao đổi thông tin với nhiều ứng dụng lĩnh vực Đồng thời công nghệ góp phần tiết giảm chi phí tổ chức họp, xóa nhịa khoảng cách địa lý, nhanh chóng hiệu cho cơng việc Hệ thống THHN cịn cung cấp nhiều tiện ích khác cho người sử dụng như: kết nối với máy tính để trình chiếu văn nội dung Multimedia khác Cùng với phát triển công nghệ nhu cầu họp từ xa trở nên cấp thiết với doanh nghiệp với quan Chính phủ Truyền hình hội nghị độ nét cao HD phát triển năm gần đáp ứng nhu cầu Tuy nhiên, qua nghiên cứu, đánh giá gần cho thấy nhiều hệ thống hội nghị truyền hình khơng áp dụng biện pháp an ninh, an tồn thơng tin dễ dàng bị truy nhập Chính vậy, việc bảo mật cho truyền hình hội nghị qua IP thực cần thiết cần có nghiên cứu, đưa giải pháp để khuyến cáo, áp dụng thực tế để đảm bảo an ninh thông tin cho quan, tổ chức sử dụng loại hình dịch vụ Đó lý tơi chọn đề tài “Nghiên cứu giải pháp bảo mật truyền hình hội nghị IP Video Conferencing cho khối quan Chính phủ” làm đề tài Luận văn Thạc sỹ Luận văn bao gồm chương: Chương 1: Giới thiệu truyền hình hội nghị IP Video Conferencing nguy cơ, lỗ hổng bảo mật với dịch vụ Chương 2: Trình bầy, phân tích chi tiết vấn đề bảo mật cho hội nghị truyền hình Chương 3: Đề xuất giải pháp bảo mật cho dịch vụ hội nghị truyền hình cho khối quan phủ Xin chân thành cảm ơn thầy giáo, cô giáo Học viện Công nghệ BCVT Đặc biệt cảm ơn Thầy giáo, Tiến sỹ Hà Hải Nam hướng dẫn, giúp đỡ em hoàn thành luận văn này./ CHƯƠNG I: GIỚI THIỆU VỀ TRUYỀN HÌNH HỘI NGHỊ IP VIDEO CONFERENCING VÀ VẤN ĐỀ BẢO MẬT 1.1 Giới thiệu dịch vụ hội nghị truyền hình IP Video Conferencing 1.1.1 Quá trình phát triển dịch vụ THHN Thế hệ thực qua mạng kỹ thuật số đa dịch vụ ISDN dựa tiêu chuẩn H.230 Thế hệ thứ hai ứng dụng cho máy tính cá nhân cơng nghệ thơng tin, dựa vào mạng ISDN áp dụng chuẩn CODEC; Thế hệ thứ ba hệ thống thiết bị hội nghị truyền hình đời tảng IP, sở tiêu chuẩn H.323 sử dụng mạng LAN /WAN/ Internet Truyền hình độ nét cao HD (High Definition) độ phân giải hình ảnh đạt đến 720p – 1080p, nén Video chuẩn H.264, âm AAC-LD, hội nghị truyền hình HD thực thoả mãn nhu cầu “giao tiếp ảo” Theo tiêu chuẩn công nghệ H.323 thực hội nghị truyền hình qua giao thức IP nghệ truyền hình đại nay, làm tảng cho dịch vụ thông tin ứng dụng thời gian thực âm thanh, hình ảnh số liệu Lợi ích Hội nghị truyền hình - Tiết kiệm thời gian di chuyển; - Tiết kiệm kinh phí; - Thực họp trực tuyến nhiều địa điểm khác - Nhanh chóng tổ chức họp; - Lưu trữ toàn nội dung họp; - An toàn bảo mật; - Chất lượng hội nghị ổn định 1.1.2 Các mơ hình THHN 1.1.2.1 Mơ hình theo chức năng, đối tượng sử dụng a./ Mơ hình sử dụng cho cá nhân – Desktop/Personal System Desktop/Personal System hệ thống có khả phục vụ phạm vi hẹp dành cho cá nhân Các hệ thống thường có chất lượng khơng cao nhiên kết hợp nhiều tính thuận tiện, sử dụng nhanh, đơn giản môi trường cộng tác cá nhân với ứng dụng như: chia sẻ ứng dụng Aplication Sharing, trao đổi file - File Transfer Giải pháp Web Conference: - Được triển khai theo mơ hình Server-Client Người sử dụng truy cập vào giao diện web với phần mềm client cài đặt sẵn máy trạm máy tính xách tay có hỗ trợ camera âm Cho phép người dùng máy PC sử dụng thêm Web camera để tham gia vào hội nghị giống đầu cuối H.323/SIP bình thường Nhờ hỗ trợ máy chủ Web, có kết nối mạng đến MCU gatekeeper, máy PC khác mạng truy cập vào Web máy chủ để tham gia vào hội nghị: b Mơ hình sử dụng thiết bị đầu cuối (Endpoint) chun dụng áp dụng với nhóm làm việc nhỏ - Dành cho nhóm làm việc nhỏ, số lượng điểm cầu ít, sử dụng giải pháp MCU nhúng thiết bị đầu cuối Endpoint c Đầu cuối chuyên dụng, MCU chuyên biệt Đó thiết bị chuyên nghiệp cho phòng họp lớn tới vài chục người tham dự Các hệ thống room system cho phép kết nối với nhiều loại thiết bị phụ trợ như: hình lớn, máy tính, thiết bị thu phát hình, camera, bảng điện tử cho phép thành viên tham dự có cảm giác thực đối diện trực tiếp với thành viên đầu xa Mơ hình theo việc bố trí phịng họp tiêu chuẩn • Mơ hình phịng họp theo kiểu rạp hát • Mơ hình theo kiểu họp bàn trịn (có chủ tọa): 1.1.3 Các yếu tố liên quan đến THHN 1.1.3.1 Các giao thức sử dụng THHN +H.320 cho mạng số đa dịch vụ (ISDN) +H.324 cho mạng điện thoại truyền thống (PSTN) +H.321 H.310 cho mạng ISDN băng rộng +H.323 cho mạng cục LAN, MAN,WAN bảo đảm chất lượng dịch vụ cao; + H.235 mã hóa thơng tin THHN +CODEC mã hố/giải mã âm thanh: G.711, G.722; G.728; G.723; G.729 +Bộ CODEC mã hoá/ giải mã hình ảnh: Các thiết bị đầu cuối H.323 hỗ trợ hình ảnh cung cấp mã hố/giải mã hình ảnh theo chuẩn H.261, H.263, H.264 Bộ thực mã hố, nén hình ảnh truyền với tốc độ lựa chọn trình xử lý gọi a Thành phần hệ thống mạng truyền hình theo chuẩn H 323: Thành phần hệ thống mạng truyền hình theo chuẩn H 323 bao gồm thiết bị đầu cuối (Terminal), Gateway, gatekeeper điều khiển đa điểm(MCU) + Thiết bị đầu cuối Terminal H.323 Là điểm kết cuối mạng, cho phép thông tin với gateway, MCU loại đầu cuối khác, thông tin liên lạc bao gồm tín hiệu điều khiển, thị, âm thanh, hình ảnh liệu đầu cuối với + Gateway Gateway điểm kết cuối tuỳ chọn mạng H.323 Gateway thực đấu nối cho gọi qua mạng khác Gateway phải thực chuyển đổi (mapping) giao thức với + Gatekeeper Gatekeeper phần tử tuỳ chọn mạng H.323, cung cấp dịch vụ điều khiển gọi cho đầu cuối Có thể sử dụng hay nhiều Gatekeeper mạng, nhiên Gatekeeper quản lý đầu cuối, gateway, MCU số nhóm thiết bị LAN khác Nhóm thiết bị mà Gatekeeper quản lý gọi vùng H.323 + Đơn vị điều khiển đa điểm (MCU) MCU thực đấu nối hội nghị từ ba thiết bị đầu cuối trở nên Với H.323, MCU bao gồm điều khiển đa điểm (MC) xử lý đa điểm (MP) b Hội nghị truyền hình đa điểm Hội nghị truyền hình đa điểm thực nhiều cách khác nhau, H.323 sử dụng phương pháp quản lý hội nghị tập trung phân tán thiết bị đầu cuối phân tán - Hội nghị truyền hình đa điểm theo kiểu tập trung: Cần có điều khiển MCU Tất đầu cuối gửi chuỗi tín hiệu âm thanh, hình ảnh, số liệu điều khiển tới MCU theo cấu trúc điểm điểm Thực việc trộn âm thanh, phân phối số liệu chức trộn/ chuyển mạch hình ảnh sau gửi lại cho đầu cuối - Hội nghị đa điểm phân tán sử dụng công nghệ Multicast Các đầu cuối H.323 hội nghị gửi thông tin tới đầu cuối khác cách trực tiếp mà không qua MCU 1.1.4 Nhận định, đánh giá nguy cơ, lỗ hổng bảo mật THHN giới Theo thống kê số hãng bảo mật nhiều hệ thống dễ dàng bị cơng Thống kê diện hẹp có 2% có nguy xâm nhập hacker Những sai lầm lớn hội nghị truyền hình tính tự động trả lời vị trí phần cứng khơng có tường lửa, bên ngồi phạm vi phịng thủ thơng thường tổ chức Ngăn chặn công khơng khó, phải cần đến số kỹ thuật giải pháp cách tổng thể Thực tế việc bảo mật nói chung THHN chưa coi trọng, qua khảo sát, nhiều đơn vị đặt thiết bị THHN phòng hội nghị quan trọng quan bật điện cho hệ thống hoạt động mà khơng bật hình hiển thị, họ bật hình có họp trực tuyến Khi hồn tồn truy nhập vào hệ thống mà người dự họp không nhận biết Nhiều thiết bị THHN lắp đặt đưa vào sử dụng khơng có quy trình, quy định sử dụng đảm bảo an toàn bảo mật Đa số thiết bị thiết lập chế độ mặc định nhà sản xuất mở nhiều tính thuận tiện cho việc sử dụng lại hoàn toàn để lộ nguy tiềm ẩn bảo mật Trong kể đến vài ví dụ như: - Sử dụng mật mặc định mà không thay đổi - Cho phép tính điều khiển camera từ thiết bị đầu xa - Bật chế độ tự động trả lời cho tất gọi… 1.2 Dịch vụ hội nghị truyền hình khối quan Chính phủ 1.2.1 Sự cần thiết áp dụng THHN phục vụ cho công việc Ngày nay, việc điều hành hoạt động thông qua phương tiện điện tử cần thiết để đại hố hành Quốc gia Do vậy, giải pháp xây dựng hệ thống THHN, đối thoại hai chiều (với đầy đủ hình ảnh, âm thanh, liệu) phục vụ cho họp Bộ ban ngành, tổ chức phủ cần thực Mặt khác, giải pháp làm tăng cường hiệu công việc, bảo đảm việc trao đổi thông tin quan nhanh chóng, kịp thời, giảm chi phí tổ chức hội họp giảm lãng phí thời gian di chuyển Những lợi ích sử dụng THHN: - Giảm thiểu thời gian lại - Giảm thiểu chi phí lại sinh hoạt - Tránh nguy cơ, rủi ro di chuyển - Lưu lại toàn nội dung họp - Tận dụng sở hạ tầng mạng khác - Thông tin suốt, liên tục toàn cầu - Mang lại khả ứng biến tức thời định nhanh chóng, kịp thời 1.2.2 Các yếu tố đặc thù THHN khối quan Chính phủ Thủ tướng có thị từ đầu năm 2008 việc áp dụng công nghệ THHN vào họp, hội nghị, tất quan cấp Bộ ngang Bộ, ban ngành, đơn vị doanh nghiệp nước tiến hành lên phương án triển khai họp giao ban, trao đổi thông tin cần thiết, trao đổi công việc qua hệ thống truyền hình hội nghị Triển khai giải pháp giúp quan Chính phủ có mơi trường chia sẻ thơng tin hiệu quả, tận dụng tối đa chi phí đầu tư Các văn pháp lý Quyết định 43/2008/QĐ-TTg có đề cập họp Chính phủ, Thủ tướng Chính phủ với Bộ, quan ngang Bộ, tỉnh, thành phố trực thuộc Trung ương tổ chức hình thức họp mơi trường mạng Quyết định số 32/2012/QĐ-TTg ngày 27/7/2012 Thủ tướng Chính phủ phê duyệt Quy hoạch phát triển viễn thông quốc gia đến năm 2020 văn nêu rõ: hoạt động ứng dụng CNTT phải gắn với việc nâng cao hiệu hoạt động quan nhà nước Gần có Chỉ thị 30/CT-TTg ngày 26/11/2012 việc thực hành tiết kiệm chống lãng phí, tăng cường sử dụng hình thức họp trực tuyến đạo điều hành Mơ hình phân cấp Với mơ hình phân cấp từ Chính phủ tới địa phương, việc tổ chức mạng THHN theo mơ hình phân cấp, việc đầu tư thực theo giai đoạn sau: - Pha 1: triển khai từ Chính phủ đến 63 Tỉnh /thành phố - Pha 2: triển khai từ Tỉnh /thành phố đến sở /ngành, quận/huyện/thị xã trực thuộc tỉnh /thành phố - Pha 3: triển khai đến xã /phường trực thuộc Thông thường, họp quan Chính phủ cần có 64 điểm cầu, gồm điểm cầu 63 điểm cầu Tỉnh /Thành phố Đối với Bộ, ngành tổ chức theo ngành dọc, tổ chức họp điểm cầu Bộ với điểm cầu chi nhánh địa phương Đối với Tỉnh /thành phố tổ chức Lãnh đạo Tỉnh với lãnh đạo huyện, xã trực thuộc Yêu cầu tính hệ thống THHN thuộc khối quan Chính phủ - Tính khả thi: đảm bảo tổ chức thành công điểm cầu trực tuyến - Tính kinh tế: chi phí đầu tư thấp, tiết kiệm chi phí quản lý vận hành tổ chức họp so với tổ chức họp truyền thống - Tính tương thích: thiết bị có khả tương thích với hãng cung cấp dịch vụ truyền hình hội nghị khác - Tính hiệu quả: hệ thống dễ quản lý sử dụng, dễ bảo trì, bảo dưỡng đáp ứng nhu cầu khai thác lâu dài - Tính linh hoạt: khả mở rộng, nâng cấp, chuyển đổi cấu hình mạng phát triển dịch vụ, ứng dụng - Tính An tồn bảo mật - Chất lượng dịch vụ CHƯƠNG II: VẤN ĐỀ BẢO MẬT CHO HỘI NGHỊ TRUYỀN HÌNH 2.1 Các vấn đề bảo mật 2.1.1 Bảo mật tính cấp thiết bảo mật thông tin a Tổng quan bảo mật 14 Đối với việc áp dụng vào dịch vụ THHN, cách thức thực bảo mật đường truyền áp dụng là: sử dụng mạng riêng – mạng chuyên dùng Sauđó tiếp tục lại phân tách để dịch vụ THHN chạy VPN riêng biệt, không ảnh hưởng qua lại VPN khác đảm bảo bảo mật cấp đường truyền 2.2.2 Bảo mật mức điều khiển Giải pháp quản lý theo mơ hình điều khiển tập trung Căn vào kiến trúc hệ thống THHN phân cấp để cập chương trước giải pháp quản lý hệ thống theo mơ hình tập trung phù hợp Tất thiết bị: MCU, hệ thống lập lịch, web conference đặt phòng điều khiển trung tâm Phịng điều khiển trung tâm có nhiệm vụ: - Kết nối, tổ chức họp tình - Đáp ứng yêu cầu tổ chức họp toàn hệ thống phân cấp điều khiển riêng cho đơn vị Đáp ứng kết nối điểm điểm, đa điểm - Xử lý cố, khắc phục kịp thời để đảm bảo họp hội nghị không bị gián đoạn hay kết nối, chất lượng Khi thực bảo mật cho thiết bị trung tâm toàn cầu truyền hình cách hiệu quả, thuận lợi, trước hết bảo vệ an ninh, thiết bị mức vật lý Ngoài chế độ bảo mật đường truyền, áp dụng mã hóa thực 2.2.3 Bảo mật truy nhập Bao gồm vấn đề quy định bảo mật cần tuân thủ đồng thời với quy trình kỹ thuật đảm bảo an toàn truy nhập a Vấn đề quy định an tồn bảo mật thơng tin: Áp dụng theo quy định hành Nhà nước quan đơn vị đảm bảo an tồn thơng tin Đây chế tài cần áp dụng với hoạt động công tác quan đặc biệt với việc ứng 15 dụng công nghệ thông tin cơng việc hàng ngày Có thể bổ sung chun mục riêng cho THHN để đảm bảo có chế tài áp dụng, đảm bảo kỹ thuật viên vận hành, quản lý sử dụng THHN tuân thủ theo quy định b Quy trình kỹ thuật bảo mật truy nhập cho điều khiển THHN: - Thay đổi mật mặc định MCU: - Thay đổi mật mặc định Endpoint: Đây điểm đáng lưu ý số lượng thiết bị đầu cuối endpoint tham dự vào phiên họp lớn nhiều cần điểm cầu truy nhập thơng tin có hình ảnh âm họp - Áp dụng giao thức truy nhập điều khiển an toàn: Cấu hình để sử dụng giao thức truy nhập điều khiển thiết bị an toàn Https Ssh thay cho giao diện điều khiển qua http plain text telnet - Định kỳ thay đổi mật theo thời gian quy định 2.2.4 Bảo mật mức Endpoint - Bỏ chế độ tự động trả lời (Auto Answer): Đây chế độ mặc định mà thiết bị VCS hãng thường đặt từ ban đầu Tuy nhiên nguy tiềm ẩn việc lộ lọt thông tin Thực đặt Auto answer chế độ Off Khi lần có tín hiệu báo hiệu gọi, người sử dụng cần thao tác chấp nhận gọi - Bỏ chế độ điều khiển camera từ xa (Far end camera control): Chế độ thường đặt mặc định để thuận lợi cho chủ tọa điều chỉnh camera điểm cầu khơng có cán kỹ thuật điểm cầu Tuy nhiên tính có nguy lộ lọt thơng tin nhậy cảm sau truy nhập vào thiết bị đồng thời thực pan/zoom camera để quan sát Thực đưa chế độ off để đảm bảo an toàn - Bỏ chế độ Streaming endpoint: 16 Chế độ streaming cần khóa để khơng có nguy xem thông tin họp từ xa với chế độ streaming Khi hình ảnh âm hiển thị phòng họp đặt thiết bị đầu cuối - Thiết lập mã hóa thơng tin: Khi thiết lập chế độ mã hóa H.235 cần thực trên MCU endpoint Việc thực giao diện điều khiển VCS, đặt chế độ mã hóa AES H.235 enable 2.2.5 Bảo mật hệ thống điều khiển đa điểm MCU a Phân quyền cho đối tượng điều khiển MCU Đối với MCU: MCU hỗ trợ mức truy cập khác từ thấp đến cao, bao gồm: mức Operator, Administrator Việc cấp account cho điều khiển MCU cần hạn chế, quyền hạn Ngoài sử dụng linh hoạt chế độ cấp theo phiên, theo thời gian, sau khóa lại để điều khiển phiên họp theo phân quyền, phân công nhiệm vụ cho phiên họp b Đặt mật mã truy nhập riêng (PIN code) cho phiên THHN Các thiết bị MCU hỗ trợ tính đặt PIN code cho phiên họp Khi đó, muốn truy nhập phiên, ngồi việc biết địa chỉ, phép truy nhập nêu phần bảo mật truy nhập, điểm cầu cần có PIN code để kết nối vào hội nghị PIN code áp dụng cho việc điều khiển, có quyền điều khiển chung khơng có PIN code không điều khiển phiên họp mà khơng có cấp mật bảo vệ thứ – PIN code Cần thực sử dụng PIN code khác cho phiên đồng thời đặt độ dài đủ lớn để đảm bảo an tồn 2.2.6 Mã hóa thơng tin MCU Endpoint: a Thuật tốn mã hóa đối xứng AES AES (Advanced Encryption Standard) – Tiêu chuẩn mã hóa tiên tiến cơng bố viện tiêu chuẩn công nghệ quốc gia Hoa Kỳ vào năm 2001 AES thuật tốn mã hóa khối đối xứng sử dụng để thay 17 DES (Data Encryption Standard) Kích thước khối 128bit, kích thước khóa 128/192/256 bit Tên giải thuật Rijndael, tên thuật toán lấy từ tên nhà mật mã học người Bỉ nghiên cứu phát triển thuật toán Vincent Rijmen Joan Deamen Thuật tốn Rijndeal có đặc tính sau: - Chống lại tất công Tốc độ mã hóa nhanh nhỏ gọn Thiết kế đơn giản Trên thiết bị đầu cuối truyền hình hội nghị chuyên nghiệp hỗ trợ tính mã hóa H.235 sử dụng mã hóa chuẩn AES 128bit b Bảo mật thông tin MCU Endpoint qua chuẩn mã hóa AES Cần thực để áp dụng / không áp dụng chế độ mã hóa tương ứng với mức độ mật thơng tin phiên THHN Cụ thể: - Đối với phiên THHN mang tính quảng bá thơng tin, khơng áp dụng mức độ bảo mật: MCU đặt chế độ khơng mã hóa - Đối với phiên mang tính bảo mật tốt hơn, hệ thống có hỗ trợ chức mã hóa thiết bị đầu cuối có hỗ trợ chấp nhận đầu cuối khơng hỗ trợ mã hóa tham gia vào cầu truyền hình, sử dụng tính Best effort Lúc thơng tin tới điểm cầu nhậy cảm, cần đảm bảo an toàn để chế độ bảo mật đầu cuối Tuy nhiên phương án chưa bảo mật triệt để cịn nguy lộ lọt thông tin điểm cầu không đặt chế độ mã hóa khơng bật tính lên - Đối với phiên THHN cần đảm bảo tính bảo mật cao cho toàn điểm cầu, đặt chế độ “Strong encryption required” để đảm bảo có điểm cầu hỗ trợ tính mã hóa H.235 tham gia vào cầu truyền hình 18 CHƯƠNG III: GIẢI PHÁP BẢO MẬT DỊCH VỤ HỘI NGHỊ TRUYỀN HÌNH CHO KHỐI CƠ QUAN CHÍNH PHỦ 3.1 Đề xuất mơ hình bảo mật 3.1.1 Giải pháp tổng thể Giải pháp tổng thể để bảo mật cho dịch vụ hội nghị truyền hình áp dụng nhiều toàn giải pháp nêu chương II Trong tách gồm nhóm nội dung cần thực là: - Thực Quy định, quy trình bảo mật - Áp dụng phương án kỹ thuật đảm bảo an toàn bảo mật Tổng hợp giải pháp: a Bảo mật đường truyền b Bảo mật mức điều khiển c Bảo mật truy nhập d Bảo mật endpoint e Bảo mật hệ thống MCU f Sử dụng mã hóa MCU endpoint - Trong cần xây dựng bảng tham số mẫu để áp dụng chung cho toàn điểm cầu Tham số mẫu với bước thực cụ thể có khác biệt dịng thiết bị MCU VCS khác nhau, nhiên xây dựng bám theo quy trình chung để áp dụng cho đơn vị 3.1.2 Đề xuất mơ hình áp dụng cho khối quan Chính phủ Qua nghiên cứu lý thuyêt thực tế đề xuất cần áp dụng toàn giải pháp cho khối quan Chính phủ nay, cần có lỗ hổng bảo mật có nguy bị khai thác sử dụng với mục đích xấu, gây nguy hại có tẩm ảnh hưởng lớn Ngồi giải pháp tổng thể trên, cụ thể với đặc thù khối quan Chính phủ cần áp dụng số nội dung cụ thể sau: a Đối với đường truyền: sử dụng mạng truyền số liệu chuyên dùng 19 Mạng truyền số liệu chuyên dùng quan Đảng, Nhà nước mạng truyền dẫn tốc độ cao, sử dụng phương thức chuyển mạch nhãn đa giao thức giao thức liên mạng (IP/MPLS) sử dụng riêng hoạt động ứng dụng công nghệ thông tin quan Đảng Nhà nước Tập đồn Bưu viễn thơng Việt Nam xây dựng, quản lý, vận hành Mạng TSLCD triển khai theo giai đoạn: Giai đoạn I kết nối mạng cho toàn quan Đảng Nhà nước Trung ương, bộ, ban, ngành Trung ương UBND tỉnh, thành phố, Tỉnh ủy, Thành ủy 63 tỉnh/thành toàn quốc Giai đoạn II thực kết nối mạng cho tất đơn vị sở, ban, ngành, quận, huyện toàn quốc Hiện giai đoạn II dự án hoàn thành với 3.700 điểm kết nối mạng nước Đến năm 2015 toàn quan thuộc hệ thống trị, đồn thể, quan Nhà nước từ cấp Trung ương tới cấp xã/phường kết nối tới mạng TSLCD Đặc biệt từ tháng 3/2009 Mạng TSLCD quan Đảng Nhà nước cung cấp hạ tầng đường truyền phục vụ cho hệ thống hội nghị truyền hình Chính phủ với quy mơ tồn quốc tới toàn 63 UBND tỉnh, thành với chất lượng cao Bên cạnh đó, hạ tầng mạng TSLCD, nhiều Bộ, Ban, Ngành Trung ương triển khai hệ thống hội nghị truyền hình phục vụ phiên họp Bộ, Ban, Ngành Trung ương với Sở, Ban, Ngành địa phương Qua phân tích thấy rõ, mạng Truyền số liệu chuyên dùng Đảng Nhà nước mạng riêng, chuyên biệt có chất lượng cao đường truyền dẫn dành riêng, có tốc độ cao có đảm bảo chất lượng dịch vụ QoS Do đề xuất để đảm bảo an toàn bảo mật chất lượng dịch vụ THHN cho Khối quan Chính phủ cần sử dụng đường truyền mạng Truyền số liệu chuyên dùng Đây bước việc đảm bảo an toàn thơng tin – an tồn tồn mức đường truyền vật lý b Đặt thiết bị THHN sau firewall để đảm bảo an tồn, chống cơng từ bên ngồi 20 Với điểm cầu quan trọng, đề xuất đặt thiết bị THHN sau Firewall để đảm bảo kiểm sốt luồng thơng tin từ Internet vào Intranet Thiết lập chế điều khiển dịng thơng tin mạng bên (Intranet) mạng Internet sử dụng policy để đảm bảo an toàn với mục tiêu: - Cho phép cấm dịch vụ truy cập - Cho phép cấm dịch vụ từ truy cập vào - Theo dõi luồng liệu mạng Internet Intranet - Kiểm soát địa truy nhập, cấm địa truy nhập - Kiểm soát người sử dụng việc truy cập người sử dụng Kiểm sốt nội dung thơng tin lưu chuyển mạng c Khuyến nghị sử dụng Endpoint chuyên dụng thay phần mềm có chức VCS chạy PC thông thường Đối với nhu cầu truyền hình ảnh, sử dụng chức video call cá nhân có nhiều loại hình sử dụng Video chat, web cam sử dụng máy tính PC, laptop Tuy nhiên với việc máy tính cịn có thêm nguy virus, spyware, malware lại có thêm nguy an ninh thơng tin Do với khối quan Chính phủ nên sử dụng thiết bị đầu cuối chuyên dụng Các VCS có phần cứng chun dụng, firmware chun dụng khơng đảm bảo an tồn thơng tin hơn, đồng thời có hiệu suất, chất lượng hình ảnh, âm tốt đáp ứng yêu cầu cao dịch vụ khối quan Chính phủ d Bảo mật MCU: Bảo mật MCU cho khối quan Chính phủ, đề xuất sử dụng tổng hợp giải pháp liên quan đến MCU phân tích chương Ngồi cần bổ sung: - Thay đổi mật kịch MCU (Script file), đảm bảo thay đổi thường xuyên bảo mật thân script file - Sử dụng tính địi hỏi PIN code cho moderator, để truy nhập vào MCU khơng thể điều khiển chức làm ảnh 21 hưởng đến việc ngắt điểm cầu gọi thêm điểm cầu, thay đổi tham số âm hình ảnh PIN code khuyến nghị thay đổi theo phiên THHN riêng biệt, theo luật mật phức hợp để đảm bảo an toàn - Đối với phiên THHN địi hỏi độ bảo mật cao áp dụng mã hóa AES-128 bit, MCU đầu cuối đặt chế độ mã hóa - Phương thức kết nối gọi: khuyến nghị sử dụng phương thức quay số Dial out cho phiên THHN để an toàn việc giám sát, quản lý đặc biệt số lượng điểm cầu lớn 3.2 Triển khai thử nghiệm đánh giá Thực mơ hình thử nghiệm, kiểm nghiệm thiết bị thực tế , dòng thiết bị chuyên dụng, tương đồng với dòng thiết bị sử dụng phổ biến Bộ /ngành, đơn vị khối quan Chính phủ Qua thử nghiệm có dẫn chứng, số liệu cụ thể qua trình nghiên cứu lý thuyết áp dụng vào trình thử nghiệm: số liệu status, số liệu capture tin, số liệu đo đạc, thống kê trước sau áp dụng giải pháp bảo mật Thực thử nghiệm số test giải pháp tổng thể bao gồm: - Thay đổi chế độ auto answer - Thay đổi chế độ FECC để không cho phép điều khiển camera từ đầu cầu khác, thử nghiệm đạt yêu cầu kỹ thuật - Thay đổi mật quản lý - Mở đóng chế độ streaming đầu cuối THHN - Thử nghiệm PIN code MCU theo phiên THHN - Đặt chế độ mã hóa H.235 mã hóa thơng tin MCU đầu cuối THHN Qua thử nghiệm đạt kết quả, phù hợp với phân tích giải pháp chương phần đề xuất chương 22 3.2.1 Mơ hình thử nghiệm Để mơ phiên truyền hình hội nghị áp dụng bảo mật MCU đầu cuối THHN, ta thực mơ hình gồm thiết bị sau: a Đầu cuối THHN: gồm 03 đầu cuối THHN theo dạng phần cứng chuyên dụng (VCS) bao gồm: - VCS Sony XG80; VCS RadVision XT1200; VCS Lifesize Room b Thiết bị điều khiển đa điểm MCU: MCU RadVision Elite 5200 c PC, Laptop: 02 để capture gói tin điều khiển MCU, điểu khiển đầu cuối VCS Quá trình thực hiện: - Đặt địa IP cho đầu cuối, trường hợp thử nghiệm Network khác nhau, cần cấu hình Router để địa thông với MCU - Thiết lập đầu cuối VCS đấu nối với HD Camera kèm theo, đầu đường hình đưa hình hiển thị LCD, âm sử dụng trực tiếp loa TV LCD, Micro sử dụng âm Mic đa hướng kèm theo Hình 3.2: Mơ hình thử nghiệm bảo mật thơng tin MCU Endpoint 23 Thực kết nối gọi thử nghiệm chia làm 04 trường hợp - Trường hợp 1: Chưa đặt chế độ mã hóa H.235 MCU VCS - Trường hợp 2: Đặt chế độ mã hóa H.235 AES-128 MCU chế độ Best effort VCS1, VCS3 chế độ H.235, VCS2 chế độ khơng mã hóa - Trường hợp 3: Đặt chế độ mã hóa H.235 AES-128 MCU chế độ Strong encryption VCS1, VCS3 chế độ H.235, VCS2 chế độ khơng mã hóa - Trường hợp 4: Đặt chế độ mã hóa H.235 AES-128 MCU chế độ Strong encryption VCS để chế độ mã hóa H.235 Đối với tất trường hợp kiểm tra: - Cuộc gọi THHN kết nối thành công hay không - Chất lượng hình ảnh, âm gửi nhận từ VCS - Trạng thái MCU cho toàn điểm cầu, trạng thái kết nối, codec sử dụng, tốc độ kết nối điểm cầu, tỷ lệ khung hình /giây, chất lượng đường truyền (tỷ lệ gói tin, jitter…) - Trạng thái kết nối VCS: tốc độ kết nối, codec sử dụng, tỷ lệ gói tin, jitter - Trạng thái thị kết nối mã hóa /hoặc khơng có mã hóa 3.2.2 Kết thực - Trường hợp 1: kết nối truyền hình hội nghị từ điều khiển đa điểm MCU tới thiết bị đầu cuối VCS thành công - Trường hợp 2: kết nối thành công Ở đồng thời kiểm tra tính best effort, hỗ trợ đồng thời phiên THHN cho thiết bị có chế độ mã hóa chế độ khơng mã hóa - Trường hợp 3: kết nối MCU với VCS1 VCS3, VCS2 không kết nối được, đồng thời kiểm tra tính Strong 24 encryption hỗ trợ kết nối cho thiết bị đầu cuối có mã hóa, đầu cuối khơng có mã hóa khơng kết nối thành cơng - Trường hợp 4: kết nối thành cơng MCU đến tồn VCS, thị kết nối phiên THHN hiển thị kết nối bảo mật giao diện điều khiển MCU đầu cuối hiển thị biểu tượng trạng thái gọi bảo mật Quá trình thử nghiệm thực lấy số liệu tin trạng thái, file cấu hình chế độ mã hóa H.235 VCS, đồng thời lấy số liệu gói tin capture phía MCU q thấy rõ việc thực trình kết nối gọi, q trình mã hóa luồng liệu âm hình ảnh điểm cầu 3.2.2.1 Số liệu capture gói tin điểm điều khiển trung tâm MCU: a Khi chưa đặt mã hóa: Thiết lập kênh: 2013-08-29 19:36:31.60 |tH323Ada | DEBUG1 Adap H323 |NEW OUTGOING CALL -> from Orig[71] To Dest[172.20.205.2] DialMode[Transport] MaxBitRate[2048000] CallType[CallType Video], PresentationInd[2]! Trong đoạn thị gọi kích hoạt từ Service 71 (đã khởi tạo cho gọi thử nghiệm MCU, tạo gọi tới đầu cuối VCS có địa IP 172.20.205.2 (phần tin gạch chân để tiện theo dõi) 2013-08-29 19:36:31.60 |tH323Ada | DEBUG2 Adap H323 |CH323AdapCall::CtrlDefault - Call Ctrl SM: Call[57] (0x10000039) Sending Ready To Signaling Bắt đầu gửi tin báo hiệu 2013-08-29 19:36:31.87 |tH323Ada | DEBUG1 Adap H323 |H323 Message: Call[57] (0x10000039):recv < alerting Q931 S[10.0.6.53:1068], D[123.30.8.134:1720]; guid=[8bb71ae6e3551f7e7943d3283039] 2013-08-29 19:36:31.87 |tH323Ada | DEBUG3 Gcc Main |GCC cfs(768) custom must be greater than level value 2013-08-29 10:58:12.678 | info | 1056.1056 | confctrl video_resolve_cap_to_chan: vid_cap=40000000 screen_size_tx=1 frame_rate_tx=1 refer_rate=20480 encrypt=1 | [0] 2013-08-29 10:58:12.678 | WARN | 1056.1056 | confctrl | h264_level_fs: level=50 but lfs(792) > cfs(768) custom must be greater than level value 2013-08-29 10:58:12.678 | info | 1056.1056 | confctrl | [0] vid CMN 4f0000f0 SEL 40000000 60Hz encryp=1 synchFlag=-1 2013-08-29 10:58:12.678 | info | 1056.1056 | confctrl ==> 1080i=0 sxga=0 wxga=0 720p=0.0 xga=0 w4cif=0.0 4cif=0.0 w432p=0.0 wcif=30.0 cif=44.0 qcif=176.0 (maxmbps=35*500) | [0] 27 2013-08-29 10:58:12.678 | info | 1056.1056 | confctrl cam CMN 00000001 SEL 00000001 rate=640 encryp=1 synchFlag=-1 2013-08-29 10:58:12.678 | info | 1056.1056 | confctrl resolve_tx_fecc_chan: H224 rate=640 | [0] | [0] 2013-08-29 10:58:12.678 | WARN | 1056.1056 | confctrl | h264_level_fs: level=50 but lfs(792) > cfs(768) custom must be greater than level value 2013-08-29 10:58:12.678 | info | 1056.1056 | confctrl | [0] h239 CMN 4f000000 SEL 40000000 encryp=1 synchFlag=-1 3.2.2.3 Hình ảnh trạng thái kết nối MCU tiến hành thử nghiệm: Sau thực kết nối ta có trạng thái kết nối hình 3.4, kết nối thành cơng điểm cầu chế độ mã hóa hiển thị thông tin trạng thái cột có hiển thị biểu tượng khóa (key) trạng thái kết nối AES-128 Hình 3.4: Trạng thái MCU sau kết nối thành công chế độ mã hóa H.235 KẾT LUẬN Có thể nói, kết đề tài xây dựng tập hợp giải pháp bao gồm quy định mặt nghiệp vụ khai thác, điều chỉnh thiết lập kênh truyền vật lý, phân tách logic mạng riêng ảo, áp dụng điều chỉnh tham số kỹ thuật áp dụng chế độ mã hóa cho THHN hồn tồn giúp nâng cao khả bảo mật cho dịch vụ THHN sử dụng khối quan Chính phủ Về thực tiễn, hồn tồn áp dụng hệ thống truyền hình hội nghị Việt Nam nghiên cứu đề tài dựa tảng thiết bị, công nghệ phổ biến nay, đồng thời có thử nghiệm thiết bị tương đồng với hệ thống sử dụng thực tế Bên cạnh đó, áp dụng sách, giải pháp bảo mật kèm với làm tăng tải hệ thống, có phần ảnh hưởng đến chất lượng dịch vụ số lượng điểm cầu tham gia nhiều Chi phí cho việc áp dụng cần bổ sung thiết bị ví dụ firewall cịn lớn, khuyến nghị sử dụng bảo mật firewall với MCU, điểm cầu trang bị tùy theo nguồn kinh phí đơn vị Hướng nghiên cứu tiếp theo: hoàn thiện liên tục cập nhật để có điều chỉnh thích ứng thay đổi công nghệ mới, thiết bị Nghiên cứu tối ưu hệ thống giải pháp bổ trợ khác để giúp cho việc áp dụng giao thức bảo mật vừa đảm bảo chất lượng dịch vụ Để đảm bảo an tồn bảo mật thơng tin nói chung bảo mật cho THHN lĩnh vực khó Do phạm vi luận văn khơng thể tránh khỏi cịn thiếu sót, hạn chế Rất mong nhận ý kiến đóng góp Thầy bạn để luận văn hoàn thiện Một lần xin chân thành cảm ơn thầy giáo Học viện Cơng nghệ Bưu Viễn thông Xin chân thành cảm ơn thầy giáo, Tiến sỹ Hà Hải Nam trực tiếp hướng dẫn em hoàn thành luận văn này./ Hà Nội, tháng 08 – 2013 Mai Anh Chung ... VỤ HỘI NGHỊ TRUYỀN HÌNH CHO KHỐI CƠ QUAN CHÍNH PHỦ 3.1 Đề xuất mơ hình bảo mật 3.1.1 Giải pháp tổng thể Giải pháp tổng thể để bảo mật cho dịch vụ hội nghị truyền hình áp dụng nhiều toàn giải pháp. .. 13 2.2 Giải pháp bảo mật chung cho dịch vụ hội nghị truyền hình Phạm vi nghiên cứu luận văn đưa giải pháp với số chế bảo mật cho hệ thống hội nghị truyền hình 2.2.1 Bảo mật đường truyền thông... An toàn bảo mật - Chất lượng dịch vụ CHƯƠNG II: VẤN ĐỀ BẢO MẬT CHO HỘI NGHỊ TRUYỀN HÌNH 2.1 Các vấn đề bảo mật 2.1.1 Bảo mật tính cấp thiết bảo mật thơng tin a Tổng quan bảo mật Bảo mật lĩnh