- Chất lượng của dịch vụ (QoS)
3.2.2 Mô hình kết nối Internet và những vấn đề nảy sinh
Các thiết kế bổ sung sau không đưa ra giải pháp chi tiết hoàn chỉnh với các chính sách về an toàn, bảo mật. Một trong những lý do chính là các kết nối WAN có tốc độ thấp, do đó không thể cung cấp cổng kết nối internet tập trung.
Kết nối Internet được thiết lập theo nhu cầu phát sinh tùy thuộc các ngành, đơn vị, không có một chính sách chung, điều này dẫn tới các lỗ hổng tiềm tàng về bảo mật.
Error!
Hình 3.4 Mô hình kết nối Internet BTC
Các Internet Gateway được các ngành phân bố tùy ý ở mức trung ương, cấp tỉnh, cấp huyện thông qua các kết nối Leased-lines, ADSL, dialup. Trong khi đó, các biện pháp đảm bảo an ninh hệ thống chỉ là Access-Control-List trên các Routers, NAT trên các thiết bị kết nối Internet, hầu hết không có các thiết bị bảo vệ khác như IDS, IPS, Virus-scan, URL-filtering, ...
Truy cập Internet cho trung tâm BTC, các ngành TCT, KBNN, Hải quan,... được cung cấp riêng biệt, không có một chính sách, quy định chung bắt buộc về 1 hệ thống kết nối Internet. Các truy cập Internet tại trung ương, Trung tâm Tỉnh hiện sử dụng thông qua Proxy-Server, các truy cập tại địa phương đi thẳng ra Internet mà không hề sử dụng các Server scan virus.
Phương pháp kết nối hiện tại tiết kiệm được băng thông kết nối WAN, tuy nhiên an ninh hệ thống không được đảm bảo.
Từ những tìm hiểu phân tích trên ta thấy hệ thống an ninh hiện tại tồn tại hàng loạt các vấn đề cần giải quyết
Phân lớp truy cập LAN: không có biện pháp an ninh cho phép những thiết bị cụ thể được phép kết nối vào mạng LAN. Trên thực tế, > 70% các tấn công là xảy ra từ bên trong. (Ví dụ: hoàn toàn có thể gắn một máy tính vào mạng LAN với phần mềm monitor trên switched-LAN, qua đó giám sát tất cả các số liệu trao đổi trên hệ thống LAN)
Các kết nối WAN, cáp đồng sử dụng HDSL: hiện tại không có các thiết bị mã hóa đường truyền trên các kết nối WAN, cáp đồng sử dụng HDSL. Hoàn toàn có thể gắn các thiết bị nghe trộm vào các đường truyền số liệu này, qua đó giám sát được tất cả các số liệu trao đổi trên kết nối WAN, cáp đồng sử dụng HDLC)
Thiết bị Firewall: Hiện chỉ có một Checkpoint Firewall trên hệ điều hành MS Windows. Có những lỗ hổng tiềm tàng tại phân lớp OS, đặc biệt là với Hệ điều hành thông dụng và cũng nhiều lỗi như MS Windows.
Access-Control-List: được sử dụng như là một biện pháp an ninh trên các Cisco Router, ACL chỉ bảo vệ ở phân lớp 3,4, do đó không đủ tính linh hoạt cũng như khả năng xử lý thông tin ở các phân lớp cao hơn. Các ACL được sử dụng như là firewall ngăn cách hệ thống mạng BTC với các ngành khác như TCT, KBNN, ...
Các truy cập Internet: trừ trung tâm BTC có firewall là Checkpoint trên nền MS Windows và Proxy Server với Virus scan, các sở TC kết nối Internet qua dial-up trực tiếp từ máy tính. Như vậy toàn bộ mạng của BTC chỉ được bảo vệ bởi ACL trên các Router, NAT, Checkpoint Firewall trên nền MS Windows. Ngoài ra, trên hệ thống không có các thiết bị bảo vệ khác như: IDS, IPS, Transparent Network Virus-scan, URL-filtering.
Không có quy định, chính sách bắt buộc tổng thể đối với hệ thống Internet gateway cho các ngành khác như TCT, KBNN, Hải quan,.... Trong khi các hệ thống mạng các ngành này đều bám vào mạng WAN của BTC với kết nối IP đan xen nhau từ cấp trung ương đến cấp tỉnh, nếu hệ thống mạng các ngành này bị tấn công sẽ đe dọa đến hệ thống mạng của BTC, nhất là khi việc bảo vệ của BTC với các tấn công xuất phát từ các ngành TCT, KBNN, ... chỉ là các ACL thông thường được triển khai rất hạn chế trên Cisco Routers TTT, TTM.
Bên cạnh những vấn đề về an ninh còn xuất hiện các vấn đề về chất lượng dịch vụ:
Chính do không có một chính sách cũng như kế hoạch về QoS rõ ràng cho toàn bộ hệ thống mạng Bộ tài chính mà các cấu hình QoS được thực hiện trên các kết nối WAN một cách thụ động theo nhu cầu phát sinh trên từng kết nối. Cơ chế QoS sử dụng chỉ là WFQ, chỉ phân chia băng thông đều cho các ứng dụng chứ không có khả năng đảm bảo băng thông, độ trễ cho các ứng dụng khi xảy ra tắc nghẽn, cũng như không có khả năng giới hạn băng thông tối đa cho 1 ứng dụng cụ thể nào.
Các thực tế này dẫn đến việc đảm bảo QoS "end-to-end" đối với các loại hình dịch vụ khác nhau không nhất quán, dẫn đến chất lượng không ổn định.
Hệ thống mạng nghành Thuế nằm trong hệ thống mạng của BTC nên ngoài các vấn đề chung của hệ thống mạng tổng TCT còn vướng mắc phải một vài vấn đề khi thực hiện các công việc mang tính đặc thù nghành:
Hình vẽ dưới đây mô tả kết nối mạng hệ thống thuế trên hệ thống mạng WAN BTC
Error!
Hình 3.5 Kết nối mạng diện rộng hệ thống Thuế
Mục đích yêu cầu của hệ thống mạng ngành Thuế là: Trao đổi mã số thuế
Quản lý thuế
Trao đổi thông tin hệ thống: email, ftp, update virus, hỗ trợ từ xa về ứng dụng, xử lý sự cố, chỉnh sửa web
Portal tại tổng cục
Quản lý thu nhập cá nhân
Khi thực hiện các yêu cầu nghiệp vụ vấn đề chính đối với hệ thống mạng ngành Thuế khi sử dụng kết nối WAN BTC là băng thông thấp, chất lượng dịch vụ kém dẫn đến các khó khăn trong việc sử dụng.các loại hình dịch vụ mới. Việc kết nối từ các
Cục thuế tỉnh và chi cục thuế tỉnh lên các đơn vị bên trên, tổng cục thuế dữ liệu đi lòng vòng không tối ưu nên khả năng bị hỏng, lỗi đường truyền lớn, thời gian khắc phục lỗi khá lâu do chưa có đội ngũ quản lý mạng chuyên nghiệp và phụ thuộc nhiều vào BTC.
Dữ liệu ngành Thuế được xử lý tập trung tại Cục Thuế Tỉnh và cấp Tổng cục, trong đó 80% số liệu được xử lý cấp tỉnh, 20% sẽ được chuyển tiếp xử lý tại cấp tổng cục. Yêu cầu về an toàn thông tin, về khả năng dự phòng tại các Cục thuế, Tổng cục thuế là cao, không cho phép gián đoạn thông tin. Cơ chế dial-up backup hiện tại cho Cục thuế Tỉnh không đáp ứng được nhu cầu ứng dụng ngành Thuế. Không có trao đổi trực tiếp giữa các Chi cục Thuế với nhau, giữa các Cục thuế với nhau. Tất cả đều phải thông qua xử lý tại Cục thuế, Tổng cục thuế.
Hình 3.6 Dòng dữ liệu ngành Thuế
Tóm lại : Đối với hệ thống mạng hiện tại còn rất nhiều vấn đề cần khắc phục đặc biệt về phía an ninh hệ thống
Kết nối WAN có băng thông thấp, với giá thuê đường truyền cao đối với dịch vụ truyền thống TDM, Frame-relay khiến cho việc tăng băng thông kết nối WAN khó khăn. Kết quả là tắc nghẽn xảy ra thường xuyên trên các kết nối WAN.
Truy cập Internet: không có thiết kế tổng thể cho toàn bộ hệ thống, không có các chính sách, quy định bắt buộc cho các điểm kết nối ra Internet trên toàn bộ hệ thống
An toàn bảo mật hệ thống: không có chính sách tổng thể về an toàn bảo mật hệ thống do đó tồn tại hàng loạt các lỗ hỏng tiềm tàng về anh ninh hệ thống. Không triển khai các cơ chế mã hóa gói tin trên đường truyền WAN, cáp đồng sử dụng HDSL.
Chất lượng dich vụ ( QoS) thấp, không có chính sách chung cho việc đảm bảo QoS end-to-end.
Chưa có một hệ thống quản lý tập trung cho toàn bộ hạ tầng truyền thông, hiện tại chỉ sử dụng một vài công cụ quản lý mang tính đơn lẻ.