Máy chủ mạng là máy chủ VPN (Virtual Private Network – Mạng riêng ảo) được dùng để thiết lập mạng riêng ảo từ máy từ xa đến thiết bị VIE-P3. Theo nguyên tắc thì thành phần máy chủ VPN có thể được thay thế bởi một giải pháp VPN của hãng thứ ba. Tuy nhiên, với mục tiêu đảm an ninh một cách toàn vẹn, giải pháp VCM12 đã được trang bị tính năng kết nối VPN bằng một quy trình xác thực riêng nhưng vẫn dựa trên nền tảng của giao thức bảo mật IpSec.
Phần mềm VCM12 Client P3 (VCP3) sử dụng chung giao thức với VCP0 có bổ sung thêm các chức năng bảo mật và truy cập từ xa cần thiết. Các tác vụ sau sẽ lần lượt được thực hiện khi khởi động VIE-VPN:
- Máy trạm từ xa dùng VIE-VPN truy cập tới máy chủ mạng để yêu cầu được kết nối vào mạng nội bộ bằng cơ chế mạng riêng ảo VPN;
- Sau khi máy trạm đã được phép gia nhập mạng ngoài của mạng nội bộ, VCP3 sử dụng thành phần tương tự như VCP0 để kích hoạt giao thức VIE- RDP và truyền dữ liệu giữa màn hình và bàn phím của máy trạm với máy ảo trên thiết bị VIE-P3;
- Người sử dụng mở các ứng dụng đã được ảo hóa trên VIE-P3 để truy cập tới tài liệu và dữ liệu cần thiết, nhưng không thể tải chúng về máy trạm và tải mã độc từ máy trạm lên VIE-P3;
- Khi VCP3 chấm dứt hoạt động, mọi kênh truyền VIE-RDP đều đóng lại, máy trạm chuyển về chế độ hoạt động độc lập bình thường;
Người dùng có thể đưa các tệp ở máy trạm từ xa với những định dạng được phép lên VIE-P3 thông qua một kênh truyền dữ liệu đã được kiểm soát. Các tệp này sẽ tiếp tục được quét kỹ bởi các phần mềm của hãng thứ ba. Người sử dụng có thể mở các tệp này để tác nghiệp ngay trên VIE-P3.
Trong những trường hợp xét thấy cần thiết và an toàn, quản trị viên có thể cấu hình VIE-P3 cho phép người dùng chép dữ liệu từ clipboard của máy trạm từ xa vào ứng dụng tác nghiệp chạy trên VIE-P3, nhưng hoàn toàn không có cách nào chép dữ liệu từ clipboard của VIE-P3 về máy trạm từ xa. Như vậy, người sử dụng có thể sử dụng Internet trên máy trạm từ xa để tra cứu tài liệu và chuyển nội dung tham khảo vào VIE-P3 để soạn thảo, nhưng hoàn toàn không thể chuyển dữ liệu từ VIE-P3 về máy trạm từ xa.
4.3.2.4. Yêu cầu kỹ thuật
Mạng nội bộ
Mạng trong không có kết nối Internet.
Mạng trong được ngăn cách với mạng ngoài bởi một tường lửa có chức năng tương đương với ISA của Microsoft.
Thiết bị wifi, modem và các thiết bị cần có kết nối Internet như máy chủ Web, máy chủ E-mail,… sẽ được bố trí ở mạng ngoài.
Các thiết bị nhớ ngoại vi, cổng USB và các thiết bị truy cập Internet không dây sẽ không được bố trí ở các máy tính thuộc mạng trong.
Chỉ các cổng dành cho giao thức VIE-RDP mới được mở và được kiểm soát chặt chẽ.
Các đặc tính an ninh
Khóa mã hóa xác thực theo phiên, mật khẩu sử dụng một lần (OTP) và khóa cứng đã được áp dụng trong quy trình xác thực nhằm chấm dứt tình trạng rò rỉ tài
khoản đăng nhập, giảm thiểu tối đa rủi ro bị cướp quyền truy cập hệ thống hoặc mất mát dữ liệu ngay trên đường truyền.
Các ứng dụng được ảo hóa trên các thiết bị VIE-P3 và VIE-P0 được cách ly hoàn toàn với hệ điều hành của thiết bị. Cơ chế này sẽ ngăn chặn mọi sự xâm phạm từ các cuộc tấn công (dựa vào lỗ hổng của phần mềm được ảo hóa,…) trực tiếp vào thiết bị để chiếm quyền điều khiển thiết bị hoặc thay đổi chính sách an ninh của thiết bị.
Mọi truy cập vào thiết bị mà không thông qua giao thức VIE-RDP đều bị từ chối. Mọi kết nối bất thường vào máy chủ, ngay cả khi các kết nối đó đã sử dụng giao thức VIE-RDP đều bị từ chối khi bị phát hiện bởi tính năng phát hiện truy cập bất thường có trong các thiết bị VIE-P0/P3.
Cho phép tích hợp các phần mềm quét mã độc của hãng thứ ba vào các thiết bị: các phần mềm quét mã độc từ hãng thứ ba có thể được tích hợp vào thiết bị thay thế cho trình quét mã độc mặc định của hệ thống.
Chỉ cho phép truyền dữ liệu một chiều giữa thiết bị VIE-P0 vào máy tính mạng trong, và giữa máy tính từ xa đến thiết bị VIE-P3.
Các đặc tính hiệu năng
Trong lúc cao điểm, mỗi người sử dụng chỉ được sử dụng tài nguyên thiết bị theo một hạn ngạch đã được thiết lập. Chính sách này nhằm ngăn chặn sự tắt nghẽn cục bộ (treo máy) trên các thiết bị khi nhiều người sử dụng hết công suất phục vụ của phần cứng.
Các thiết bị cùng loại sẽ được kết nối với nhau bằng một bộ cân bằng tải; mỗi thiết bị VIE-P0/P3 cũng có thể kiêm luôn chức năng cân bằng tải cho hệ thống. Khi có một yêu cầu sử dụng thiết bị, máy cân bằng tải sẽ chọn ra một thiết bị với năng lực phục vụ lớn nhất để phục vụ người sử dụng.
Tính khả chuyển cao: các thiết bị VIE-P0 và VIE-P3 có thể được lắp thêm vào hệ thống chỉ với một vài thao tác đơn giản. Việc lắp thêm thiết bị với mục đích nâng cao năng lực phục vụ người dùng của hệ thống.
4.4. Đánh giá công nghệ VCM12
4.4.1. Tính mới, ưu việt và tiên tiến về công nghệ
Việc sử kết hợp sử dụng thành công các giải pháp bảo đảm an toàn an ninh mạng như phân quyền, tường lửa, ISA… với việc viết lại các phần mềm Server – Client trên các giao thức RDP (Remote Desktop Protocol) hay VPN (Virtual Private Network) là tính mới, ưu việt của giải pháp.
4.4.2. So sánh với trình độ công nghệ hiện có tại Việt Nam và trên thế giới
- Hệ thống V-Azur với những tính năng đưa ra hoàn toàn tương đương với một giải pháp của Nhật Bản do tập đoàn Viettel đang tiếp cận nghiên cứu và tiến hành mua bản quyền dùng phần mềm đó. Bản chất của các sản phẩm này đều là sử dụng các giao thức RDP và xây dựng lại các phần mềm trao đổi giữa client và server để đảm bảo truy nhập an toàn. Việc truy cập khi đó sẽ là việc truy cập an toàn như khái niệm Zero Client hoặc Thin Client;
- Tuy nhiên việc một Hệ thống V-Azur cho mạng LAN có 100 máy tính hiện nay chỉ có giá thành khoảng 25.000 USD, tức là khi triển khai toàn bộ cho Văn phòng Chính phủ sẽ chỉ có tổng chi phí khoảng 150.000 USD thì theo mức độ báo giá của Viettel khi tham gia tư vấn cho Văn phòng Chính phủ sẽ lên tới 1.5 triệu USD.
4.4.3. Khả năng triển khai và tính phù hợp của giải pháp với thị trường trong nước
Theo tính toán sơ bộ trên cả nước hiện nay có tới vài chục ngàn mạng cục bộ (LAN) và các mạng cục bộ này đều cần tới giải pháp truy cập Internet an toàn như V- Azur có thể cung cấp, thị trường cung cấp sản phẩm này có thể tính tới hàng chục ngàn tỷ đồng. Sản phẩm V-Azur là một sản phẩm tích hợp giải pháp phần cứng với phần mềm, khi có nhu cầu lớn có thể nhanh chóng triển khai do việc cài đặt phần mềm không quá phức tạp. Với những lý do đó, V-Azur hoàn toàn phù hợp về công nghệ và khả năng triển khai đối với thị trường trong nước.
4.4. Đề xuất giải pháp chính sách và khuyến nghị
4.4.1. Nâng cao nhận thức
Thiếu một hướng dẫn để thống nhất và nâng cao nhận thức. Nhận thức chung hiện nay về an toàn an ninh mạng chưa cao thậm chí rối loạn.
Đơn giản hóa an ninh thông tin với vấn đề quét virus.
Yêu cầu phi thực tế đối với các sản phẩm.
Một số quan điểm bài xích các sản phẩm nước ngoài một cách cực đoan.
4.4.2. Bảo vệ nhiều lớp
Ngày nay, hầu như tổ chức nào có kết nối Internet cũng sử dụng các firewall để tự bảo vệ mình trước thế giới nhiều biến động bên ngoài. Và đây chính là lớp phòng vệ bên ngoài của các tổ chức. Với sự tiến bộ vượt bậc của công nghệ, các công cụ, kỹ thuật tấn công ngày càng dễ dàng hơn, có vô số những website hướng dẫn và cung cấp miễn phí các công cụ tấn công trên Internet. Do đó, phòng thủ vòng ngoài hoặc phòng thủ một lớp không thôi thì không đủ đển đảm bảo các vấn đề an ninh mạng.
Cho đến nay, các tổ chức buộc phải triển khai nhiều thứ trong công nghệ bảo mật để đối phó với một mối đe dọa mới khi nó xuất hiện. Phòng ngừa virus, các bộ lục chống thư rác (spam mail), tường lửa để kiểm soát truy cập, phát hiện xâm nhập để chống hacker, … Toàn bộ quá trình này rất tốn kém, cồng kềnh và dư thừa. Mục tiêu thực hiện bảo mật là đưa ra giải pháp bảo mật tốt với chi phí đầu tư thấp nhất.