Hệ thông V-Azur có các nhóm chức năng chính sau đây:
Truy cập Internet an toàn:
Người dùng sử dụng phần mềm VCM12 client P0 trên máy trạm thuộc mạng trong không có kết nối Internet, kích hoạt một giao thức an toàn đặc biệt, nối bàn phím và màn hình của máy trạm này tới máy chủ VIE-P0 ở mạng ngoài.
Máy chủ VIE-P0, sau khi kiểm soát quyền truy cập của máy trạm, sinh ra một máy ảo và khởi động một trình duyệt trên máy ảo. Mọi hình ảnh của trình duyệt ảo hóa sẽ được truyền tới màn hình của máy trạm ở mạng trong, và tác động trên bàn phím của máy này sẽ được truyền tới ứng dụng của trình duyệt nhờ giao thức nói trên.
Giữa các ứng dụng, thông tin trên máy trạm ở mạng trong và trình duyệt ảo hóa trên VIE-P0 hoàn toàn không có bất cứ sự trao đổi dữ liệu nào, dù vô tình hay cố ý. Vì vậy người dùng không thể chuyển dữ liệu, tài liệu ra mạng ngoài và từ đó lên Internet và cũng không thể đưa mã độc vào mạng trong, dù là vô tình hay cố ý.
Các tài liệu tải từ trên mạng về, nếu người dùng có yêu cầu chuyển vào mạng bên trong, hệ thống sẽ tiến hành quét và chỉ cho phép các tệp được quy định là an toàn mới được chuyển vào mạng trong nhờ giao thức an toàn nói trên.
Làm việc từ xa an toàn:
Người dùng sử dụng phần mềm VCM12 Client P3 truy cập vào mạng ngoài của mạng nội bộ. Module VIE-VPN2.0 [13] sẽ kiểm tra quyền truy cập dựa trên các thông số được cài trên phần mềm và các thông số phần cứng của máy trạm từ xa đã được đăng ký từ trước.
Sau khi máy truy cập từ xa đã trở thành thành viên của mạng bên ngoài, phần mềm VCM12 Client P3 lại tiếp tục kích hoạt giao thức an toàn nói trên để kết nối màn hình và bàn phím của máy trạm từ xa với ứng dụng ảo hóa trên máy chủ VIE-P3 ở mạng trong và bắt đầu truy cập các tài liệu thông tin trong mạng trong.
Nhờ một cơ chế tương tự, trong suốt phiên làm việc ứng dụng ảo hóa hoàn toàn cách ly với các ứng dụng, clipboard, bộ nhớ của máy truy cập từ xa. Do đó việc truyền mã độc từ ngoài vào và thất thoát dữ liệu từ mạng trong ra Internet là tuyệt đối bị loại trừ.
Các chức năng trên được thực hiện trên cơ sở tuân thủ quy định tại Quyết định 71a/2004/QĐ-BCA của Bộ trưởng Bộ Công an.
4.3.2. Mô tả giải pháp công nghệ VCM12 sử dụng trong V-Azur
4.3.2.1. Bản chất kỹ thuật của giảp pháp
Bản chất kỹ thuật của giải pháp công nghệ VCM12 trong sản phẩm V-Azur là bố trí thêm vào mạng nội bộ có kết nối Internet các thành phần như trong Hình 4.3.
` Máy trạm mạng trong (VCM12 client P0) MÁY TRẠM LÀM VIỆC TỪ XA (VCM12 client P3) Máy chủ ứng dụng
Tường lửa trong Tường lửa ngoài
Máy chủ mạng Windows 2008 Thiết bị ảo hóa
trình duyệt VIE-P0
Thiết bị ảo hóa ứng dụng nội bộ VIE-P3 Switch
Modem
Máy chủ Web
Máy chủ e-mail
Hình 4.3: Giải pháp VCM12 đƣợc bố trí trong mạng LAN
Các thành phần của giải pháp VCM12 được chia thành các nhóm thành phần với chức năng “Truy cập Internet an toàn” và “Làm việc từ xa an toàn”
4.3.2.2. Truy cập Internet an toàn
Hình 4.4: Triển khai chức năng Truy cập Internet an toàn
Nhóm này gồm ba (03) thiết bị và phần mềm sau đây:
Thiết bị VIE-P0
Thiết bị VIE-P0 có các chức năng cơ bản sau đây:
Người dùng, từ một máy trạm ở mạng trong, truy cập vào Internet thông qua giao thức VIE-RDP là một mở rộng đặc biệt của giao thức RDP và sử dụng công nghệ ảo hóa ứng dụng.
Trong phiên truy cập Internet, sau quá trình xác thực cẩn mật, giao thức VIE- RDP nối bàn phím và màn hình của máy trạm với trình duyệt được ảo hóa và chạy trên VIE-P0 thông qua các cổng được kiểm soát chặt chẽ trên tường lửa trong. Khi đó, về thực chất, người dùng làm việc trên VIE-P0 chỉ dùng màn hình, bàn phím và một phần rất nhỏ tài nguyên CPU và bộ nhớ của máy trạm.
Khả năng bị chiếm quyền máy chủ và máy trạm, rò rỉ dữ liệu, lây nhiễm mã độc bị loại bỏ hoàn toàn do cơ chế ảo hóa đa tầng, giao thức an toàn VIE-RDP kiểm soát hoàn toàn việc truyền dữ liệu giữa phần mềm máy trạm trong và VIE-P0, giữa máy trạm từ xa và VIE-P3.
Nhờ giao thức VIE-RDP, màn hình vừa có thể hiển thị các trình duyệt chạy trên VIE-P0, vừa có thể tiếp tục hiển thị giao diện các ứng dụng cho công việc tương ứng với ứng dụng trên máy trạm. Các ứng dụng này đều dùng tài nguyên độc lập trên các máy trạm.
Trong trường hợp người dùng cần tải về các tệp dữ liệu với những định dạng được phép, thiết bị VIE-P0 cho phép sao lưu các tệp đó vào một thư mục cho trước. Sau khi các tệp này đã được quét kỹ bởi các phần mềm của hãng thứ ba, VIE-P0 sẽ tự động chuyển các tệp này về máy trạm một cách an toàn nhờ giao thức VIE-RDP.
Trong những trường hợp xét thấy cần thiết và an toàn, quản trị viên có thể cấu hình VIE-P0 cho phép người dùng có thể chép dữ liệu từ clipboard của VIE-P0 vào các ứng dụng chạy trên máy trạm, nhưng hoàn toàn không có cách nào chép dữ liệu từ clipboard của máy trạm để chuyển lên VIE-P0. Như vậy, người sử dụng có thể sử dụng Internet tại VIE-P0 để tra cứu tài liệu và chuyển nội dung tham khảo vào máy trạm trong để soạn thảo, nhưng hoàn toàn không thể chuyển dữ liệu từ máy trạm trong lên máy VIE-P0 để gửi dữ liệu ra ngoài.
Các chính sách quản lý sử dụng tài nguyên, phiên làm việc và bộ phân tải giúp nâng cao hiệu quả sử dụng, tính ổn định và hiệu năng của toàn hệ thống.
Phần mềm ứng dụng VCP0
Đây là một phần mềm được cài đặt trên máy trạm mạng trong, kết nối giữa VCM12-Client P0 (VCP0) và VIE-P0 thông qua tường lửa trong và tuân thủ giao thức VIE-RDP. Khi VCP0 hoạt động, giao thức VIE-RDP được khởi động và truyền dữ liệu giữa màn hình, bàn phím trên máy trạm với ứng dụng ảo được tạo sinh trên thiết bị VIE-P0. Tường lửa ngăn cách mạng trong và mạng ngoài được cấu hình để mở ra các cổng có kiểm soát chỉ dành cho VIE-RDP.
Tƣờng lửa trong
Mạng trong được ngăn cách với mạng ngoài bởi một tường lửa có chức năng tương đương với ISA của Microsoft. Tường lửa này được cấu hình theo đặc tả kỹ thuật chuyên biệt của VCM12 để cho phép VIE-RDP hoạt động và vẫn giữ được sự ngăn cách an toàn tuyệt đối.
Tiện ích VCM12-VS (VS = vulnerability scanning) sẽ được dùng để kiểm tra các thiết lập phía máy chủ ứng dụng, mạng và tường lửa trong đã thỏa mãn các tiêu
chuẩn an ninh của giải pháp chưa. Đây là một tiện ích không thể thiếu cho các chuyên viên triển khai hệ thống.
4.3.2.3. Làm việc từ xa an toàn
Nhóm này gồm bốn (03) thiết bị, máy chủ và phần mềm:
Thiết bị VIE-P3
Thiết bị này ảo hóa các ứng dụng liên quan để cho phép các máy được phép làm việc từ xa có thể truy cập tới các tài liệu, số liệu cần bảo mật ở mạng bên trong của mạng nội bộ. Thiết bị VIE-P3 sử dụng các nguyên tắc công nghệ tương tự như VIE-P0 nhưng đã được thay đổi chính sách hoạt động. Máy ảo để chạy các ứng dụng sẽ được nối với bàn phím và màn hình của các máy làm việc từ xa có cài đặt sẵn phần mềm ứng dụng VIE-VPN đã được đăng ký từ trước.
Chính sách hoạt động của VIE-P3 về cơ bản sẽ khác VIE-P0 với mục tiêu chống rò rỉ dữ liệu và loại bỏ hoàn toàn nguy cơ lây nhiễm mã độc cho VIE-P3 ngay cả khi kết nối giữa máy trạm từ xa và máy ở mạng trong là kết nối qua môi trường Internet.
Máy chủ mạng
Hình 4.5: Mô hình giải hệ thống giải pháp VPN
Máy chủ mạng là máy chủ VPN (Virtual Private Network – Mạng riêng ảo) được dùng để thiết lập mạng riêng ảo từ máy từ xa đến thiết bị VIE-P3. Theo nguyên tắc thì thành phần máy chủ VPN có thể được thay thế bởi một giải pháp VPN của hãng thứ ba. Tuy nhiên, với mục tiêu đảm an ninh một cách toàn vẹn, giải pháp VCM12 đã được trang bị tính năng kết nối VPN bằng một quy trình xác thực riêng nhưng vẫn dựa trên nền tảng của giao thức bảo mật IpSec.
Phần mềm VCM12 Client P3 (VCP3) sử dụng chung giao thức với VCP0 có bổ sung thêm các chức năng bảo mật và truy cập từ xa cần thiết. Các tác vụ sau sẽ lần lượt được thực hiện khi khởi động VIE-VPN:
- Máy trạm từ xa dùng VIE-VPN truy cập tới máy chủ mạng để yêu cầu được kết nối vào mạng nội bộ bằng cơ chế mạng riêng ảo VPN;
- Sau khi máy trạm đã được phép gia nhập mạng ngoài của mạng nội bộ, VCP3 sử dụng thành phần tương tự như VCP0 để kích hoạt giao thức VIE- RDP và truyền dữ liệu giữa màn hình và bàn phím của máy trạm với máy ảo trên thiết bị VIE-P3;
- Người sử dụng mở các ứng dụng đã được ảo hóa trên VIE-P3 để truy cập tới tài liệu và dữ liệu cần thiết, nhưng không thể tải chúng về máy trạm và tải mã độc từ máy trạm lên VIE-P3;
- Khi VCP3 chấm dứt hoạt động, mọi kênh truyền VIE-RDP đều đóng lại, máy trạm chuyển về chế độ hoạt động độc lập bình thường;
Người dùng có thể đưa các tệp ở máy trạm từ xa với những định dạng được phép lên VIE-P3 thông qua một kênh truyền dữ liệu đã được kiểm soát. Các tệp này sẽ tiếp tục được quét kỹ bởi các phần mềm của hãng thứ ba. Người sử dụng có thể mở các tệp này để tác nghiệp ngay trên VIE-P3.
Trong những trường hợp xét thấy cần thiết và an toàn, quản trị viên có thể cấu hình VIE-P3 cho phép người dùng chép dữ liệu từ clipboard của máy trạm từ xa vào ứng dụng tác nghiệp chạy trên VIE-P3, nhưng hoàn toàn không có cách nào chép dữ liệu từ clipboard của VIE-P3 về máy trạm từ xa. Như vậy, người sử dụng có thể sử dụng Internet trên máy trạm từ xa để tra cứu tài liệu và chuyển nội dung tham khảo vào VIE-P3 để soạn thảo, nhưng hoàn toàn không thể chuyển dữ liệu từ VIE-P3 về máy trạm từ xa.
4.3.2.4. Yêu cầu kỹ thuật
Mạng nội bộ
Mạng trong không có kết nối Internet.
Mạng trong được ngăn cách với mạng ngoài bởi một tường lửa có chức năng tương đương với ISA của Microsoft.
Thiết bị wifi, modem và các thiết bị cần có kết nối Internet như máy chủ Web, máy chủ E-mail,… sẽ được bố trí ở mạng ngoài.
Các thiết bị nhớ ngoại vi, cổng USB và các thiết bị truy cập Internet không dây sẽ không được bố trí ở các máy tính thuộc mạng trong.
Chỉ các cổng dành cho giao thức VIE-RDP mới được mở và được kiểm soát chặt chẽ.
Các đặc tính an ninh
Khóa mã hóa xác thực theo phiên, mật khẩu sử dụng một lần (OTP) và khóa cứng đã được áp dụng trong quy trình xác thực nhằm chấm dứt tình trạng rò rỉ tài
khoản đăng nhập, giảm thiểu tối đa rủi ro bị cướp quyền truy cập hệ thống hoặc mất mát dữ liệu ngay trên đường truyền.
Các ứng dụng được ảo hóa trên các thiết bị VIE-P3 và VIE-P0 được cách ly hoàn toàn với hệ điều hành của thiết bị. Cơ chế này sẽ ngăn chặn mọi sự xâm phạm từ các cuộc tấn công (dựa vào lỗ hổng của phần mềm được ảo hóa,…) trực tiếp vào thiết bị để chiếm quyền điều khiển thiết bị hoặc thay đổi chính sách an ninh của thiết bị.
Mọi truy cập vào thiết bị mà không thông qua giao thức VIE-RDP đều bị từ chối. Mọi kết nối bất thường vào máy chủ, ngay cả khi các kết nối đó đã sử dụng giao thức VIE-RDP đều bị từ chối khi bị phát hiện bởi tính năng phát hiện truy cập bất thường có trong các thiết bị VIE-P0/P3.
Cho phép tích hợp các phần mềm quét mã độc của hãng thứ ba vào các thiết bị: các phần mềm quét mã độc từ hãng thứ ba có thể được tích hợp vào thiết bị thay thế cho trình quét mã độc mặc định của hệ thống.
Chỉ cho phép truyền dữ liệu một chiều giữa thiết bị VIE-P0 vào máy tính mạng trong, và giữa máy tính từ xa đến thiết bị VIE-P3.
Các đặc tính hiệu năng
Trong lúc cao điểm, mỗi người sử dụng chỉ được sử dụng tài nguyên thiết bị theo một hạn ngạch đã được thiết lập. Chính sách này nhằm ngăn chặn sự tắt nghẽn cục bộ (treo máy) trên các thiết bị khi nhiều người sử dụng hết công suất phục vụ của phần cứng.
Các thiết bị cùng loại sẽ được kết nối với nhau bằng một bộ cân bằng tải; mỗi thiết bị VIE-P0/P3 cũng có thể kiêm luôn chức năng cân bằng tải cho hệ thống. Khi có một yêu cầu sử dụng thiết bị, máy cân bằng tải sẽ chọn ra một thiết bị với năng lực phục vụ lớn nhất để phục vụ người sử dụng.
Tính khả chuyển cao: các thiết bị VIE-P0 và VIE-P3 có thể được lắp thêm vào hệ thống chỉ với một vài thao tác đơn giản. Việc lắp thêm thiết bị với mục đích nâng cao năng lực phục vụ người dùng của hệ thống.
4.4. Đánh giá công nghệ VCM12
4.4.1. Tính mới, ưu việt và tiên tiến về công nghệ
Việc sử kết hợp sử dụng thành công các giải pháp bảo đảm an toàn an ninh mạng như phân quyền, tường lửa, ISA… với việc viết lại các phần mềm Server – Client trên các giao thức RDP (Remote Desktop Protocol) hay VPN (Virtual Private Network) là tính mới, ưu việt của giải pháp.
4.4.2. So sánh với trình độ công nghệ hiện có tại Việt Nam và trên thế giới
- Hệ thống V-Azur với những tính năng đưa ra hoàn toàn tương đương với một giải pháp của Nhật Bản do tập đoàn Viettel đang tiếp cận nghiên cứu và tiến hành mua bản quyền dùng phần mềm đó. Bản chất của các sản phẩm này đều là sử dụng các giao thức RDP và xây dựng lại các phần mềm trao đổi giữa client và server để đảm bảo truy nhập an toàn. Việc truy cập khi đó sẽ là việc truy cập an toàn như khái niệm Zero Client hoặc Thin Client;
- Tuy nhiên việc một Hệ thống V-Azur cho mạng LAN có 100 máy tính hiện nay chỉ có giá thành khoảng 25.000 USD, tức là khi triển khai toàn bộ cho Văn phòng Chính phủ sẽ chỉ có tổng chi phí khoảng 150.000 USD thì theo mức độ báo giá của Viettel khi tham gia tư vấn cho Văn phòng Chính phủ sẽ lên tới 1.5 triệu USD.
4.4.3. Khả năng triển khai và tính phù hợp của giải pháp với thị trường trong nước
Theo tính toán sơ bộ trên cả nước hiện nay có tới vài chục ngàn mạng cục bộ (LAN) và các mạng cục bộ này đều cần tới giải pháp truy cập Internet an toàn như V- Azur có thể cung cấp, thị trường cung cấp sản phẩm này có thể tính tới hàng chục ngàn tỷ đồng. Sản phẩm V-Azur là một sản phẩm tích hợp giải pháp phần cứng với phần mềm, khi có nhu cầu lớn có thể nhanh chóng triển khai do việc cài đặt phần mềm không quá phức tạp. Với những lý do đó, V-Azur hoàn toàn phù hợp về công nghệ và khả năng triển khai đối với thị trường trong nước.
4.4. Đề xuất giải pháp chính sách và khuyến nghị
4.4.1. Nâng cao nhận thức
Thiếu một hướng dẫn để thống nhất và nâng cao nhận thức. Nhận thức