Kiến trúc an toàn và an ninh thông tin

Một phần của tài liệu KIẾN TRÚC CHÍNH QUYỀN ĐIỆN TỬ TỈNH BÀ RỊA- VŨNG TÀU (Trang 173 - 179)

PHẦN VI. KIẾN TRÚC CHÍNH QUYỀN ĐIỆN TỬ TỈNH

III. Mô tả chi tiết các thành phần trong sở đồ tổng thể của Khung kiến trúc CQĐT cấp tỉnh

5. Kiến trúc an toàn và an ninh thông tin

5.1. Hệ thống tường lửa

5.1.1.Hệ thống tường lửa cho hệ thống mạng

Có khá nhiều công nghệ tường lửa nhưng chúng ta có thể thấy 2 loại công nghệ đƣợc sử dụng rất nhiều trong thực tế:

a. Công nghệ tường lửa UTM (Unified Threate Management) - Cơ chế hoạt động:

Dựa trên công nghệ tường lửa Stateful Inspection, công nghệ tường lửa UTM hợp nhất các chức năng tường lửa, cổng truy cập VPN, phòng chống tấn công (IDS/IPS), kiểm soát ứng dụng, phòng chống mã độc, lọc dữ liệu Web, chống mail spam, và có thể tích hợp các giải pháp giá trị gia tăng nhƣ tối ƣu hóa dữ liệu WAN (WAN Optimization), Bộ quản lý truy cập không dây, cân bằng tải đường truyền… vào trong một thiết bị. Tường lửa UTM thích hợp cho mạng Internet Out-bound và mạng các cơ quan, đoàn thể, ban-ngành.

- Ƣu điểm:

+ Tường lửa này cho tốc độ cũng như mức bảo mật cao với việc kiểm tra chi tiết các thông tin tại các tầng từ 3 – 7 trong mô hình OSI;

+ Đơn giản hóa việc quản lý nhiều giải pháp bảo mật riêng biệt, đồng nhất công nghệ & kỹ thuật bảo mật;

+ Chi phí đầu tƣ thấp so với đầu tƣ các giải pháp bảo mật riêng lẻ.

- Nhƣợc điểm:

+ Năng lực xử lý của thiết bị tường lửa UTM thường sụt giảm nhiều khi bật nhiều tính năng ảo mật cùng lúc;

+ Nhiều nhà sản xuất không cung cấp các tính năng trong ộ giải pháp

UTM mà dùng cách tích hợp với đối tác cung cấp khác, dẫn đến tính không đồng nhất trong kiến trúc và độ trễ xử lý dữ liệu mạng;

+ Không đƣợc lựa chọn ở các vị trí quan trọng, cần độ trễ xử lý thấp mà vẫn đảm bảo mức độ bảo mật cao nhƣ DMZ, Core, WAN.

b. Công nghệ tường lửa NGFW (Next Generation Firewall) - Cơ chế hoạt động:

Dựa trên công nghệ tường lửa Stateful Inspection, tường lửa NGFW

cung cấp thêm một tầng kiểm soát ứng dụng, cho phép nhận diện, kiểm soát các ứng dụng trên mạng và máy trạm không phụ thuộc vào port, giao thức, địa chỉ IP. Công nghệ này cung cấp tầm nhìn và khả năng kiểm soát toàn vẹn dữ liệu liệu ứng dụng, kể cả qua những kênh dữ liệu mã hóa nhƣ SSH hay TLS/SSL.

Ví dụ ta cho phép Facebook Chat hoạt động, tuy nhiên chặn Facebook Video (cả 02 ứng dụng này đều chạy trên giao thức HTTP). Ngoài ra, tường lửa NGFW phải có năng lực tổng hợp các thông tin ngữ cảnh (người dùng, ứng dụng, chính sách) để nhận định dữ liệu mạng hợp lệ và dữ liệu độc hại. Tường lửa NGFW phù hợp cho mạng WAN.

- Ƣu điểm:

Trang 174

+ Tường lửa này cho tốc độ cũng như mức bảo mật cao với việc kiểm tra chi tiết các thông tin tại các tầng từ 3 – 7 trong mô hình OSI;

+ Bằng cách xác định ứng dụng/ một số chức năng đặc trƣng của ứng dụng, tường lửa NGFW cho phép người quản trị thiết lập các chính sách bảo mật theo cấp độ ứng dụng/ chức năng/ người dùng chặt chẽ hơn;

+ Bảo mật cho dữ liệu ứng dụng: quét virus, mã độc, spyware và các tấn công mạng.

- Nhƣợc điểm:

+ Do phải can thiệp vào dữ liệu ứng dụng, nên năng lực bảo mật của NGFW phụ thuộc vào cơ sở dữ liệu nhận diện ứng dụng và tấn công mạng;

+ Năng lực xử lý của các NGFW có thể sụt giảm rõ rệt nếu không đƣợc thiết kế phần cứng chuyên biệt để xử lý nhiều lớp tính năng ảo mật một lúc;

+ Chi phí đầu tƣ cao.

5.1.2.Hệ thống tường lửa bảo vệ ứng dụng web (Web Application Firewall)

Web application firewalls (WAF) là công nghệ đƣợc thiết kế để bảo vệ ứng dụng we trước các tấn công mức ứng dụng. WAF có khả năng ngăn chặn

các tấn công mà hệ thống tường lửa và hệ thống phòng chống xâm nhập – IPS không ngăn chặn đƣợc và cũng không yêu cầu việc sửa đổi các mã nguồn của ứng dụng. Tường lửa chỉ kiểm soát mức truy cập vào theo port mà không kiểm

tra sâu nội dung trên cổng HTTP đƣợc mở để phát hiện tấn công. Hệ thống IPS thường có khả năng ảo vệ chủ yếu dựa trên mẫu (signature) tấn công cũng như các lỗ hổng đã iết. Các điểm yếu đặc thù của từng ứng dụng cụ thể có thể cho

phép tấn công khai thác và dễ dàng vƣợt qua hệ thống firewall và IPS. Nhờ khả năng phân tích sâu vào ứng dụng Web, khả năng học và hiểu đƣợc cấu trúc dữ liệu cũng như logic hoạt động ình thường của ứng dụng, nên WAF có bảo vệ hiệu quả cho ứng dụng Web.

5.2. Hệ thống phân tích và phát hiện các tấn công có chủ đích (APT), zero-day malware - Công nghệ phòng chống tấn công chủ động

Các tấn công có chủ đích, các mối đe dọa bền bỉ tiên tiến (APT) đang nhanh chóng trở thành một hiện tƣợng mới của các tấn công bảo mật ảo (cyber security threats) – bao gồm các nỗ lực tập trung và có tổ chức đƣợc tạo riêng để xâm nhập vào các doanh nghiệp và các cơ quan chính phủ để tìm kiếm các dữ liệu có giá trị, các bí mật kinh doanh, và xâm nhập vào hệ thống bên trong.

Để chống lại các tấn công có chủ đích này cần phải có một phương pháp

mới, tiên tiến hơn – một giải pháp vƣợt xa các giải pháp bảo mật truyền thống để cung cấp cái nhìn toàn cảnh về hệ thống mạng tốt hơn, các cảnh báo chủ động, và các công cụ hiệu quả để làm giảm tác hại của malware, làm sạch mạng, và ngăn chặn sự lây nhiễm trước khi chúng tiếp tục xảy ra; một giải pháp phát hiện và xác định các mối đe dọa xâm nhập theo thời gian thực, và cung cấp sự phân tích sâu và các hành động cần thiết để phòng tránh, khám phá và ngăn chặn các tấn công vào các dữ liệu của doanh nghiệp. Đồng thời còn phải

Trang 175

là các giải pháp có thể phối hợp với các thiết bị phòng thủ khác loại nhằm hoàn thiện hệ thống bảo mật, đảm bảo mức độ an toàn cho hệ thống.

5.3.Hệ thống cân ằng tải ứng dụng

Hệ thống cân ằng tải cho ứng dụng (Application Delivery Controller – ADC) được iết đến trước đây với tên gọi phổ iến là thiết ị Server Load Balancer, gồm các tính năng cơ ản là cân ằng tải các dịch vụ ứng dụng từ ên ngoài Internet vào hệ thống Cluster Server, ằng nhiều thuật toán khác nhau.

Cluster là một nhóm các máy chủ chạy đồng thời một ứng dụng Web, Database, App, quá trình thực hiện liên kết nhóm này làm cho các máy chủ hoạt động nhƣ một máy chủ riêng lẻ khi quan sát từ khía cạnh ên ngoài. Để cân bằng tải máy chủ, hệ thống cần phải phân phối các yêu cầu (request) đến nhiều nút khác nhau bên trong cluster máy chủ, với mục đích tối ƣu hóa hiệu

suất hệ thống. Điều này sẽ mang đến cho mạng của bạn hiệu suất cao hơn, khả năng mở rộng (scalability) - tránh rơi vào tình trạng túng thiếu tài nguyên mạng trong một doanh nghiệp hay một ứng dụng We nào đó.

Về cơ ản ADC chính là một thiết ị Load Balancer Advance, trong đó tính năng chính tạo nên sự khác iệt chính là SSL Offloading, là một thiết ị phục vụ trong từ Layer 3 – Layer 7 trong mô hình OSI.

Ƣu điểm của cân bằng tải:

- Tính mở rộng: thêm hoặc bỏ bớt server một cách dễ dàng;

- Tính sẵn sàng cao do hệ thống dùng nhiều Server, vì vậy hệ thống có tính dự phòng;

- Tính quản lý: Theo dõi và quản lý tập trung hệ thống Server, bảo dƣỡng hệ thống server mà không cần tắt các dịch vụ;

- Có thể tách các ứng dụng khỏi server;

- Làm việc đƣợc với nhiều hệ điều hành;

- Hiệu suất cao do đƣợc xây dựng trên hệ thống phần cứng chuyên dụng;

- Server đƣợc nhóm lại thực hiện đa nhiệm vụ tốt hơn;

- Tất cả Server đều hoạt động đúng công suất không có tình trạng một Server làm việc quá tải trong khi server khác lại đang “nhàn rỗi”.

5.4.Hệ thống ngăn chặn thƣ rác và ảo vệ hệ thống thƣ điện tử

Mail Security là một hệ thống bảo mật chuyên nghiệp cho thƣ điện tử, cho phép bảo vệ theo nhiều lớp chống lại những nguy cơ tinh vi gồm cả Spam, Virus, Worm và Spyware.

Hệ thống này hoạt động dựa trên một nền tảng chuyên iệt (có thể là phần cứng hoặc phần mềm), có thể cấu hình đƣợc, có khả năng "quét sạch"

Trang 176

email qua các cơ cấu antispam, antivirus và antispyware tương ứng với nhiều ộ lọc khác nhau.

Hiện nay trên thế giới có các công nghệ lọc thƣ rác nhƣ:

- Lọc theo địa chỉ nguồn gửi thƣ (IP Reputation);

- Lọc theo thông tin trong email header, chẳng hạn nhƣ địa chỉ email người gửi, địa chỉ email người nhận,…;

- Lọc theo nội dung trong bức thƣ;

- Lọc hình ảnh;

- Lọc virus và mã độc hại đính kèm theo thƣ điện tử;

- …

Với các công nghệ này hầu hết các nhà sản xuất đều áp dụng trong các giải pháp/sản phẩm của mình, tuy nhiên mức độ chuyên sâu đối với mỗi nhà sản xuất lại khác nhau, ví dụ: để lọc virus và mã độc hại có nhà sản xuất chỉ sử dụng một engine và một database mẫu virus, nhƣng có nhà sản xuất khác lại sử dụng nhiều engine và database khác nhau; hay để lọc các email spam, có nhà

sản xuất kết hợp rất nhiều bộ máy lọc spam để tạo thành hệ thống chống spam đa lớp, tuy nhiên cũng có những nhà sản xuất lại chỉ chủ yếu lọc spam theo địa chỉ IP, hay theo nội dung, mà không có khả năng lọc email spam dưới dạng hình ảnh…

Các nền tảng hỗ trợ - Phần cứng vật lý - Phần mềm

- Dịch vụ (Cloud ase)

Với quy mô doanh nghiệp, nền tảng phần cứng vật lý là đối tƣợng đƣợc nhiều người d ng quan tâm với độ ổn định cao, và được cung cấp ởi nhiều thương hiệu uy tín.

Các lợi ích mang lại của giải pháp:

- Phòng chống thƣ rác cho hệ thống;

- Phòng chống Virus/Spyware lây lan qua các giao thức mail;

- Bảo mật, xác thực người d ng;

- Chống thất thoát dữ liệu nhạy cảm;

- Kiểm soát và quản lý quyền hạn người d ng;

- Logging và Reporting.

Kết luận:

Trang 177

Chúng ta cần lựa chọn giải pháp của nhà sản xuất với đầy đủ công nghệ và với mức độ chuyên sâu cao để đáp ứng đƣợc nhu cầu ngăn chặn thƣ rác và bảo vệ hệ thống thƣ điện tử ph hợp với mô hình của doanh nghiệp.

5.5. Đào tạo và chuyển giao về an toàn và an ninh thông tin

Chuyển giao tài liệu về công nghệ ngay từ giai đoạn lập kế hoạch thực hiện dự án:

- Hỗ trợ để tiếp cận được với kỹ thuật mới và môi trường phát triển trong giai đoạn triển khai

- Chuyển giao kiến thức kỹ thuật mang tính hệ thống cho từng bộ phận:

Công nghệ thích hợp đƣợc yêu cầu sẽ chuyển giao cho các nhà làm chính sách, cán bộ vận hành hệ thống và người sử dụng.

- Tiến hành đào tạo để chuyển giao công nghệ cho cán bộ phụ trách

- Có kế hoạch đào tạo và bàn giao các sản phẩm của dự án theo các giai đoạn của dự án

- Các sản phẩm chuyển giao: Tài liệu kỹ thuật của thiết ị, Tài liệu cấu hình hệ thống.

5.5.1.Đào tạo hệ thống tường lửa

Nhà thầu đề xuất đào tạo phải đáp ứng đƣợc các yêu cầu sau:

- Phạm vi các hạng mục cần đào tạo + Tường lửa cho mạng WAN

+ Tường lửa cho mạng Internet Outbound + Tường lửa cho mạng nội bộ

+ Tường lửa ứng dụng web (Web Application Firewall) - Nội dung đào tạo

+ Thông tin về phần cứng thiết bị + Cấu hình, quản trị và sử dụng các tính năng của thiết bị, hệ thống (có hệ thống lab)

- Thời lƣợng đào tạo: 3 ngày - Đối tƣợng đào tạo:

+ Cán bộ quản trị hệ thống của Sở TT & TT tỉnh + Cán bộ quản trị hệ thống của các Sở, ngành, huyện thuộc tỉnh - Số lượng học viên: 10 người

- Trình độ giảng viên: Giảng viên phải có các chứng chỉ kỹ thuật liên quan tới các sản phẩm đào tạo

- Địa điểm đào tạo: đào tạo on-the-jo training và đào tạo tập trung tại Sở TT & TT tỉnh

5.5.2. Đào tạo hệ thống cân bằng tải

Nhà thầu đề xuất đào tạo phải đáp ứng đƣợc các yêu cầu tối thiểu sau:

- Phạm vi các hạng mục cần đào tạo

Trang 178

+ Thiết bị cân bằng tải cho ứng dụng - Nội dung đào tạo

+ Thông tin về phần cứng thiết bị + Cấu hình, quản trị và sử dụng các tính năng của thiết bị, hệ thống (có hệ thống lab)

- Thời lƣợng đào tạo: 2 ngày - Đối tƣợng đào tạo: Cán bộ quản trị hệ thống của Sở TT & TT tỉnh - Số lượng học viên: 04 người

- Trình độ giảng viên: Giảng viên phải là chuyên gia từ hãng sản xuất thiết bị

- Địa điểm đào tạo: đào tạo on-the-job training và đào tạo tập trung tại sở TT & TT tỉnh

5.5.3.Đào tạo hệ thống phòng chống tấn công có chủ đích, zero-day malware

Nhà thầu đề xuất đào tạo phải đáp ứng đƣợc các yêu cầu tối thiểu sau:

- Phạm vi các hạng mục cần đào tạo + Thiết bị phát hiện tấn công có chủ đích, zero-day malware + Thiết bị email security, tích hợp với thiết bị phát hiện để chặn email chứa zero-day malware

- Nội dung đào tạo + Thông tin về phần cứng thiết bị + Cấu hình, quản trị và sử dụng các tính năng của thiết bị, hệ thống (có hệ thống lab)

- Thời lƣợng đào tạo: 2 ngày - Đối tƣợng đào tạo: Cán bộ quản trị hệ thống của Sở TT & TT tỉnh - Số lượng học viên: 04 người

- Trình độ giảng viên: Giảng viên phải là chuyên gia từ hãng sản xuất thiết bị

- Địa điểm đào tạo: đào tạo on-the-jo training và đào tạo tập trung tại sở TT & TT tỉnh

5.5.4. Đào tạo hệ thống quản trị hoạt động và bảo mật.

Nhà thầu đề xuất đào tạo phải đáp ứng đƣợc các yêu cầu tối thiểu sau:

- Phạm vi các hạng mục cần đào tạo:

+ Thiết bị cấu hình, quản trị tập trung cho các thiết bị tường lửa + Thiết bị lưu log và áo cáo tập trung cho các thiết bị bảo mật - Nội dung đào tạo

+ Thông tin về phần cứng thiết bị + Cấu hình, quản trị và sử dụng các tính năng của thiết bị, hệ thống (có hệ thống lab)

- Thời lƣợng đào tạo: 2 ngày - Đối tƣợng đào tạo: Cán bộ quản trị hệ thống của Sở TT & TT tỉnh - Số lượng học viên: 02 người

Trang 179

- Trình độ giảng viên: Giảng viên phải là chuyên gia từ hãng sản xuất thiết bị

- Địa điểm đào tạo: Tại Sở Thông tin và Truyền thông.

Một phần của tài liệu KIẾN TRÚC CHÍNH QUYỀN ĐIỆN TỬ TỈNH BÀ RỊA- VŨNG TÀU (Trang 173 - 179)

Tải bản đầy đủ (PDF)

(733 trang)