- truy nhập (Access transparency): hệ thống đã che giấu sự khác biệt trong biểu hiện dữ liệu và cách thức truy cập tài nguyên, người dùng chỉ cần
2.2.7 An toàn và an ninh.
Với mục tiêu tăng cường độ bảo mật đường truyền cho các thông tin chuyển từ các phân xã về hệ thống thông qua kết nối Internet, Tuy nhiên, việc kết nối từ xa có thể tạo ra những nguy cơ bảo mật nghiêm trọng. Để tăng cường bảo mật hệ thống giai đoạn này hệ thống sẽ xây dựng mạng riêng ảo Virtual Private Network (VPN) - Mạng riêng ảo đã mở rộng phạm vi của các mạng LAN (Local Area Networks) mà không cần bất kì đường dây riêng nào. Trong đó chúng ta xác định sử dụng công nghệ Secure Acess SSL VPN (truy cập bảo mật qua mạng riêng ảo, dùng giao thức lớp socket bảo mật). Đặc điểm của việc quản lý từ lớp mạng ứng dụng của SSL VPN là xác định riêng từng ứng dụng xem truy cập nào là hợp lệ hay không. Chẳng hạn, cùng là cổng 80 trên máy chủ, nhưng nếu truy cập từ trình duyệt Internet Explorer thì được chấp nhận, còn các ứng dụng khác thì không cho phép. Không phải mọi trao đổi MAPI đều là hợp lệ, nếu xuất phát từ ứng dụng Outlook thì cho phép, còn từ các ứng dụng khác (trong ví dụ trên là truy cập của trojan vào máy chủ) thì bị chặn lại. SSL VPN thích hợp cho các ứng dụng trên nền Web, cho phép kết nối an toàn bất kỳ thiết bị nào hỗ trợ trình duyệt web.
Với hệ thống này thông tin chuyển từ các phân xã về hệ thống tại tổng xã có tính bảo mật cao.;
Trang thiết bị : 02 x Máy chủ xác thực, bảo mật (SSL) (HA)
Phần mềm : Hệ thống xác thực và bảo mật cấp độ cao Tích hợp hệ thống mã hóa dữ liệu Hệ thống quản trị tác nghiệp sử dụng hệ thống bảo mật dựa vào RSA SecureID. RSA là giải bảo mật xác thực truy nhập thông qua một passcode đặc biệt gồm hai thành phần tĩnh và động. Khi truy nhập vào ứng dụng, hay các tài nguyên thông tin, người sử dụng sẽ được yêu cầu khai báo user name và phải nhập passcode đặc biệt của mình. Máy chủ xác thực truy nhập sẽ kiểm tra xem user name và passcode đó có hợp lệ hay không rồi chuyển cho hệ thống, ứng dụng và các tài nguyên thông tin phân quyền truy nhập cho user đó.
Passcode là một mật khẩu đặc biệt bao gồm hai thành phần. Trong đó, một thành phần là mã số cá nhân do người sử dụng tự đặt (PIN). Mã số này là thành phần tĩnh, dễ nhớ và có độ an toàn thấp. Phần còn lại của passcode là các số ngẫu nhiên có độ dài 6 ký tự hiện trên thẻ SecureID đặc biệt của người sử dụng.
PASSCODE = PIN + Số hiện trên thẻ SecureID
Thẻ (token) SecureID là một thiết bị đặc biệt của hãng RSA. Thiết bị này có thể có nhiều dạng như: thẻ tín dụng, móc chìa khoá xe, phần mềm trên các máy Palm...
Các mã (code) trên thẻ SecureID được sinh ra một cách ngẫu nhiên theo chu kỳ 60 giây lại tạo ra một code mới. Khi nhận được passcode của người sử dụng, hệ thống máy chủ xác thực truy nhập sẽ kiểm tra số PIN và mã code tạo ra bởi thẻ SecureID, đồng thời cung cấp một cơ chế đặc biệt cho phép đồng bộ thời gian giữa các thẻ SecureID với đồng hồ trên máy chủ.
Hệ thống máy chủ, ứng dụng và các tài nguyên hệ thống hoạt động dựa trên việc kiểm tra các mã động. Mỗi một thẻ SecureID có một số serial đặc biệt và duy nhất, các số hiển thị trên thẻ SecureID hoàn toàn ngẫu nhiên và không thể đoán trước. Do đó, với hệ thống bảo mật SecureID, các hệ thống gần như an toàn tuyệt đối (về mặt xác thực user) và hầu như không thể xảy ra trường hợp gian lận, đánh cắp hay dò tìm password.
Mô hình tổng quan hệ thống bảo mật SecureID
Các hệ thống máy chủ và cơ sở dữ liệu quan trọng sẽ được cài đặt các Agents bảo vệ. Khi người sử dụng yêu cầu truy nhập vào hệ thống, các Agents sẽ chuyển các yêu cầu truy nhập này đến hệ thống máy chủ RSA SecurID để xác thực các thông tin về người sử dụng ; từ đó có cho phép người sử dụng truy nhập vào hệ thống hay không.
Bên cạnh khả năng sử dụng các Agent để bảo vệ máy chủ, RSA còn cung cấp các API để tích hợp vào các ứng dụng cần xác thực. Như vậy khi người sử dụng yêu cầu truy nhập vào ứng dụng thay vì ứng dụng đó xác thực người dùng bằng cơ sở dữ liệu người dùng của riêng ứng dụng thì các thông tin xác thực của người sử dụng (bao gồm user name, mã số cá nhân và mã số hiện trên thẻ token) sẽ được chuyển đến máy chủ RSA để xác thực.
Từ lợi ích của hệ thống bảo mật xác thực giao dịch RSA SecurID được triển khai ở lớp ứng dụng đã nêu ở trên, hệ thống xác thực đa thành tố VnaRSA sẽ được tích hợp vào Hệ quản trị tác nghiệp thông tin trong quá trình xác thực các thành viên tham gia và truy cập vào các nguồn tài nguyên của hệ thống. Việc tích hợp này sẽ đảm bảo an toàn cho quá trình vận hành của hệ thống sản xuất thông tin trên mạng Internet, cũng như làm tiền đề để xác thực các ứng dụng khác sau này.
Hệ quản trị tác nghiệp thông tincủa TTXVN được xây dựng trên kiến trúc của Portal và hệ thống thông tin xác thực người dùng được đặt trên Cơ sở dữ liệu MSSQL 2005. Quá trình tích hợp RSA SecurID vào hệ thống sản xuẩt thông tin sẽ thực hiện theo các bước sau:
• Xây dựng một module xác thực người dùng kết hợp dữ liệu xác thực từ ba hướng: người truy cập, thông tin từ Agent và từ Cơ sở dữ liệu qua đó sẽ trả về kết quả chính xác của quá trình xác thực cho Portal. Module này sẽ sử dụng các tính năng của gói API mới nhất (RSA ACE/Agent Authentication API 5.0 C/Java) nhúng vào trong môi trường ứng dụng .NET của Microsoft.
• Tích hợp module xác thực vào Portal Sản xuất thông tin, chuyển hướng quá trình xác thực cũ sang quy trình xác thực mới đã ứng dụng RSA SecurID.
Toàn bộ hệ thống xác thực người dùng của sản xuất thông tin sẽ hoạt động dưới sử đảm bảo của RSA SecurID. Các thành viên của hệ thống sẽ được đảm bảo về các thông tin xác thực của mình, không thể xảy ra trường hợp gian lận hay đánh cắp mật khẩu.