• vi-VNen-GB
Viegrid qua báo chí
V-EAGLE Giải pháp internet an toàn cho máy tính Bộ Tài chính
(21/06/2014)

      Hiện nay, Việc sử dụng Internet đã trở thành thói quen, và là công cụ làm việc không thể thiếu đối với cơ quan Nhà nước và danh nghiệp, đặc biệt là với lãnh đạo và nhân viên thường xuyên phải đi công tác hoặc làm việc từ xa. Nhu cầu sử dụng Internet càng cao, đi kèm theo đó cũng là những nguy cơ tiềm ẩn gây mất an toàn thông tin. Với mức độ ứng dụng công nghệ thông tin (CNTT) cao, và thường xuyên sử dụng công cụ Internet trong nghiệp vụ,thì việc sử dụng Internet an toàn đang là thách thức đăt ra đối với ngành Tài chính. Vậy làm thế nào để sử dụng Internet an toàn, hiệu quả? Phóng viên tạp chí Tài chính điện tử - eFinance đã có cuộc trao đổi với TS. Nguyễn Ái Việt, Viện trưởng Viện Công nghệ thông tin, Đại học Quốc gia Hà Nội xung quanh vấn đề này.

     Vì sao Viện Công nghệ thông tin lại lựa chọn bộ giải pháp V-AZUR, cũng như giải pháp V-EAGLE để giới thiệu Bộ Tài chính, thưa ông?

      Hiện nay, các vấn đề về an ninh mạng hay chống tin tặc đang được nhiều cơ quan, tổ chức và cộng đồng quan tâm chú ý. Theo một đánh giá gần đây, các website và mạng nội bộ của Việt Nam đang có mức độ mất an toàn cao. Việt Nam đang là một trong 3 quốc gia

     Từ năm 2004, Bộ trưởng Bộ Công an đã có Quyết định số 71/2004/QĐ-BCA, quy định về đảm bảo an toàn an ninh mạng liên quan đến sử dụng và quản lý internet có giải pháp nghiên cấm hành vi “Lưu giữ trên máy tính kết nối internet tin, tài liệu, số liệu thuộc bí mật nhà nước”. Biện  pháp này được giải thích nhiều cách sai lệch như “cấm tuyệt đối sử dụng Internet”, “mỗi cán bộ công chức phải được trang bị 2 máy tính” hoặc “máy tính có tài liệu bí mật không được kết nối mạng”,… 

     Tuy nhiên có hai nhu cầu ngày càng tăng trong cơ quan Nhà nước và trong các doanh nghiệp đó là làm việc từ xa và truy cập Internet. Việc tuyệt đối cấm sử dụng Internet là đi ngược lại với chủ trương úng dụng CNTT để hiện đại hóa đất nước. Hiện nay, các cán bộ, công chức đã có thói quen tải về các tài liệu quy phạm pháp luật, biểu mẫu từ các website do chính Chính phủ cung cấp, để giúp cho việc soạn thảo văn bản và công tác nghiệp vụ.

      Bên cạnh đó, việc đọc tin tức, trau dồi kiến thức sử dụng tài nguyên trên mạng đã trở thành một thói quen và là phương tiện làm việc hữu hiệu không thể thiếu đối với cán bộ. Mọi biện pháp ngăn cấm đều dẫn tới các biện pháp “vượt rào” tự phát, làm tình hình ngày càng thêm phức tạp khó kiểm soát. Thêm vào đó, các cán bộ lãnh đạo đi công tác xa hoặc làm việc ở nhà, cũng có nhu cầu truy cập vào mạng nội bộ để xử lý công văn, đơn thư và đọc hồ sơ tài liệu.

      Mặt khác, việc sử dụng 2 máy tính, hoặc không cho nối mạng không hề làm tăng tính an ninh và bảo mật. Do nhu cầu công việc, cán bộ công chức thường sử dụng thiết bị lưu trữ theo cổng USB, thiết bị truy cập 3G,… hoặc chuyển hoàn toàn sang dùng máy tính cá nhân riêng và đưa tài nguyên, tài liệu, số liệu bí mật sao chép lung tung làm phá vỡ mọi quy định và chính sách bảo mật nội bộ đã có. Bảo mật là vấn đề của con người. Nếu không có nhận thức phù hợp, cùng các biện pháp kỹ thuật làm công việc trở nên tiện lợi và một chính sách rõ rangfm dễ thực hiện, các biện pháp thuần túy hành chính sẽ vô ích, gây cản trở tiến độ và gây lãng phí của cái của nhà nước mà tình hình giữ bảo mật an ninh sẽ ngày càng khó kiểm soát.

      Bộ giải pháp V-AZUR do Công ty VIEGRID, Viện Công nghệ thông tin, Đại học Quốc gia Hà Nội hợp tác phát triển được sự chỉ đạo nghiệp vụ, công tác nghiên cứ và kiểm thử kỹ thuật của Cục cảnh sát phòng chống tội phạm sử dụng công nghệ cao (C50), Bộ Công An là một giải pháp đơn giản, ít tốn kém mà giải quyết được hầu hết vấn đề đã nêu thực hiện quy định của Bộ Công An vừa đem lại tiện lợi tối đa cho người dùng. Bộ giải pháp này sử dụng công nghệ VCM12 do Công ty VIEGRID  phát triển, trên cơ sở của giải pháp VIE-VPN 2.0 đã được triển khai thành công tại một số cơ quan Nhà nước trọng yếu.

      Giải pháp V-AZUR có các nhóm chức năng chính là truy cập Internet an toàn và làm việc từ xa an toàn. Trong đó, chức năng truy cập Internet an toàn cho phép người dùng đang làm việc ở mạng trong, không có kết nối Internet trực tiếp, truy cập Internet và bảo vệ an ninh dữ liệu, chống thất thoát dữ liệu, thông tin và ngẵn chặn phơi nhiễm mã độc.

      Còn chức năng làm việc từ xa có kết nối Internet, truy cập vào mạng nội bộ và làm việc từ xa, chống thất thoát dữ liệu và ngăn chạn phơi nhiễm mã độc cho các máy chủ nội bộ. Các chức năng trên được thực hiện trên cở sở tuân thủ quy định tại Quyết định 71a/2004/BCA của Bộ trưởng Bộ Công An.

      Cụ thể, người dùng sử dụng phần mềm V-EAGLE  Client trên máy trạm thuộc mạng trong không có kết nối Internet, kích hoạt một giao thức an toàn đặc biệt, nối bàn phím và màn hình của máy trạm này tới máy chủ V-EAGLE ở mạng ngoài. Máy chủ V-EAGLE, sau khi kiểm soát quyền truy cập của máy trạm, một ứng dụng chủ sẽ được khởi động. Từ ứng dụng chủ, người dùng có thể bật và sử dụng các trình duyệt đã được ảo hóa. Mọi hình ảnh của trình duyệt ảo sẽ được truyền tới màn hình của máy trạm ở mạng trong, và các tác động phím lên bàn phím của máy này sẽ được truyền tới ứng dụng của trình duyệt nhờ giao thức nói trên.

      Thực tế, giữa các ứng dụng, thông tin trên máy trạm ở mạng trong và trình duyệt ảo hóa trên V-EAGLE hoàn toàn không có bất cứ sự trao đổi dữ liệu nào, dù là vô tình hay cố ý. Vì vậy, người dùng không thể chuyển dữ liệu, tài liệu ra mạng ngoài và Internet, cũng không thể đưa mã độc vào mạng trong, dù là vô tình hay cố ý. Ngược lại, các tài liệu tải từ trên mạng về, nếu người dùng có yêu cầu chuyển vào mạng bên trong, hệ thống sẽ tiến hành quét và chỉ cho phép truyền vào các tệp được xác định là an toàn nhờ giao thức an toàn nói trên.

      Với chức năng làm việc từ xa, người dùng sử dụng phần mềm V-PHOENIC Client truy cập vào mạng ngoài của mạng nội bộ. VIE-VPN cho phép các lãnh đạo cấp cao và cán bộ chuyên trách làm việc từ xa, vẫn đảm bảo được tính bảo mật an toàn của dữ liệu. Điều này có nghĩa lãnh đạo, nhân viên có thể truy cập hệ thống mạng nội bộ để xử lý công việc, qua sự hỗ trợ của giao thức VIE-VPN khi đi công tác hoặc điều hành công việc khi đang ở nhà hay ngoài giờ hành chính. Tuy nhiên, mỗi cấp có thẩm quyền truy cập tùy theo mức độ quan trọng khác nhau có thể login vào từng phần công việc của cấp đó.

      VIE_VPN giúp cho dữ liệu dược đảm bảo một cách an toàn nhất, dữ liệu  không bị thất thoát do các nguyên nhân khách quan như: lỗi đường truyền hoặc tránh trường hợp bị giả trình từ xa nhằm mục đích đánh cắp dữ liệu từ ngoài. Thông qua hệ thống giao diện VIE-VPN Admin có thể quàn lý hoặc kiểm tra người sử dụng tài liệu có liên quan.

      Giải pháp làm việc từ xa VIE-VPN của VIEGRID được xây dựng dựa trên công nghệ mạng riêng ảo (VPN) kết hợp với các giao thức bảo mật dữ liệu đường truyền, mật khẩu dùng một lần (OTP), khóa cứng và các quy trình  xác thực hợp lý giúp người sử dụng tránh những rủ ro có thể xảy ra với thông tin từ xa.

      Module VIE_VPN 2.0 sẽ kiểm tra quyền truy cập dựa trên các thông số được cài trên phần mềm và các thông số phần cứng trên máy trạm từ xa đã được đăng ký từ trước. Sau khi máy truy cập từ xa đã trở thành thành viên của mạng bên ngoài, phần mềm V-PHOENIX ở mạng trong và bắt đầu truy cập các tài liệu thông tin trong mạng trong.

      Nhờ một cơ chế tương tự, trong suốt phiên làm việc ứng dụng ảo hóa hoàn toàn cách ly với các ứng dụng, clipboard, bộ nhớ của máy truy cập từ xa. Do đó, việc truyền mã độc từ ngoài vào và gây thất thoát dữ liệu từ mạng trong ra internet tuyệt đối bị loại trừ. Người quản trị VIE-VPN cũng có thể vô hiệu hóa tài khoản của một máy tính làm việc từ xa vừa bị mất cắp, từ đó bảo vệ toàn vẹn được dữ liệu của cơ quan. Hệ thống còn ghi nhật ký của tất cả các giao dịch và đưa ra các cảnh báo, giúp nhà quản trị sớm phát hiện được nguy cơ vi phạm cũng như khuyến cáo người dùng nâng cao ý thức tuân thủ nội dung quy định về bảo mật.

      Ngoài ra, hệ thống có tùy chọn chỉ cho phép các máy trạm từ xa có kết nối qua VIE-VPN mới có thể kết nối thành công tới máy chủ V-PHOENIX, như vậy ngay cả khi một máy trạm đã là thành viên của mạng ngoài (có kết nối trực tiếp đến mạng ngoài, hoặc kết nối  được đến mạng ngoài bằng các trình VPN Client khác) nhưng không dùng VIE-VPN cũng không thể kết nói được máy chủ V-PHOENIX để truy cập các tài liệu nội bộ. Đăc biệt, giải pháp này so với các giải pháp VPN cũng không thể kết nối được đến máy chủ V-PHOENIX để truy cập các tài liệu nội bộ. Đặc biệt, giải pháp này so với giải pháp VPN thông thường có ưu thế vượt trội so với việc ngăn cấm người dùng tải các tài liệu của cơ quan về máy cá nhân, sử dụng cơ chế khóa cứng, mật khẩu dùng một lần, và cơ chế thay đổi khóa mã hóa thường xuyên, an toàn và giao diện quản lý thân thiện.

 “Giải pháp V-EAGLE dựa trên nền tảng ảo hóa và sử dụng màn hình ảo, do được phát triển bởi công ty trong nước nên trong quá trình vận hành, nếu phát hiện lỗ hổng bảo mật sẽ tiến hành hỗ trợ ngay trong 48h.

     Hệ thống VIE-VPN đã được triển khai rất thành công từ năm 2008 tại văn phòng UBND Quảng Ninh, đến tháng 10/2012, Viện Công nghệ thông tin cùng C50 và VIEGRID đã tiến hành kiểm thử và có kết luận về chất lượng an toàn. Tháng 4/2013, thử nghiệm thành công tại Bộ tài chính và hiện đang thử nghiệm tại Bộ xây dựng, Bộ Công Thương tỉnh Thừa Thiên Huế và đầu tư nâng cấp tại Quảng Ninh

      Hiện VIE-VPN đã được nâng cấp lên bản 2.0 và chuyển thành sản phẩm thương mại. Hệ thống làm việc từ xa an toàn VIE-VPN,  nếu kết hợp với sản phẩm công nghệ VCM12 của VIEGRID sẽ là một giải phóng tổng thể giúp đảm bảo an toàn thông tin ở một mức độ cao hơn đáp ứng cả nhu cầu truy cập Internet trong mạng LAN tuân thủ Quyết định 71/2004/QĐ-BCA.

     Kể từ năm 2009 khi VIEGRID đã cho bắt đầu triển khai sản phẩm VIE-VPN, tính đến thời điểm hiện tại, sản phẩm VIE-VPN đã chứng minh được những khả năng mang tính ứng dụng và đạt hiệu quả cao trong quá trình truy cập mạng nội bộ theo cơ chế làm việc từ xa nhưng vẫn đảm bảo độ an toàn tuyệt đối. Hiện nay sản phẩm đã được nâng cấp lên phiên bản 2.0 với những tính năng mới để đảm bảo mức độ hoàn hảo của sản phẩm.

     Hiện nay, giải pháp V-EAGLE đang được tiến hành thử nghiệm tại Bộ Tài chính đến hết ngày 01/8/2014, song song với giải pháp Remote Desktop Service của Microsoft. Dưới góc độ kỹ thuật cũng như cân đối các yếu tố tài chính, hạ tầng công nghệ, khả năng bảo mật…, xin ông cho biết đánh giá cá nhân mình về ưu và nhược điểm của hai giải pháp này.

    Hiện nay, Remote Desktop Service và VDI của Microsoft chỉ là một dạng dịch vụ tiện ích mà không phải là ứng dụng về bảo vệ an toàn an ninh. Thực tế, Remote Desktop Service là một dịch vụ dùng để truy cập màn hình để theo dõi người dùng, nhưng vô hình chung, nhiều cơ quan ngầm hiểu rằng chức năng đó có thể giúp ích cho cơ quan mình bảo vệ an toàn thông tin, chống thất thoát dữ liệu. Mặt khác, do Remote Desktop Service không phải là một giải pháp bảo mật, nên khi xảy ra lỗi tại một doanh nghiệp, Microsoft không có trách nhiệm phải xử lý hoặc chấp nhận hỗ trợ thì Microsoft phải cần từ 6 tháng trở lên để có phiên bản mới để khóa lỗ hổng. Thậm chí, nếu cần thiết phải đưa chuyên gia từ Mỹ hoặc châu Á sang cũng phải mất vài tháng và tốn chi phí rất cao. Như vậy, trong 6 tháng đến 1 năm, lỗ hổng bảo mật vẫn tồn tại và nguy cơ sập hệ thống là hoàn toàn hiện hữu.

    Tuy nhiên, với giải pháp V-EAGLE dựa trên nền tảng ảo hóa và sử dụng màn hình ảo có lợi thế hơn do được phát triển bởi công ty trong nước nên trog quá trình vận hành nếu phát hiện lỗ hổng bảo mật sẽ tiến hành hỗ trợ ngay trong 48h. Đặc biệt, trong quá trình sử dụng, nếu Bộ Tài chính có phát sinh yêu cầu đặc biệt, VIEGRID có thể bổ sung chức năng mới giúp Bộ.

     Theo đánh giá chung, giải pháp V-EAGLE là giải pháp tự viết, thể hiện tính chủ động, khác với giải pháp Remote Desktop Service của Microsoft là phần mềm đóng gói có sẵn. Xé trên cả tiêu chí tài chính và kỹ thuật, V-EAGLE đang thể hiện ưu thế hơn. Tuy  nhiên, hiện V-EAGLE đang có những lỗi vặt như: bộ gõ tiếng Việt, không độc lập; phân quyền quản trị, duyệt nội dung chưa tách bạch giữa các phòng; báo cáo phân tích người dùng chưa loại trừ sử dụng mạng nội bộ… Về quản trị hệ thống, rất khó tìm đích danh người dùng nếu sau này mở rộng áp dụng V-EAGLE cho toàn cơ quan Bộ tài chính… Ông giải thích như thế nào về  những lỗi trên?

      Sau quá trình cái đặt máy chủ, hiện tại năng lực phục vụ của giải pháp đã đáp ứng cho cả Cục Tin học và Thống kê tài chính sử dụng với 1 máy trạm làm Master và 2 máy làm App với tổng cộng 126 kết nối, trong đó có 60 kết nối đồng thời. Tuy nhiên, trong quá trình sử dụng giải pháp Internet an toàn, có phát minh thêm các yêu cầu mới cần bổ sung cả máy chủ và máy trạm như: máy chủ mất điện không tự khỏi động vào dịch vụ máy chủ, máy trạm bị lỗi tiếng Việt, chức năng tải/công bố tài liệu…

    Thực tế hiện nay là có xảy ra sự xung đột giữa các bộ gõ tiếng Việt. Đặc biệt các bộ gõ tiếng Việt hiện có không hoạt động được với các ứng dụng từ xa, không gõ được từ máy tính này sang máy tính khác, kể cả Vietkey và UNIKEY đều có hạn chế này. Duy mới chỉ có bộ gõ V_AZURKey vừa thay thế phần lớn công việc củ Uniket vừa có tính năng gõ từ xa. Thời gian tới, Công ty sẽ phát triển V-AZURKey thành bộ gõ có đầy đủ tính năng và tiến tới thay thế Unikey trong các cơ quan sử dụng giải pháp của VIEGRID.

    Còn về tính năng cấp quyền duyệt nội dung, do đây là chức năng mới không có trong hợp đồng giữa VIEGRID và Bộ Tài chính mà chỉ đang thực hiện tại Bộ Công Thương. Do đó, nếu Bộ tài chính có thêm nhu cầu, Công ty sẽ tiến hành bổ sung. Bên cạnh đó, dù giải pháp cấp quyền cho admin theo dõi người dùng nhưng chỉ những người nhất định mới có quyền này.

    Đối với chức năng tìm đích danh người dùng trong quản trị hệ thống, phía Công ty sẽ  làm việc với Bộ Tài chính để thống nhất cách xây dựng mô hình quản trị. Theo đó, sẽ tách ra các mạng riêng để quản lý theo mô hình hình cây, chia thành các Vụ/Cục và các phòng trực thuộc, nhờ vậy, việc tìm kiếm theo dõi sẽ dễ dàng hơn.

    Chúng tôi cảm ơn Cục Tin học và Thống kê tài chính đã có ý kiến góp ý để Công ty tiến hành hoàn thiện giải pháp của mình trở nên hoàn hảo.

    Ngoài nội dung thử nghiệm đã được thống nhất từ trước, được biết Công ty  và Cục Tin học và Thống kê tài chính đang tiến hành thử nghiệm mở rộng. Xin ông cho biết thêm về chương trình này.

    Giải pháp V-EAGLE được tiến hành thử nghiệm tại Bộ Tài chính trong 2 đợt: Đợt 1 là từ tháng 4 -  tháng 5/2013 và đợt 2 là từ thàng 6 - tháng 8/2013 và được Cục Tin học và Thống kê tài chính (Bộ Tài chính) đánh giá cao.

    Trong giai đoạn thử nghiệm, VIEGRID sử dụng 01 máy chủ cho 25 người dùng sau đó nâng lênh thành 60-100 người dùng. Hiện nay hệ thống đã cho phép 100 người dùng và mở rộng lên thành 150 người dùng. Đây là một dự án lâu dài của Bộ Tài chính, dự kiến nếu được đánh giá tốt sẽ được đề xuất triển khai cho các Tổng cục trong tháng 6/2014.

     Điểm ưu việt của giải pháp V_EAGLE là tính năng mở rộng cho  phép tăng số máy tính của người dùng lên. Để làm được điều này cần có hệ thống cân bằng tải – load balancing. Cân bằng tải là một trong những giải pháp nâng cao hiệu năng và ổn định cho hệ thống. Thành phần này hỗ trợ xây dựng ccacs hệ thống phân tải lưu lượng truy cập, phân tải năng lực tính toán giữa các thành phần tính toán của máy tính (như CPU, GPU,… ) và ở quy mô lớn hơn là phân tải năng lực tính toán giữa các máy tính hoặc cụm máy tính trong một môi trường mạng hỗn hợp. Tùy thuộc vào mục đích sử dụng mà có thể có các chính sach phân tải khác nhau, tất cả đều nhằm đến mục tiêu làm cho hệ thống có tính sẵn sàng cao và hiệu năng cao.

     Là một thành phần quan trọng trong các hệ thống phân tán như Grid Computing, cân bằng tải cũng thường được sử dụng vào các hệ thống chuyên dụng. Với thiết kế nhỏ gọn và khả năng chạy đa nền cùng với các chính sách phân tải phù hợp, thành phần cân bằng tải của VIEGRID đã được áp dụng thành công vào hạ tầng hỗ trợ biên dich (máy dịch), Bút Đỏ Server, máy chủ VPN, VCM12 và các hệ thống thu nhập và xử lý khối liệu ngôn ngữ.

     Một số tính năng đặc biệt của giải pháp là chuyển các File vào mạng trong,  ảo hóa đến mức ứng dụng, sử dụng chung màn hình cho cả 2 máy, đặc biệt là chống in màn hình, chống việc thâm nhập vào các máy chủ ảo. Ngoài ra, giải pháp còn tích hợp một số ứng dụng như hệ thống quản lý văn bản điều hành tác nghiệp và hệ thống báo cáo, công bố văn bản lên cổng thông tin điện tử, đồng bộ hóa giữa các VLAN, hệ thống chăm sóc khách hàng cho các  ngân hàng và công ty dịch vụ…

     Có thể nói, các giải pháp thông dụng mang tính đối phó, lãng phí hoặc gây khó khăn cho người dùng, đi kèm đó là tiềm tàng nhiều lỗ hổng. Theo thời gian số lỗ hổng tăng lên do vô tình hay cố ý khiến nguy cơ mất an toàn thông tin ngày càng cao. Điều này đòi hỏi có một giải pháp tiện dụng, dễ quản lý hơn, ít tốn kém hơn và có khả năng nâng cấp mở rộng cho chủ đầu tư. Tuy nhiên, điều quan trọng là cần có một kiến trúc an toàn an ninh chuẩn và sản phẩm phù hợp cho vấn đề an ninh thông tin ở Việt Nam mà trước tiên là cần có quy định về an toàn an ninh mạng LAN cho các cơ quan nhà nước tương tự như Quyết định 2615/QĐ-BTC về đảm bảo an toàn thông tin trên môi trường máy tính và mạng máy tính.

Xin cảm ơn ông!

S 131 tháng 5/2014 eFinance