• vi-VNen-GB

BỘ GIẢI PHÁP V-AZUR BẢO VỆ AN NINH DỮ LIỆU CHO MẠNG NỘI BỘ KHI TRUY CẬP INTERNET VÀ LÀM VIỆC TỪ XA QUA INTERNET

Hiện nay, các vấn đề về an ninh mạng hay chống tin tặc là những vấn đề đang được sự quan tâm chú ý của nhiều cơ quan, tổ chức và cả cộng đồng, đặc biệt với các đơn vị yêu cầu bảo mật tuyệt đối. Theo một đánh giá gần đây, các Website và mạng nội bộ Việt Nam đang có mức độ mất an toàn cao. Việt Nam đang là một trong 3 quốc gia dễ bị tổn thương nhất về an ninh mạng. Theo báo cáo năm 2011 của Bộ Công An, tình hình an ninh mạng của Việt Nam đã trở nên rất nghiêm trọng, đặc biệt tại các cơ quan trong hệ thống chính trị, các ngân hàng và các tổng công ty lớn  

Từ năm 2004, Bộ trưởng Bộ Công An, đã có Quyết định số 71/2004/QĐ-BCA, quy định về bảo đảm an toàn an ninh mạng liên quan đến sử dụng và quản lý Internet có giải pháp nghiêm cấm hành vi “Lưu giữ trên máy tính kết nối Internet tin, tài liệu, số liệu thuộc bí mật nhà nước”.Biện pháp này được giải thích theo nhiều cách sai lệch như “cấm tuyệt đối sử dụng Internet”, “mỗi cán bộ công chức phải được trang bị 2 máy tính” hoặc “máy tính có tài liệu bí mật không được nối mạng”,….

Có hai nhu cầu ngày càng tăng trong cơ quan nhà nước và trong các doanh nghiệp là làm việc từ xa và truy cập Internet. Việc tuyệt đối cấm sử dụng Internet là đi ngược lại với chủ trương ứng dụng CNTT để hiện đại hóa đất nước.Hiện nay, các cán bộ, công chức đã có thói quen tải về các tài liệu quy phạm pháp luật, biểu mẫu từ các Website do chính Chínhphủ cung cấp để giúp cho việc soạn thảo văn bản và công tác nghiệp vụ. Việc đọc tin tức, trau dồi kiến thức sử dụng tài nguyên trên mạng đã trở thành một thói quen và là phương tiện làm việc hữu hiệu không thể thiếu đối với cán bộ. Mọi biện pháp ngăn cấm đều dẫn tới các biện pháp “vượt rào” tự phát, làm tình hình càng thêm phức tạp khó kiểm soát. Bên cạnh đó, các cán bộ lãnh đạo đi công tác xa hoặc làm việc ở nhà cũng có nhu cầu truy cập vào mạng nội bộ để xử lý công văn, đơn thư và đọc hồ sơ tài liệu.

 Việc sử dụng 2 máy tính, hoặc không cho nối mạng không hề làm tăng tính an ninh vào bảo mật. Do nhu cầu công việc, cán bộ công chức thường sử dụng thiết bị lưu trữ theo cổng USB, thiết bị truy cập 3G ,… hoặc chuyển hoàn toàn sang dùng máy tính cá nhân riêng và đưa tài nguyên, tài liệu, số liệu bí mật sao chép lung tung làm phá vỡ mọi quy định và chính sách bảo mật nội bộ đã có. Bảo mật là vấn đề của con người. Nếu không có nhận thức phù hợp, cùng với các biện pháp kỹ thuật làm công việc trở nên tiện lợi và một chính sách rõ ràng, dễ thực hiện, các biện pháp thuần túy hành chính sẽ vô ích, gây cản trở tiến bộ và gây lãng phí của cải của nhà nước mà tình hình giữ bảo mật an ninh sẽ ngày càng khó kiểm soát.

Bộ giải pháp V-AZZUR do Công ty VIEGRID, Viện CNTT, ĐHQGHN hợp tác phát triển được sự chỉ đạo nghiệp vụ, cộng tác nghiên cứu và kiểm thử kỹ thuật của Cục cảnh sát phòng chống tội phạm sử dụng công nghệ cao (C50), Bộ Công An là một giải pháp đơn giản, ít tốn kém mà giải quyết được hầu hết vấn đề  đã nêu thực hiện quy định của Bộ Công An vừa đem lại tiện lợi tối đa cho người dùng. Bộ giải pháp này sử dụng công nghệ VCM12 do công ty VIEGRID phát triển trên cơ sở của giải pháp VIE-VPN2.0 đã được triển khai thành công tai một số cơ quan nhà nước trọng yếu.


Hình 1: Tổ chức mạng LAN trong giải pháp V-AZUR

Hệ thống V-AZUR có các nhóm chức năng chính sau đây:

1.      Truy cập Internet an toàn: Cho phép người dùng đang làm việc ở mạng trong, không có kết nối Internet, truy cập Internet và bảo vệ an ninh dữ liệu, chống thất thoát dữ liệu, thông tin và ngăn chặn phơi nhiễm mã độc.

2.      Làm việc từ xa an toàn: Cho phép người dùng  có kết nối Internet, truy cập vào mạng nội bộ và làm việc từ xa, chống thất thoát dữ liệu và ngăn chặn phơi nhiễm mã độc.

Các chức năng trên được thực hiện trên cơ sở tuân thủ quy định tại Quyết định 71a/2004/BCA của Bộ trưởng Công An. Cụ thể là

Truy cập Internet

 

a.      Người dùng sử dụng phần mềm V-EAGLE Client trên máy trạm thuộc mạng trong không có kết nối Internet, kích hoạt một giao thức an toàn đặc biệt, nối bàn phím và màn hình của máy trạm này tới máy chủ V-EAGLE ở mạng ngoài.

b.      Máy chủ V-EAGLE, sau khi kiểm soát quyền truy cập của máy trạm, sinh ra một máy ảo và khởi động một trình duyệt trên máy ảo. Mọi hình ảnh của trình duyệt ảo hóa sẽ được truyền tới màn hình của máy trạm ở mạng trong, và tác động trên bàn phím của máy này sẽ được truyền tới ứng dụng của trình duyệt nhờ giao thức nói trên.

c.       Giữa các ứng dụng, thông tin trên máy trạm ở mạng trong và trình duyệt ảo hóa trên V-EAGLE hoàn toàn không có bất cứ sự trao đổi dữ liệu nào, dù là vô tình hay cố ý. Vì vậy người dùng không thể chuyển dữ liệu, tài liệu ra mạng ngoài và từ đó lên Internet và cũng không thể đưa mã độc vào mạng trong, dù là vô tình hay cố ý.

d.      Các tài liệu tải từ trên mạng về, nếu người dùng có yêu chuyển vào mạng bên trong, hệ thống sẽ tiến hành quét và chỉ cho phép các tệp được quy định là an toàn mới được chuyển vào mạng trong nhờ giao thức an toàn nói trên.

 

Làm việc từ xa

 

a.      Người dùng sử dụng phần mềm V-PHOENIX Client truy cập vào mạng ngoài của mạng nội bộ. Module VIE-VPN2.0 sẽ kiểm tra quyền truy cập dựa trên các thông số được cài trên phần mềm và các thông số phần cứng của máy trạm từ xa đã được đăng ký từ trước.

b.      Sau khi máy truy cập từ xa đã trở thành thành viên của mạng bên ngoài, phần mềm V-PHOENIX Client lại tiếp tục kích hoạt giao thức an toàn nói trên để kết nối màn hình và bàn phím của máy trạm từ xa với ứng dụng ảo hóa trên máy chủ V-PHOENIX ở mạng trong và bắt đầu truy cập các tài liệu thông tin trong mạng trong.

c.      Nhờ một cơ chế tương tự, trong suốt phiên làm việc ứng dụng ảo hóa hoàn toàn cách ly với các ứng dụng, clipboard, bộ nhớ của máy truy cập từ xa. Do đó việc truyền mã độc từ ngoài vào và thất thoát dữ liệu từ mạng trong ra Internet là tuyệt đối bị loại trừ.