Bộ giải pháp V-AZUR
Chuyển đổi số
01/10/2020
Máy dịch tự động
24/09/2020TỔNG QUAN VỀ SẢN PHẨM
Hiện nay, các vấn đề về an ninh mạng hay chống tin tặc là những vấn đề đang được
sự quan tâm chú ý của nhiều cơ quan, tổ chức và cả cộng đồng, đặc biệt với các đơn vị
yêu cầu bảo mật tuyệt đối. Theo một đánh giá gần đây, các Website và mạng nội bộ Việt
Nam đang có mức độ mất an toàn cao. Việt Nam đang là một trong 3 quốc gia dễ bị tổn
thương nhất về an ninh mạng. Theo báo cáo năm 2011 của Bộ Công An, tình hình an
ninh mạng của Việt Nam đã trở nên rất nghiêm trọng, đặc biệt tại các cơ quan trong hệ
thống chính trị, các ngân hàng và các tổng công ty lớn.
Từ năm 2004, Bộ trưởng Bộ Công An, đã có Quyết định số 71A/2004/QĐ-BCA,
quy định về bảo đảm an toàn an ninh mạng liên quan đến sử dụng và quản lý Internet có
giải pháp nghiêm cấm hành vi “Lưu giữ trên máy tính kết nối Internet tin, tài liệu, số liệu
thuộc bí mật nhà nước”. Biện pháp này được giải thích theo nhiều cách sai lệch như “cấm
tuyệt đối sử dụng Internet”, “mỗi cán bộ công chức phải được trang bị 2 máy tính” hoặc
“máy tính có tài liệu bí mật không được nối mạng”,...
Có hai nhu cầu ngày càng tăng trong cơ quan nhà nước và trong các doanh nghiệp
là làm việc từ xa và truy cập Internet. Việc tuyệt đối cấm sử dụng Internet là đi ngược lại
với chủ trương ứng dụng CNTT để hiện đại hóa đất nước. Hiện nay, các cán bộ, công
chức đã có thói quen tải về các tài liệu quy phạm pháp luật, biểu mẫu từ các Website do
chính Chính phủ cung cấp để giúp cho việc soạn thảo văn bản và công tác nghiệp vụ
khác. Việc đọc tin tức, trau dồi kiến thức bằng cách sử dụng tài nguyên trên Internet đã
trở thành một thói quen và là phương tiện làm việc hữu hiệu không thể thiếu đối với cán
bộ. Mọi biện pháp ngăn cấm đều dẫn tới các biện pháp “vượt rào” tự phát, làm tình hình
càng thêm phức tạp khó kiểm soát. Bên cạnh đó, các cán bộ lãnh đạo đi công tác xa hoặc
làm việc ở nhà cũng có nhu cầu truy cập vào mạng nội bộ để xử lý công văn, đơn thư và
đọc hồ sơ tài liệu.
Việc sử dụng 2 máy tính, hoặc không cho nối mạng không hề làm tăng tính an ninh
vào bảo mật. Do nhu cầu công việc, cán bộ công chức thường sử dụng thiết bị lưu trữ
theo cổng USB, thiết bị truy cập 3G,... hoặc chuyển hoàn toàn sang dùng Laptop cá nhân
và đưa tài nguyên, tài liệu, số liệu bí mật sao chép lung tung làm phá vỡ mọi quy định và
chính sách bảo mật nội bộ đã có. Bảo mật là vấn đề của con người. Nếu không có nhận
thức phù hợp, cùng với các biện pháp kỹ thuật làm công việc trở nên tiện lợi và một
chính sách rõ ràng, dễ thực hiện, các biện pháp thuần túy hành chính sẽ vô ích, gây cản
trở tiến bộ và gây lãng phí của cải của nhà nước mà tình hình giữ bảo mật an ninh sẽ
ngày càng khó kiểm soát.
Bộ giải pháp V-AZUR do Công ty VIEGRID.,JSC làm chủ về công nghệ và phát
triển, là bộ giải pháp duy nhất hiện nay dựa trên công nghệ độc quyền đã được cấp bằng
phát minh sáng chế năm 2015 tại Việt Nam. Đã đáp ứng các yêu cầu liên quan về an toàn
an ninh mạng trong Quyết định 71A/2004/QĐ-BCA. Bộ giải pháp V-AZUR đã được
nghiên cứu và kiểm thử kỹ thuật của Cục Cảnh sát Phòng chống Tội phạm sử dụng công
nghệ cao (C50) - Bộ Công An chứng nhận là một giải pháp đơn giản, ít tốn kém và:
“không thể bẻ gãy bằng các phương pháp đã biết”.
Bản vẽ thiết kế sản phẩm:
Bộ giải pháp V-AZUR có các nhóm chức năng chính sau đây:
Truy cập Internet an toàn: Cho phép người dùng đang làm việc ở mạng trong,
không có kết nối Internet vật lý, truy cập được Internet trong một môi trường an toàn và
bảo vệ an ninh dữ liệu, chống thất thoát dữ liệu, thông tin và ngăn chặn phơi nhiễm mã
độc.
Làm việc từ xa an toàn: Cho phép người dùng có kết nối Internet truy cập được vào
mạng nội bộ và làm việc từ xa, chống thất thoát dữ liệu và ngăn chặn phơi nhiễm mã độc.
Các chức năng trên được thực hiện trên cơ sở tuân thủ quy định tại Quyết định
71A/2004QĐ-BCA của Bộ trưởng Công An. Cụ thể là:
Truy cập Internet
a. Người dùng sử dụng phần mềm V-EAGLE Client trên máy trạm thuộc mạng
trong không có kết nối Internet, kích hoạt một giao thức an toàn theo công nghệ
VCM12 của Viegrid, nối bàn phím và màn hình của máy trạm này tới máy chủ
V-EAGLE ở mạng ngoài.
b. Máy chủ V-EAGLE, sau khi kiểm soát quyền truy cập của máy trạm, khởi động
một trình duyệt trong một môi trường cách ly với hệ điều hành. Mọi hình ảnh của
trình duyệt ảo hóa sẽ được truyền tới màn hình của máy trạm ở mạng trong, và
tác động trên bàn phím của máy này sẽ được truyền tới ứng dụng của trình duyệt
nhờ giao thức nói trên.
c. Giữa các ứng dụng, thông tin trên máy trạm ở mạng trong và trình duyệt ảo hóa
trên V-EAGLE hoàn toàn không có bất cứ sự trao đổi dữ liệu nào, dù là vô tình
hay cố ý. Vì vậy, người dùng không thể chuyển dữ liệu, tài liệu ra mạng ngoài và
từ đó chuyển lên Internet và cũng không thể đưa mã độc vào mạng trong, dù là
vô tình hay cố ý.
d. Các tài liệu tải từ Internet về, nếu người dùng có nhu cầu chuyển vào mạng trong,
hệ thống sẽ tiến hành quét và chỉ cho phép các tệp được quy định là an toàn mới
được chuyển vào mạng trong nhờ giao thức an toàn nói trên. Người dùng sẽ mở
các tệp này tại máy trạm, trong một môi trường cách ly nhằm loại bỏ hoàn toàn
sự lây nhiễm mã độc vào mạng trong.
Làm việc từ xa
a. Người dùng sử dụng phần mềm V-PHOENIX Client truy cập vào mạng ngoài
của mạng nội bộ. Thành phần VIE-VPN2.0 của V-PHOENIX Client sẽ kiểm tra
quyền truy cập dựa trên các thông số được cài trên phần mềm và các thông số
phần cứng của máy trạm từ xa đã được đăng ký từ trước.
b. Sau khi máy truy cập từ xa đã trở thành thành viên của mạng bên ngoài, phần
mềm V-PHOENIX Client lại tiếp tục kích hoạt giao thức an toàn nói trên để kết
nối màn hình và bàn phím của máy trạm từ xa với ứng dụng ảo hóa trên máy chủ
4
V-PHOENIX ở mạng trong và bắt đầu truy cập các tài liệu thông tin trong mạng
trong.
c. Nhờ một cơ chế tương tự, trong suốt phiên làm việc ứng dụng ảo hóa hoàn toàn
cách ly với các ứng dụng, clipboard, bộ nhớ của máy truy cập từ xa. Do đó việc
truyền mã độc từ ngoài vào và thất thoát dữ liệu từ mạng trong ra Internet là
tuyệt đối bị loại trừ.
MÔ TẢ SẢN PHẨM
Theo Hình 1, Bộ giải pháp V-AZUR gồm có các thành phần sau đây:
1. Các máy chủ ảo hóa trình duyệt V-EAGLE lắp tại mạng ngoài, giúp chạy các trình
duyệt đã được ảo hóa.
2. Các phần mềm V-EAGLE Client cài đặt trên các máy trạm ở mạng trong, giúp hiển thị
các trình duyệt ảo hóa trên màn hình của máy trạm ở mạng trong.
3. Các máy chủ ảo hóa ứng dụng V-PHOENIX lắp tại mạng trong, giúp làm việc từ xa.
4. Các phần mềm V-PHOENIX Client cài đặt trên các máy trạm từ xa giúp kết nối VPN
an toàn và hiển thị các ứng dụng ảo hóa trên màn hình của máy trạm từ xa.
5. Phần mềm VCM12-VS, giúp kiểm tra cấu hình tường lửa, phát hiện và lấp các lỗ hổng
an ninh trên tường lửa trong ngăn cách mạng trong và mạng ngoài.
Để phát huy tối đa hiệu quả của giải pháp V-AZUR, mạng nội bộ cần được cấu
hình phù hợp, bao gồm các điểm quan trọng sau đây:
1. Mạng nội bộ được phân thành mạng trong và mạng ngoài, là các mạng nội bộ ảo
(VLAN). Trong đó, mạng trong không được phép có kết nối Internet.
2. Mạng trong được ngăn cách với mạng ngoài bởi một tường lửa trong có chức năng
tương đương với ISA của Microsoft.
