Mở đầu; Hai chƣơng nội dung; Kết luận của luận văn; và Tài liệu tham khảo. Chƣơng I: Thực trạng hệ thống an ninh, an toàn ngành hải quan Chương này giới thiệu về hiện trạng hệ thống mạng, phần mềm của ngành hải quan trước khi đưa ra đề xuất xây dựng mô hình tổng thể. Tiếp đó sẽ đánh giá rủi ro đối với các hệ thống này để chỉ ra các điểm yếu tồn tại trong hệ thống mà tấn công APT có thể khai thác được. Nội dung chi tiết: 1.
Thực trạng hệ thống mạng ngành hải quan. Mô hình triển khai ứng dụng nghiệp vụ ngành hải quan. Thực trạng hệ thống bảo mật ngành hải quan. Đánh giá rủi ro.
11 Chƣơng II: Các giải pháp phòng chống tấn công APT Trong chương này giới thiệu các kiến thức căn bản về cách thức tấn công APT và trình bày hai giải pháp phòng chống tấn công APT đang được đánh giá cao của hãng Fireeye và hãng Checkpoint. Chương này cung cấp các thông tin nền tảng cho việc xây dựng mô hình đảm bảo an toàn thông tin cho ngành hải quan trong chương tiếp theo. Nội dung chi tiết: 1. Vấn đề tấn công APT.
Giải pháp ngăn chặn tấn công APT của hãng Fireeye. Giải pháp ngăn chặn tấn công APT của hãng Checkpoint. Chƣơng III: Mô hình đảm bảo an toàn cho hệ thống thông tin ngành hải quan Nội dung chính của chương là trình bày biện pháp phòng chống tấn công APT đồng thời đề xuất ra mô hình đảm bảo an ninh an toàn cho hệ thống thông tin ngành hải quan phòng chống tấn công APT. Cụ thể phần đầu chương sẽ tiến hành phân tích kết hợp với các ý kiến của các chuyên gia nghiên cứu về APT từ đó lựa chọn giải pháp phù hợp với hiện trạng đã được tìm hiểu trong phần đầu của luận văn.
Phần tiếp theo trình bày mô hình và phương án triển khai giải pháp APT được đề xuất cho hệ thống thông tin ngành hải quan. Cuối cùng là một số kết quả triển khai thử nghiệm và đánh giá. Nội dung chi tiết: 1. Thiết kế hệ thống an toàn chống lại APT.
Đề xuất cho hệ thống thông tin ngành hải quan. Một số kết quả thử nghiệm và đánh giá. THỰC TRẠNG HỆ THỐNG AN NINH, AN TOÀN NGÀNH HẢI QUAN Chương này giới thiệu về hiện trạng hệ thống mạng, phần mềm của ngành hải quan trước khi đưa ra đề xuất xây dựng mô hình tổng thể. Tiếp đó sẽ đánh giá rủi ro đối với các hệ thống này để chỉ ra các điểm yếu tồn tại trong hệ thống mà tấn công APT có thể khai thác được.
Thực trạng hệ thống mạng ngành hải quan Ngành hải quan hiện nay hoạt động theo mô hình xử lý tập trung, tiếp nhận và xử lý dữ liệu tại cấp Tổng cục Hải quan. Theo mô hình này, các Cục hải quan tại các Tỉnh và các Chi cục hải quan cấp Quận, Huyện cần phải có kết nối mạng với Tổng cục hải quan thông qua hạ tầng mạng WAN. Mô hình tổng thể kết nối mạng ngành hải quan đƣợc thể hiện qua hình dƣới đây: Hình 1: Mô hình tổng thể kết nối mạng ngành hải quan Theo mô hình tổng thể trên (Hình 1) thì mạng của ngành hải quan bao gồm: Mạng tại Tổng cục Hải quan: bao gồm Trung tâm dữ liệu chính và khu văn phòng làm việc; 13 Mạng tại 35 Cục Hải quan(CHQ): gồm 9 Cục Hải quan lớn có Trung tâm dữ liệu (TTDL) và 26 Cục Hải quan không có TTDL; Mạng tại khoảng hơn 200 đơn vị Hải quan cấp Chi cục(CCHQ) và tƣơng đƣơng; Để làm rõ hơn về hiện trạng hệ thống mạng của các đơn vị trong toàn ngành, dƣới đây sẽ mô tả chi tiết về hệ thống mạng tại Cục Hải quan có và không có TTDL cũng nhƣ tại Chi Cục Hải quan và trung tâm dữ liệu. a) Hạ tầng tại Cục Hải quan có Trung tâm dữ liệu DMZ IPS Internet DataBase IPS FW MGT Proxy APP Proxy IWSS FW WAN BTC Users Zone AD Ghi chú: 1 GbE Copper 1 GbE Fibber Kết nối WAN Hình 2: Hiện trạng mô hình mạng tại 9 Cục Hải quan có TTDL Hiện tại hệ thống tại Cục có TTDL đã chia tách thành các phân vùng mạng với chức năng riêng biệt và trang bị các giải pháp bảo mật cơ bản mức mạng.
Cụ thể nhƣ sau: - Khối mạng ngƣời dùng cuối: đã đƣợc chia thành các VLAN với vai trò ngƣời dùng khác nhau. - Khối Trung tâm dữ liệu tại Cục gồm các vùng mạng sau đây: 14 VLAN MGT: Vùng mạng quản trị chứa các máy chủ, quản trị theo dõi vận hành hệ thống. VLAN AD: Chƣa các máy chủ domain Active Directory. Phục vụ cho việc quản lý ngƣời dùng, phân quyền truy cập.
VLAN – Database: Bao gồm các máy chủ cơ sở dữ liệu phục vụ cho ngƣời dùng tại Cục. VLAN APP: Bao gồm các máy chủ ứng dụng phục vụ các kết nối từ ngƣời dùng các Chi cục. - Khối Internet: Vùng Internet Access – Cung cấp dịch vụ cho ngƣời dùng bên trong ra Internet. Các truy cập Internet của ngƣời dùng sẽ đƣợc lọc virus và lọc URL qua thiết bị IWSS và đƣợc bảo vệ bởi tƣờng lửa VLAN DMZ: Cung cấp các dịch vụ ra Internet chứa các máy chủ public dịch vụ ra Internet.
Bảo vệ bởi tƣờng lửa 1 cặp tƣờng lửa. - Khối kết nối WAN giữa các Chi cục và Tổng cục qua hạ tầng truyền thông của Bộ Tài chính. Sử dụng chung tƣờng lửa với cặp tƣờng lửa tại khối trung tâm dữ liệu. b) Hạ tầng Cục Hải quan không có Trung tâm dữ liệu Internet WAN BTC FW Hình 3: Hiện trạng mô hình mạng của Cục Hải quan không có TTDL 15 Hiện tại hệ thống tại Cục không có TTDL(hình 3) đã chia tách thành các phân vùng mạng với chức năng riêng biệt và trang bị các giải pháp bảo mật cơ bản mức mạng.
Cụ thể nhƣ sau: Khối mạng ngƣời dùng cuối: đã đƣợc chia thành các Vlan với vai trò cho ngƣời dùng khác nhau. Khối Trung tâm dữ liệu tại Cục gồm các vùng mạng sau đây: VLAN MGT: Vùng mạng quản trị chứa các máy chủ, quản trị theo dõi vận hành hệ thống. VLAN AD: Chƣa các máy chủ domain Active Directory. Phục vụ cho việc quản lý ngƣời dùng, phân quyền truy cập.
VLAN DB & APP: Bao gồm các máy chủ ứng dụng và cơ sở dữ liệu phục vụ cho ngƣời dùng tại Cục. Khối Internet: Vùng Internet Access – Cung cấp dịch vụ cho ngƣời dùng bên trong ra Internet. VLAN Public: Cung cấp các dịch vụ ra Internet chứa các máy chủ public dịch vụ ra Internet và đƣợc bảo vệ bởi tƣờng lửa 1 thiết bị tƣờng lửa. Khối kết nối WAN giữa các Chi cục và Tổng cục qua hạ tầng truyền thông của Bộ Tài chính.
Sử dụng chung tƣờng lửa với cặp tƣờng lửa tại khối trung tâm dữ liệu. c) Hạ tầng truyền thông tại Chi cục Hải quan Các chi cục Hải quan (hình 4) kết nối trực tiếp vào hạ tầng truyền thông của Bộ Tài chính Tại Chi cục Hải quan chỉ có mạng LAN, không có hệ thống server. 16 Hiện trạng hệ thống tại Chi cục User Zone WAN /HT BTC Ghi chú: 1 GbE Copper 1 GbE Fibber 10 GbE Kết nối WAN Hình 4: Hạ tầng truyền thông tại Chi cục Hải quan d) Hạ tầng trung tâm dữ liệu Tổng cục Hải quan: Internet Core Servers APP DB Core Network Internet Service IPS Core IPS FW Anti-DDoS IPS FW Partners (LL, MegaWAN) SSL VPN WAN Module FW WAN BTC DDoS QOS Hình 5: Hiện mạng mô hình mạng tại TTDL Tổng cục Hải quan Hiện trạng hệ thống mạng tại Trung tâm dữ liệu Tổng cục Hải quan đã đƣợc phân chia thành các khối rõ ràng (hình 5), các khối cũng đƣợc trang bị các thiết bị mạng chạy dự phòng chia tải phục vụ truyền dẫn. 17 Khối Internet: bao gồm các vùng mạng Internet Access, DMZ, Internet Service, Remote Access: Vùng Internet Access – Cung cấp dịch vụ cho ngƣời dùng bên trong truy cập ra Internet.
Đã triển khai giải pháp bảo mật chuyên dụng lọc URL, lọc malware trên luồng web nhằm giảm thiểu nguy cơ từ Internet. Cụ thể đang sử dụng 02 thiết bị Proxy và 02 Router tích hợp tính năng tƣờng lửa. Vùng Internet Service: Cung cấp các dịch vụ ra ngoài Internet, sử dụng 01 cặp Router kết nối tới các nhà cung cấp dịch vụ. Việc bảo vệ hệ thống máy chủ public vùng DMZ đƣợc thực hiện 1 cặp tƣờng lửa chạy dự phòng chia tải.
Cặp tƣờng lửa này cũng làm nhiệm vụ kiểm soát kết nối từ ngoài Internet vào các dịch vụ công cộng trong hệ thống. Ngoài ra, THCQ đang triển khai các hệ thống Comment [M1]: Đổi sang tiếng việt bảo mật giảm thiểu tấn công từ chối dịch vụ, tƣờng lửa chuyên dụng cho ứng dụng web, thiết bị chống tấn công xâm nhập trái phép và cân bằng tải cho ứng dụng tại module này. Vùng DMZ: Chứa các máy chủ public dịch vụ ra ngoài Internet nhƣ Web Servers, DNS servers, hệ thống máy chủ mail và mail secure. Vùng Remote Access: Cung cấp public dịch vụ dạng portal, cung cấp phiên làm việc an toàn qua kênh kết nối SSL VPN.
Khối mạng lõi: Trung tâm chuyển sử dụng 01 cặp Core Switch. Sử dụng Comment [M2]: Format lại cho nhất quán không để thò thụt lung tung các giải pháp bảo mật mức mạng để ngăn chặn tấn công giữa các vùng mạng: Sử dụng cặp tƣờng lửa Core firewall chạy dự phòng chia tải kiểm soát các kết nối vào/ra hệ thống máy chủ trong mạng lõi. Sử dụng cặp thiết bị phát hiện ngăn chặn xâm nhập trái phép IPS ngăn chặn xâm nhập trái phép vào hệ thống máy CSDL và ứng dụng nghiệp vụ trong vùng lõi. Khối máy chủ ứng dụng/CSDL (Datacenter): Tập trung chủ yếu hệ thống máy chủ ứng dụng nghiệp vụ và máy chủ CSDL của toàn Tổng cục Hải quan.
Phần lớn các máy chủ ảo chạy trên nền tảng ảo hóa VMware. Các máy chủ ảo đƣợc chia thành các vùng mạng với các chức năng độc lập tạo thành các VMnet riêng. Khối kết nối WAN giữa các chi cục và cục về tổng cục qua hạ tầng truyền thông của Bộ Tài chính. Sử dụng cặp Firewall WAN kiểm soát 18 kết nối tại khối này.
Các Bộ ban ngành giao tiếp với hệ thống của TCHQ qua module kết nối này. Khối ngƣời dùng (LAN Building) – Mạng ngƣời dùng của Tổng cục Hải Quan đƣợc phân chia thành các phòng, ban phân bổ theo VLAN trên access switch và distribution switch. Sử dụng tƣờng lửa LAN Firewall kiểm soát truy cập giữa các phân vùng mạng ngƣời dùng. Máy trạm ngƣời dùng đƣợc trang bị phần mềm Antivirus.
Mô hình triển khai ứng dụng ngành hải quan.