ỦY BAN NHÂN DÂN TP.HCM
TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THỦ ĐỨC
-------------------------
NGHIÊN CỨU KHOA HỌC
Ứng dụng công nghệ ADRMS xây dựng mơ hình bảo vệ dữ
liệu thư điện tử tại khoa CNTT trường Cao Đẳng Công Nghệ
Thủ Đức
Chủ nhiệm đề tài: Lê Diên Tâm
Tp. Hồ Chí Minh
Tháng 04 năm 2015
Trang | 1
Mục lục
CHƯƠNG 1: GIỚI THIỆU .................................................................................................................... 7
1.1 Thực trạng vấn đề......................................................................................................................... 7
1.2 Mục tiêu đề tài ............................................................................................................................. 7
1.3 Đối tượng nghiên cứu ................................................................................................................... 7
1.4 Phạm vi nghiên cứu ...................................................................................................................... 7
1.5 Phương pháp nghiên cứu .............................................................................................................. 7
1.6 Bố cục đề tài ................................................................................................................................ 7
CHƯƠNG 2: TỔNG QUAN VỀ ADRMS ............................................................................................. 9
2.1 Khái niệm ADRMS ...................................................................................................................... 9
2.2 Chức năng của ADRMS ............................................................................................................... 9
2.3 Ứng dụng của ADRMS ................................................................................................................ 9
CHƯƠNG 3: MƠ HÌNH THỰC NGHIỆM .......................................................................................... 11
3.1 Mơ hình thử nghiệm ................................................................................................................... 11
3.2 Các thiết bị sử dụng .................................................................................................................... 12
3.3 Các kịch bản thử nghiệm ............................................................................................................ 13
CHƯƠNG 4: KẾT LUẬN.................................................................................................................... 44
4.1 Kết quả đạt được và các hạn chế ................................................................................................. 44
4.2 Hướng phát triển của đề tài......................................................................................................... 44
TÀI LIỆU THAM KHẢO .................................................................................................................... 45
Trang | 2
Danh mục hình
Hình 1: Mơ hình chứng thực ADRMS.................................................................................................. 11
Hình 2: Đưa nội dung vào file tài liệu .................................................................................................. 13
Hình 3-Tiến hành gán quyền bằng ADRMS ......................................................................................... 14
Hình 4- Xác thực với User ................................................................................................................... 14
Hình 5- Kết nối đến server ADRMS .................................................................................................... 15
Hình 6- Tiến hành phân quyền trên tài liệu ........................................................................................... 15
Hình 7-Nhập thơng tin user được gán quyền ........................................................................................ 16
Hình 8 – Tiến hành phân quyền............................................................................................................ 16
Hình 9 - Tiến hành phân quyền ............................................................................................................ 17
Hình 10 - Lưu tập tin vừa tạo đến server ADRMS\it ............................................................................ 17
Hình 11 - Log on user cmcrms02 để kiểm tra, truy cập đến server ADRMS ......................................... 18
Hình 12 – Đăng nhập bằng User đã được phân quyền .......................................................................... 19
Hình 13 - Đăng nhập bằng User đã được phân quyền ........................................................................... 19
Hình 14 - Đăng nhập bằng User đã được phân quyền ........................................................................... 19
Hình 15 – Xuất hiện thơng báo từ máy chủ ADRMS ............................................................................ 19
Hình 16 – Xác thực từ server ADRMS ................................................................................................. 20
Hình 17 – Kiểm tra quyền User ............................................................................................................ 20
Hình 18 – Thơng tin phân quyền .......................................................................................................... 20
Hình 19 - Các chức năng chỉnh sửa khơng sử dụng được...................................................................... 21
Hình 20 - Các chức năng chỉnh sửa không sử dụng được...................................................................... 21
Hình 21 – Tạo tài liệu bất kỳ ................................................................................................................ 22
Hình 22 – Tiến hành phân quyền.......................................................................................................... 22
Hình 23 – Thơng tin user đã được phân quyền ..................................................................................... 23
Hình 24 – Tiến hành lưu file ................................................................................................................ 23
Hình 25 – Thơng tin các quyền hạn có thể sử dụng .............................................................................. 24
Hình 26 – Thơng tin User..................................................................................................................... 24
Hình 27 - Thơng tin User ..................................................................................................................... 25
Hình 28 - Đăng nhập user .................................................................................................................... 25
Hình 29 - Xuất hiện thông báo từ máy chủ ADRMS ............................................................................ 26
Hình 30 – Đăng nhập User ................................................................................................................... 26
Hình 31- Kiểm tra các quyền đã phân trên tài liệu ................................................................................ 27
Hình 32 - Kiểm tra các quyền đã phân trên tài liệu ............................................................................... 27
Hình 33 - Kiểm tra các quyền đã phân trên tài liệu ............................................................................... 28
Hình 34 - Kiểm tra các quyền đã phân trên tài liệu ............................................................................... 28
Hình 35 - Kiểm tra các quyền đã phân trên tài liệu ............................................................................... 29
Hình 36 – Tiến hành phân quyền.......................................................................................................... 30
Hình 37 – Gửi thư đi ............................................................................................................................ 30
Hình 38 - Đăng nhập user .................................................................................................................... 31
Hình 39 - Đăng nhập user .................................................................................................................... 31
Hình 40 – Kiểm tra quyền trên email.................................................................................................... 32
Hình 41 - Kiểm tra quyền trên email .................................................................................................... 32
Hình 42 – Gán quyền cho user ............................................................................................................. 33
Hình 43 – Đính kèm tập tin vào email .................................................................................................. 33
Hình 44 – Đăng nhập user .................................................................................................................... 34
Hình 45 – Kiểm tra quyền của user ...................................................................................................... 34
Hình 46 - Đăng nhập user .................................................................................................................... 35
Hình 47 - Kiểm tra quyền của user ....................................................................................................... 35
Trang | 3
Hình 49 - Kiểm tra quyền của user ....................................................................................................... 36
Hình 50 – Phân quyền cho user dùng template ..................................................................................... 37
Hình 51 – Tiến hành gửi thư đi ............................................................................................................ 37
Hình 52 - Đăng nhập user .................................................................................................................... 38
Hình 53 - Kiểm tra email ..................................................................................................................... 38
Hình 54 - Đăng nhập user .................................................................................................................... 39
Hình 55 - Kiểm tra quyền của user ....................................................................................................... 39
Hình 56 - Kiểm tra quyền của user ....................................................................................................... 40
Hình 57 - Kiểm tra quyền của user ....................................................................................................... 40
Hình 58 - Kiểm tra mail trên tình duyệt web ........................................................................................ 41
Hình 59 - Đăng nhập user .................................................................................................................... 41
Hình 60 - Kiểm tra quyền của user ....................................................................................................... 42
Hình 61 - Kiểm tra quyền của user ....................................................................................................... 42
Hình 62 - Kiểm tra quyền của user ....................................................................................................... 43
Hình 63 - Kiểm tra quyền của user ....................................................................................................... 43
Trang | 4
LỜI MỞ ĐẦU
Với sự phát triển của mạng internet và ứng dụng công nghệ thông tin ngày một rộng
rãi. Việc trao đổi thơng tin thơng qua hình thức thư điện tử ngày nay được ứng dụng rộng
khắp trong các cơ quan, cơng ty, xí nghiệp, trường học. Nó đáp ứng kịp thời với xu thế
phát triển của xã hội. Việc trao đổi thông tin, chia sẽ tài nguyên, dữ liệu được diễn ra dễ
dàng, thuận tiện và nhanh chóng. Từ đó nhu cầu bảo mật tài liệu, thơng tin trong nhà
trường ngày càng được quan tâm và cần thiết. Việc tìm hiểu, ứng dụng cơng nghệ
ADRMS nhằm đáp ứng các nhu cầu bảo mật thông tin, tài liệu trong nhà trường là điều
cần thiết.
Việc nghiên cứu và ứng dụng triển khai công nghệ này giúp hạn chế việc mất dữ liệu
không mong muốn ra khỏi nhà trường. Đảm bảo được tín bí mật của thơng tin, các dữ
liệu được mã hóa và chứng thực bởi nhiều lớp. Đồng thời có thể được áp dụng vào việc
dạy học cho sinh viên chun ngành Truyền thơng và mạng máy tính nhằm nâng cao sự
u thích, tìm tịi vào các cơng nghệ bảo mật mạng phục vụ cho nhu cầu ngày càng cao
của xã hội.
Chủ nhiệm đề tài
Lê Diên Tâm
Trang | 5
LỜI CÁM ƠN
Trước hết, tôi xin chân thành cảm ơn Quý Thầy / Cô và ban lãnh đạo nhà trường
đã tạo điều kiện để chúng tôi thực hiện đề tài nghiên cứu “Ứng dụng cơng nghệ ADRMS
xây dựng mơ hình bảo vệ dữ liệu thư điện tử tại khoa CNTT trường Cao Đẳng Công
Nghệ Thủ Đức”.
Xin chân thành cảm ơn tất cả Quý Thầy / Cô Khoa Công Nghệ Thông Tin đã hỗ trợ
tôi cài đặt và kiểm chứng kết quả thí nghiệm tại Khoa Cơng Nghệ Thơng Tin trường Cao
Đẳng Công Nghệ Thủ Đức.
Chủ nhiệm đề tài
Lê Diên Tâm
Trang | 6
CHƯƠNG 1: GIỚI THIỆU
1.1 Thực trạng vấn đề
Với tốc độ phát triển của xã hội hiện nay, việc ứng dụng công nghệ thông tin vào công
việc quản lý, giao tiếp, trao đổi thông tin với nhau ngày càng phổ biến. Bên cạnh đó việc
sử dụng thư điện tử trong giao tiếp, liên lạc giữa các nhân viên, phòng ban với nhau là
điều cần thiết, đó là một cơng cụ hỗ trợ rất nhiều cho mọi người trong công việc. Tuy
nhiên, bên cạnh đó cũng cịn xảy ra nhiều vấn đề như việc bị mất thông tin, nội dung các
tài liệu nhạy cảm của doanh nghiệp, nhà trường. Công nghệ ADRMS được xây dựng để
giúp nhà trường, doanh nghiệp bảo vệ việc các thông tin, nội dung thư và các tài liệu
quan trọng của mình khỏi những người khơng mong muốn.
1.2 Mục tiêu đề tài
Tìm hiểu, triển khai và xây dựng mơ hình thư điện tử Exchange 2013 và kết hợp với
công nghệ ADRMS trong việc bảo vệ các thông tin, nội dung thư và tài liệu của doanh
nghiệp, nhà trường.
1.3 Đối tượng nghiên cứu
Đề tài này tập trung nghiên cứu vào các đối tượng chủ yếu sau:
- Các tính năng của công nghệ ADRMS
- Hoạt động của ADRMS khi kết hợp với Exchange Server 2013
-
Các điểm mới trong Exchange 2013
1.4 Phạm vi nghiên cứu
Các nghiên cứu và đánh giá đều dựa trên sự hoạt động mơ hình thư điện tử kết hợp
với công nghệ ADRMS. Đề tài sẽ chỉ tập trung nghiên cứu xây dựng và vận hành mơ
hình hoạt động của thư điện tử kết hợp với khả năng xác thực người dung của ADRMS
1.5 Phương pháp nghiên cứu
Các nghiên cứu được thực hiện thông qua việc giả lập mơ hình Lab dựa tên cơng nghệ
ảo hố của Microsoft Hyper V, Exchange server 2013, ADRMS, Microsoft Office 2010
1.6 Bố cục đề tài
Bố cục đề tài gồm có bốn chương và tài liệu tham khảo:
- Chương 1: Giới thiệu
Giới thiệu về đề tài nghiên cứu: mục tiêu nghiên cứu, đối tượng và phương pháp
nghiên cứu.
Trang | 7
- Chương 2: Tổng quan về ADRMS
Đề cập các cơ sở lý thuyết căn bản về ADRMS.
- Chương 3: Mô hình kiểm chứng
Mơ hình thí nghiệm và kết quả đạt được từ các kịch bản được giả lập.
- Chương 4: Kết luận
Kết luận dựa vào các kết quả thu được, các mặt hạn chế của đề tài và hướng phát
triển của đề tài trong tương lai.
- Tài liệu tham khảo
Trang | 8
CHƯƠNG 2: TỔNG QUAN VỀ ADRMS
2.1 Khái niệm ADRMS
Active Directory Rights Management Services (ADRMS) là một công nghệ cho phép
bảo vệ thông tin của doanh nghiệp như là email, tài liệu khỏi các nguồn khơng được phép
xem, xóa, sửa giúp ngăn chặn các thông tin nhạy cảm, chẳng hạn như các báo cáo tài
chính, thơng số kỹ thuật sản phẩm, dữ liệu khách hàng, và các e-mail do cố ý hoặc vơ
tình rơi vào tay những người khơng mong muốn. Qua đó giúp tăng cường an ninh bảo
đảm an tồn thông tin cho doanh nghiệp, trường học.
ADRMS cấp quyền đúng cho tài khoản được xác thực nhằm biết được tính đúng đắng
của user, group, và các dịch vụ. Một khi user chứng minh được tính pháp lý của mình thì
user đó có hồn tồn có thể truy cập vào các nguồn tài nguyên thông tin được cấp quyền,
làm việc với nó và tất cả thơng tin đó hồn tồn được bảo vệ. Cơ chế mã hóa sẽ được áp
dụng để bảo vệ thơng tin cả bên trong và bên ngồi doanh nghiệp, trường học.
2.2 Chức năng của ADRMS
Safeguard sensitive information (Bảo vệ các thông tin nhạy cảm): Với các ứng
dụng như văn bản, e-mail, và các ứng dụng kinh doanh. AD RMS có thể xác định
những người có thể mở, chỉnh sửa, in ấn, chuyển tiếp, hoặc có những hành động
khác với các thơng tin. Các tổ chức có thể tạo sẵn các chính sách mẫu (Template)
để áp dụng trực tiếp đến các thông tin, dữ liệu trong công ty.
Persistent protection (Bảo vệ liên tục): AD RMS giúp tăng cường các giải pháp
an ninh hiện có, chẳng hạn như tường lửa và các danh sách kiểm soát truy cập
(ACL), bảo vệ thơng tin tốt hơn bằng cách khóa quyền sử dụng trong tài liệu, kiểm
sốt thơng tin được sử dụng ngay cả sau khi nó đã được mở bởi người nhận.
Flexible and customizable technology (Linh hoạt và tùy biến): Các nhà cung
cấp phần mềm bên ngồi có thể sử dụng AD RMS cho bất kỳ ứng dụng nào chạy
trên Windows hoặc hệ điều hành khác. ADRMS được kích hoạt để tích hợp bảo vệ
thơng tin vào các giải pháp dựa trên máy chủ như tài liệu và hồ sơ quản lý, e-mail
gateway và các hệ thống lưu trữ.
2.3 Ứng dụng của ADRMS
2.3.1 AD RMS và vấn đề chống thất thoát dữ liệu qua đường mail
Việc chia sẻ và trao đổi thông tin qua email dường như đã trở thành một phần
khơng thể thiếu của bất kì doanh nghiệp nào. Do đó vấn đề bảo vệ thơng tin là thực sự
cần thiết. ADRMS áp dụng cho cả người gửi và người nhận đối với Outlook client trên
Trang | 9
máy tính lẫn trên điện thoại. Qua đó người dùng có thể sử dụng các chính sách phân
quyền truy cập thơng tin dựa trên các template có sẵn do người quản trị vận hành:
Cấm chuyển đi (Do Not Forward): được dùng để ngăn chặn người dùng
chuyển nội dung email cho người thứ ba.
Cấm gửi lại cho tất cả mọi người trong loop mail (Do Not Reply All): được
dùng để ngăn chặn người nhận trả lời email lại cho tất cả những người trong
loop mail ngoại trừ người gửi.
Nội dung email là chỉ đọc không được copy hay in ấn (Read Only): là cách
thức cấm người nhận in, sao chụp email hay lưu file đính kèm xuống máy.
Cơ chế Read Only thường đi chung với template Do Not Forward.
Nội dung email bị giới hạn theo nhóm người (Company User Group
Confidential): được dùng để đảm bảo email nhạy cảm liên quan đến nhân sự,
chính sách cơng ty, thơng tin mật khơng lọt ra khỏi nhóm người dùng mong
muốn.
Nội dung chỉ được xem trong thời gian nhất định (Expire Date): được áp
dụng cho các tài liệu thuộc loại tối mật và người dùng nhận chỉ có thể xem
trong khoảng thời gian nhất định mà thôi.
2.3.2. AD RMS và vấn đề chống thất thoát cho các loại dữ liệu trên máy chủ-máy
trạm-USB
Mặc định các loại dữ liệu văn phòng như Word, Excel, Powerpoint sau khi đã được
bảo vệ bằng AD RMS thì đã được mã hóa nên cho dù các loại dữ liệu này có được lưu trữ
trên máy chủ file server, máy trạm, máy tính xách tay hay thiết bị lưu trữ di động thì vẫn
khơng làm ảnh hưởng đến tính tồn vẹn và cơ chế phân quyền trong đó. Người dùng cũng
có thể thiết lập các chính sách phân quyền do công ty thiết lập tương tự như nội dung
email chẳng hạn chỉ đọc cấm in cấm copy cấm chỉnh sửa, chỉ cho những nhóm người
dùng nhất định truy cập, thiết lập ngày hết hạn....
Trang | 10
CHƯƠNG 3: MƠ HÌNH THỰC NGHIỆM
3.1 Mơ hình thử nghiệm
Hiện trạng:
Hiện tại hệ thống hạ tầng tại khoa công nghệ thông tin đang sử dụng chung với hệ thống tại trường.
Đề xuất:
Xây dựng mơ hình như bên dưới: Sử dụng 1 máy Active directory, 1 máy chủ email, 1 máy chủ chứng
thực ADRMS và các máy trạm
Hình 1: Mơ hình chứng thực ADRMS
Mơ hình sử dụng các thiết bị như sau:
Server 2012 R2 Domain controller
Server 2012 R2 Mail Exchange 2013
Server 2012 R2 ADRMS
Client Win 8.1
Trang | 11
3.2 Các thiết bị sử dụng
Mơ hình thử nghiệm u cầu các loại phần cứng và mềm
Thiết bị
Chức năng
Phần cứng
Server 1
Domain controller
Ảo hoá Hyper V
Phần mềm
Winserver 2012 R2
Active Directory
Winserver 2012 R2
Server 2
Mail Exchange
Ảo hoá Hyper V
Exchange 2013
Winserver 2012 R2
Server 3
ADRMS Server
Ảo hoá Hyper V
ADRMS
Gửi/nhận email
Client 1
Kiểm tra hoạt động của
ADRMS
Windows 8.1
Ảo hoá Hyper V
Microsoft Office 2010
Trang | 12
3.3 Các kịch bản thử nghiệm
3.3.1 Sử dụng ADRMS bảo vệ các loại dữ liệu trên máy chủ-máy trạm-USB
Dữ liệu được tạo ra từ Microsoft Office sẽ được mã hoá bằng ADRMS và khi
người dùng muốn sử dụng thì phải được chứng thực từ server ADRMS.
3.3.1.1 Khơng có Template ADRMS
Tại máy client
Logon máy client bằng user cmcrms01 kiểm tra hoạt động của AD RMS (không
sử dụng Template)
Nhập nội dung bất kỳ
Hình 2: Đưa nội dung vào file tài liệu
Chọn Restrict Permision by People để tiến hành phân quyền cho user
Trang | 13
Hình 3-Tiến hành gán quyền bằng ADRMS
Nhập password user cmcrms01
Hình 4- Xác thực với User
Trang | 14
Quá trình kết nối đến server ADRMS
Hình 5- Kết nối đến server ADRMS
Permission
Hình 6- Tiến hành phân quyền trên tài liệu
Trang | 15
Cấp cho user cmcrms02 quyền read
Hình 7-Nhập thơng tin user được gán quyền
Hình 8 – Tiến hành phân quyền
Trang | 16
Hình 9 - Tiến hành phân quyền
Hình 10 - Lưu tập tin vừa tạo đến server ADRMS\it
Trang | 17
Hình 11 - Log on user cmcrms02 để kiểm tra, truy cập đến server ADRMS
Trang | 18
Hình 12 – Đăng nhập bằng User đã được phân quyền
Hình 13 - Đăng nhập bằng User đã được phân quyền
Hình 14 - Đăng nhập bằng User đã được phân quyền
Hình 15 – Xuất hiện thơng báo từ máy chủ ADRMS
Trang | 19
Kết nối đến server ADRMS để xác thực quyền của user
Hình 16 – Xác thực từ server ADRMS
Hình 17 – Kiểm tra quyền User
User cmcrms02 chỉ có quyền View trên tài liệu này
Hình 18 – Thơng tin phân quyền
Trang | 20
Hình 19 - Các chức năng chỉnh sửa khơng sử dụng được
Hình 20 - Các chức năng chỉnh sửa khơng sử dụng được
Trang | 21
3.3.1.2 Có Templates
Tại máy client đăng nhập với user cmcrms01 tạo file tài liệu với nội dung bất kỳ
Hình 21 – Tạo tài liệu bất kỳ
Phân quyền với template test2adrmslab
Hình 22 – Tiến hành phân quyền
Trang | 22
Hình 23 – Thơng tin user đã được phân quyền
Hình 24 – Tiến hành lưu file
Trang | 23
Quay lại máy server ADRMS xem các quyền đã phân cho templates
Hình 25 – Thơng tin các quyền hạn có thể sử dụng
Các user trong group it
Hình 26 – Thông tin User
Trang | 24
Các user trong group manager
Hình 27 - Thơng tin User
Đăng nhập với user cmcrms05, tiến hành mở file word đã phân quyền bằng
template ADRMS
Hình 28 - Đăng nhập user
Trang | 25