Tải bản đầy đủ (.pdf) (78 trang)

Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin ngành hải quan (LV thạc sĩ)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.48 MB, 78 trang )

1

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chƣa từng đƣợc ai
công bố trong bất kì tài liệu nào khác.
Tác giả luận văn ký và ghi rõ họ tên

Lê Thái Giang


2

LỜI CẢM ƠN

Để hoàn thành đƣợc luận văn này, ngoài sự nghiên cứu và những cố gắng
của bản thân, em xin gửi lời cảm ơn sâu sắc tới giảng viên hƣớng dẫn khoa học TS.
Phạm Hoàng Duy đã tận tình chỉ bảo và định hƣớng cho em trong suốt quá trình
nghiên cứu và thực hiện luận văn.
Em xin gửi lời cảm ơn chân thành các thầy cô giảng viên trong khoa Quốc
Tế và Sau Đại Học, khoa Công Nghệ Thông Tin, khoa Cơ Bản của Học Viện Công
Nghệ Bƣu Chính Viễn Thông đã tận tình giảng dạy, hƣớng dẫn em trong suốt quá
trình học tập và nghiên cứu ở Học Viện Bƣu chính Viễn Thông.
Cuối cùng, em xin gửi lời cảm ơn tới gia đình, bạn bè và những ngƣời đã
luôn ở bên em cổ vũ tinh thần, tạo điều kiện thuận lợi cho em để em có thể học tập
tốt và hoàn thiện luận văn.
Em xin chân thành cảm ơn!

Học viên


Lê Thái Giang


3

MỤC LỤC

LỜI CAM ĐOAN ................................................................................................. 1
LỜI CẢM ƠN ....................................................................................................... 2
MỤC LỤC ............................................................................................................ 3
DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT ......................................... 5
DANH SÁCH HÌNH VẼ ...................................................................................... 8
MỞ ĐẦU .............................................................................................................. 9
CHƢƠNG 1. THỰC TRẠNG HỆ THỐNG AN NINH, AN TOÀN NGÀNH
HẢI QUAN ............................................................................................................... 12
1.1. Thực trạng hệ thống mạng ngành hải quan ................................................. 12
1.2. Mô hình triển khai ứng dụng ngành hải quan. ............................................. 18
1.3. Thực trạng hệ thống bảo mật ngành hải quan. ............................................ 22
1.3.1. Mô hình hệ thống ...................................................................................... 22
1.3.2. Các hệ thống bảo mật đã đƣợc trang bị .................................................... 23
1.4. Đánh giá rủi ro ............................................................................................. 24
1.5. Kết luận chƣơng 1 ....................................................................................... 37
CHƢƠNG 2. CÁC GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG APT ............. 40
2.1. Vấn đề tấn công APT................................................................................... 40
2.2. Giải pháp ngăn chặn tấn công APT của hãng Fireeye................................. 47
2.2.1. Giải pháp kỹ thuật chống lại APT của Fireeye......................................... 48
2.2.2. Mô hình triển khai giải pháp..................................................................... 52
2.2.3. Mô hình quản lý ........................................................................................ 53



4

2.3. Giải pháp ngăn chặn tấn công APT của hãng Checkpoint .......................... 55
2.3.1. Giải pháp kỹ thuật chống lại APT của Checkpoint .................................. 56
2.3.2. Các mô hình triển khai của giải pháp ....................................................... 57
2.3.3. Mô hình quản lý ........................................................................................ 58
2.4. Kết luận chƣơng 2 ....................................................................................... 61
CHƢƠNG 3. MÔ HÌNH ĐẢM BẢO AN TOÀN CHO HỆ THỐNG THÔNG
TIN NGÀNH HẢI QUAN ........................................................................................ 63
3.1. Thiết kế hệ thống an toàn chống lại APT .................................................... 63
3.2. Đề xuất cho hệ thống thông tin của ngành hải quan.................................... 69
3.3. Một số kết quả thử nghiệm và đánh giá ...................................................... 71
3.4. Kết luận chƣơng 3 ....................................................................................... 73
KẾT LUẬN ........................................................................................................ 74
DANH MỤC CÁC TÀI LIỆU THAM KHẢO .................................................. 76


5

DANH MỤC CÁC THUẬT NGỮ, CHỮ VIẾT TẮT
Viết tắt

Tiếng Anh

Tiếng Việt

TCHQ

Tổng cục Hải quan


TQĐT

Thông quan điện tử

HTTT

Hạ tầng truyền thông

TTM

Trung tâm miền

TTV

Trung tâm vùng

BTC

Bộ Tài chính

CNTT

Công nghệ thông tin

CSDL

Cơ sở dữ liệu

Cục
CNTT&TK

HQ

Cục Công nghệ thông tin và
thống kê hải quan

GTT

Giá tính thuế

QLRR

Quản lý rủi ro

KTT

Kế toán thuế

APP

Application

Ứng dụng

APT

Advanced Persistent Threat

Tấn công có chủ đích

DB


Database

Cơ sở dữ liệu

Database Administrator

Quản trị hệ thống cơ sở dữ
liệu

Data Center

Trung tâm dữ liệu

DBA
DC


6

DLP

Data loss prevention

Phòng chống rò rỉ dữ liệu

DMZ

Demilitarized Zone


Vùng mạng trung lập giữa
mạng nội bộ và mạng internet

Dos/Ddos

Denial of Service/ Distributed Tấn công từ chối dịch vụ/ tấn
Denial of Service
công từ chối dịch vụ phân tán
Trung tâm dữ liệu dự phòng

DR
FTP

File Transfer Protocol

Giao thức chuyển nhƣợng tập
tin

FW

Firewall

Tƣờng lửa

GUI

Graphical User Interface

Giao diện


HyperText Transfer Protocol

Giao thức truyền tải siêu văn
bản

HTTP

IDS/IPS

Intrusion
system/Intrusion
System

detection
Phát hiện xâm nhập/ phát hiện
Prevention
và ngăn chặn xâm nhập
Ghi nhật ký

Log
NAC
NOC/SOC

Network Access Control

Kiểm soát truy cập mạng

Network Operations Center/ Trung tâm giám sát mạng/
Security Operations Center
Trung tâm giám sát bảo mật

Thiết bị ký số

PKI
QoS

Quality of Service

Chất lƣợng dịch vụ

RDP

Remote Desktop Protocol

Giao thức truy cập từ xa

SIEM

Security information and event
Quản lý thông tin bảo mật
management


7

SMB

Server Message Block

Giao thức SMB


SQL

Structured Query Language

Ngôn ngữ truy vấn mang tính
cấu trúc

SSL

Secure Sockets Layer

Giao thức SSL


8

DANH SÁCH HÌNH VẼ

Hình 1: Mô hình tổng thể kết nối mạng ngành hải quan ....................................12
Hình 2: Hiện trạng mô hình mạng tại 9 Cục Hải quan có TTDL .......................13
Hình 3: Hiện trạng mô hình mạng của Cục Hải quan không có TTDL .............14
Hình 4: Hạ tầng truyền thông tại Chi cục Hải quan ...........................................16
Hình 5: Hiện mạng mô hình mạng tại TTDL Tổng cục Hải quan .....................16
Hình 6: Mô hình logic tổng thể các ứng dụng nghiệp vụ ..................................19
Hình 7: Hệ thống TQDT_TT trao đổi dữ liệu với hệ thống TNTT ....................20
Hình 8: Hệ thống TQDT_TT trao đổi dữ liệu với các hệ thống nghiệp vụ ........21
Hình 9: Hiện trạng bảo mật Trung tâm dữ liệu TCHQ ......................................22
Hình 10: Malware khởi tạo kết nối gửi từ nạn nhân đến C&C ..........................46
Hình 11: Môi trƣờng giả lập FireEye MVX .......................................................49
Hình 12: Công nghệ của Fireeye ........................................................................50

Hình 13: Mô hình triển khai cổng mở rộng (SPAN port) ..................................52
Hình 14: Mô hình triển khai trực tiếp .................................................................53
Hình 15: Các thành phần quản lý của giải pháp Fireeye ....................................53
Hình 16: Mô hình thu thập và chia sẻ thông tin về các cuộc tấn công ...............55
Hình 17: Mô hình triển khai giải pháp Threat Dection & Prevention ................58
Hình 18: Mô hình khả năng tích hợp với các hệ thống hiện có .........................59
Hình 19: Báo cáo tổng hợp hệ thống ..................................................................71
Hình 20: Báo cáo mã độc đã bị phát hiện ...........................................................72
Hình 21: Báo cáo tổng hợp các kiểu mã độc ......................................................72


9

MỞ ĐẦU

Đối với nƣớc ta, tình trạng tin tặc xâm nhập, cài đặt phần mềm gián điệp vào
hệ thống mạng của Chính phủ, các Bộ, Ngành, địa phƣơng có kết nối tới mạng
Internet đã gây ra sự cố, làm sai lệch dữ liệu, đánh cắp thông tin cũng đã từng xảy
ra. Trong năm 2015, các cuộc tấn công mạng có quy mô và mức độ lớn gia tăng dẫn
đến gây mất mát dữ liệu, thiệt hại về kinh tế. Theo thống kê của VNCERT, xu
hƣớng tấn công lừa đảo, mã độc, thay đổi giao diện trở nên phổ biến. Cụ thể, đã có
4.484 sự cố tấn công lừa đảo, 6.122 sự cố thay đổi giao diện, 14.115 sự cố về mã
độc và 3.257 sự cố khác đƣợc ghi nhận trong 11 tháng đầu năm. Bên cạnh đó, trong
các trang web/cổng thông tin điện tử của Cơ quan nhà nƣớc đã có 9 website bị tấn
công thay đổi giao diện với 144 đƣờng dẫn bị thay đổi; 106 website bị cài mã độc
với 227 đƣờng dẫn phát tán mã độc, 1 website bị tấn công cài mã lừa đảo. Bản thân
một số ứng dụng của ngành Tài chính cũng đã từng bị hacker tấn công và gây ra
thiệt hại ở các mức độ khác nhau. Đối với ngành Hải quan, các hệ thống CNTT Hải
quan có vai trò đặc biệt quan trọng để đảm bảo cho toàn bộ hoạt động Hải quan
hàng ngày đƣợc thông suốt và thực hiện cơ chế một cửa quốc gia. Đến nay gần

100% tờ khai hải quan thực hiện thủ tục hải quan điện tử. Các nghiệp vụ khác của
ngành nhƣ kiểm tra sau thông quan, thông tin tình báo ... cũng đƣợc xử lý thông
qua các ứng dụng tập trung tại TTDL. Do vậy, đảm bảo an ninh, an toàn cho hệ
thống thông tin hải quan có ý nghĩa sống còn đến hoạt động của ngành Hải quan.
Theo các chuyên gia bảo mật trong thời gian tới, tình hình tội phạm máy tính
tiếp tục diễn biến phức tạp, khó lƣờng. Thay vì các kiểu tấn công trƣớc đây đã dùng
chúng sẽ sử dụng công nghệ mới và liên tục thay đổi phƣơng thức, thủ đoạn để
tránh bị phát hiện dẫn đến việc phòng chống là vô cùng khó khăn.
Một trong các dạng tấn công tiêu biểu, đƣợc nhắc đến rất nhiều hiện nay là
tấn công APT(Advanced Persistent Threat). Tấn công APT là hình thức tấn công
nguy hiểm, có chủ đích mục tiêu rõ ràng và sử dụng nhiều loại phƣơng pháp, công


10

nghệ tinh vi và phức tạp để tấn công vào mục tiêu nhằm đạt đƣợc những thông tin
mật, nhạy cảm. Các nƣớc lớn có nền công nghệ thông tin phát triển nhƣ Mỹ, Ấn Độ,
Anh… và cả Việt Nam cũng đã đều là nạn nhân của cuộc tấn công có chủ đích này.
Các nhà nghiên cứu bảo mật dự đoán rằng trong năm 2015, 2016 hoạt động của các
cuộc tấn công APT đã đạt đến một tầm cao mới, các cuộc tấn công sẽ tăng thêm cả
về tần số cũng nhƣ số lƣợng lớn tội phạm tham gia.
Mặc dù thiệt hại mà cuộc tấn công APT đã gây ra rất nghiêm trọng tuy nhiên
việc phòng chống tấn công APT hiện nay vẫn bị xem nhẹ và chƣa đƣợc đầu tƣ đúng
đắn. Do đó, việc nghiên cứu về cơ chế hoạt động của tấn công APT và giải pháp
phòng chống là điều rất quan trọng. Chỉ khi hiểu rõ về loại tấn công này thì những
đề xuất phƣơng án phòng chống APT mới thích hợp và đạt đƣợc hiệu quả tốt nhất.
Với mục đích đƣa ra cái nhìn tổng quan nhất về tấn công APT, nghiên cứu các giải
pháp phòng chống và từ đó đề xuất giải pháp để phòng chống cuộc tấn công này,
học viên chọn đề tài “Nghiên cứu giải pháp đảm bảo an toàn cho hệ thống thông tin
ngành hải quan”.

Cấu trúc luận văn bao gồm: Mở đầu; Hai chƣơng nội dung; Kết luận của luận
văn; và Tài liệu tham khảo.

Chƣơng I: Thực trạng hệ thống an ninh, an toàn ngành hải quan
Chương này giới thiệu về hiện trạng hệ thống mạng, phần mềm của ngành
hải quan trước khi đưa ra đề xuất xây dựng mô hình tổng thể. Tiếp đó sẽ đánh giá
rủi ro đối với các hệ thống này để chỉ ra các điểm yếu tồn tại trong hệ thống mà tấn
công APT có thể khai thác được.
Nội dung chi tiết:
1. Thực trạng hệ thống mạng ngành hải quan.
2. Mô hình triển khai ứng dụng nghiệp vụ ngành hải quan.
3. Thực trạng hệ thống bảo mật ngành hải quan.
4. Đánh giá rủi ro.


11

Chƣơng II: Các giải pháp phòng chống tấn công APT
Trong chương này giới thiệu các kiến thức căn bản về cách thức tấn công
APT và trình bày hai giải pháp phòng chống tấn công APT đang được đánh giá cao
của hãng Fireeye và hãng Checkpoint. Chương này cung cấp các thông tin nền tảng
cho việc xây dựng mô hình đảm bảo an toàn thông tin cho ngành hải quan trong
chương tiếp theo.
Nội dung chi tiết:

1. Vấn đề tấn công APT.
2. Giải pháp ngăn chặn tấn công APT của hãng Fireeye.
3. Giải pháp ngăn chặn tấn công APT của hãng Checkpoint.

Chƣơng III: Mô hình đảm bảo an toàn cho hệ thống thông tin ngành

hải quan
Nội dung chính của chương là trình bày biện pháp phòng chống tấn công
APT đồng thời đề xuất ra mô hình đảm bảo an ninh an toàn cho hệ thống thông tin
ngành hải quan phòng chống tấn công APT. Cụ thể phần đầu chương sẽ tiến hành
phân tích kết hợp với các ý kiến của các chuyên gia nghiên cứu về APT từ đó lựa
chọn giải pháp phù hợp với hiện trạng đã được tìm hiểu trong phần đầu của luận
văn. Phần tiếp theo trình bày mô hình và phương án triển khai giải pháp APT được
đề xuất cho hệ thống thông tin ngành hải quan. Cuối cùng là một số kết quả triển
khai thử nghiệm và đánh giá.
Nội dung chi tiết:

1. Thiết kế hệ thống an toàn chống lại APT.
2. Đề xuất cho hệ thống thông tin ngành hải quan.
3. Một số kết quả thử nghiệm và đánh giá.


12

CHƢƠNG 1. THỰC TRẠNG HỆ THỐNG AN NINH, AN
TOÀN NGÀNH HẢI QUAN
Chương này giới thiệu về hiện trạng hệ thống mạng, phần mềm của ngành
hải quan trước khi đưa ra đề xuất xây dựng mô hình tổng thể. Tiếp đó sẽ đánh giá
rủi ro đối với các hệ thống này để chỉ ra các điểm yếu tồn tại trong hệ thống mà tấn
công APT có thể khai thác được.

1.1. Thực trạng hệ thống mạng ngành hải quan
Ngành hải quan hiện nay hoạt động theo mô hình xử lý tập trung, tiếp nhận và
xử lý dữ liệu tại cấp Tổng cục Hải quan. Theo mô hình này, các Cục hải quan tại
các Tỉnh và các Chi cục hải quan cấp Quận, Huyện cần phải có kết nối mạng với
Tổng cục hải quan thông qua hạ tầng mạng WAN. Mô hình tổng thể kết nối mạng

ngành hải quan đƣợc thể hiện qua hình dƣới đây:

Hình 1: Mô hình tổng thể kết nối mạng ngành hải quan

Theo mô hình tổng thể trên (Hình 1) thì mạng của ngành hải quan bao gồm:
 Mạng tại Tổng cục Hải quan: bao gồm Trung tâm dữ liệu chính và khu
văn phòng làm việc;


13

 Mạng tại 35 Cục Hải quan(CHQ): gồm 9 Cục Hải quan lớn có Trung tâm
dữ liệu (TTDL) và 26 Cục Hải quan không có TTDL;
 Mạng tại khoảng hơn 200 đơn vị Hải quan cấp Chi cục(CCHQ) và tƣơng
đƣơng;
Để làm rõ hơn về hiện trạng hệ thống mạng của các đơn vị trong toàn ngành,
dƣới đây sẽ mô tả chi tiết về hệ thống mạng tại Cục Hải quan có và không có TTDL
cũng nhƣ tại Chi Cục Hải quan và trung tâm dữ liệu.
a) Hạ tầng tại Cục Hải quan có Trung tâm dữ liệu

DMZ

Internet

IPS

DataBase
IPS

FW


MGT

Proxy

APP
Proxy

IWSS

FW

AD

WAN BTC

Users Zone
Ghi chú:

1 GbE Copper
1 GbE Fibber
Kết nối WAN

Hình 2: Hiện trạng mô hình mạng tại 9 Cục Hải quan có TTDL

Hiện tại hệ thống tại Cục có TTDL đã chia tách thành các phân vùng mạng với
chức năng riêng biệt và trang bị các giải pháp bảo mật cơ bản mức mạng. Cụ thể
nhƣ sau:
- Khối mạng ngƣời dùng cuối: đã đƣợc chia thành các VLAN với vai trò ngƣời
dùng khác nhau.

- Khối Trung tâm dữ liệu tại Cục gồm các vùng mạng sau đây:


14

 VLAN MGT: Vùng mạng quản trị chứa các máy chủ, quản trị theo
dõi vận hành hệ thống.
 VLAN AD: Chƣa các máy chủ domain Active Directory. Phục vụ
cho việc quản lý ngƣời dùng, phân quyền truy cập.
 VLAN – Database: Bao gồm các máy chủ cơ sở dữ liệu phục vụ cho
ngƣời dùng tại Cục.
 VLAN APP: Bao gồm các máy chủ ứng dụng phục vụ các kết nối từ
ngƣời dùng các Chi cục.
- Khối Internet:


Vùng Internet Access – Cung cấp dịch vụ cho ngƣời dùng bên trong ra
Internet. Các truy cập Internet của ngƣời dùng sẽ đƣợc lọc virus và lọc
URL qua thiết bị IWSS và đƣợc bảo vệ bởi tƣờng lửa
 VLAN DMZ: Cung cấp các dịch vụ ra Internet chứa các máy chủ public
dịch vụ ra Internet. Bảo vệ bởi tƣờng lửa 1 cặp tƣờng lửa.
- Khối kết nối WAN giữa các Chi cục và Tổng cục qua hạ tầng truyền thông
của Bộ Tài chính. Sử dụng chung tƣờng lửa với cặp tƣờng lửa tại khối trung
tâm dữ liệu.
b) Hạ tầng Cục Hải quan không có Trung tâm dữ liệu

Internet

WAN BTC


FW

Hình 3: Hiện trạng mô hình mạng của Cục Hải quan không có TTDL


15

Hiện tại hệ thống tại Cục không có TTDL(hình 3) đã chia tách thành các phân
vùng mạng với chức năng riêng biệt và trang bị các giải pháp bảo mật cơ bản mức
mạng. Cụ thể nhƣ sau:
 Khối mạng ngƣời dùng cuối: đã đƣợc chia thành các Vlan với vai trò cho ngƣời
dùng khác nhau.
 Khối Trung tâm dữ liệu tại Cục gồm các vùng mạng sau đây:
 VLAN MGT: Vùng mạng quản trị chứa các máy chủ, quản trị theo dõi
vận hành hệ thống.
 VLAN AD: Chƣa các máy chủ domain Active Directory. Phục vụ cho
việc quản lý ngƣời dùng, phân quyền truy cập.
 VLAN DB & APP: Bao gồm các máy chủ ứng dụng và cơ sở dữ liệu
phục vụ cho ngƣời dùng tại Cục.
 Khối Internet:
 Vùng Internet Access – Cung cấp dịch vụ cho ngƣời dùng bên trong ra
Internet.
 VLAN Public: Cung cấp các dịch vụ ra Internet chứa các máy chủ public
dịch vụ ra Internet và đƣợc bảo vệ bởi tƣờng lửa 1 thiết bị tƣờng lửa.
 Khối kết nối WAN giữa các Chi cục và Tổng cục qua hạ tầng truyền thông của
Bộ Tài chính. Sử dụng chung tƣờng lửa với cặp tƣờng lửa tại khối trung tâm dữ
liệu.
c) Hạ tầng truyền thông tại Chi cục Hải quan
 Các chi cục Hải quan (hình 4) kết nối trực tiếp vào hạ tầng truyền thông
của Bộ Tài chính

 Tại Chi cục Hải quan chỉ có mạng LAN, không có hệ thống server.


16

Hiện trạng hệ thống tại Chi cục
User Zone
WAN
/HT BTC

Ghi chú:

1 GbE Copper
1 GbE Fibber
10 GbE
Kết nối WAN

Hình 4: Hạ tầng truyền thông tại Chi cục Hải quan

d) Hạ tầng trung tâm dữ liệu Tổng cục Hải quan:

Internet

Core Servers
APP

DB

Core Network


Internet Service

IPS

Core

IPS

IPS

FW

Anti-DDoS

FW

Partners
(LL, MegaWAN)
SSL VPN

WAN Module
FW

WAN BTC
DDoS
QOS

Hình 5: Hiện mạng mô hình mạng tại TTDL Tổng cục Hải quan

Hiện trạng hệ thống mạng tại Trung tâm dữ liệu Tổng cục Hải quan đã đƣợc

phân chia thành các khối rõ ràng (hình 5), các khối cũng đƣợc trang bị các thiết bị
mạng chạy dự phòng chia tải phục vụ truyền dẫn.


17

 Khối Internet: bao gồm các vùng mạng Internet Access, DMZ, Internet
Service, Remote Access:
 Vùng Internet Access – Cung cấp dịch vụ cho ngƣời dùng bên
trong truy cập ra Internet. Đã triển khai giải pháp bảo mật chuyên
dụng lọc URL, lọc malware trên luồng web nhằm giảm thiểu nguy
cơ từ Internet. Cụ thể đang sử dụng 02 thiết bị Proxy và 02 Router
tích hợp tính năng tƣờng lửa.
 Vùng Internet Service: Cung cấp các dịch vụ ra ngoài Internet, sử
dụng 01 cặp Router kết nối tới các nhà cung cấp dịch vụ. Việc bảo
vệ hệ thống máy chủ public vùng DMZ đƣợc thực hiện 1 cặp
tƣờng lửa chạy dự phòng chia tải. Cặp tƣờng lửa này cũng làm
nhiệm vụ kiểm soát kết nối từ ngoài Internet vào các dịch vụ công
cộng trong hệ thống. Ngoài ra, THCQ đang triển khai các hệ thống
bảo mật giảm thiểu tấn công từ chối dịch vụ, tƣờng lửa chuyên
dụng cho ứng dụng web, thiết bị chống tấn công xâm nhập trái
phép và cân bằng tải cho ứng dụng tại module này.
 Vùng DMZ: Chứa các máy chủ public dịch vụ ra ngoài Internet
nhƣ Web Servers, DNS servers, hệ thống máy chủ mail và mail
secure...
 Vùng Remote Access: Cung cấp public dịch vụ dạng portal, cung
cấp phiên làm việc an toàn qua kênh kết nối SSL VPN.
 Khối mạng lõi: Trung tâm chuyển sử dụng 01 cặp Core Switch. Sử dụng
các giải pháp bảo mật mức mạng để ngăn chặn tấn công giữa các vùng
mạng:

 Sử dụng cặp tƣờng lửa Core firewall chạy dự phòng chia tải kiểm
soát các kết nối vào/ra hệ thống máy chủ trong mạng lõi.
 Sử dụng cặp thiết bị phát hiện ngăn chặn xâm nhập trái phép IPS
ngăn chặn xâm nhập trái phép vào hệ thống máy CSDL và ứng
dụng nghiệp vụ trong vùng lõi.
 Khối máy chủ ứng dụng/CSDL (Datacenter): Tập trung chủ yếu hệ thống
máy chủ ứng dụng nghiệp vụ và máy chủ CSDL của toàn Tổng cục Hải
quan. Phần lớn các máy chủ ảo chạy trên nền tảng ảo hóa VMware. Các
máy chủ ảo đƣợc chia thành các vùng mạng với các chức năng độc lập
tạo thành các VMnet riêng.
 Khối kết nối WAN giữa các chi cục và cục về tổng cục qua hạ tầng
truyền thông của Bộ Tài chính. Sử dụng cặp Firewall WAN kiểm soát

Comment [M1]: Đổi sang tiếng việt

Comment [M2]: Format lại cho nhất
quán không để thò thụt lung tung


18

kết nối tại khối này. Các Bộ ban ngành giao tiếp với hệ thống của TCHQ
qua module kết nối này.
 Khối ngƣời dùng (LAN Building) – Mạng ngƣời dùng của Tổng cục Hải
Quan đƣợc phân chia thành các phòng, ban phân bổ theo VLAN trên
access switch và distribution switch. Sử dụng tƣờng lửa LAN Firewall
kiểm soát truy cập giữa các phân vùng mạng ngƣời dùng. Máy trạm
ngƣời dùng đƣợc trang bị phần mềm Antivirus.

1.2. Mô hình triển khai ứng dụng ngành hải quan.

a) Thông tin chung các ứng dụng:
Các ứng dụng ngành hải quan hiện nay gồm hai nhóm ứng dụng chính là ứng
dụng nội bộ dành cho khối văn phòng và các ứng dụng nghiệp vụ cốt lõi.
- Các ứng dụng nội bộ (khối văn phòng) bao gồm:

Comment [M3]: Giới thiệu tóm tắt chức
năng.

+ Ứng dụng Quản lý công văn (NetOffice): Là hệ thống ứng dụng quản
lý công văn đi, đến trong nội bộ ngành hải quan, giúp các đơn vị điều hành
công việc;
+ Ứng dụng quản lý nhân sự: Là hệ thống ứng dụng quản lý cán bộ, công
nhân viên hải quan;
+ Ứng dụng quản lý tài sản: Là hệ thống ứng dụng quản lý tài sản tại các
đơn vị trong ngành hải quan;
+ Ứng dụng thƣ điện tử nội bộ: là hệ thống ứng dụng quản lý thƣ điện tử
trong nội bộ ngành hải quan giúp các cán bộ, công nhân viên trao đổi công
việc một cách thuận tiện, nhanh chóng.
- Ứng dụng nghiệp vụ cốt lõi dành cho cán bộ làm công tác nghiệp vụ hải quan,
bao gồm:

Comment [M4]: Định dạng lại các dấu
chỉ mục để dễ đọc hơn và sử dụng nhất
quán trong toàn bộ luận văn.

Comment [M5]: giới thiệu tóm tắt chức
năng: dùng làm gì, cho ai,

+ Hệ thống Thông quan điện tử: Là hệ thống thông quan tờ khai điện
tử, giúp đẩy nhanh thời gian thông quan tờ khai, giảm chi phí cho các hoạt

động xuất nhập khẩu của Doanh nghiệp xuất nhập khẩu;


19

+ Hệ thống kế toán Thuế- Xuất nhập khẩu: Là hệ thống kế toán thu
thuế của hoạt động xuất khẩu, nhập khẩu;
+ Hệ thống thông tin quản lý dữ liệu giá tính thuế: Là hệ thống cập
nhật thông tin tờ khai trị giá, kết quả xác định, kiểm tra, phúc tập trị giá của
các lô hàng nhập khẩu;
+ Hệ thống thông tin hỗ trợ quản lý rủi ro: Là hệ thống phục vụ công
tác của Hải Quan sửa đổi (kiểm tra trọng điểm) theo luồng xanh, đỏ, vàng;
+ Hệ thống thông tin thống kê tập trung: Là hệ thống quản lý thông tin
tờ khai Phi mậu dịch, tờ khai có C/O, phƣơng tiện quản lý xuất nhập cảnh;
+ Hệ thống tiếp nhận tập trung: Là hệ thống tiếp nhận thông tin doanh
nghiệp khai báo, kiểm tra cấu trúc dữ liệu và chuẩn mực thông điệp.
b) Mô hình Logic chung của các ứng dụng
Comment [M6]: Cần giải thích ý nghĩa
của hình 6. Vai trò của các cơ sở dữ liệu các
dấu mũi tên. Đây không phải trọng tâm của
luận văn nên anh giới thiệu sơ bộ về kết nối
giữa các ứng dụng.

Hình 6: Mô hình logic tổng thể các ứng dụng nghiệp vụ

-

Mô tả trao đổi luồng dữ liệu giữa các ứng dụng:

Comment [M7]: Vẽ lại hình này theo

mô tả . Đây là mô hình kết nối và triển khai.
Mô hình lô-gíc ứng dụng phải nêu đƣợc
mối quan hệ giữa các ứng dụng.


20

Hình 7: Hệ thống TQDT_TT trao đổi dữ liệu với hệ thống TNTT

Hệ thống TQDT_TT trao đổi dữ liệu với hệ thống TNTT có 02 chiều:
-

Chiều từ TNTT  TQDT_TT: hệ thống TNTT sẽ kiểm tra các thông điệp
(tờ khai, chứng từ, …) do Doanh nghiệp gửi tới Hải quan. Khi các thông điệp
hợp lệ, hệ thống TNTT sẽ chuyển này xuống CSDL của TQDT_TT, tần suất
gửi 1s/ 1 bó.

-

Chiều từ TQDT_TT  TNTT: hệ thống TQDT_TT sẽ phản hồi các xử lý
của cán bộ Hải quan qua các thông điệp cho DN, tần suất gửi 3s /1 bó.

Ghi chú:


21

Hình 8: Hệ thống TQDT_TT trao đổi dữ liệu với các hệ thống nghiệp vụ

Hệ thống TQDT_TT trao đổi dữ liệu với hệ thống KT559 cụ thể nhƣ sau:

 Sau khi tờ khai đƣợc phân luồng, hệ thống sẽ gửi thông tin tờ khai (số tờ
khai, số thuế, …) tới hệ thống KT559 để nhận thông báo thuế từ KT559.
 Sau khi kiểm tra hồ sơ, kiểm hóa (nếu có), tờ khai cần đƣợc cán bộ Hải
quan xác nhận về số thuế phải nộp (nếu có), lệ phí (nếu có), lúc này hệ
thống sẽ gửi thông tin tờ khai tới KT559 để lấy thông tin nộp thuế của
DN.
 Hệ thống TQDT_TT trao đổi dữ liệu với hệ thống GTT cụ thể nhƣ sau:
 Sau khi tờ khai đƣợc cấp số thông tin về tờ khai, hàng hóa sẽ đƣợc
chuyển tới hệ thống GTT.
 Hệ thống TQDT_TT trao đổi dữ liệu với hệ thống RM cụ thể nhƣ sau:
Sau khi tiếp nhận thông tin tờ khai, kiểm tra tờ khai hợp lệ, hệ thống
TQDT_TT tiến hành cấp số tờ khai. Sau khi cấp số tờ khai, hệ thống
TQDT_TT sẽ gửi thông tin tới hệ thống RM để nhận lại hình thức, mức
độ kiểm tra đối với tờ khai.


22

1.3. Thực trạng hệ thống bảo mật ngành hải quan.
1.3.1. Mô hình hệ thống

1

Internet
3

Core Servers

4


5

LB

WAF

APP

DB

Core Network

Internet Service

2

6
IPS
13

Core

IPS

IPS

7

8


12
Anti-DDoS

FW

FW

Partners
(LL, MegaWAN)

9
SSL VPN

14

WAN Module

FW

10

WAN BTC

11
DDoS

15

QOS


Hình 9: Hiện trạng bảo mật Trung tâm dữ liệu TCHQ

Hiện trạng các hạng mục bảo mật đã đƣợc triển khai nhƣ sau:
 Sử dụng 01 cặp thiết bị có chức năng Proxy caching và lọc web cho hệ
thống ngƣời dùng ra ngoài Internet. Vị trí triển khai tại Internet Access
Module (vị trí 1);
 Sử dụng giải pháp ngăn chặn thƣ rác, mã độc đính kèm trong thƣ. Triển
khai tại DMZ, vị trí (5);

Comment [M8]: HÌnh này có nhiều ký
hiệu số mà không đƣợc giải thích. Ký hiệu
số là vị trí triển khai các thiết bị, em đã giải
thích bên dƣới
Comment [M9]: Cần có giới thiêu tổng
thể về ý nghĩa các ký hiệu trong hình vẽ. ví
dụ: các hình tròn có đánh số là các hạng
mục (phần cứng, phần mềm) phục vụ việc
......


23

 Tại module SSL VPN: Sử dụng giải pháp bảo vệ kết nối truy cập từ xa
chạy dự phòng chia tải. Giải pháp cung cấp kênh kết nối an toàn đến các
ứng dụng trong hệ thống cho ngƣời làm việc từ xa. Vị trí triển khai (9);
 Cặp tƣờng lửa triển khai tại Internet Service Modue bảo vệ kiểm soát
truy cập tới hệ thống máy chủ public nhƣ web, email…. Vị trí triển khai
(7);
 Cặp tƣờng lửa triển khai tại WAN Modue bảo vệ kiểm soát truy cập từ
các Cục, Chi cục, đối tác kết nối hệ thống máy chủ ứng dụng, CSDL. Vị

trí triển khai (10);
 Cặp tƣờng lửa Juniper SRX3600 triển khai tại Core Modue kiểm soát
truy cập từ mạng ngƣời dùng tại Tổng cục, các Cục, Chi cục, đối tác kết
nối hệ thống máy chủ ứng dụng, CSDL và giữa các phân vùng trong
mạng lõi với nhau. Vị trí triển khai (12);
 Thiết bị tƣờng lửa triển khai tại Lan Building kiểm soát truy cập giữa các
vùng mạng ngƣời dùng, ngăn chặn những tấn công xuất phát từ mạng
LAN tới khối mạng trọng yếu liên quan. Vị trí triển khai (14);
 Cặp thiết bị phát hiện ngăn chặn xâm nhập trái phép IPS chạy dự phòng
chia tải. Triển khai trƣớc các vùng máy chủ cốt lõi, giúp ngăn chặn các
tấn công trái phép khai thác điểm yếu mạng, hệ điều hành và ứng dụng
vào hệ thống máy chủ cốt lõi. Vị trí triển khai (13);
 Hệ thống máy chủ Anti-Virus quản trị hệ thống máy trạm trong toàn
Ngành. Bao gồm máy chủ Anti-Virus của Kaspersky, Symantec,
TrendMicro. Vị trí triển khai (15, 2).

1.3.2. Các hệ thống bảo mật đã được trang bị
Bảng 1: Hiện trạng các hệ thống bảo mật đã trạng bị

Tên hạng mục

STT
1
2

Lớp

Tƣờng lửa, VPN;
Proxy Caching, Content Filtering, AntiMalware;


3

Thiết bị chống xâm nhập (IPS);

4

Email Security;

bảo vệ ngoại vi


24

5

Tƣờng lửa mạng;

6

Anti-Malware;

7

Thiết bị chống xâm nhập (IPS);

8

Tƣờng lửa mức mạng;

9


Anti-Malware;

bảo vệ nội bộ

Comment [M10]: Thiếu tên bảng. Chú
ý không để bảng bị tràn sang trang sau.

lớp bảo vệ ngƣời
dùng cuối

1.4. Đánh giá rủi ro
Đánh giá rủi ro là một quá trình phân tích và định lƣợng mức độ của các rủi ro
có thể xảy ra đối với tài sản của tổ chức. Mục tiêu của việc đánh giá rủi ro sẽ bao
gồm việc xác định danh sách tất cả các rủi ro đối với từng loại tài sản của tổ chức và
xác định mức độ ảnh hƣởng tới tổ chức khi xảy ra mỗi loại rủi ro đó và với các nội
dung thực hiện nhƣ trên, quá trình đánh giá rủi ro hệ thống mạng ngành hải quan sẽ
xác định các rủi ro đối với từng loại tài sản của từng thành phần hệ thống (nhóm tài
sản) CNTT, định lƣợng mức độ ảnh hƣởng đối với tổ chức khi xảy ra mỗi loại rủi
ro, từ đó có thể xác định mức độ ƣu tiên trong việc quản lý các rủi ro có thể xảy ra
tại hệ thống CNTT. Kết quả đánh giá cho phép xác định lựa chọn các biện pháp
kiểm soát, nhằm phòng ngừa, hạn chế rủi ro đối với tổ chức và giảm thiểu mức độ
ảnh hƣởng khi xảy ra rủi ro đối với hoạt động nghiệp vụ của Hải Quan và để xây
dựng kế hoạch triển khai các biện pháp kiểm soát cho hệ thống mạng ngành hải
quan.
Phương pháp đánh giá hiện trạng:
Tiêu chuẩn ISO27001:2005 yêu cầu đánh giá theo một phạm vi vật lý cụ thể
của một đơn vị/tổ chức, có kèm theo chức năng nghiệp vụ mà đơn vị/tổ chức đó
cung cấp. Đối với Tổng Cục Hải Quan, việc đánh giá hiện trạng, tôi xác định phạm
vi là:

- Văn Phòng Cục Công nghệ thông tin và Thông kê Hải Quan (Lô E, Đƣờng
Dƣơng Đình Nghệ, Phƣờng Yên Hòa, Quận Cầu Giấy, Hà Nội).
- Chức năng nhiệm vụ: Cung cấp dịch vụ Công Nghệ thông tin phục vụ hoạt
động nghiệp vụ Hải Quan.

Comment [M11]: Không thể viết luận
văn bằng các gạch đầu dòng đƣợc. Cần phải
viết lại thành các đoạn ngắn. ví dụ: đánh giá
rủi ro là .... Mục tiêu của việc đánh giá .....
Kết quả đánh giá cho phép xác định .../xây
dựng ... Em đã viết lại

Comment [M12]: Cần sử dụng 1 định
dạng văn bản


25

Việc đánh giá được thực hiện trên 2 hình thức:
- Xem xét các tài liệu, văn bản mà ngành hải quan đã phát hành;
- Khảo sát thực tế qua trao đổi, mẫu bảng khảo sát, trực tiếp quan sát.

Comment [M13]: Viết thành đoặn văn.

Các nội dung đánh giá
- Các yêu cầu quản lý của tiêu chuẩn ISO27001:2007 (Điều khoản 4-8
Tiêu chuẩn ISO27001:2005);
- Các biện pháp kiểm soát cần áp dụng (Phụ lục A tiêu chuẩn
ISO27001:2005).
Trong phạm vi của luận văn này, các thiết bị mạng và bảo mật đƣợc đánh giá

dựa trên các tiêu chí nhau sau:
+ Đánh giá phiên bản;
+ Kiểm tra cấu hình quản trị;
+ Kiểm tra cấu hình các lớp;
+ Kiểm tra định tuyến;
+ Kiểm tra cấu hình sinh log;
+ Kiểm tra các lỗ hổng.
- Đối với các ứng dụng và máy chủ, máy trạm:
+ Đánh giá mã nguồn;
+ Thực hiện tấn công thử từ ngoài Internet thông qua ứng dụng;
+ Thực hiện tấn công thử từ mạng nội bộ ngành hải quan.
+ Dò quét các lỗ hổng bằng các công cụ;
+ Kiểm tra hiện trạng cập nhật các bản vá;
+ Kiểm tra chính sách.

Comment [M14]: Viết lại


×