Tải bản đầy đủ (.pdf) (25 trang)
  1. Trang chủ
    2. >>
  2. Thạc sĩ - Cao học
    3. >>
  3. Khoa học tự nhiên

Giải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại Tổng công ty viễn thông Mobifone (tt)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (546.88 KB, 25 trang )

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------

LÊ VĂN TÚ

GIẢI PHÁP NÂNG CAO AN NINH MẠNG CHO
DOANH NGHIỆP VÀ ỨNG DỤNG TẠI
TỔNG CÔNG TY VIỄN THÔNG MOBIFONE

Chuyên ngành: KỸ THUẬT VIỄN THÔNG
Mã số: 8.52.02.08

TÓM TẮT LUẬN VĂN THẠC SĨ
( Theo định hướng ứng dụng)

HÀ NỘI – 2019


Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: TS. Lê Ngọc Thúy

Phản biện1:………………………………………………………………………..

Phản biện 2:………………………………………………………………………

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện
Công nghệ Bưu chính Viễn thông
Vào lúc: giờ


ngày

tháng

năm

Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông


1

LỜI MỞ ĐẦU
An ninh mạng là sự phòng chống và ngăn chặn những truy cập trái phép, sử dụng sai
mục đích, chống lại những sửa đổi, hủy hoại hoặc đánh cắp, tiết lộ thông tin hoặc cũng có
thể được hiểu là quá trình thực hiện các biện pháp phòng chống những lỗ hổng về bảo mật
hoặc virus có trong các phần mềm, ứng dụng, website, server, dữ liệu… nhằm bảo vệ hạ
tầng mạng.
Bảo mật an ninh mạng hiện nay đang được đặt lên hàng đầu với bất kỳ doanh nghiệp
nào có hệ thống mạng đủ lớn hay quy mô nhỏ, hiện nay các hacker trong và ngoài nước
luôn tìm cách tấn công và xâm nhập vào hệ thống của doanh nghiệp để lấy thông tin nội
bộ, thông tin mật. Chính vì vậy các nhà quản trị mạng luôn cố gắng bảo vệ hệ thống mạng
của mình một cách tốt nhất có thể và luôn cố gắng hoàn thiện hệ thống để tránh mọi lỗ
hổng có thể bị tấn công. Các cuộc tấn công mạng hiện nay đều có chủ đích và gây thiệt hại
rất lớn, vì vậy an ninh mạng đang là vấn đề cực kỳ cấp thiết và được quan tâm hiện nay.
Bản thân công việc hiện tại của học viên cũng làm việc có liên quan trực tiếp tới các
hệ thống bảo mật, an ninh mạng, với mục đích tìm hiểu vấn đề mới đang cấp thiết hiện
nay phục vụ thực tiễn cho công việc hiện tại của học viên, học viên đăng ký đề tài luận
văn nghiên cứu “Giải pháp nâng cao an ninh mạng cho doanh nghiệp và ứng dụng tại
Tổng công ty Viễn thông MobiFone”.

Nội dung luận văn được trình bày 03 chương:


Chương 1: Thực trạng an ninh mạng tại các doanh nghiệp.

 Chương 2: Một số giải pháp nâng cao an ninh mạng cho các doanh nghiệp viễn
thông.


Chương 3: Giải pháp nâng cao an ninh mạng tải Tổng công ty viễn thông MobiFone.
Trong quá trình nghiên cứu thực hiện luận văn, luận văn không thể không tránh khỏi
những thiếu sót. Tác giả rất mong nhận được những đóng góp quý báu từ quý Thầy Cô và
các bạn để luận văn được hoàn thiện.
Tác giả xin chân thành cảm ơn.


2

CHƯƠNG 1: THỰC TRẠNG AN NINH MẠNG TẠI CÁC
DOANH NGHIỆP
Thực trạng an ninh mạng các doanh nghiệp trên thế giới

1.1

Có thể thấy trong thời đại ngày nay với sự phát triển vượt bậc của khoa học, công nghệ
đã có những đóng góp vô cùng quan trọng làm thay đổi cơ bản mọi mặt của đời sống kinh
tế xã hội các quốc gia. Đặc biệt sự ra đời phát triển của máy tính và mạng Internet đã tạo
nên những đột phá trong kết nối, chia sẻ thông tin, thúc đẩy phát triển kinh tế, giao lưu văn
hóa.
Mối nguy hiểm từ tội phạm mạng : với những ưu thế vượt trội của máy tính và Internet tác

động đến mọi mặt, mọi lĩnh vực trong đời sống xã hội, nhờ có Internet mà xã hội phát triển
nhanh hơn, mạnh hơn, xã hội càng phát triển thì vai trò của máy tính và Internet càng được
thể hiện rõ hơn, con người khó có thể làm việc nếu như thiếu máy tính và Internet.
Tuy nhiên, bên cạnh những thuận lợi và đóng góp tích cực thì thế giới cũng đã và đang
đứng trước không ít thách thức, nguy cơ ảnh hưởng tiêu cực tới đời sống cá nhân, nhà
nước, xã hội, thậm chí có thể đe dọa nghiêm trọng tới hòa bình và an ninh thế giới từ chính
Internet.
Internet đang dần trở thành phương tiện hữu hiệu của tội phạm sử dụng công nghệ cao và
là công cụ được sử dụng để can thiệp vào an ninh, chính trị và các quốc gia và doanh
nghiệp. Trong thời gian vừa qua, trên thế giới đã có không ít cuộc xâm nhập, tấn công trái
phép được cho là có tổ chức vào cơ sở hạ tầng thông tin của các quốc gia và doanh nghiệp
trên môi trường mạng. Xu thế này ngày càng gia tăng, diễn biến phức tạp, khó lường.
Theo các chuyên gia, do các kết nối mạng không phân chia biên giới nên các rủi ro trên
không gian mạng sẽ không phân biệt biên giới quốc gia, không phân biệt giới hạn giữa các
tổ chức An ninh mạng, an ninh thông tin (ANTT) đồng thời đặt ra các vấn đề với các tổ
chức, doanh nghiệp, cá nhân. Đặc biệt, với đặc trưng có mặt ở khắp nơi, có khả năng cảm
biến, liên tục thu thập thông tin về hoạt động của con người, môi trường xung quanh và
liên tục kết nối, hàng chục tỷ thiết bị IoT đang hoạt động trên thế giới có thể bị lợi dụng để
tạo ra những mạng lưới thu thập thông tin với phạm vi hoạt động cực rộng, len lỏi vào
từng khía cạnh của đời sống con người, tạo ra những nguy cơ chưa từng có với các doanh
nghiệp, cá nhân trước hoạt động của tội phạm mạng. Có thể nói, đề tài về bảo đảm an ninh
thông tin quốc tế đang là một trong những vấn đề được ưu tiên toàn cầu, khu vực và mỗi
quốc gia và doanh nghiệp.
Điển hình nhất gần đây là vụ lây lan mã độc tống tiền WannaCry hồi tháng 5 năm 2017
gây ảnh hưởng đến khoảng 200.000 hệ thống mạng tại ít nhất 150 quốc gia và vùng lãnh
thổ trên thế giới. Mã độc WannaCry đã làm tê tiệt hệ thống máy tính của rất nhiều ngân


3


hàng, bệnh viện, trường học... theo đó, người sử dụng mạng sẽ không thể truy cập dữ liệu
trừ phi đồng ý trả cho tin tặc một khoản tiền ảo Bitcoin, trị giá từ 300 - 600 USD.

1.2 Thực trạng an ninh mạng các doanh nghiệp tại Việt Nam
Việt Nam trở thành một trong những quốc gia có tốc độ phát triển và ứng dụng
Internet cao nhất thế giới với khoảng 58 triệu người dùng Internet (chiếm 62,76% dân số)
đứng đầu Đông Nam Á về số lượng tên miền quốc gia xếp thứ 2 khu vực Đông Nam Á,
thứ 8 khu vực Châu Á, thứ 30 thế giới về địa chỉ IPv4 (số liệu tính đến tháng 12/2016).
Hoạt động tấn công mạng vào các cơ sở hạ tầng thông tin trọng yếu ngày càng gia tăng về
quy mô và tính chất nguy hiểm riêng năm 2016, có tới gần 7.000 trang/cổng thông tin điện
tử của nước ta bị tấn công. Nhiều thiết bị kết nối Internet IoT tồn tại lỗ hổng bảo mật dẫn
đến nguy cơ tin tặc khai thác, chiếm đoạt sử dụng làm bàn đạp cho các cuộc tấn công
mạng trên thế giới, hệ thống thông tin trọng yếu, nhất là hàng không, ngân hàng, viễn
thông có nguy cơ bị phá hoại nghiêm trọng bởi các cuộc tấn công mạng, điển hình là là vụ
tấn công mạng vào ngành hàng không Việt Nam ngày 29/7/2016.
Các vụ tấn công mạng tại Việt Nam ngày càng nghiêm trọng và phức tạp hơn trong 9
tháng đầu năm 2017 Trung tâm ứng cứu khẩn cấp máy tính Việt Nam đã ghi nhận có gần
10 nghìn sự cố tấn công mạng trong nước, trong đó có gần một nửa là các sự cố về phát tán
mã độc. Các vụ tấn công mạng tăng cả về số lượng, quy mô, hình thức ngày càng tinh vi,
nhiều cuộc tấn công có chủ đích nhằm vào cơ quan Chính phủ, các hệ thống thông tin quan
trọng trong nhiều lĩnh vực như viễn thông, công nghệ thông tin, tài chính, ngân hàng, điện
lực....
Chỉ số An ninh mạng toàn cầu là một chỉ số tổng hợp đánh giá và so sánh mức độ cam kết
đảm bảo an ninh mạng của các nước thành viên dựa trên 5 yếu tố: công nghệ, tổ chức, luật
pháp, hợp tác và tiềm năng phát triển. Mục đích chính để phân loại, xếp thứ hạng và sau đó
là đánh giá, dự báo, định hướng quá trình phát triển trong tầm khu vực cũng như trên quy
mô toàn cầu. Việt Nam đã gia nhập tổ chức này từ năm 1951. Theo bản báo cáo trong nửa
đầu năm 2017 của tổ chức này Việt Nam xếp thứ 101 trên tổng số 193 nước thành viên về
khả năng đảm bảo an ninh mạng. Trên phạm vi thế giới Singapore được xếp hạng cao nhất
với 0.925 điểm xếp trên cả Mỹ. Cũng theo bản báo cáo Singapore đã có kinh nghiệm và

lịch sử phát triển an ninh mạng lâu dài bắt đầu từ năm 2005. Một nước châu Á khác cũng
có mặt trong top 10 quốc gia là Malaysia xếp thứ ba với 0.893 điểm.

1.3 Các mối đe dọa tới an ninh mạng doanh nghiệp viễn thông
Với các đặc thù của các doanh nghiệp viễn thông lưu trữ nhiều thông tin và dữ liệu
quan trọng mà thường xuất hiện các hình thức tấn công như tấn công từ bên ngoài mạng,
mã hóa dữ liệu, đánh cắp dữ liệu, tấn công bằng phần mềm độc hại, tấn công rà quét, tấn
công Dos, DDoS và tấn công lừa đảo mật khẩu. Đánh cắp dữ liệu và tống tiền đang là các
xu hướng tấn công chính của các hacker ở thời điểm hiện nay các doanh nghiệp viễn


4

thông cũng không là các nạn nhân ngoại lệ, đây là hình thức tấn công mang lại lợi nhuận
cao cho tội phạm, mỗi cá nhân, doanh nghiệp, tổ chức bị tấn công sẽ bị yêu cầu một khoản
tiền rất lớn, đó là mối đe dọa chính tới an ninh mạng các doanh nghiệp.
1.3.1 Tấn công từ bên ngoài mạng
Hình thức tấn công từ bên trong mạng chỉ được sử dụng đối với cá nhân đã có quyền truy
cập một cách dễ dàng, đối với một hacker khi không thể đứng trong mạng nội bộ để tấn
công hệ thống họ sẽ tấn công từ bên ngoài vào mạng của bạn.
Các cuộc tấn công phổ biến hiện nay là tấn công website, cơ sở dữ liệu, lợi dụng các lỗ
hổng bảo mật web, lỗ hổng bảo mật của Microsoft, Adobe... để cài phần mềm gián điệp,
điều khiển từ xa để xâm nhập nhằm phá hoại và trộm cắp thông tin bất hợp pháp.
Sự thay đổi liên tục của nhiều kiểu tấn công mạng từ khắp thế giới cộng thêm tính phức
tạp và lỗ hổng trong cơ sở hạ tầng mạng đã khiến nền tảng web trở nên dễ bị tổn thương
trước những tấn công. Những xu hướng đe dọa an ninh mạng hàng đầu hiện nay bao gồm:
cài đặt spyware, keylogger, backdoor, sniffer, tấn công từ chối dịch vụ DDoS. Hiện nay
hàng loạt phần mềm độc hại (Malware) rất nguy hiểm như: Zeus, SpyEye, Filon, Clod
Bugat, Kraken, Grum, Bobax, Pushdo, Rustock…đã được thiết kế để tạo ra các loại mạng
botnet với các chức năng khác nhau: Botnet để tấn công DDoS, lấy cắp thông tin thẻ ngân

hàng và gửi thư rác spam.
1.3.2 Mã hóa dữ liệu
Mã hóa dữ liệu là chuyển dữ liệu từ dạng này sang dạng khác hoặc sang dạng code mà chỉ
có người có quyền truy cập vào khóa giải mã hoặc có mật khẩu mới đọc được nó, bằng
cách sử dụng các thuật toán lồng nhau, thường dựa trên 1 khóa để mã hóa dữ liệu.
Ransomware – mã độc mã hóa dữ liệu có tính nguy hiểm cao đối với nhân viên văn phòng
bởi nó sẽ mã hóa toàn bộ các file word, excel và các tập tin khác trên máy tính làm cho nạn
nhân không thể mở được file, tại Việt Nam các trường hợp bị lây nhiễm nhiều nhất do một
thành viên của Ransomware – Trojan-Ransom.Win32.Onion gây nên.
Gần đây nhất điển hình là mã độc WannaCry là loại mã độc khi xâm nhập thiết bị máy tính
của người dùng trong hệ thống doanh nghiệp sẽ tự động mã hóa toàn bộ các tập tin theo
những định dạng như văn bản tài liệu, hình ảnh. Người dùng sẽ phải trả một khoản tiền
không hệ nhỏ nếu muốn được mở khóa và lấy lại dữ liệu đó
Ransomware sử dụng công nghệ mã hóa Public-Key vốn là một phương pháp đáng tin cậy
nhằm bảo vệ dữ liệu nhạy cảm. Tội phạm đã lợi dụng công nghệ này và tạo ra những
chương trình độc hại để mã hóa dữ liệu của người dùng, một khi dữ liệu đã bị mã hóa thì
chỉ có một chìa khóa đặc biệt bí mật mới có thể giải mã được, lợi dụng yếu tố này Hacker
thường tống tiền người dùng để cùng trao đổi chìa khóa bí mật này, nguy hiểm ở chỗ chỉ
duy nhất có chìa khóa bí mật này mới có thể giải mã và phục hồi dữ liệu, một số
Ransomware được tạo ra với mục đích là dữ liệu bị mã hóa hoàn toàn và sẽ không bao giờ


5

được phục hồi lại được dù có chìa khóa mở khóa đi chăng nữa. Lưu ý rằng Ransomware
chỉ có thể hoạt động sau khi được cài đặt trên máy tính.
1.3.3 Đánh cắp dữ liệu
Dữ liệu trong các doanh nhiệp viễn thông có giá trị cực kỳ lớn và là thông tin bảo mật điều
này đồng nghĩa với việc các hacker không thể bỏ qua nạn nhân là các doanh nghiệp viễn
thông. Trong vòng đời an toàn dữ liệu gồm các chu kỳ tạo ra dữ liệu, lưu trữ dữ liệu, sử

dụng dữ liệu, chia sẻ dữ liệu, phá hủy dữ liệu mấu chốt ngay từ lúc tạo ra dữ liệu phải đảm
bảo môi trường tạo dữ liệu là “sạch”. Sau đó ngoại trừ khi sử dụng và phá hủy tất cả các
chu kỳ còn lại đòi hỏi dữ liệu phải được mã hóa, đảm bảo người ta phải trả một cái giá đắt
nhất để có thể lấy cắp được dữ liệu, tất cả các pha đều đòi hỏi phải phân quyền truy cập và
sử dụng thông tin giữa các thành viên trong tổ chức một cách chặt chẽ để có thể theo dõi
và quản lý được từng “ đường đi nước bước của dữ liệu” việc này cần được cân nhắc xem
nên bảo vệ những dữ liệu cụ thể nào vì nếu khối lượng mật là quá lớn thì cái giá để bảo vệ
sẽ là rất lớn. Hướng tiếp cận này đưa đến hai gợi ý quan trọng đó là cần có các giải pháp
phần mềm bao gồm từ hệ điều hành, các công cụ văn phòng phần mềm soạn thảo văn bản,
email.. để hình thành một “môi trường sạch” cho việc tạo ra, lưu trữ dữ liệu đồng thời phải
đầu tư cho các nghiên cứu bảo mật để tạo ra các công nghệ mã hóa hiệu quả.
1.3.4 Tấn công bằng phần mềm độc hại
Phần mềm độc hại hay còn được gọi là mã độc Malware (viết tắt của Malicious
Software), có thể dễ dàng mô tả là phần mềm không mong muốn được cài đặt trên hệ
thống của bạn mà không được sự cho phép của bạn, với mục đích lây lan phát tán trên hệ
thống máy tính và Internet nhằm thực hiện các hành vi bất hợp pháp nhằm vào người dùng
cá nhân, cơ quan, tổ chức để thực hiện các hành vi chuộc lợi cá nhân, kinh tế, chính trị
hoặc đơn giản là để thỏa mãn ý tưởng và sở thích của người viết Virus và phần mềm trojan
là các ví dụ về phần mềm độc hại thường được xếp cùng nhóm với nhau và được gọi là
phần mềm độc hại.
Đặc điểm của Malware
- Không thể tự tồn tại độc lập mà phải dựa vào một ứng dụng nền nào đó.
- Tự nhân bản khi ứng dụng được kích hoạt.
- Có một thời kỳ nằm chờ (giống như ủ bệnh). Trong thời gian này sẽ không gây hậu
quả.
- Sau thời kỳ “ nằm vùng” mới bắt đầu phát tác.
Phân loại và đặc tính của mã độc
Tùy thuộc vào cơ chế, hình thức lây nhiễm và phương pháp phá hoại mà người ta phân biệt
mã độc thành nhiều loại khác nhau như : virus, trojan, backdoor, adware, spyware…
Nổi bật gần đây là Ransomware (phần mềm độc hại mã hóa tống tiền). Đặc điểm chung

của dòng mã độc này sau khi lây nhiễm sẽ mã hóa tất cả các dữ liệu quan trọng của người


6

dùng và yêu cầu tiền chuộc để lấy lại dữ liệu, điển hình là mã độc WannaCry hồi tháng 5
năm 2017.
1.3.5 Tấn công rà quét
Nếu như kẻ trộm trước khi đột nhập nhà gia chủ thì trước hết hắn ta phải đi thăm dò,
quan sát ngôi nhà, đường đi lối lại và các điểm yếu sơ hở. Tương tự như vậy đối với các
cuộc tấn công mạng kiểu thăm dò, kẻ tấn công sẽ thu thập thông tin về hệ thống định tấn
công (nạn nhân), các dịch vụ đang chạy và các lỗ hổng. Các công cụ mà kẻ tấn công
thường sử dụng trong kiểu tấn công này là công cụ chặn bắt gói tin (packet sniffer), bộ
quét cổng (port scanner), truy vấn thông tin Internet, Ping sweep (kỹ thuật quét 1 dải IP để
phát hiện xem có thiết bị nào đang sở hữu địa chỉ IP nào trong dải đó).
Các cách phòng chống tấn công rà quét:
Trong thực tế cuộc sống nếu người bảo vệ phát hiện một kẻ thường xuyên qua lại rình mò
trước nhà của một người thì sẽ nghi vấn và cảnh giác. Tương tự vậy đối với hệ thống mạng
bạn cần có các hệ thống phát hiện và ngăn ngừa xâm nhập IDS và IPS. Hệ thống này nếu
thấy số lượng các gói tin ICMP echo requets nhiều bất thường do Ping sweep thì sẽ cảnh
báo đến người quản trị.
1.3.6 Tấn công Dos, DDoS
Denial of Service hay tấn công từ chối dịch vụ phân tán DDoS viết tắt của Distributed
Denial of Service là một nỗ lực làm cho người dùng không thể sử dụng tài nguyên của máy
tính và hệ thống máy chủ hay hệ thống mạng không thể sử dụng, làm gián đoạn, hoặc làm
cho hệ thống đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá
tải tài nguyên của hệ thống. Thủ phạm tấn công từ chối dịch vụ thường nhắm vào các trang
mạng hay server tiêu biểu như ngân hàng, cổng thanh toán thẻ tín dụng và thậm chí DNS
root servers.
Một kiểu DoS rõ ràng và phổ biến nhất là kẻ tấn công "tuồn" ồ ạt lưu lượng truy cập vào

máy chủ, hệ thống hoặc mạng, làm cạn kiệt tài nguyên của nạn nhân, khiến người dùng hợp
pháp gặp khó khăn hoặc thậm chí không thể sử dụng chúng. Cụ thể hơn, khi bạn nhập vào
URL của một website vào trình duyệt, lúc đó bạn đang gửi một yêu cầu đến máy chủ của
trang này để xem. Máy chủ chỉ có thể xử lý một số yêu cầu nhất định trong một khoảng thời
gian, vì vậy nếu kẻ tấn công làm gửi ồ ạt nhiều yêu cầu đến máy chủ sẽ làm nó bị quá tải và
yêu cầu của bạn không được xử lý. Đây là kiểu “từ chối dịch vụ” vì nó làm cho bạn không
thể truy cập đến trang đó. Trong tấn công từ chối dịch vụ phân tán (DDoS), một kẻ tấn công
có thể sử dụng máy tính của bạn để tấn công vào các máy tính khác. Bằng cách lợi dụng
những lỗ hổng về bảo mật cũng như sự không hiểu biết, kẻ này có thể giành quyền điều
khiển máy tính của bạn. Sau đó chúng sử dụng máy tính của bạn để gửi số lượng lớn dữ liệu
đến một website hoặc gửi thư rác đến một địa chỉ hòm thư nào đó.
1.3.7 Tấn công lừa đảo mật khẩu


7

Đứng thứ hai về số lượng là các cuộc tấn công lừa đảo mật khẩu. Khoảng 60-70% email là
spam, và phần lớn trong số đó là các cuộc tấn công tìm cách lừa người sử dụng để lấy thông
tin đăng nhập của họ. Khi đã có được thông tin tài khoản và mật khẩu hacker sẽ truy cập
vào các hòm thư và sẽ có những hành động xấu đánh cắp dữ liệu, phá hủy dữ liệu, thay đổi
dữ liệu.
Hình thức tấn công này không phải là bẻ khóa bởi hacker sẽ dụ dỗ người dùng thông qua
một số mánh khóe lừa đảo thủ đoạn này thường gặp nhất là hình thức lừa đảo qua email.
Đầu tiên hacker sẽ gửi nhiều email tới người dùng dưới danh nghĩa một tập đoàn hay tổ
chức lớn có danh tiếng và uy tín nhưng thực tế đường dẫn liên kết tới trang đăng nhập chỉ là
giả mạo được thiết kế giống y hệt trang đăng nhập thực tế, người nhận email không hề hay
biết và điền các thông tin cá nhân vào đó và các thông tin cá nhân này sẽ được gửi về cho
hacker sẽ bị đem bán để chuộc lợi hoặc sử dụng vào các mục đích xấu khác. Cách đề phòng
và hạn chế cho hình thức tấn công này là tăng mức độ lọc spam trên các dịch vụ mình đang
sử dụng lên mức cao nhất và luôn luôn kiểm tra kỹ các đường dẫn trước khi click vào đó,

không nhập thông tin cá nhân, thông tin account và mật khẩu trong các trường hợp khả nghi.

1.4 Kết luận chương 1
Trên thế giới nói chung cũng như Việt Nam nói riêng, vấn đề an toàn an ninh mạng
hiện nay là vấn đề cực kỳ quan trọng đối với mỗi quốc gia và doanh nghiệp, thực trạng
chung cho thấy vấn đề an toàn an ninh mạng ở các doanh nghiệp còn ở mức thấp, nguy cơ
mất ATTT cao. Trong chương 1 của bài luận văn học viên cũng đã nêu ra các hình thức tấn
công cơ bản thường tấn công vào mạng của các doanh nghiệp như tấn công từ bên ngoài
mạng, mã hóa dữ liệu, đánh cắp dữ liệu, tấn công bằng phần mềm độc hại, tấn công rà quét,
tấn công Dos, DDoS và tấn công lừa đảo mật khẩu. Sang chương tiếp theo của bài luận văn
sẽ trình bày chi tiết các giải pháp thường được áp dụng để tăng cường an ninh mạng cho các
doanh nghiệp nói chung và các doanh nghiệp viễn thông nói riêng.

CHƯƠNG 2: MỘT SỐ GIẢI PHÁP NÂNG CAO AN NINH MẠNG
CHO CÁC DOANH NGHIỆP VIỄN THÔNG
Với các hình thức tấn công thường xảy ra với doanh nghiệp học viên đã trình bày ở chương
1 các doanh nghiệp viễn thông cũng không là ngoại lệ. Với đặc thù là nơi lưu trữ nhiều
thông tin có giá trị như thông tin tài khoản khách hàng, thông tin chi tiết cước, thông tin nạp
thẻ…các doanh nghiệp viễn thông thường phải đối mặt với các mối đe dọa an ninh mạng
như: tấn công từ bên ngoài mạng, mã hóa dữ liệu, đánh cắp dữ liệu, tấn công bằng phần
mềm độc hại, tấn công rà quét, tấn công DoS DDoS, tấn công lửa đảo mật khẩu và một số
hình thức tấn công khác.


8

Các doanh nghiệp viễn thông đã và đang có các giải pháp để hạn chế và ngăn chặn các mối
đe dọa này như: giải pháp an ninh cho lớp trung gian, giải pháp phần mềm, giải pháp bảo
mật thông qua Firewall, giải pháp bảo mật IDS/IPS đồng thời với đặc thù làm việc dựa trên
các quy trình quy định vì vậy các giải pháp phi kỹ thuật cũng cần được áp dụng.

2.1 Giải pháp an ninh cho lớp trung gian
Lớp an ninh này thực hiện kiểm soát các giao thức, ứng dụng, dịch vụ trao đổi qua lại
tại cửa ngõ mạng, ngăn chặn tình trạng tắc nghẽn mạng, đảm bảo chất lượng và sự ổn định
cho các dịch vụ, ứng dụng trên mạng, Access Control List hạn chế truy cập của người
dùng cuối qua những phân vùng, những ứng dụng không thuộc phạm vi truy xuất của
mình. Thiết lập các quyền truy cập thông qua username, password. Hạn chế kết nối vào hệ
thống (kết nối vật lý) tại những vị trí không được phép thông qua tính năng Port security,
VLAN access control list của thiết bị mạng. Phân vùng VLAN hạn chế các dữ liệu vô ích
(Broadcast, ARP signal…) từ khu vực này qua khu vực khác, tận dụng tối đa băng thông
cho thông tin có ích của hệ thống. Ngăn chặn khuyếch tán Virus hay ảnh hưởng liên đới do
trường hợp không ổn định của hệ thống phần cứng từ vùng này qua vùng khác.
Để bảo mật cho lớp trung gian, chúng ta cần quan tâm đặc biệt tới các thiết bị mạng, hệ
điều hành, trang web truy cập, vùng LAN. Ví dụ chúng ta có thể thực hiện các tính năng
cho lớp trung gian như:
- Hạn chế sự truy cập trái phép qua Access Control hạn chế truy cập của người dùng cuối
qua những phân vùng, những ứng dụng không thuộc phạm vị truy xuất của mình và
nâng cao bảo mật thông qua mật khẩu mạnh (password strong).
- Hạn chế sự tràn ngập dữ liệu từ khu này tới khu khác đảm bảo sự lưu thông mạng luôn
được duy trì giúp khách hàng dễ dàng truy cập và các hệ thống website.
- Ngăn ngừa những kết nối trái phép thông qua kết nối vật lý như: Port security, VLAN
access control list, Private VLAN… trong thiết bị mạng.
2.2 Giải pháp phần mềm
Sử dụng phần mềm diệt virus cho máy trạm end - user đây là thành phần không thể
thiếu đối với bất kỳ hệ thống mạng hay hệ thống website nào đồng thời rà quét lỗ hổng
thường xuyên. Giải pháp phần mềm là phương pháp linh hoạt hơn, nhằm mục đích mã hóa
hay sử dụng mạng riêng ảo VPN, các hệ thống Firewall phần mềm… sử dụng 1 trong
những phương pháp này có thể kiểm soát được sự trao đổi thông tin, hay mất mát có thể
xảy ra…Chi phí thường rẻ hơn.
Mạng riêng ảo VPN (Virutual Private Networks) VPN được hiểu đơn giản là sự mở rộng
của một mạng riêng (Private Network) thông qua các mạng công cộng. Về cơ bản mỗi

VPN là một mạng riêng sẽ sử dụng một mạng chung (thường là Internet) để kết nối cùng
với các site (các mạng riêng lẻ) hay nhiều người sử dụng từ xa. Thay cho việc sử dụng bởi
một kết nối thực chuyên dụng như đường dữ liệu thuê mỗi VPN sử dụng các kết nối ảo


9

được dẫn đường quan Internet từ mạng riêng của các doanh nghiệp tới các site hay nhân
viên từ xa để có thể gửi và nhận dữ liệu thông qua mạng công cộng mà vẫn đảm bảo an
toàn và bí mật.
2.3 Giải pháp bảo mật thông qua Firewall
Firewall hay còn được gọi là tưởng lửa là thuật ngữ trong chuyên ngành mạng máy
tính nó là một hệ thống an ninh mạng có thể dự trên phần cứng hoặc phần mềm, sử dụng
các quy tắc để kiểm tra các lưu lượng dữ liệu (traffic) vào ra hệ thống, chống lại sự truy
cập trái phép, ngăn chặn virus... để đảm bảo nguồn thông tin nội bộ được an toàn, tránh bị
đánh cắp. Ngắn gọn và dễ hiểu hơn Firewall là ranh giới bảo mật giữa bên trong và bên
ngoài của một hệ thống mạng máy tính.
Chức năng chính của Firewall :
Kiểm soát luồng thông tin từ giữa Intranet và Internet. Thiết lập cơ chế điều khiển dòng
thông tin giữa mạng bên trong (Intranet) và mạng Internet, cụ thể :
- Cho phép hoặc cấm những dịch vụ truy cập ra ngoài (từ Intranet ra Internet).
- Cho phép hoặc cấm dịch vụ truy cập vào bên trong (từ Internet vào Intranet).
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
- Kiểm soát địa chỉ truy cập, cấm địa chỉ truy cập.
- Kiểm soát người dùng và việc truy cập của người dùng.
- Kiểm soát nội dung thông tin lưu chuyển trên mạng.
2.4 Giải pháp IDS/IPS
Khái niệm IDS (Hệ thống phát hiện xâm nhập) là một hệ thống phòng chống, nhằm
phát hiện các hành động tấn công vào một mạng. Mục đích của nó là phát hiện và ngăn
ngừa các hành động phá hoại đối với vấn đề bảo mật hệ thống, hoặc những hành động

trong tiến trình tấn công như sưu tập, quét các cổng. Một tính năng chính của hệ thống này
là cung cấp thông tin nhận biết về những hành động không bình thường và đưa ra các báo
cảnh thông báo cho quản trị viên hệ thống mạng khóa các kết nối đang tấn công này.
IDS phát triển đa dạng trong cả phần mềm và phần cứng, mục đích chung của IDS là quan
sát các sự kiện trên hệ thống mạng và thông báo cho quản trị hệ thống biết về an ninh của
sự kiện cảm biến được cho là đáng báo động và cần được theo dõi và xử lý.
Khái niệm IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) là hệ
thống theo dõi, ngăn ngừa kịp thời các hoạt động xâm nhập không mong muốn.
Chức năng chính của IPS là xác định các hoạt động nguy hại, lưu giữ các thông tin này.
Sau đó kết hợp với Firewall để dừng ngay các hoạt động này, và cuối cùng đưa ra các báo
cáo chi tiết về các hoạt động xâm nhập trái phép trên.
Hệ thống IPS được xem là trường hợp mở rộng của hệ thống IDS, cách thức hoạt động
cũng như đặc điểm của 2 hệ thống này tương tự nhau. Điểm khác nhau duy nhất là hệ
thống IPS ngoài khả năng theo dõi, giám sát thì còn có chức năng ngăn chặn kịp thời các


10

hoạt động nguy hại đối với hệ thống. Hệ thống IPS sử dụng tập luật tương tự như hệ thống
IDS.
2.5 Giải pháp phi kỹ thuật
Doanh nghiệp cần có chính sách đánh giá mức độ an toàn thông tin của chính mình
thông qua các phần mềm, phần cứng và chính con người.
Xây dựng chính sách an toàn thông tin cho doanh nghiệp đồng thời có những chế tải xử lý
nghiêm khắc đối với các cá nhân không tuân thủ quy định an toàn bảo mật của doanh
nghiệp đã đề ra.

2.3 Kết luận chương 2
Chương 2 của bài luận văn học viên đã trình bày một số giải pháp nâng cao an ninh
mạng cho các doanh nghiệp viễn thông đã và đang được áp dụng và phát huy hiệu quả, để

đảm bảo đạt được hiệu quả cao cần phối hợp triển khai các giải pháp sao cho phù hợp với
thực trạng nền tảng cơ sở vật chất. Chương cuối của bài luận văn học viên nghiên cứu tìm
hiểu và giới thiệu các giải pháp nâng cao an ninh mạng đang được áp dụng tại Tổng công ty
viễn thông MobiFone đồng thời từ các đặc thù, cơ sở vật chất các hệ thống và nền tảng thiết
bị của Tổng công ty Viễn thông MobiFone hiện nay học viên đã nghiên cứu và đưa ra các
đề xuất để tăng cường hơn nữa bảo mật an ninh mạng cho Tổng công ty Viễn thông
MobiFone nói riêng cũng như các doanh nghiệp hoạt động và kinh doanh trong lĩnh vực
viễn thông nói chung.

CHƯƠNG 3: GIẢI PHÁP NÂNG CAO AN NINH MẠNG TẠI
TỔNG CÔNG TY VIỄN THÔNG MOBIFONE
3.1. Nghiên cứu các giải pháp nâng cao an ninh mạng đang được áp dụng tại
Tổng công ty viễn thông MobiFone
Tại Tổng công ty Viễn thông MobiFone hiện nay vấn đề bảo mật an ninh mạng đang
được Lãnh đạo Tổng công ty cũng như Lãnh đạo các trung tâm trực thuộc, Lãnh đạo các
công ty khu vực quan tâm và đánh giá là vấn đề cực kỳ quan trọng.
MobiFone hiện nay đang vận hành và khai thác rất nhiều hệ thống liên quan dữ liệu tính
cước, thông tin thuê bao, tài khoản của khách hàng, thông tin thẻ nạp, thông tin cuộc gọi,
giao dịch thanh toán điện tử, đăng ký gói cước… vì vậy việc đảm bảo an toàn tuyệt đối
cho các dữ liệu này là hết sức quan trọng, việc bị tấn công hoặc đánh cắp, rò rỉ dữ liệu ra
ngoài ảnh hưởng rất lớp tới uy tín và thương hiệu của MobiFone cũng như ảnh hưởng trực
tiếp tới khách hàng đang sử dụng dịch vụ của MobiFone. Thực tế tại MobiFone hiện nay
đang áp dụng nhiều biện pháp tăng cường bảo mật an ninh mạng không chỉ giải pháp phần
cứng, giải pháp phần mềm mà còn có các giải pháp phi kỹ thuật, mỗi giải pháp có những


11

ưu điểm riêng được áp dụng triển khai thực tế tùy thuộc vào quy mô, cơ sở hạ tầng cụ thể
các hệ thống. Các giải pháp đang được sử dụng hiện nay như sau :

Giải pháp phần cứng
- Hệ thống tường lửa Firewall.
- Hệ thống phát hiện và ngăn ngừa xâm nhập IDS/IPS.
- Hệ thống giám sát bảo mật tập trung SCB.
- Hệ thống giám sát, quản lý điều hành tập trung Polestar.
- Hệ thống mạng riêng ảo VPN.
Giải pháp phần mềm
- Sử dụng phần mềm diệt virus.
- Firewall phần mềm.
Giải pháp chống mất dữ liệu
- Xây dựng hệ thống dự phòng, phòng ngừa thảm họa DR (Disaster Recovery).
Giải pháp khác :
- Giải pháp phi kỹ thuật nâng cao nhận thức, xây dựng quy chế an toàn bảo mật thông tin
áp dụng cho toàn Tổng công ty.
3.1.1. Nhóm giải pháp phần cứng
Hệ thống tường lửa Firewall
Cũng như nhiều doanh nghiệp khác Firewall là sự lựa chọn phổ biến trong công tác
bảo mật an ninh mạng, MobiFone hiện nay với mỗi vùng mạng tại phòng máy gồm thiết bị
mạng, máy chủ, thiết bị hệ thống SAN… đều được trang bị thiết bị phần cứng Firewall
như PaloAlto 5020, CheckPoint X80, CheckPoint 12400… ngoài thiết bị Firewall phần
cứng hiện nay MobiFone còn sử dụng Firewall phần mềm sử dụng trên các thiết bị mạng
lõi core router và core switch.
Về mặt kết nối logic Firewall được đặt sau core switch và core route đồng thời trước các
switch access layer 2 để bảo vệ cho các thiết bị được kết nối trực tiếp với switch access
layer 2.
Hệ thống phát hiện và ngăn ngừa xâm nhập IDS/IPS
MobiFone hiện đang sử dụng thiết bị IBM Security Network IPS XGS 7100 thiết bị
này được triển khai nội tuyến (Inline) trong hệ thống mạng, thực hiện bảo vệ cho 1 hoặc
nhiều vùng mạng, thiết bị này thực hiện phân tích toàn bộ các gói tin đi qua nó theo cả 2
chiều (Inbound và Outbound). Khi phát hiện tấn công thiết bị sẽ thực hiện việc ngăn chặn

theo chính sách được định nghĩa trên thiết bị. Toàn bộ thông tin nhật ký về tấn công sẽ
được lưu trữ trên thiết bị một phần và toàn bộ trên thành phần quản trị tập trung. Hệ thống
bảo vệ hệ thống mạng IBM Security Network IPS – là giải pháp ngăn chặn và phát hiện
các mối đe dọa thế hệ mới của IBM - Next generation Intrusion Prevention System (IPS).
Đây là hệ thống cho phép ngăn chặn các mối đe dọa xuất phát từ bên ngoài cũng như từ


12

bên trong mạng thông qua việc phân tích sâu vào phần nội dung của gói tin với các công
nghệ được nghiên cứu và phát triển bởi IBM X-Force.
Hệ thống Cổng giám sát bảo mật tập trung SCB
Hệ thống Cổng giám sát bảo mật tập trung SCB là hệ thống cho phép kiểm tra, giám
sát và kiểm soát các thao tác của người dùng vào các hệ thống phục vụ SXKD thông qua
các giao thức Telnet, SSH, Remote Desktop, X11, VNC, SCP và SFTP.
Hệ thống gồm các thiết bị chuyên dụng (Appliance) gọi là Shell Control Box (SCB).
Nguyên lý hoạt động :
Thay thế phương thức truy cập trực tiếp của người dùng vào các hệ thống bằng phương
pháp truy cập gián tiếp thông qua hệ thống cổng giám sát bằng cách thay đổi lại địa chỉ IP
và cổng truy cập. Hoạt động của hệ thống cổng giám sát hoàn toàn trong suốt đối với
người dùng. Tuy nhiên, tất cả các thao tác của người dùng trên hệ thống đều được ghi lại,
đồng thời có thể ngăn chặn thời gian thực các thao tác được định nghĩa là không hợp lệ
trên hệ thống được cổng giám sát bảo vệ.
Hệ thống giám sát, quản lý điều hành tập trung Polestar
Hệ thống Polestar là tên thương mại của hệ thống giám sát, quản lý điều hành tập trung
hiện đang triển khai tại Tổng Công ty Viễn thông MobiFone, cho phép giám sát hoạt động
của toàn bộ hạ tầng công nghệ thông tin doanh nghiệp.
Nguyên lý hoạt động của hệ thống như sau : hệ thống giám sát toàn bộ máy chủ, thiết bị
lưu trữ, thiết bị mạng, cơ sở dữ liệu, ứng dụng, weblogic các thông số giám sát gồm: trạng
thái hoạt động, tải, hiệu năng, các cảnh báo, thông báo lỗi từ các thành phần được giám sát.

Các phương thức giám sát bao gồm giám sát thông qua các màn hình giám sát, âm thanh
cảnh báo, tin nhắn SMS, email. Khi bị tấn công hoặc xâm nhập gây down hệ thống, tăng
tải đột biến, cơ sở dữ liệu tăng bất thường .. hệ thống sẽ ngay lập tức cảnh báo bằng email
và sms tới quản trị hệ thống để nắm thông tin và xử lý, ngoài ra các mức cảnh báo sẽ xuất
hiện trên màn hình giám sát tập trung được nhân viên trực ca hệ thống giám sát 24/7.
Hệ thống được lắp đặt tại 2 site Hà Nội và HCM
Phần cứng hệ thống gồm 4 Máy chủ IBM Power 740 (16 core Power7+ 3.6 GHz, 256GB
RAM, 6x600GB 10K SAS HDD, 4 port 1Gb ethernet, 2 port 8Gb FC, AIX 7.1 Standard,
PowerVM Enterprise, 2 màn hình giám sát TV.
Giao diện Event Console cho phép hiển thị và kiểm tra thông tin về toàn bộ các sự kiện
xảy ra trong hệ thống.
Tất cả các sự kiện trong hệ thống được cập nhật và hiển thị theo thời gian thực, cấp độ của
các sự kiện được mã mầu giúp người dùng dễ dàng theo dõi. Các mức độ của sự kiện đã
được định nghĩa trong phần thiết lập ngưỡng cảnh báo.
Hiện tại hệ thống có 5 mức độ ngưỡng cảnh báo theo mức độ nguy hiểm cho hệ thống tăng
dần như sau : INFO, MINOR, MAJOR, CRITICAL, DOWN.


13

Hệ thống mạng riêng ảo VPN
Hệ thống cho phép người dùng thiết lập mạng riêng ảo với một mạng khác trên
Internet. VPN có thể được sử dụng để truy cập các trang web bị hạn chế truy cập về mặt vị
trí địa lý, bảo vệ hoạt động duyệt web trên mạng Wifi công cộng bằng cách thiết lập mạng
riêng ảo, VPN chuyển tiếp tất cả lưu lượng mạng (network traffic) tới hệ thống - nơi có thể
truy cập từ xa các tài nguyện mạng cục bộ và bỏ qua (bypass) việc kiểm duyệt Internet
(Internet censorship). Hầu hết trên các hệ điều hành đều tích hợp hỗ trợ VPN. Hệ thống
VPN tại MobiFone gồm có 2 thành phần là VPN Site to Site: được đặt tại 9 Công ty khu
vực và VPN Client to Site: được đặt tại VPCT và các Trung tâm trực thuộc. Phần cứng hệ
thống sử dụng các thiết bị : SSL VPN SA6500, SSL VPN SA4500, Site to Site VPN tập

trung SSG550, VPN tập trung SSG550, site to Site VPN SRX110, SRX650, VPN Junos
Pulse Gateway 6610.
3.1.2 Nhóm giải pháp phần mềm
Sử dụng phần mềm diệt virus, Firewall mềm của hệ điều hành Windows cho các máy
Client, máy chủ hệ thống, thiết bị mạng, thiết bị lưu trữ SAN.. có bản quyền và thường
xuyên cập nhật các bản vá lỗi mới nhất là các giải pháp phần mềm đang được áp dụng tại
MobiFone.
Firewall mềm là một phần mềm được tích hợp sẵn theo kèm theo hệ điều hành với chức
năng phân định và kiểm soát tất cả dữ liệu được trao đổi giữa máy chủ và bên ngoài mạng
nội bộ cũng như Internet. Ưu điểm của hình thức này là phần mềm sẵn có theo hệ điều
hành như TCP Wapper, IP Table, Firewall Windows server sử dụng đơn giản và không tốn
thêm chi phí để đầu tư thiết bị mới và bản quyền phần mềm để vận hành.
Tuy nhiên nhược điểm chính của loại Firewall này là độ bảo mật không cao do nó hoạt
động phụ thuộc vào hệ điều hành.
Ngoài ra đối với các thiết bị mạng lõi như Core switch, core route có một số tính năng tăng
cường bảo mật như Port Security, Arp Spoofing, Dynamic ARP Inspection, IP Source
Guard, DHCP Snoop, Private VLAN, ACL, VLAN ACL, các nội dung này học viên xin
được trình bày chi tiết vào phần tiếp theo.
3.1.3 Nhóm giải pháp chống mất dữ liệu
Xây dựng hệ thống dự phòng active – stanby, hệ thống phòng ngừa thảm họa DR
(Disaster Recovery). Hệ thống dự phòng là hệ thống không thể thiếu trong an toàn thông
tin, nó hết sức quan trọng đối với sự an toàn của các hệ thống, nhiệm vụ chính là chia sẻ tài
nguyên thông tin với hệ thống chính có thể chia sẻ tải và thay thế hệ thống chính khi cần
thiết đảm bảo hoạt động trong suốt của hệ thống, với yêu cầu như vậy hệ thống dự phòng
cần được vận hành song song với hệ thống chính dữ liệu được đồng bộ liên tục với hệ
thống chính ngoài ra hệ thống dự phòng phải có đầy đủ cơ sở vật chất kỹ thuật và năng lực
xử lý để đảm bảo hoạt động chia sẻ và thay thế hệ thống chính khi cần thiết, hệ thống dự


14


phòng cũng có thể sử dụng cho mục đích đào tạo, chuyển giao hoặc thử nghiệm công nghệ
mới, test thử nghiệm trước khi đưa vào áp dụng đối với hệ thống đang hoạt động mà không
ảnh hưởng tới hoạt động của hệ thống chính.
3.1.4 Nhóm giải pháp khác
Ngoài các nhóm giải pháp nêu trên một số giải pháp phi kỹ thuật nâng cao nhận thức,
giải pháp xây dựng quy chế an toàn bảo mật thông tin tại MobiFone cũng được coi trọng
và được thực hiện giám sát thường xuyên và xuyên suốt, cụ thể nội dung các giải pháp này
như sau:
- Thực hiện ra soát các hệ thống 1 tháng 1 lần để loại bỏ các user không còn được sử
dụng.
- Khi thực hiện phát triển hoặc nâng cấp hệ thống cần kiểm tra và xác nhận đủ điều kiện
về bảo mật thông tin trước khi đưa vào sử dụng.
- Thực hiện kiểm tra đánh giá việc tuân thủ quy chế an toàn thông tin tại các đơn vị định
kỳ, cá nhân và đơn vị nào vi phạm sẽ bị xử lý theo quy định.
- Xây dựng chính sách quy trình thực hiện an toàn thông tin áp dụng cho toàn bộ Tổng
công ty, tại mỗi chi nhánh đơn vị thành lập các tổ an toàn bảo mật thường xuyên nghiên
cứu công nghệ đồng thời thực hiện rà soát lỗ hổng các hệ thống thường xuyên để kịp
thời cập nhật khắc phục lỗ hổng.
- Với các CSDL quan trọng liên quan tới thông tin khách hàng, chi tiết cuộc gọi, thông tin
thẻ cào, thẻ nạp data và các giao dịch thanh toán điện tử, đăng ký dịch vụ khách hàng,
thông tin tài chính của Tổng công ty, thông tin chính sách, báo cáo số liệu của Tổng
công ty cần thiết lập ghi log giám sát truy cập, giám sát tác động vào các bảng dữ liệu
quan trọng.
- Bên cạnh các giải pháp kỹ thuật giải pháp phi kỹ thuật tại MobiFone cũng đang được áp
dụng và tuyên truyền mạnh mẽ nâng cao nhận thức của các cá nhân phòng ban thuộc
các chi nhánh, Trung tâm trực thuộc và các công ty khu vực. Áp dụng hình thức kiểm
điểm và kỷ luật đối với các cá nhân, đơn vị không thực hiện nghiêm túc quy định về an
toàn bảo mật mà Tổng công ty đã đề ra.


3.2 Nghiên cứu đề xuất các biện pháp tăng cường an ninh mạng cho Tổng công
ty viễn thông MobiFone
Qua nghiên cứu và tìm hiểu một số công nghệ bảo mật tăng cường an ninh
mạng mới và khảo sát thực trạng các hệ thống bảo mật hiện tại của MobiFone học viên
nhận thấy các phương pháp và các hệ thống hiện tại đã đảm bảo được vấn đề bảo mật cho
toàn Tổng công ty. Tuy nhiên với sự phát triển của khoa học kỹ thuật hiện nay các hacker
sẽ có những hình thức và phương pháp tấn công mới nguy hiểm, tinh vi hơn mà nền tảng
an toàn bảo mật hiện tại chưa thể phòng chống và ngăn chặn được như : tấn công vào ứng
dụng và cơ sở dữ liệu các hệ thống thông qua SQL Injection loại hình tấn công này có thể


15

vượt qua tất cả các cơ chế bảo mật hệ thống mạng vì vậy cần ngăn ngừa tức thời các tấn
công trái phép vào CSDL là cần thiết. Mặt khác các hình thức tấn công qua thiết bị mạng
như : tấn công vào port thiết bị mạng bất kỳ khi port kết nối thiết bị mạng không bị giới
hạn địa chỉ MAC đầu vào cũng khá nguy hiểm và cần được ngăn chặn ngay từ thiết bị
mạng không cho phép đi sâu vào hệ thống. Với các hệ điều hành tất cả các IP bất kỳ đều
có thể kết nối được tới các máy chủ mà không bị hạn chế là khá nguy hiểm dễ dàng tạo cơ
hội cho hacker tấn công.
Học viên nhận thấy việc bảo mật nâng cao an ninh mạng không được dừng lại ở đó cần
tiếp tục áp dụng các hệ thống và phương pháp tăng cường bảo mật mới dựa trên nền tảng
hệ thống đang sử dụng cũng như đầu tư trang bị thêm hệ thống và phương pháp tăng
cường bảo mật mới để tăng cường hơn nữa cho an toàn an ninh mạng của MobiFone.
3.2.1 Triển khai hệ thống giám sát và bảo vệ cơ sở dữ liệu Impreva
Với quy mô mở rộng ngày càng lớn, để đáp ứng tốt các yêu cầu trong SXKD,
MobiFone cũng đã đầu tư mở rộng hạ tầng CNTT mạnh với nhiều hệ thống ứng dụng lớn.
Trong đó, có rất nhiều hệ thống xử lý và lưu trữ thông tin quan trọng, nhạy cảm như thông
tin về dữ liệu khách hàng, chi tiết cuộc gọi, thông tin thẻ nạp và các giao dịch thanh toán
điện tử, đăng ký dịch vụ khách hàng.

Dữ liệu mạng MobiFone là nguồn dữ liệu rất giá trị đối với mọi đối tượng từ tổ chức đến
cá nhân. Xác định bảo mật thông tin khách hàng là một yêu cầu bắt buộc.
Imperva là công ty chuyên về các giải pháp bảo vệ cho cơ sở dữ liệu. Khác với các giải
pháp khác triển khai bảo vệ tại mạng vành đai và điểm cuối, giải pháp Imperva có thể giám
sát và bảo vệ trực tiếp ứng dụng và dữ liệu quan trọng tại trung tâm dữ liệu, cung cấp khả
năng giám sát, ghi log chi tiết các truy cập/tác động dữ liệu, ngăn chặn các tấn công và
hành động trái quyền.
Tường lửa mạng, hệ thống phòng chống xâm nhập (Network Firewall, IDS/IPS) là giải
pháp bảo đảm an ninh chủ yếu cho mức mạng, hạ tầng. Nó không hoạt động ở mức ứng
dụng và dữ liệu, do đó trong các hệ thống sẽ tồn tại các lỗ hổng an ninh nếu chỉ trang bị
các giải pháp này. Thực tế cho thấy đã xuất hiện nhiều tấn công khai thác điểm yếu của
ứng dụng Web để từ đó xâm nhập vào dữ liệu back - end và tấn công từ người dùng nội bộ
được phép truy cập dữ liệu. Vì vậy, xu hướng bảo vệ tập trung ở mức mạng, hạ tầng là
chưa đủ các giải pháp bảo vệ, giám sát an ninh chuyên biệt vào dịch vụ, ứng dụng và dữ
liệu. MobiFone đã và đang nghiên cứu sử dụng hệ thống Imperva cung cấp giải pháp an
ninh chuyên biệt từ ứng dụng tới dữ liệu. Imperva có khả năng hiểu rõ ứng dụng Web như
cấu trúc ứng dụng và hành vi người dùng. Giải pháp cũng kiểm soát tới mức dữ liệu, như
các thao tác (đọc/xóa/sửa), các câu lệnh query (Select, Insert, Update) từ người dùng và
ứng dụng lên các đối tượng dữ liệu (file dữ liệu, bảng & cột CSDL) cũng như các hành
động của người dùng có đặc quyền DBA (Database Administrator) lên hệ thống.


16

Hệ thống Impreva có những ưu điểm như:
- Chống tấn công có thể vượt qua Firewall mức mạng và IDS/IPS để xâm nhập sâu vào
ứng dụng hệ thống.
- Giám sát và cảnh báo một cách độc lập về các hành động và thao tác chi tiết của người
dùng và quản trị hệ thống trên Cơ sở dữ liệu.
- Ngăn chặn các hành động trái phép và cơ sở dữ liệu giúp nâng cao an ninh dữ liệu cũng

như tuân thủ các tiêu chuẩn về an toàn thông tin đồng thời giải quyết được các vấn đề
giám sát và bảo vệ mức ứng dụng, dữ liệu thông tin.
Ngoài ra Impreva có thể tự động dò quét và định vị dữ liệu nhạy cảm, chẳng hạn như
thông tin thẻ tín dụng, giao dịch thanh toán, tài khoản, cũng như thông tin cá nhân khác
theo các chuẩn hoặc do người quản trị định nghĩa bằng cách dò quét theo tên (name based)
hoặc nội dung (content based), theo dòng hoặc theo cột. Quá trình phân loại tự động giúp
xác định và chỉ rõ các loại dữ liệu nhạy cảm và theo dõi những nơi dữ liệu nhạy cảm được
lưu trữ và các đối tượng CSDL liên quan.
3.2.2 Triển khai tính năng bảo mật của thiết bị mạng
Qua nghiên cứu tìm hiểu như đối với các thiết bị mạng lõi (core switch), thiết bị định tuyến
lõi (core router), switch access layer 3 có thể khai thác thêm về bảo mật bằng cách mở
rộng bật tính năng (enable policy) trên thiết bị mạng Cissco như :
- Port security
- Dynamic ARP Inspection
- IP Source Guard
- DHCP Snooping
- Private VLAN
- ACL, VLAN ACL
Port security
Sử dụng tính năng Port security với mục đích giới hạn đầu vào interface bằng cách hạn chế
và xác định địa chỉ MAC của các máy trạm được phép truy cập vào, như vậy khi 1 kết nối
khác tới port Switch không đúng với MAC đã cấu hình ngay lập tức kết nối bị từ chối,
cổng mạng sẽ không chuyển tiếp các gói tin với địa chỉ nguồn bên ngoài nhóm của nhóm
địa chỉ MAC đã cấu hình sẵn.
Nếu hạn chế số lượng địa chỉ secure MAC tới một cổng và chỉ định một địa chỉ MAC các
máy trạm thuộc port đó được đảm bảo đầy đủ băng thông. Nếu một port secure với số
lượng tối đa các địa chỉ secure MAC được đạt tới khi MAC của các máy trạm còn lại cố
gắng truy cập vào cổng mà khác với địa chỉ secure MAC đã xác định thì vi phạm bảo mật
đã xảy ra.
ARP (Address Resolution Protocol) là một giao thức truyền thông được sử dụng rộng rãi

để tìm ra các địa chỉ tầng liên kết dữ liệu từ các địa chỉ tầng mạng.


17

Lỗ hổng của ARP: Khi một gói tin (datagram) giao thức Internet (IP) được gửi từ một máy
đến máy khác trong mạng cục bộ, địa chỉ IP đích được giải quyết thành địa chỉ MAC để
truyền qua tầng liên kết dữ liệu. Khi biết được địa chỉ IP của máy đích và địa chỉ MAC của
nó cần truy cập, một gói tin broadcast được gửi đi trên mạng cục bộ, gói tin này được gọi
là ARP request, máy đích với IP trong ARP request sẽ trả lời vơi ARP reply nó chứa địa
chỉ MAC cho IP đó. ARP là một giao thức phi trạng thái, máy chủ mạng sẽ tự động lưu trữ
bất kỳ ARP reply nào mà chúng nhận được, bất kể máy khác có yêu cầu hay không và
ngay cả các mục ARP chưa hết hạn sẽ bị ghi đè khi nhận được gói tin ARP reply mới.
Không có phương pháp nào trong giao thức ARP mà giúp một máy có thể xác nhận máy
mà từ đó gói tin bắt nguồn, hành vi này là lỗ hổng cho phép ARP spoofing xảy ra.
Trong mạng máy tính ARP spoofing, ARP cahe poisoning hay ARP poison routing là một
kỹ thuật qua đó hacker tấn công giả thông điệp ARP trong mạng cục bộ, mục tiêu là kết
hợp địa chỉ MAC của kẻ tân công với địa chỉ IP của máy chủ khác, chẳng hạn như cổng
mặc định default gateway làm cho bất kỳ lưu lượng truy cập nào dành cho địa chỉ IP đó
được gửi đến kẻ tấn công. ARP spoofing có thể cho phép hacker chặn các khung dữ liệu
trên mạng, sửa đổi lưu lượng hoặc dừng tất cả lưu lượng.
Kẻ tấn công có thể gửi thông tin giả mạo để đánh lừa switch hay những máy chủ nhằm
chuyển tiếp luồng dữ liệu đến của người dùng đến gateway giả. Mục đích của hacker là trở
thành người ở giữa khi máy tính hoặc máy chủ của người dùng gửi dữ liệu tới gateway để
ra mạng bên ngoài máy tính của hacker sẽ trở thành gateway trong trường hợp này, hacker
có thể phân tích nội dung của mỗi gói dữ liệu được gửi đến trước khi chuyển thực hiện
chuyển tiếp thông thường
Với tính năng của Cisco Catalyst DHCP Snooping, IP Source guard và dynamic ARP cho
phép ngăn chặn hình thức tấn công này.
DHCP Snooping

Một server DHCP thông thường cung cấp những thông tin cơ bản cho một máy tính hoạt
động trên mạng, ví dụ máy tính của người dùng nhận IP, gateway, DNS giả sử hacker xây
dựng một DHCP giả trong cùng mạng máy tính với người dùng và khi máy tính gửi bản tin
DHCP Request khi đó server DHCP giả có thể sẽ gửi thông tin trả lời và máy tính người
dùng sẽ dùng DHCP giả làm gateway khi đó toàn bộ luồng dữ liệu gửi ra mạng bên ngoài
sẽ đi qua gateway giả khi đó hacker sẽ phân tích và nắm được thông tin nội dung của dữ
liệu, dữ liệu sau đó được chuyển tiếp đi như bình thường. Đây là một dạng tấn công người
ở giữa (man-in-the-middle), hacker thay đổi đường đi của gói dữ liệu mà người dùng
không thể nhận biết.
Với DHCP Snoop sẽ giúp ngăn chặn loại tấn công này, khi DHCP được kích hoạt cổng
trên Switch sẽ phân loại thành cổng tin cậy (trusted) và không tin cậy (unstrusted). Cổng
tin cậy sẽ cho phép nhận DHCP Relay hay cổng được kết nối với server DHCP trong khi


18

cổng không tin cậy chỉ cho phép nhận DHCP hay cổng kết nối với máy tính người dùng,
nếu server DHCP giả gắn vào cổng không tin cậy và gửi DHCP request hay cổng kết nối
với máy tính người dùng. Nếu DHCP giả gắn vào cổng không tin cậy và gửi DHCP Relay
thì gói Relay sẽ bị loại bỏ DHCP Snooping sẽ thực hiện phân tích gói DHCP và Reply xây
dựng bảng cơ sở dữ liệu về địa chỉ IP được cấp, địa chỉ MAC, thông tin cổng mà máy tính
đó thuộc.
Dynamic ARP Inspection
PC thường dùng ARP để phân giải một địa chỉ MAC không biết khi địa chỉ IP được biết.
Khi địa chỉ MAC được cần để một gói có thể được gởi. PC gửi broadcast ARP request mà
chứa địa chỉ IP của PC cần tìm địa chỉ MAC. Nếu có bất kỳ PC này dùng địa chỉ IP đó, nó
sẽ trả lời địa chỉ MAC tương ứng. Tuy nhiên một ARP reply có thể được tạo ra mà không
cần ARP request hay còn gọi là (gratuituos ARP), để cho những PC khác trong mạng có
thể cập nhật bảng ARP khi có sự thay đổi xảy ra. Lợi dụng điều này kẻ tân cống thực hiện
gởi gratuituos ARP với thông tin giả, nó sẽ thay thể địa chỉ MAC của nó với địa chỉ của IP

gateway thay vì địa chỉ MAC của gateway, điều này sẽ buộc máy nạn nhân thay đổi lại
bảng ARP với thông tin sai, đây là dạng tấn công “ARP spoofing” được xem như man-inthe-middle, gói dữ liệu sẽ đến gateway giả trước khi được chuyến tiếp đến đích.
Tính năng DAI ( Dynamic ARP Inspection) có thể ngăn chặn loại tấn công này. DAI làm
việc tương tự với DHCP Snooping, tất cà các cổng sẽ phân loại thành tin cậy và không tin
cậy. Switch sẽ thực hiện phân tích hợp lệ của ARP request và reply trên cổng không tin
cập nơi mà cở sở dữ liệu của DHCP Snooping đã xây dựng trước đó, nếu nội dung của gói
ARP request hay reply bao gồm MAC và IP mà khác so với giá trị trong cơ sở dữ liệu
được xây dựng trước đó gói sẽ bị loại bỏ. Cổng tin cậy sẽ không thực hiện kiểm tra gói
ARP request và reply. Hành động này ngăn chặn sự không hợp lệ hay gói ARP giả mạo
được gửi.
Private VLAN
Như đã biết VLAN là một miền quảng bá (broadcast) các VLAN không thể giao tiếp với
nhau được mà cần có một thiết bị layer 3 để chuyển gói tin giữa các broadcast domain với
nhau. PVLAN sẽ chia nhỏ domain này thành nhiều subdomain riêng biệt khi đó giống như
VLAN trong VLAN. Do các subdomain cũng là các domain riêng biệt nên cũng cần một
thiết bị layer 3 để chuyển gói như router, router cũng có thể ngăn chặn hoặc cho phép giao
tiếp giữa các sub-VLAN dùng access-list. VLAN và PVLAN có sự khác biệt sau:
Mỗi VLAN sẽ có subnet khác nhau, nên các host thuộc các VLAN khác nhau sẽ có subnet
khác nhau. Còn khi ta chia nhỏ VLAN thành các PVLAN thì các host thuộc các PVLAN
khác nhau vẫn thuộc cùng một subnet.
Mục đích PVLAN


19

Mục đích chính của việc phát triển và sử dụng PVLAN là nâng cao tính bảo mật, an toàn
cho hệ thống mạng. PVLAN cho phép tạo thêm một hàng rào bảo vệ các thiết bị bên trong
một VLAN bằng cách quy định các luồng dữ liệu cho phép (permit) hay từ chối (deny)
giữa các port trong 1 VLAN với nhau.
Việc chia các host ra các VLAN khác nhau sẽ dẫn đến yêu cầu dùng routers hoặc các

multilayer switch giữa các subnets và các kiểu thiết bị này thường có thêm nhiều chức
năng bảo mật.
Với nhu cầu tăng tính bảo mật bằng cách tách các thiết bị bên trong một VLAN nhỏ sẽ
xung đột với mục đích thiết kế sử dụng các địa chỉ IP sẵn có.
=> Tính năng private VLAN của Cisco giúp giải quyết vấn đề này
VLAN ACL
VLAN ACL (VACL) là một dịch vụ cho phép tạo và quản lý danh sách truy cấp dựa vào
địa chỉ MAC, IP. Bạn có thể cấu hình VACL để kiểm tra các gói tin lưu thông trong nội bộ
một VLAN, hoặc giữa các VLAN với nhau. VACL thì không quản lý truy cập theo hướng
(in, out). VACL dùng Access Map để chứa danh sách tuần tự một hoặc nhiều mẫu tin
(entry) về việc quản lý truy cập. Mỗi mẫu tin trong bản đồ truy cấp mô tả việc kiểm tra gói
tin dựa vào IP hoặc MAC để áp cho một hành động nào đó đối với những gói tin. Các mẫu
tin đều được đánh số thứ tự nên ta có thể cấu hình ưu tiên cho các mẫu tin phù hợp với một
yêu cầu nào đó. Khi các gói tin đi qua thiết bị sẽ được kiểm tra thông qua VACL dựa vào
bản đồ truy cấp đã được cấu hình mà thiết bị sẽ quyết định có chuyển tiếp gói tin đi hay
không. Những mẫu tin trong VLAN Access Map cung cấp các hành động đối với :
- Forward: Hành động này sẽ cho phép gói tin được chuyển qua SW
- Redirect: Gói tin sẽ được chuyển hướng sang 1 hoặc nhiều giao diện được chỉ định
- Drop: Với một gói tin vi phạm thì hành động này cho phép hủy gói tin ngay lập tức và
chúng ta có thể lưu trạng thái (logs) về việc hủy các gói tin này.
3.2.3 Triển khai tính năng bảo mật hệ điều hành
Đối với hệ điều hành cho các máy chủ có thể khai thác sử dụng tính năng TCP Wapper, IP
Table của hệ điều hành Sun solaris, linux, xác thực truy cập hệ điều hành qua OTP cho hệ
điều hành Sun Solaris 10 trở lên. Cụ thể như sau :
- TCP Wapper cho solaris và Red Hat.
- IP Table cho centos, linux.
- Xác thực truy cập qua hê điều hành Solaris qua OTP.
TCP Wrapper là một hệ thống mạng ACL dựa trên máy chủ, được sử dụng để lọc truy cập
mạng tới các máy chủ Giao thức Internet trên các hệ điều hành giống Unix như Linux. Nó
cho phép máy chủ lưu trữ danh sách IP có thể kết nối tới máy chủ bằng các giao thức ssh,

telnet, fpt, sftp tnhằm mục đích kiểm soát truy cập.


20

Khi so sánh với các chỉ thị kiểm soát truy cập máy chủ thường thấy trong các tập tin cấu
hình của trình nền, TCP Wrappers có lợi ích của việc cấu hình lại ACL trong thời gian
chạy (nghĩa là các dịch vụ không phải nạp lại hoặc khởi động lại) và cách tiếp cận chung
cho quản trị mạng.
IP Table là Firewall được cấu hình và hoạt động trên nền điều khiển rất nhỏ và tiện dụng.
IP do Netfilter Organiztion viết ra để tăng tính năng bảo mật trên hệ thống Linux. Iptables
có những tính năng sau : có khả năng phân tích gói tin hiệu quả, lọc gói tin dựa vào địa chỉ
MAC và một số cờ hiệu trong TCP Header. Cung cấp chi tiết các tùy chọn để ghi nhận sự
kiện hệ thống, cung cấp kỹ thuật NAT và có khả năng ngăn chặn một số cơ chế tấn công
theo kiểu DoS.
OTP Sun solaris: OTP cung cấp nhận dạng thứ hai khi đăng nhập vào Hệ điều hành Oracle
Sun Solaris. Việc sử dụng bằng chứng nhận dạng thứ hai được gọi là xác thực hai yếu tố.
Hệ thống đầu tiên sẽ nhắc bạn về mật khẩu truy cập máy chủ, sau đó cho OTP từ ứng dụng
xác thực di động của bạn. Sau khi hệ thống xác minh hai xác thực này thì mới có thể kết
nối tới máy chủ bằng các giao thức ssh, telnet được, hiểu một cách đơn thuần khi truy cập
ssh, telnet vào máy chủ hệ thống sẽ gửi mã OTP xác thực tới quản trị hệ thống việc này
ngăn ngừa được các truy cập trái phép không phải từ quản trị hệ thống.
Để sử dụng được tính năng xác thực 2 lớp này cần cài đặt kho Repository trên server chạy
hệ điều hành Sun Solaris, tiếp theo cần cài đặt OpenSSH và set OpenSSH làm mặc định
thay thế SunSSH mặc định sẵn có của hệ điều hành, việc cấu hình xác thực trong file
/etc/ssh/sshd_config, công việc cuối cùng cần thực hiện trên máy chủ là cài đặt gói OTP.
Trên smartphone cần cài đặt phần mềm sinh OTP và cấu hình user và IP kết nối trên máy
chủ phần mềm được sử dụng có tên là Google authenticator.
3.2.4 Triển khai tính năng bảo mật của cơ sở dữ liệu
Đối với cơ sở dữ liệu oracle có thể áp dụng tính năng kiểm tra kết nối IP của các user kết

nối database trên các phiên bản cơ sở dữ liệu oracle bắt đầu từ phiên bản 10g và áp dụng
tính năng kết xuất log tác động vào hệ thống FGA và ghi log tác động user sys toàn quyền
quản trị database.
Áp dụng tính năng kiểm tra kết nối IP của các user kết nối database.
Trên oracle sqlnet.ora là một tệp cấu hình thuần văn bản có chứa thông tin (như các tùy
chọn truy tìm, mã hóa, tuyến đường kết nối, tham số đặt tên bên ngoài) về cách máy chủ
Oracle và máy khách Oracle phải sử dụng Oracle Net (trước đây Net8 hoặc SQL * Net)
khả năng truy cập cơ sở dữ liệu được nối mạng.
Tham số cấu hình cơ bản của một file sqlnet.ora
Đối với cơ sở dữ liệu MongoDB áp dụng Authentication và Security. Thực chất tính năng
xác nhận tài khoản và xác thực đã có sẵn trong MongoDB tuy nhiên mặc định khi được cài
đặt ban đầu tính năng này không được bật.


21

Để kích hoạt tính năng bảo mật truy cập vào CSDL của MongoDB với quyền
administrator sau đó cần sửa file mongod.conf để bật chế độ enable security.
Thiết lập tính năng ghi log tác động FGA trên một số bảng quan trọng trên cơ sở dữ liệu
oracle: việc thực hiện ghi log tác động sử dụng trực tiếp proceduce trên database, đồng
thời quản trị hệ thống có thể cấu hình được các dữ liệu cần ghi log và các tùy chọn tác
động vào bảng dữ liệu như select, insert, update, drop, truncate..
Việc thực hiện tính năng này cần thêm Policy giám sát cho từng bảng dữ liệu.
Thiết lập tính năng ghi log tác động bằng user sys: Tính năng ghi log tác động vào bảng dữ
liệu FGA có nhược điểm là không ghi được log giám sát từ user sys tác động, việc tác
động từ user sys toàn quyền cần được cấu hình độc lập với FGA như sau :
Mục đích : Ghi lại toàn bộ log tác động vào hệ thống bằng user sys với quyền quản trị DB
cao nhất, sau khi cấu hình ta sẽ ghi lại toàn bộ log tác động từ user sys như sau:
3.2.5 Triển khai áp dụng thêm tính năng của hệ thống giám sát bảo mật tập trung SCB.
Hệ thống giám sát bảo mật tập trung ngoài các tính năng giám sát học viên đã trình

bày còn có thêm một số tính năng khá hữu ích trong công tác bảo mật như xác thực với các
kết nối sử dụng tính năng ủy quyền, enable các policy ngăn chặn các tác động trái phép, để
thực hiện được các tính năng này cần phải upgrade fireware hệ thống, việc này cần
downtime hệ thống trong khoảng 2h, vì vậy cần cân nhắc và rà soát các ảnh hưởng khi hệ
thống này downtime.
Xác thực với các kết nối sử dụng tính năng ủy quyền: Tính năng ủy quyền cho phép cán bộ
vận hành xác thực người dùng khi cần truy cập vào máy chủ làm việc. Tính năng này có
thể áp dụng để giám sát, tăng cường bảo mật với các máy chủ quan trọng. Để bật tính năng
này, cán bộ vận hành cần liên hệ với cán bộ quản trị có quyền để thực hiện khai báo trên
hệ thống Cổng giám sát.
Khi người dùng thực hiện kết nối vào máy chủ, hệ thống SCB sẽ chặn phiên kết nối của
người dùng. Cán bộ vận hành cần thực hiện thao tác xác thực để cho phép phiên kết nối
thành công.

3.3 Kết luận chương 3
Chương cuối cùng của bài luận văn đã nghiên cứu và trình bày các giải pháp bảo mật
an ninh mạng hiện tại của MobiFone như các giải pháp phần cứng, giải pháp phần mềm,
giải pháp chống mất dữ liệu và nhóm giải pháp khác. Mỗi giải pháp có những ưu điểm và
nhược điểm riêng, MobiFone đã linh hoạt sử dụng các giải pháp cho các cơ sở hạ tầng
phòng máy, thiết bị … để đạt được hiệu quả tốt và tối ưu được nguồn lực phần cứng cũng
như chi phí cho các vấn đề bảo mật.
Học viên cũng đã nghiên cứu tìm hiểu đưa ra được một số giải pháp bảo mật mới có thể đưa
vào triển khai áp dụng cho các hệ thống tại MobiFone như: triển khai hệ thống giám sát và
bảo vệ cho cơ sở dữ liệu, triển khai thêm tính năng bảo mật của các thiết bị mạng, triển khai


22

tính năng bảo mật của các hệ điều hành, triển khai tính năng bảo mật của các cơ sở dữ liệu.
Do đặc điểm đầu tư trang bị không đồng thời nâng cấp theo các pha nên việc áp dụng toàn

bộ các phương pháp và hệ thống bảo mật nêu trên khó có thể thực hiện được tất cả và đồng
thời, nguyên nhân do tương thích phần cứng và phần mềm cũng như cơ sở hạ tầng hiện tại
có thể không áp dụng được, việc áp dụng cũng có thể gây downtime hệ thống. Vì vậy, việc
áp dụng các giải pháp mới cũng như mở rộng khai thác thêm tính năng trên các hệ thống có
sẵn cần được rà soát kỹ phạm vi ảnh hưởng, cần được chạy thử nghiệm đồng thời việc thực
hiện cần được tiến hành sao cho thời gian downtime hệ thống là ngắn nhất, hạn chế tối đa
việc gây ảnh hưởng tới dịch vụ khách hàng.


23

KẾT LUẬN
Qua các chương của luận văn, học viên đã khái quát vấn đề an ninh mạng hiện nay là
vấn đề cực kỳ quan trọng đối với mỗi quốc gia và doanh nghiệp nói chung và doanh nghiệp
viễn thông nói riêng. Thực trạng chung cho thấy vấn đề an toàn an ninh mạng còn ở mức
thấp và còn có nguy cơ mất an toàn cao, học viên đã trình bày một số hình thức tấn công cơ
bản thường xảy ra đối với các doanh nghiệp. Với sự phát triển của khoa học và công nghệ
ngày càng xuất hiện các hình thức và quy mô tấn công phức tạp và tinh vi hơn mà các nền
tảng bảo mật cũ trước đây không phòng chống được. Để có thể đạt được kết quả tốt nhất
trong việc tăng cường an ninh mạng cho doanh nghiệp với mỗi cơ sở hạ tầng có những nền
tảng và đặc điểm bảo mật khác nhau, cần áp dụng linh hoạt và phù hợp các giải pháp bảo
mật trên nền tảng sẵn có đồng thời cần triển khai các giải pháp bảo mật mới để đạt được tính
năng bảo mật tốt nhất có thể. Các doanh nghiệp viễn thông nói chung cũng như MobiFone
nói riêng học viên trình bày các giải pháp đang được áp dụng để tăng cường bảo mật an
ninh mạng cho doanh nghiệp hoạt động trong lĩnh vực viễn thông, mỗi giải pháp có những
ưu nhược điểm riêng khi kết hợp triển khai các giải pháp đã và đang tăng cường bảo mật.
Với sự nghiên cứu tìm hiểu của học viên, học viên xin được đề xuất thêm một số giải
pháp để tăng cường hơn nữa bảo mật an ninh mạng cho MobiFone nói riêng cũng như có
thể áp dụng cho các doanh nghiệp viễn thông nói chung như trang bị hệ thống bảo mật mới,
bổ sung các tính năng bảo mật trên các hệ thống và thiết bị sẵn có đang hoạt động, việc áp

dụng mở rộng hoặc khai thác tính năng bảo mật mới đồng nghĩa với việc sẽ tốn chi phí đầu
tư thiết bị, tốn nhân lực quản trị và vận hành, có thể ảnh hưởng trực tiếp tới hệ thống live
hiện tại như tăng tải hệ thống, làm chậm hoạt động của hệ thống…. việc thực hiện cần được
rà soát và lên phương án chi tiết kỹ lưỡng đảm bảo việc áp dụng không gây downtime hệ
thống và không làm gián đoạn tới hoạt động của hệ thống cũng như dịch vụ của khách hàng.


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×