Giải pháp bảo mật hội nghị truyền hình cho các cơ quan, tổ chức

09:34 | 09/03/2015

Hiện nay, cùng với sự phát triển công nghệ thông tin và truyền thông hội nghị truyền hình (HNTH) được sử dụng rộng rãi trong các tổ chức và doanh nghiệp. Điều này đem lại nhiều lợi ích, giúp các cơ quan, tổ chức giảm chi phí hội họp, tiết kiệm thời gian và nâng cao hiệu quả công việc. Tuy nhiên, HNTH cũng là mục tiêu để tội phạm mạng tấn công, khai thác và lấy cắp thông tin bí mật. Vì vậy, vấn đề bảo đảm an toàn an ninh thông tin cho các hệ thống HNTH là cần thiết và cần có những giải pháp phù hợp để áp dụng trong thực tế.

1. Hệ thống Hội nghị truyền hình
 
Vào những năm 80 của thế kỷ trước, sự ra đời của công nghệ HNTH đã mở ra một hướng truyền thông mới cho thế giới trong việc tổ chức các hội nghị, trao đổi thông tin từ xa khi các đối tượng tham gia ở các vị trí địa lý cách xa nhau, đặc biệt là ở các tổ chức, doanh nghiệp có nhiều chi nhánh ở các quốc gia khác nhau. Khác với các phương tiện trao đổi thông tin như điện thoại, thư điện tử, HNTH cho phép những người tham gia tương tác với nhau bằng cả âm thanh và hình ảnh một cách trực quan. Do đó công nghệ HNTH đã được ứng dụng trong nhiều lĩnh vực và phát huy hiệu quả. 
 
Hệ thống thiết bị HNTH là một hệ thống thiết bị điện tử (bao gồm cả phần cứng và phần mềm) sử dụng công nghệ kỹ thuật số, lập mã/giải mã (coder/decoder), nén âm thanh và hình ảnh động theo thời gian thực. Giải pháp HNTH dựa trên công nghệ IP với sự hỗ trợ nhiều giao thức (H.320, H.323, SIP, SCCP) cho phép triển khai hệ thống HNTH tiên tiến, nhưng vẫn tận dụng được cơ sở hạ tầng có sẵn.
 
Quá trình phát triển về công nghệ của các giải pháp HNTH được chia thành ba thế hệ: Thế hệ đầu tiên được thực hiện qua mạng kỹ thuật số đa dịch vụ ISDN dựa trên chuẩn H.230; Thế hệ thứ hai ứng dụng cho máy tính cá nhân và CNTT, vẫn dựa vào mạng ISDN và áp dụng các chuẩn CODEC; Thế hệ thứ ba ra đời trên nền tảng IP, cơ sở tiêu chuẩn H.323 sử dụng  trên mạng LAN/WAN/ Internet.
 
Trong thực tế, một hệ thống HNTH bao gồm các thiết bị sau:
 
- Thiết bị thu nhận tín hiệu video đầu vào (Video Camera hoặc Webcam) và thiết bị hiển thị tín hiệu video đầu ra (Màn hình máy tính, TV hoặc máy chiếu).
 
- Hệ thống thu nhận tín hiệu âm thanh đầu vào (Micro, CD/DVD, Cassette Player hoặc bất kỳ nguồn âm thanh vào phù hợp nào) và thiết bị thể hiện tín hiệu âm thanh đầu ra (Loa phóng thanh đi kèm với các thiết bị hiển thị hoặc điện thoại).
 
- Hạ tầng truyền dữ liệu: Đường truyền số liệu số hoặc tương tự, mạng LAN/WAN hoặc Internet.
 
Từ năm 2008, Thủ tướng Chính phủ đã ban hành Quyết định 43/2008/QĐ-TTg về việc áp dụng công nghệ HNTH vào các cuộc họp, hội nghị của các cơ quan hành chính Nhà nước. Hiện nay, nhiều các cơ quan cấp Bộ, ban, ngành đã triển khai hội nghị, họp giao ban, trao đổi công việc qua các hệ thống HNTH. Một số doanh nghiệp nhà nước, tổ chức, doanh nghiệp lớn của nước ngoài cũng đã và đang xây dựng phương án triển khai HNTH để kết nối thông tin địa điểm khác nhau. Việc triển khai giải thành công và đồng bộ giải pháp này sẽ giúp các cơ quan Nhà nước có một môi trường chia sẻ thông tin hiệu quả và tận dụng được tối đa các chi phí đầu tư.
 
Những lợi ích cơ bản khi sử dụng HNTH là giảm thiểu thời gian, chi phí đi lại, tận dụng được các cơ sở hạ tầng mạng khác nhau; thông tin được tương tác “trong suốt”, liên tục và không phụ thuộc vào vị trí địa lý. Vì vậy HNTH giúp tập hợp thông tin đồng bộ để hỗ trợ ra quyết định nhanh chóng, kịp thời.
 
2. Giải pháp bảo mật hệ thống HNTH
 
Hiện nay, hầu hết hệ thống HNTH trong các cơ quan, tổ chức đều sử dụng mạng truyền dẫn dựa trên nền IP. Hạ tầng truyền thông mạng là thành phần có ảnh hưởng rất lớn đến chất lượng của hệ thống HNTH. Hệ thống này trao đổi đa phương tiện thời gian thực, đòi hỏi các yêu cầu về chất lượng đường truyền rất cao, cụ thể như sau:
 
- Băng thông lớn: Với hệ thống HNTH với độ phân giải Full HD đòi hỏi băng thông từ 2Mbps đến 8Mbps (trong tương lai còn có thể cao hơn nữa khi triển khai công nghệ Ultra HD).
 
- Độ trễ đường truyền nhỏ: thường phải dưới 150 ms.  Độ Jitter (khi có ảnh hưởng qua lại các luồng dữ liệu trên đường truyền, gây trễ đường truyền tín hiệu): dưới 30 ms.
 
- Tỷ lệ mất gói tin: dưới 1%.
 
Giải pháp tổng thể để bảo mật cho dịch vụ HNTH là áp dụng đồng bộ giữa các quy định, quy trình và các phương án kỹ thuật:
 
- Thực hiện quy định, quy trình bảo mật: Xây dựng hệ thống quy định, quy trình bảo mật chặt chẽ và có cơ chế quản lý, theo dõi việc áp dụng.
 
- Áp dụng phương án kỹ thuật đảm bảo an toàn, bảo mật bằng việc sử dụng tổng hợp các giải pháp bảo mật dữ liệu trên đường truyền, chống các tấn công mạng, đảm bảo an toàn truy cập vào hệ thống.
 
Bảo mật dữ liệu trên đường truyền
 
Hiện nay, hầu hết các nhà cung cấp dịch vụ đường truyền cho các cơ quan, tổ chức đều sử dụng mạng chuyển mạch nhãn đa giao thức (MPLS), do đó việc áp dụng các giải pháp bảo mật đường truyền có thể thực hiện theo các hình thức sau:
 
Sử dụng các mạng dùng riêng: Mạng truyền số liệu chuyên dùng thường sử dụng phương thức chuyển mạch nhãn đa giao thức trên nền giao thức liên mạng (IP/MPLS) sử dụng riêng trong hoạt động ứng dụng CNTT của các cơ quan, tổ chức. Mạng này thường do một đơn vị lớn, có uy tín trong nước xây dựng, quản lý, vận hành. Các hệ thống mạng này sử dụng đường truyền riêng, không kết nối vào mạng Internet (hoặc kết nối có kiểm soát) đã phần nào giảm thiểu được các nguy cơ mất an toàn. 
 
Sử dụng mạng riêng ảo VPN (Virtual Private Network) bằng kỹ thuật mật mã: Đây là một trong những giải pháp bảo mật đường truyền dữ liệu được triển khai hiệu quả nhất là sử dụng các thiết bị bảo mật gói IP tạo nên đường hầm VPN (VPN tunnel) dựa trên các bộ giải pháp như IPSec, SSL/TLS.
 
Về nguyên tắc, để thiết lập được một hệ thống VPN có thể sử dụng bất kỳ thiết bị bảo mật mạng nào có tính năng thiết lập mạng riêng ảo. Tuy nhiên, để đảm bảo chất lượng đường truyền cho các thiết bị trong hệ thống HNTH thì cần phải triển khai các thiết bị bảo mật đường truyền chuyên dụng sử dụng công nghệ cứng hóa hoàn toàn hoặc một phần. Ngoài ra, cũng cần tính đến vấn đề an toàn mật mã (sử dụng các thành phần mật mã được chứng minh là bền vững trước các tấn công đã biết, sử dụng các tham số an toàn đạt tiêu chuẩn) và an toàn nghiệp vụ (thiết bị bảo mật cần có giải pháp chống lại các tấn công vật lý hoặc tấn công kênh kề), sử dụng các nhân tố xác thực mạnh trong hệ thống.
 
Sử dụng cơ chế mã hóa giữa các điểm cầu trong hệ thống: Ngoài việc sử dụng các thiết bị bảo mật đường truyền chuyên dụng trên nền tảng VPN, có thể áp dụng cơ chế mã hóa giữa các thiết bị đầu/cuối trong hệ thống thiết bị HNTH. Ngày nay, tính năng này thường được tích hợp sẵn vào các thiết bị sử dụng giao thức H.235. Để bảo mật thông tin giữa các đầu cuối cần cấu hình cơ chế mã hoá trực tiếp trên các thiết bị quản lý và xử lý đa điểm (Multipoint Control Unit – MCU) hoặc là  các camera chuyên dụng thu tín hiệu hình ảnh (Video Conferencing Station –VCS). Chẳng hạn, có thể áp dụng mã hóa các gói tin sử dụng thuật toán AES theo giao thức H.235 trên thiết bị bằng cách thiết lập thuộc tính “AES H.235 Encrption” về “Enable” trên các thiết bị của hãng Polycom.
 
Chống các tấn công mạng
 
Đối với các hệ thống HNTH sử dụng đường truyền dễ bị tấn công mạng, có thể sử dụng các thiết bị tường lửa (Firewall) nhằm kiểm soát luồng thông tin trong hệ thống như: Cho phép hoặc cấm những dịch vụ truy cập ra ngoài; Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong; Theo dõi luồng dữ liệu mạng giữa Internet và Intranet; Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập; Kiểm soát người sử dụng và việc truy cập của người sử dụng; Kiểm soát nội dung thông tin lưu chuyển trên mạng.
 
Đảm bảo an toàn truy cập vào hệ thống
 
Áp dụng các quy định về an toàn bảo mật thông tin: Áp dụng theo các quy định hiện hành của Nhà nước cũng như của cơ quan đơn vị về đảm bảo ATTT. Có thể xây dựng các quy định quản lý riêng cho HNTH, đảm bảo có chế tài áp dụng, đảm bảo mọi kỹ thuật viên khi vận hành, quản lý hoặc sử dụng HNTH đều tuân thủ theo đúng quy định.
 
Quy trình kỹ thuật bảo mật truy nhập cho điều khiển HNTH: Đây cũng là một điểm đáng lưu ý do số lượng thiết bị đầu cuối VCS tham dự vào những phiên họp lớn. Có nhiều vấn đề đáng quan tâm về việc kiểm soát truy cập vào hệ thống NHTN. Sau đây là một số điểm cần lưu ý:
 
- Thay đổi mật khẩu mặc định khi truy cập giao diện quản lý MCU; Thay đổi mật khẩu mặc định khi truy cập giao diện quản lý VCS; Định kỳ thay đổi các mật khẩu truy cập giao diện quản lý trên theo thời gian quy định.
 
- Áp dụng các giao thức truy cập điều khiển an toàn (sử dụng các giao thức HTTPS/SSH thay cho các giao HTTP/Telnet).
 
- Loại bỏ hoặc vô hiệu hóa các tính năng, chức năng không cần thiết hoặc ảnh hưởng đến tính an toàn của hệ thống. Chẳng hạn, trên VCS cần vô hiệu hóa các tính năng Tự động trả lời (Auto Answer), Điều khiển Camera từ xa (Far End Camera Control), chế độ Streaming…. Trên MCU, cần phân quyền đúng các đối tượng truy cập, đặt mã PIN cho các phiên truy cập trong hệ thống, vô hiệu hóa các tính năng không cần thiết của cả hệ thống.
 
- Đối với một hệ thống HNTH đã vận hành ổn định cần xây dựng bảng tham số mẫu để áp dụng chung cho toàn bộ các điểm cầu tham gia vào hệ thống. Tham số mẫu cùng với các bước thực hiện cụ thể cũng sẽ có sự khác biệt giữa các dòng thiết bị MCU và VCS khác nhau.
 
3. Kết luận
 
Vấn đề bảo mật và ATTT cho hệ thống HNTH là vấn đề tương đối rộng. Giống như bất kỳ hệ thống công nghệ thông tin và truyền thông nào khác, để đạt hiệu quả cao cần triển khai các giải pháp mang tính đồng bộ và có lộ trình thực hiện phù hợp. Hệ thống HNTH yêu cầu về đảm bảo chất lượng đường truyền rất cao, đặc biệt là các hệ thống ứng dụng trong các cơ quan Nhà nước thường phục vụ cho những nội dung thông tin quan trọng nên chất lượng, tính sẵn sàng của hệ thống luôn cần đặt lên hàng đầu. Khi triển khai các giải pháp bảo mật cần cân bằng giữa lợi ích bảo vệ thông tin, dữ liệu trong hệ thống với bảo đảm hiệu năng hoạt động của hệ thống.