Thực trạng và giải pháp phòng ngừa, ngăn chặn hoạt động tấn công mạng qua việc chiếm quyền điều khiển hệ thống camera giám sát kết nối internet của công an thành phố hà nội

ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH *** *** *** NGUYỄN VĂN HỘI THỰC TRẠNG VÀ GIẢI PHÁP PHÒNG NGỪA, NGĂN CHẶN HOẠT ĐỘNG TẤN CÔNG MẠNG QUA VIỆC CHIẾM QUYỀN ĐIỀU KHIỂN HỆ T

ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH

*** *** ***

NGUYỄN VĂN HỘI

THỰC TRẠNG VÀ GIẢI PHÁP PHÒNG NGỪA, NGĂN CHẶN HOẠT ĐỘNG TẤN CÔNG MẠNG QUA VIỆC CHIẾM QUYỀN ĐIỀU KHIỂN HỆ THỐNG CAMERA GIÁM SÁT KẾT NỐI INTERNET CỦA CÔNG AN THÀNH PHỐ HÀ NỘI

LUẬN VĂN THẠC SĨ

QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)

Hà Nội - 2017

ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH

*** *** ***

NGUYỄN VĂN HỘI

THỰC TRẠNG VÀ GIẢI PHÁP PHÒNG NGỪA, NGĂN CHẶN HOẠT ĐỘNG TẤN CÔNG MẠNG QUA VIỆC CHIẾM QUYỀN ĐIỀU KHIỂN HỆ THỐNG CAMERA GIÁM SÁT KẾT NỐI INTERNET CỦA CÔNG AN THÀNH PHỐ HÀ NỘI

Chuyên ngành: Quản trị an ninh phi truyền thống

Mã số: Chương trình thí điểm

LUẬN VĂN THẠC SĨ

QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)

NGƯỜI HƯỚNG DẪN KHOA HỌC: Thiếu tướng,TS NGUYỄN THẾ BÌNH

Hà Nội - 2017

CAM KẾT

Tác giả cam kết rằng kết quả nghiên cứu trong luận văn là kết quả lao động của chính tác giả thu được chủ yếu trong thời gian học, nghiên cứu và chưa được công bố trong bất cứ một chương trình nghiên cứu nào của người khác

Những kết quả nghiên cứu và tài liệu của người khác (trích dẫn, bảng, biểu, công thức, đồ thị cùng những tài liệu khác) được sử dụng trong luận văn này đã được các tác giả đồng ý và trích dẫn cụ thể

Tôi hoàn toàn chịu trách nhiệm trước Hội đồng bảo vệ luận văn, Khoa Quản trị và Kinh doanh, và pháp luật về những cam kết nói trên

Hà Nội, ngày …… tháng … năm 2017

Tác giả luận văn

Nguyễn Văn Hội

LỜI CẢM ƠN

Qua hai năm học tập và nghiên cứu về chuyên ngành Quản trị An ninh phi truyền thống tại Khoa Quản trị và Kinh doanh, Đại học Quốc gia Hà Nội, với những kiến thức, cách tiếp cận khác nhau trong quá trình học tập, nghiên cứu và ứng dụng, đã giúp tác giả rèn luyện kỹ năng tiếp cận hệ thống, kỹ năng tư duy chiến lược, phát triển tri thức, lựa chọn và

sử dụng các công cụ liên quan đến vấn đề cần nghiên cứu trong công tác Quản trị An ninh phi truyền thống, giúp tác giả có kiến thức nền tảng để nghiên cứu hoàn thành luận văn thạc sỹ: "Thực trạng và giải pháp phòng ngừa, ngăn chặn hoạt động tấn công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet của Công an thành phố Hà Nội", cũng như mục tiêu học tập suốt đời

Tác giả xin trân trọng cảm ơn các thầy giáo, cô giáo Khoa Quản trị và Kinh doanh, Đại học Quốc gia Hà Nội, đặc biệt là Phó Giáo sư – Tiến sỹ Hoàng Đình Phi, Chủ nhiệm Khoa Quản trị và Kinh doanh, Đại học Quốc gia Hà Nội; Thượng tướng, Tiến sỹ Nguyễn Văn Hưởng, nguyên Thứ trưởng Bộ Công an; Thượng tướng, Phó Giáo sư – Tiến sỹ Bùi Văn Nam, Thứ trưởng Bộ Công an là các tác giả nghiên cứu, xây dựng khung chương trình

và triển khai đào tạo Thạc sỹ Quản trị An ninh phi truyền thống Xin trân trọng cảm ơn Thiếu tướng.TS Nguyễn Thế Bình - Phó Tổng cục trưởng Tổng cục IV - Bộ Công an đã tận tình hướng dẫn, giúp đỡ để tác giả hoàn thành luận văn thạc sỹ: "Thực trạng và giải pháp phòng ngừa, ngăn chặn hoạt động tấn công mạng qua việc chiếm quyền điều khiển hệ

thống Camera giám sát kết nối Internet của Công an thành phố Hà Nội"

Hà Nội, ngày … tháng …… năm 2017

Tác giả luận văn

Nguyễn Văn Hội

Chương I Một số khái niệm và mô hình hệ thống Camera giám sát kết nối Internet 16

1.1.3 Khái niệm tấn công mạng, các nguy cơ tấn công mạng 16

1.1.5 Khái niệm hệ thống Camera giám sát, các thiết bị dùng trong hệ thống 17

1.1.6 Khái niệm Internet, các phương thức kết nối Internet 22

1.2 Mô hình hệ thống Camera giám sát kết nối Internet, lỗ hổng bảo mật

1.2.1 Mô hình hệ thống Camera giám sát kết nối Internet 24

1.2.2 Lỗ hổng bảo mật hệ thống Camera giám sát kết nối Internet 25

1.3.3 Bảng hỏi đánh giá năng lực phòng ngừa, ngăn chặn hoạt động tấn công

mạng qua việc chiếm quyền điều khiển hệ thống camera giám sát kết nối Internet

29

Chương II Thực trạng hệ thống Camera giám sát kết nối Internet của Công an

thành phố Hà Nội và nguy cơ mất an ninh, an toàn

31

2.1 Thực trạng hệ thống Camera giám sát kết nối Internet của Công an

thành phố Hà Nội

31

2.1.1 Mô hình hệ thống Camera giám sát kết nối Internet của CATP Hà Nội 31

2.1.2 Thiết bị, công nghệ, con người, quy trình, chính sách thực hiện đối với

hệ thống Camera giám sát kết nối Internet của CATP Hà Nội

32

2.2 Đánh giá năng lực phòng ngừa, ngăn chặn hoạt động tấn công mạng

qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet của Công an thành phố Hà Nội

46

Chương III Giải pháp phòng ngừa, ngăn chặn hoạt động tấn công mạng qua việc

chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet của

Công an thành phố Hà Nội

52

3.2.1 Giải pháp phòng ngừa nguy mất an ninh, an toàn từ bên ngoài vào hệ

3.2.2 Giải pháp phòng ngừa nguy mất an ninh, an toàn từ bên trong hệ thống

3.2.3 Giải pháp phòng ngừa nguy mất an ninh, an toàn giữa các đơn vị sử

dụng hệ thống Camera kết nối Internet

Phụ lục: Đánh giá mức độ an ninh, an toàn hệ thống Camera giám sát kết nối

Internet của Công an thành phố Hà Nội

CHỮ VIẾT TẮT

Ngành: Bộ Công an

CATP: Công an thành phố Hà Nội

UTM: Unified Threat Management – Giải pháp bảo mật toàn diện

IDS: Intrusion Detection Systems – Hệ thống phát hiện xâm nhập

IPS: Intrusion Prevention System - Hệ thống phòng chống xâm nhập

VPN: Vitual Private Network – mạng riêng ảo

DMZ: Demilitarized Zone – vùng phi quân sự/ thuật ngữ kỹ thuật chỉ vùng mạng trung lập giữa mạng nội bộ và mạng Internet

APT: Advanced Persistent Threat – Tấn công có chủ đích

DANH MỤC BẢNG

Bảng 1.1 Danh sách 79 nhà cung cấp tồn tại lỗ hổng thực thi mã từ xa trong CCTV 27 Bảng 1.2 Bảng hỏi, đánh giá năng lực phòng ngừa, ngăn chặn hoạt động tấn công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet 29 Bảng 2.1 Tổng hợp đánh giá năng lực phòng ngừa, ngăn chặn hoạt động tấn công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet của CATP 50

CÁC HÌNH VẼ

Hình 1.3 Góc quan sát của 1 camera có tiêu cự khác nhau 20 Hình 1.4 Cáp Đồng Trục (Camera Analog); Cáp Mạng RJ-45 (Camera IP) 21

Hình 1.6 Mô hình hệ thống Camera giám sát kết nối Internet 24 Hình 2.1 Mô hình hệ thống Camera giám sát kết nối Internet của CATP 32 Hình 2.2 Mô hình giải pháp bảo mật toàn diện, đa lớp 33

Hình 2.4 Mô hình lớp Firewall bảo vệ hệ thống máy chủ 35

Hình 2.6 Mô hình IDPs đặt giữa Firewall và miền DMZ 44 Hình 2.7 Mô hình IDPs là một modul trong giải pháp bảo mật UTM 45

Hình 3.4 Mô hình PPTP dùng song song với IPSec trong VPN 56

Hình 3.6 Mô hình hệ thống Camera giám sát kết nối Internet của CATP

bổ sung VPN, phòng chống APT và Firewall quy mô nhỏ 64

MỞ ĐẦU

Qua nghiên cứu tác giả nhận thức An ninh mạng là vấn đề cốt lõi của An ninh phi truyền thống Để phân tích nhận định trên, tác giả đi từ các quan điểm:

- Theo các tác giả nghiên cứu, xây dựng khung chương trình và triển khai đào tạo Thạc

sỹ Quản trị An ninh phi truyền thống tại Khoa Quản trị và Kinh doanh, Đại học Quốc gia Hà Nội: Thượng tướng, Tiến sỹ Nguyễn Văn Hưởng, nguyên Thứ trưởng Bộ Công an; Thượng tướng, Phó Giáo sư – Tiến sỹ Bùi Văn Nam, Thứ trưởng Bộ Công an; Phó Giáo sư – Tiến

sỹ Hoàng Đình Phi, Chủ nhiệm Khoa Quản trị và Kinh doanh, Đại học Quốc gia Hà Nội, An ninh phi truyền thống là an ninh của nhà nước, con người và doanh nghiệp (Cách tiếp cận lấy con người làm trung tâm); mục tiêu chính của quản trị An ninh phi truyền thống là ổn định và phát triển bền vững của nhà nước, con người (cộng đồng) và doanh nghiệp; An ninh phi truyền thống tác động trực tiếp đến quốc tế (VD: An ninh mạng ), khu vực (VD: Đói, dịch bệnh ), nhà nước (đảng cầm quyền, thể chế…), an ninh con người (cộng đồng) và

an ninh doanh nghiệp

- Năm 1994, báo cáo Phát triển Con người của Chương trình Phát triển Liên Hiệp Quốc (UNDP) đã đề ra khái niệm “An ninh con người”, bao gồm 7 thành tố chính: an ninh kinh tế, an ninh lương thực, an ninh y tế, an ninh môi trường, an ninh cá nhân, an ninh cộng đồng, và an ninh chính trị

việc trong khu vực kinh tế tư nhân hay nhà nước, công việc làm công ăn lương hay từ phúc lợi xã hội của chính phủ) Mối đe doạ chính của an ninh kinh tế chính là tình trạng đói nghèo

cơ bản để đảm bảo đủ các chất dinh dưỡng cho một cuộc sống hiệu quả và khoẻ mạnh Nguồn lương thực sẵn có để cung cấp là điều cần thiết nhưng chưa phải là một điều kiện

đủ để đảm bảo an ninh lương thực vì con người vẫn có thể chết đói vì không có khả năng tiếp cận đến nguồn lương thực do hệ thống phân phối không hiệu quả hay con người thiếu khả năng mua hàng và sản xuất cho chính bản thân họ sử dụng

nhân tố quan trọng và trực tiếp ảnh hưởng đến an ninh Ớ các nước đang phát triển, bệnh truyền nhiễm và ký sinh là nguyên nhân gây nên cái chết của hàng triệu người mỗi năm Bệnh tật cũng gắn liền với điều kiện sống không an toàn như ảnh hưởng từ nguốn nước hay nguồn lương thực thiếu dưỡng chất Còn ở các nước phát triển nhân tố chính gây tử

vong là ung thư và những bệnh liên quan đến hệ tuần hoàn máu (liên quan đến lối sống) Mối đe doạ về bệnh tật và tổn thương sức khoẻ đặc biệt lớn hơn đối với những người nghèo, đặc biệt là phụ nữ và trẻ em ở cả các nước phát triển và đang phát triển

mối đe dọa từ môi trường được chia làm hai loại: thiên tai như lũ lụt, hạn hán, động đất, sóng thần…và do con người gây ra bao gồm ô nhiễm nguồn nước, ô nhiễm đất đai, ô nhiễm không khí, chặt phá rừng Hiện tượng biến đổi khí hậu và những thảm hoạ sinh thái bắt nguồn trực tiếp phần lớn từ hoạt động của con người

phát triển cũng như đang phát triển, cuộc sống con người đều bị đe doạ bởi các hành vi bạo lực không thể dự đoán trước được Một số hình thức đe doạ bạo lực bao gồm: đe dọa từ nhà nước (tra tấn, lao động khổ sai); đe dọa từ các quốc gia khác (chiến tranh, xung đột vũ trang giữa các nhóm xuyên biên giới); đe dọa từ các nhóm người khác (căng thẳng và xung đột sắc tộc); đe dọa từ các cá nhân hoặc băng nhóm chống lại các cá nhân và băng nhóm khác (tội phạm, tội phạm có tổ chức xuyên quốc gia, bạo lực đường phố); đe dọa trực tiếp đối với phụ nữ và trẻ em (bạo lực trong gia đình, lạm dụng trẻ em)…

nhóm nào đó – như trong một gia đình, cộng đồng, tổ chức, nhóm sắc tộc hay dân tộc Nếu một nhóm hay cộng đồng được an toàn thì tạo nên an ninh của thành viên trong cộng đồng

ấy Mối đe doạ đến an ninh cộng đồng xuất phát từ các tập quán đàn áp, trọng nam khinh

nữ hay phân biệt sắc tộc, xung đột vũ trang, hay các tổ chức phiến quân

gắn liền với sự đảm bảo tôn trọng các quyền cơ bản của con người khi họ sinh sống trong một xã hội Đảm bảo an ninh chính trị là bảo vệ con người không phải chịu sự đàn áp, ngược đãi, đe doạ hay xâm hại của các lực lượng chính trị nhà nước hay của các nhà cầm quyền

Từ các quan điểm trên, tôi thấy theo các tác giả nghiên cứu, xây dựng khung chương trình và triển khai đào tạo Thạc sỹ Quản trị An ninh phi truyền thống tại Khoa Quản trị và Kinh doanh, Đại học Quốc gia Hà Nội; hay theo báo cáo của Chương trình Phát triển Liên Hiệp Quốc (UNDP) năm 1994 về "An ninh con người" (gồm 7 thành tố chính: an ninh kinh tế, an ninh lương thực, an ninh y tế, an ninh môi trường, an ninh cá nhân, an ninh cộng đồng, và an ninh chính trị), thì An ninh mạng hiển hiện trong tất cả các quan điểm trên

Tuy nhiên, do thời gian nghiên cứu có hạn, tác giả quyết định lựa chọn đề tài: "Thực

trạng và giải pháp phòng ngừa, ngăn chặn hoạt động tấn công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet của Công an thành phố Hà Nội" để giải quyết vấn đề thực tiễn, cấp thiết tại cơ quan mình

1 Tính cấp thiết của việc nghiên cứu đề tài

Theo báo cáo của các hãng bảo mật trên thế giới, hiện tin tặc (Hacker) đang khai thác

lỗ hổng bảo mật trong hệ thống camera giám sát (CCTV), biến các hệ thống CCTV thành mạng máy tính có từ hàng trăm đến hàng triệu máy tính (Botnet) để tấn công từ chối dịch

vụ (DDoS) vào nhiều công ty, tổ chức trên thế giới, trong đó có Việt Nam

Ngày 27/6/2016, hãng bảo mật Sucuri thông báo đã phát hiện mạng Botnet khổng lồ với hơn 25.000 bot là tâm điểm của các cuộc tấn công DDoS trong thời gian gần đây Mạng Botnet này bị phát hiện đã xâm nhập và hoạt động tích cực trong hệ thống CCTV đặt tại 105 quốc gia như Đài Loan (24%), Mỹ (12%), Indonesia (9%), Mexico (8%), Malaysia (6%) và Việt Nam (2%), thực hiện các cuộc tấn công DDoS sử dụng HTTP với quy mô lớn nhằm tới các máy chủ Web, chiếm tài nguyên và thậm chí gây ra các lỗi trên trang Web đó với 50.000 truy vấn mỗi giây

Ngày 29/6/2016, trang Abornetworks.com của Công ty Abor Networks đưa tin, nhóm tin tặc nổi tiếng thế giới Lizard Squad đã dùng mã độc LizardStresser để lây nhiễm vào các thiết bị kết nối Internet (IoT) như hệ thống CCTV, Tivi thông minh, tủ lạnh, lò vi sóng , từ đó tạo ra được nhiều mạng Botnet khác nhau Một trong những cuộc tấn công mạng từ các mạng Botnet IoT đã được Abor Networks ghi nhận đạt tốc độ tổng cộng lên đến 400Gbps, từ vài nghìn bot có địa chỉ IP chủ yếu xuất phát từ Việt Nam

Trong khoảng thời gian cuối tháng 6/2016, hệ thống mạng của các nhà cung cấp dịch

vụ Internet tại Việt Nam như VNPT cũng ghi nhận một đợt tấn công DDoS rất lớn, từ nhiều địa chỉ IP trong nước của các Camera giám sát thuộc sở hữu của các cơ quan, hộ gia đình Hệ thống mạng của Viettel Telecom, FPT Telecom cũng có dấu hiệu bị tấn công hoặc ảnh hưởng bởi đợt tấn công DDoS này

Những thông tin trên cho thấy, hầu hết hệ thống CCTV hiện nay đều đang tồn tại lỗ hổng bảo mật và chưa được khắc phục; hệ thống CCTV đang phải đối mặt với nguy cơ bị tấn công xâm nhập, cài đặt mã độc cửa hậu Qua đó, các đối tượng lợi dụng xây dựng mạng Botnet nhằm tấn công gây đình trệ hệ thống mạng thông tin của Việt Nam; thu thập các thông tin, tài liệu của các cơ quan, tổ chức, cá nhân qua việc giám sát, phân tích hình ảnh, âm thanh ghi lại được từ hệ thống CCTV, gây nguy cơ lộ lọt bí mật Nhà nước, thông tin đời tư của cá nhân, ảnh hưởng đến an ninh chính trị và trật tự an toàn xã hội

Từ tình hình trên, việc nghiên cứu thực trạng một cách khoa học, có hệ thống và tìm

ra những giải pháp cơ bản nhằm phòng ngừa, ngăn chặn các hoạt động tấn công mạng qua việc chiếm quyền điều khiển hệ thống CCTV dưới góc nhìn an ninh phi truyền thống là rất cấp thiết Vì vậy, tác giả quyết định lựa chọn đề tài: "Thực trạng và giải pháp phòng ngừa,

ngăn chặn hoạt động tấn công mạng qua việc chiếm quyền điều khiển hệ thống Camera

giám sát kết nối Internet của Công an thành phố Hà Nội" (Trung tâm quản lý, lưu trữ dữ liệu hệ thống Camera giám sát tại CATP kết nối Internet để cho một số thiết bị giám sát từ

xa truy nhập phục vụ công tác chỉ huy) cho luận văn thạc sỹ quản trị an ninh phi truyền thống của mình

2 Tổng quan tình hình nghiên cứu đề tài

2.1 Tình hình nghiên cứu trên thế giới

Với xu hướng vạn vật kết nối (IoT), việc lộ lọt thông tin, Hacker tấn công hoặc lợi

dụng lỗ hổng bảo mật của các hệ thống có kết nối Internet để tấn công hệ thống mạng,

trang WEB của các tổ chức, doanh nghiệp đã trở lên hiện hữu Hiện tại, có một số Công ty làm về an ninh, an toàn, bảo mật định kỳ có báo cáo đánh giá về hoạt động của các nhóm Hacker và thông tin về các thiết bị IoT đang tồn tại lỗ hổng bảo mật như: Công ty Abor Networks; hãng bảo mật Sucuri Những thông tin do các đơn vị trên công bố thiếu tính hệ thống và chưa đầy đủ

2.2 Tình hình nghiên cứu ở Việt Nam

Tại Việt Nam, Đảng và nhà nước ta xác định ứng dụng, phát triển CNTT, Internet là nội dung quan trọng để phát triển kinh tế - xã hội, gắn liền với mục tiêu bảo vệ an ninh quốc gia Chính phủ đã ban hành nhiều chính sách nhằm đảm bảo an ninh, an toàn thông tin; Bộ Công an đã thành lập Cục An ninh mạng; Bộ Thông tin và Truyền thông thành lập Cục An toàn thông tin là những đơn vị nghiệp vụ chuyên sâu nghiên cứu những giải pháp

về công nghệ cũng như những giải pháp về quản lý nhằm đảm bảo an ninh, an toàn thông tin Tuy nhiên, các công trình nghiên cứu cụ thể về những vấn đề trên dưới góc nhìn của những nhà quản trị an ninh chưa có nhiều Tiêu biểu có một số tài liệu:

- Cuốn sách “Không gian mạng, tương lai và hành động” của Đại tướng, PGS.TS Trần Đại Quang do Nhà xuất bản Công an nhân dân xuất bản năm 2015 Quyển sách chủ yếu trình bày vấn đề bảo vệ chủ quyền và an ninh – lợi ích quốc gia trên không gian mạng

- Cuốn sách “An ninh phi truyền thống: nguy cơ, thách thức, chủ trương và giải pháp đối phó ở Việt Nam”, nhà xuất bản Đại học quốc gia Hà nội năm 2014 của Thượng tướng,

TS Nguyễn Văn Hưởng

- Tạp chí an toàn, an ninh thông tin của Bộ Thông tin và Truyền thông, các Bộ, ngành, các hãng bảo mật báo cáo về tình hình an toàn thông tin và cảnh báo rủi ro có thể xảy ra

Như vậy, có thể nói những công trình trên chỉ nói đến nguyên nhân và một số giải pháp cho những hệ thống Camera đơn lẻ, số lượng Camera ít, quy mô hệ thống nhỏ, chưa giải quyết triệt để được tất cả các vấn đề mang tính lý luận, thực tế và giải pháp để phòng ngừa, ngăn chặn hoạt động tấn công mạng qua việc chiếm quyền điều khiển của hệ thống Camera quy mô lớn kết nối Internet, cũng như chưa đánh giá đầy đủ nguy cơ tấn công mạng qua việc chiếm quyền điều khiển của hệ thống Camera quy mô lớn kết nối Internet dưới góc nhìn của an ninh phi truyền thống và trách nhiệm của cá nhân, gia đình, cơ quan trong việc triển khai hệ thống Camera giám sát, đảm bảo an ninh mạng, an ninh phi truyền thống của quốc gia và thế giới

3 Mục đích nghiên cứu:

Mục đích của việc nghiên cứu đề tài là tìm hiểu các quy định của pháp luật, làm rõ

cơ sở lý luận, cơ sở thực tiễn và thực trạng, nguy cơ mất an ninh, an toàn của hệ thống Camera giám sát kết nối Internet của Công an thành phố Hà Nội, từ đó đề xuất các giải pháp khoa học dưới góc nhìn của an ninh phi truyền thống nhằm phòng ngừa, ngăn chặn

hoạt động tấn công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát

4 Đối tƣợng và phạm vi nghiên cứu:

4.1 Đối tượng nghiên cứu:

- Công tác lựa chọn hệ thống Camera giám sát kết nối Internet trước khi triển khai lắp đặt

- Công tác kiểm tra lỗ hổng bảo mật hệ thống Camera giám sát kết nối Internet trước

và sau khi triển khai lắp đặt

- Giải pháp đảm bảo an ninh, an toàn từ bên ngoài vào hệ thống Camera giám sát kết nối Internet

- Giải pháp đảm bảo an ninh, an toàn từ bên trong hệ thống Camera giám sát kết nối Internet ra bên ngoài

- Giải pháp đảm bảo an ninh, an toàn giữa các đơn vị sử dụng hệ thống Camera giám sát kết nối Internet

- Giải pháp sao lưu dữ liệu hệ thống Camera giám sát kết nối Internet

- Đào tạo, phổ cập kiến thức về an ninh, an toàn thông tin và quản trị hệ thống Camera giám sát kết nối Internet

- Quy trình quản lý, vận hành hệ thống Camera giám sát kết nối Internet

- Chính sách ứng dụng, phát triển khoa học công nghệ và công nghệ thông tin

- Chính sách về an ninh, an toàn thông tin

4.2 Phạm vi nghiên cứu:

Thực trạng về an ninh, an toàn của các hệ thống Camera giám sát được các nước sản xuất và đang sử dụng phổ biến tại Việt Nam; hệ thống Camera chuyên dùng được Công an thành phố Hà Nội triển khai; nguy cơ mất an ninh, an toàn của hệ thống Camera có Trung tâm quản lý, lưu trữ kết nối Internet; Nghiên cứu đề xuất một số nhóm giải pháp để phòng

ngừa, ngăn chặn hoạt động tấn công hệ thống Camera giám sát có Trung tâm kết nối

Internet của Công an thành phố Hà Nội như: Nhóm giải pháp về chính sách; Nhóm giải pháp về công nghệ - kỹ thuật; Nhóm giải pháp về nguồn lực và tổ chức; Nhóm giải pháp về tài chính; Nhóm giải pháp về hợp tác trong và ngoài nước

5 Phương pháp nghiên cứu:

- Đề tài nghiên cứu vận dụng phương pháp luận của chủ nghĩa duy vật biện chứng, duy vật lịch sử của chủ nghĩa Mác – Lênin, cùng với phương pháp tiếp cận khoa học liên ngành

và khoa học về quản trị an ninh phi truyền thống để đánh giá khách quan thực trạng về an ninh, an toàn của các hệ thống Camera giám sát có Trung tâm kết nối Internet của Công an thành phố Hà Nội, từ đó đề xuất các giải pháp phòng ngừa, ngăn chặn hoạt động tấn công

mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát

- Các phương pháp nghiên cứu được sử dụng trong luận văn là phương pháp phân tích và tổng hợp lý thuyết; phương pháp phân loại và hệ thống hóa lý thuyết; phương pháp điều tra; phương pháp chuyên gia; phương pháp dự báo khoa học; phương pháp phân tích

và tổng hợp, kết hợp lý luận và thực tiễn để đưa ra các đánh giá, quan điểm nhằm giải quyết các nội dung liên quan đến thực trạng, giải pháp phòng ngừa, ngăn chặn hoạt động

tấn công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát của Công an

thành phố Hà Nội, cụ thể:

+ Chương I, tác giả sử dụng phương pháp phân tích và tổng hợp lý thuyết; phương pháp phân loại và hệ thống hóa lý thuyết để đưa ra những khái niệm và mô hình hệ thống Camera giám sát kết nối Internet

+ Chương II, tác giả sử dụng phương pháp điều tra; phương pháp chuyên gia; phương pháp phân tích và tổng hợp để xác định thực trạng hệ thống Camera giám sát kết nối Internet của Công an thành phố Hà Nội và nguy cơ mất an ninh, an toàn

+ Chương III, tác giả sử dụng phương pháp dự báo khoa học; phương pháp chuyên gia; phương pháp phân tích và tổng hợp để đề xuất những nhóm giải pháp để phòng ngừa, ngăn chặn hoạt động tấn công mạng qua việc chiếm quyền điều khiển hệ thống Camera

giám sát kết nối Internet của Công an thành phố Hà Nội như: Nhóm giải pháp về chính sách; Nhóm giải pháp về công nghệ - kỹ thuật; Nhóm giải pháp về nguồn lực và tổ chức; Nhóm giải pháp về tài chính; Nhóm giải pháp về hợp tác trong và ngoài nước

6 Kết quả nghiên cứu của đề tài:

Kết quả nghiên cứu sẽ đóng góp về lý luận cũng như thực tiễn vào việc phòng ngừa,

ngăn chặn hoạt động tấn công mạng qua việc chiếm quyền điều khiển hệ thống Camera

giám sát có Trung tâm quản lý kết nối Internet của Công an thành phố Hà Nội dưới góc nhìn quản trị an ninh phi truyền thống Đề tài có giá trị tham khảo đối với sinh viên đại học

và cao học an ninh phi truyền thống

7 Ý nghĩa lý luận và thực tiễn của đề tài:

Kết quả của đề tài có thể được vận dụng làm tài liệu nghiên cứu, áp dụng thực tiễn nhằm phòng ngừa, ngăn chặn hoạt động tấn công mạng qua việc chiếm quyền điều khiển

hệ thống Camera giám sát có Trung tâm kết nối Internet của Công an thành phố Hà Nội

8 Kết cấu luận văn:

Ngoài phần mở đầu, kết luận và danh mục tài liệu tham khảo, luận văn còn gồm 3 chương:

Chương I: Một số khái niệm và mô hình hệ thống Camera giám sát kết nối Internet Chương II: Thực trạng hệ thống Camera giám sát kết nối Internet của Công an thành phố Hà Nội và nguy cơ mất an ninh, an toàn

Chương III: Giải pháp phòng ngừa, ngăn chặn hoạt động tấn công mạng qua việc

chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet của Công an thành phố

Hà Nội

và hệ thống hóa lý thuyết để đưa ra những khái niệm và mô hình hệ thống Camera giám sát kết nối Internet

1.1 Một số khái niệm:

1.1.1 Khái niệm phòng ngừa:

Phòng ngừa là phòng không cho điều bất lợi xảy ra (đối với hệ thống thông tin - Hệ

thống thông tin là tập hợp phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin trên mạng – khoản 3, điều 3, Luật An toàn thông tin mạng số 86/2015/QH13, ngày 19/11/2015 của Quốc hội khóa XIII)

1.1.2 Khái niệm ngăn chặn:

Ngăn chặn là chặn điều bất lợi có thể xảy ra (đối với hệ thống thông tin)

1.1.3 Khái niệm tấn công mạng, các nguy cơ tấn công mạng:

1.1.3.1 Tấn công mạng là hoạt động có chủ ý của đối tượng lợi dụng các lỗ hổng bảo mật của hệ thống thông tin và tiến hành phá vỡ tính bảo mật, tính toàn vẹn và tính sẵn sàng

của hệ thống thông tin đó và/hoặc hệ thống thông tin khác (Lỗ hổng bảo mật là những

điểm yếu trên hệ thống thông tin hoặc ẩn chứa trong một dịch vụ mà hệ thống thông tin đó cung cấp, dựa vào đó tin tặc có thể xâm nhập trái phép để thực hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp)

Ngược lại, An ninh mạng (Cybersecurity or IT security) là bảo vệ hệ thống thông tin (phần cứng, phần mềm, dữ liệu) trước các cuộc tấn công, cài mã độc để lấy cắp dữ liệu An ninh mạng kết hợp với công nghệ chính sách là một quá trình, không có kết thúc, không thể thực hiện một lần, kết hợp các thành phần bảo mật: Vật lý, hạ tầng mạng, hệ thống,

Host, ứng dụng, dữ liệu, người dùng (Tập bài giảng Hệ thống thông tin và an ninh thông

tin – Khoa quản trị kinh doanh, Đại học quốc gia Hà Nội, 2015 của Đại tá, PGS.TS Trần Văn Hòa)

Vì vậy, An ninh hệ thống thông tin là bảo vệ hệ thống thông tin (phần cứng, phần mềm,

dữ liệu) trước các cuộc tấn công, cài mã độc để lấy cắp dữ liệu

An toàn thông tin mạng là sự bảo vệ thông tin, hệ thống thông tin trên mạng tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính

nguyên vẹn, tính bảo mật và tính khả dụng của thông tin (khoản 1, điều 3, Luật An toàn

thông tin mạng số 86/2015/QH13, ngày 19/11/2015 của Quốc hội khóa XIII)

Vậy, An toàn thông tin là sự bảo vệ thông tin, hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính bảo mật, tính

toàn vẹn và tính sẵn sàng của thông tin, hệ thống thông tin

1.1.3.2 06 nguy cơ tấn công mạng gồm: (1) Nguy cơ gây tắc nghẽn đường truyền; (2) Nguy cơ bị xâm nhập trái phép, lấy cắp, phá hoại dữ liệu; (3) Nguy cơ bị cài Back Door, Trojan, Sniffer; (4) Nguy cơ bị tấn công DDOS, BOTNET; (5) Nguy cơ bị chiếm

đoạt tài sản trí tuệ; (6) Nguy cơ phát tán thông tin nhạy cảm (Tập bài giảng Hệ thống thông

tin và an ninh thông tin – Khoa quản trị kinh doanh, Đại học quốc gia Hà Nội, 2015 của Đại tá, PGS.TS Trần Văn Hòa)

1.1.4 Khái niệm chiếm quyền điều khiển:

Chiếm quyền điều khiển là chiếm lấy của người khác một cách bất hợp pháp quyền điều khiển (hệ thống thông tin)

1.1.5 Khái niệm hệ thống Camera giám sát, các thiết bị dùng trong hệ thống:

1.5.1 Hệ thống Camera giám sát hay camera quan sát, camera an ninh (CCTV), là hệ thống sử dụng các máy quay video để truyền tín hiệu đến một nơi cụ thể, trên một số màn hình giới hạn, nhằm giám sát khu vực cần theo dõi như: Căn cứ quân sự, các trọng điểm an ninh trật tự, cơ quan, doanh nghiệp, nhà riêng Trong đó, các tín hiệu được truyền không công khai, sử dụng mạng có dây hoặc mạng không dây

Hình 1.1 Camera quan sát trên nóc một tòa nhà

1.1.5.2 Thuật ngữ CCVE (Closed-Circuit Video Equipment): Là các trang thiết bị được sử dụng trong quá trình thu hình, truyền tải hình ảnh, lưu trữ tín hiệu hình ảnh… trong hệ thống CCTV Hệ thống CCTV gồm: Camera, Đầu ghi hình, Ổ cứng chứa dữ liệu, Màn hình, Dây điện, Dây mạng, Dây tín hiệu, Các thiết bị phụ trợ khác

1.1.5.3 Hệ Thống CCTV được phân loại theo các nhu cầu sau: Ngăn chặn các hoạt động phạm pháp; Hỗ trợ trong việc phát hiện, tìm kiếm tội phạm; Tạo niềm tin cho nhân viên, khách hàng rằng họ đang ở trong một khu vực an toàn, được bảo vệ; Cung cấp các thông tin hữu ích trong việc quản lý an ninh và hệ thống thương mại

1.1.5.4 Các trường hợp sử dụng hệ thống CCTV: Xác minh đột nhập; Ghi hình (thu âm) sự cố, sự kiện; Theo dõi đám đông; Giám sát tổng thể; Giám sát quá trình sản xuất; Giám sát gian lận

Cảm biến CCD gồm một mạng lưới các điểm bắt sáng được phủ bằng lớp bọc màu (đỏ - red, hoặc xanh lục - green, hoặc xanh dương - blue), mỗi điểm ảnh chỉ bắt một màu

Do đó, khi chụp ảnh (cửa trập mở), ánh sáng qua ống kính và được lưu lại trên bề mặt chíp cảm biến dưới dạng các điểm ảnh Mỗi điểm ảnh có một mức điện áp khác nhau sẽ được chuyển đến bộ phận đọc giá trị theo từng hàng Giá trị mỗi điểm ảnh sẽ được khuếch đại và đưa vào bộ chuyển đổi tín hiệu tương tự sang tín hiệu số, cuối cùng đổ vào bộ xử lý để tái hiện hình ảnh đã chụp

Cảm biến hình ảnh CMOS là loại chip cảm biến hình ảnh tích cực, sử dụng chất bán dẫn bổ sung ô xít kim loại Các mạch điện bổ sung bên cạnh mỗi cảm biến sẽ chuyển đổi năng lượng ánh sáng thành điện áp Các mạch điện bổ sung khác trong hệ thống sẽ có nhiệm

vụ chuyển đổi điện áp thành các thông tin số

- Ống kính (Lens): là thiết bị quang học có trục đối xứng với nhiệm vụ hội tụ ánh sáng vào cảm biến hình ảnh Có 02 kiểu gắn kết ống kính tùy thuộc vào từng lại camera là

C MOUT và CS MOUNT Điểm khác biệt duy nhất giữa hai kiểu gắn kết này là khoảng cách từ ống kính tới cảm biến hình ảnh C MOUNT: 17,5mm và CS MOUNT: 12.5mm

- Độ nhạy sáng: “Độ nhạy sáng” của camera được đo bằng mức độ ánh sáng nhỏ nhất mà camera có thể hoạt động hiệu quả Độ nhạy sáng của camera thường được đo bằng LUX

Lưu ý: Tùy vào từng yêu cầu cụ thể, vị trí lắp, điều kiện ánh sáng để lựa chọn camera phù hợp Các thông số về độ nhạy sáng của các loại camera là khác nhau và đều được ghi trên thông số kỹ thuật của camera tại nhà sản xuất

- Iris: Vai trò của Iris trong các ống kính camera là điều chỉnh lượng ánh sáng đi qua

- F-number: xác định lượng ánh sáng nhận tới cảm biến F-number càng thấp lượng ánh sáng tới cảm biến càng lớn Với lý do trên, một ống kính có F-number thấp sẽ cho phép cung cấp chất lượng hình ảnh tốt hơn trong điều kiện ánh sáng yếu

- Độ dài tiêu cự (Focal length): là thông số cho biết góc nhìn của camera, nghĩa là khoảng phạm vi mà camera có thể ghi hình được

- Góc quan sát

Hình 1.2 Góc quan sát của Camera

Vật quan sát sẽ càng lớn-Góc quan sát sẽ càng nhỏ-Chiều dài tiêu cự càng lớn Tùy vào ứng dụng, người sử dụng nên chọn loại Camera quan sát có góc quan sát là bao nhiêu độ Nếu bạn cần quan sát rộng, có thể chọn loại Camera quan sát mà ống ính của

nó có góc mở lớn Còn nếu chỉ muốn quan sát trong một phạm vi rất hẹp thì cũng sẽ có những loại Camera quan sát gắn ống kính có tiêu cự phù hợp với nhu cầu của bạn

Còn nếu muốn góc quan sát rất lớn, nên chọn loại Camera đặc biệt có chức năng Pan/ Tilt (quay ngang, quay dọc) Nếu bạn đã có một chiếc Camera nhưng không có chức năng Pan/Tilt, bạn hoàn toàn có thể cải tiến nó bằng cách lắp thêm một đế quay ngang, quay dọc, khi đó, bạn có thể điều khiển Camera của bạn quay theo bất cứ hướng nào bạn muốn

Hình 1.3 Góc quan sát của 1 camera có tiêu cự khác nhau

- Độ phân giải của camera: chất lượng hình ảnh có thể thu về Độ phân giải càng cao, chất lượng hình ảnh thu về càng lớn Độ phân giải của camera thường được tính bằng TVL (Television Lines) đối với camera analog thông thường và tính bằng pixel, megapixel đối với camera IP

- Đôi nét về TVL và Pixel:

TVL: Trước khi màn hình LCD được phát minh, màn hình hiển thị TV thông thường của chúng ta được tạo lên từ các dòng kẻ ngang, các dòng kẻ này được gọi là đường truyền hình (TVL) Tại đây mỗi dòng đóng vai trò trong việc tạo lên hình ảnh tổng thể Điều này

có nghĩa càng nhiều dòng TVL thì hình ảnh hiển thị sẽ càng mượt mà, chi tiết hơn

Độ phân giải số - Pixel: công nghệ hiển thị TV ngày nay hầu hết đã không dùng các dòng để hiển thị hình ảnh nữa mà chuyển sang sử dụng các điểm ảnh (pixel) để hiển thị hình ảnh Càng nhiều điểm ảnh, hình ảnh hiển thị sẽ càng rõ nét, trung thực hơn

- Các loại Camera: Hiện nay, camera được phân chia làm 2 dòng sản phẩm chính: camera analog và camera IP

Camera Analog: là loại camera thu và truyền tín hiệu tương tự nó truyền tín hiệu tương tự này tới các thiết bị lưu trữ tương tự thông qua hệ thống truyền dẫn (thường sử dụng cáp đồng trục) để quan sát, ghi hình sự kiện và phân tích tại các khu vực xác định Hiện nay, Camera Analog có thể kết nối với hệ thống Camera IP (tín hiệu số) thông qua bộ chuyển đổi tín hiệu từ Analog sang IP

Camera IP: là loại camera truyền hình ảnh bằng tín hiệu số, nó xử lý và nén hình tại camera và truyền tín hiệu số này tới các thiết bị lưu trữ trung tâm thông qua hệ thống mạng, cho phép người sử dụng xem, ghi, lưu trữ và quản lý hình ảnh video tại trung tâm giám sát hoặc từ xa thông qua hệ thống mạng Camera IP có thể được đặt tại bất cứ vị trí nào có kết nối mạng IP, camera có địa chỉ IP riêng của mình và có thể hoạt động độc lập

Hình 1.4 Cáp Đồng Trục (Camera Analog); Cáp Mạng RJ-45 (Camera IP)

1.1.5.5.2 Đầu ghi: Thiết bị dùng để ghi và lưu trữ hình ảnh truyền về từ camera Các loại đầu ghi:

- Đầu ghi analog (DVR – Digital Video Recorder): đầu ghi DVR được thiết kế để ghi hình các camera analog Đầu ghi DVR thường có nền tảng phần cứng của PC kết hợp với card ghi hình và phần mềm chuyên dụng dùng để hiển thị, nén và ghi lại hình ảnh từ camera analog (NTSC/PAL) Số lượng camera kết nối hạn chế

- Đầu ghi lai (HDVR-Hybrid Digital Video Recorder): đầu ghi lai (HDVR) và đầu ghi DVR truyền thống có tích hợp thêm 1 hoặc nhiều cổng RJ-45 cho phép kết nối với camera IP và camera analog trên cùng 1 hệ thống Số lượng camera kết nối hạn chế

- Đầu ghi IP (NVR): đầu ghi NVR là một máy tính được tích hợp phần mềm quản lý camera Đầu ghi NVR chỉ hỗ trợ camera IP và camera analog kết nối với bộ chuyển đổi tín hiệu tương tự /số Số lượng camera kết nối không hạn chế (Phụ thuộc vào băng thông của đường truyền)

- Phần mềm quản lý camera (Video Management Software – VMS): phần mềm cài trên máy PC cho phép quan sát, ghi hình, lưu trữ, quản lý camera IP và camera analog được kết nối với bộ chuyển đổi tín hiệu Số lượng camera kết nối không hạn chế

Một số lưu ý khi lựa chọn đầu ghi Analog (DVR):

- Số kênh đầu ghi: đây là số lượng camera có thể kết nối tới đầu ghi đồng thời (4CH, 16CH, 32CH…)

- Tốc độ ghi hình của đầu ghi: tốc độ đầu ghi sẽ được chia đều cho số kênh của đầu ghi (100fps, 200fps, 400fps)

- Khả năng hỗ trợ và mở rộng bộ nhớ: thời gian lưu trữ các đoạn ghi video (500GB, 1TB…)

- Độ phân giải khi ghi hình: chất lượng hình ảnh đầu ghi hiển thị khi được đặt ở các chế độ khác nhau

- Khả năng kết nối với các thiết bị ngoại vi: cảm biến, báo động, báo cháy…

- Tính năng thông minh: một số đầu ghi cho phép người dùng thiết lập các tính năng thông minh khác nhau như: phát hiện chuyển động, phát hiện vi phạm vùng cấm…

Một số lưu ý khi lựa chọn đầu ghi IP (NVR)

- Số lượng camera kết nối

- Khả năng hỗ trợ và mở rộng bộ nhớ (HDDs)

- Tốc độ nhận và ghi hình của đầu ghi (20Mbps, 40Mbps…250Mbps)

- Chế độ ghi, xem lại tại chỗ, từ xa

- Các tính năng thông minh hỗ trợ: phát hiện chuyển động, phát hiện thay đổi khung hình…

- Khả năng kết nối với các thiết bị ngoại vi: cảm biến, báo động, báo cháy…

- Các dòng camera mà đầu ghi hỗ trợ

1.1.6 Khái niệm Internet, các phương thức kết nối Internet:

1.1.6.1 Internet là một hệ thống thông tin toàn cầu có thể được truy nhập công cộng gồm các mạng máy tính được liên kết với nhau Hệ thống này truyền thông tin theo kiểu nối chuyển gói dữ liệu (packet switching) dựa trên một giao thức liên mạng đã được chuẩn hóa (giao thức IP) Hệ thống này bao gồm hàng ngàn mạng máy tính nhỏ hơn của các cơ quan, tổ chức, cá nhân và các chính phủ trên toàn cầu Internet mang lại nhiều tiện ích cho con người, nó cung cấp một khối lượng thông tin khổng lồ

Hình 1.5 Mô tả kết nối Internet 1.1.6.2 Các phương thức kết nối vào mạng Internet phổ biến hiện nay:

- Sử dụng môđem qua đường điện thoại cố định có dây

Người dùng cần Modem có các cổng kết nối như hình trên Máy tính cần được cài đặt môđem và kết nối qua đường dây điện thoại Hợp đồng với nhà cung cấp dịch vụ Internet (ISP Internet Service Provider) để được cung cấp quyền truy cập (tên truy cập (User name), mật khẩu (Password), số điện thoại truy cập)

Nếu muốn kết nối nhiều máy tính thì người dùng cần có thêm Hub, Switch

Thuận lợi cho người dùng nhưng có nhược điểm là tốc độ đường truyền không cao

- Sử dụng đường truyền riêng (Leased line):

Người dùng thuê một đường truyền riêng Một máy tính (gọi là máy ủy quyền) kết nối với ISP Mọi yêu cầu truy cập Internet của các máy trong mạng thông qua máy tính này Thông thường sử dụng cáp quang hoặc cáp đồng

Ưu điểm: Tốc độ đường truyền tải cao

- Sử dụng đường truyền ADSL (Asymmetric Digital Subscriber Line)

Hệ thống ADSL cũng sử dụng đường dây điện thoại, tuy nhiên thông qua bộ ADSL chúng ta có thể kết nối đến nhiều modem cung cấp Internet đến nhiều máy tính với tốc độ cao

- Kết nối Internet không dây

+ Sử dụng Wifi thông qua bộ phát Wifi

Một chiếc Laptop hay một chiếc điện thoại Smatphone cũng có thể phát Wifi

+ Sử dụng dịch vụ 3G, 4G

+ Sử dụng thông tin vệ tinh

1.2 Mô hình hệ thống Camera giám sát kết nối Internet, lỗ hổng bảo mật hệ thống Camera giám sát:

1.2.1 Mô hình hệ thống Camera giám sát kết nối Internet

Hình 1.6 Mô hình hệ thống Camera giám sát kết nối Internet

Mô hình trên, là mô hình tiêu chuẩn cho một hệ thống Camera giám sát kết nối Internet Ở mô hình này, các Camera được kết nối với đầu ghi hình, đầu ghi hình được kết nối với Internet và được nhận dạng địa chỉ trên Internet qua tên miền động của nhà cung cấp dịch vụ Ngoài ra, các Camera có thể kết nối trực tiếp vào Internet, đáp ứng yêu cầu của người dùng là triển khai nhanh các Camera tận dụng đường truyền Internet sẵn có (có dây hoặc không dây) Khi đó, các Camera kết nối trực tiếp với Host của hãng sản xuất Camera hoặc của nhà cung cấp dịch vụ cho thuê tên miền hoặc Host của người dùng tự xây dựng; tín hiệu Camera thông qua mạng Internet truyền về đầu ghi hình Lúc này, người dùng có thể xem hình ảnh của Camera thông qua điện thoại thông minh, máy tính bảng, PC

có kết nối Internet và có địa chỉ, mật khẩu truy cập đầu ghi hình

Hiện tại, các hãng CCTV đã sản xuất Camera và đầu ghi hình công nghệ P2P – peer two peer, sử dụng công nghệ điện toán đám mây, người sử dụng chỉ cần download phần mềm về máy là xem được hình ảnh Camera, không mất công cài đặt tên miền

Với mô hình hệ thống Camera giám sát kết nối Internet như trên, kết nối từ Camera hoặc đầu ghi hình đều qua Host của hãng sản xuất Camera hoặc của nhà cung cấp dịch vụ cho thuê tên miền nếu người dùng không tự xây dựng Host, tiền ẩn nhiều nguy cơ mất an ninh, an toàn Vì vậy, đối với hệ thống Camera giám sát lớn và đòi hỏi tính an ninh, an toàn thông tin cao thì việc người dùng tự xây dựng Host riêng cần thực hiện từ ban đầu

1.2.2 Lỗ hổng bảo mật hệ thống Camera giám sát kết nối Inernet

Nguyên nhân hệ thống CCTV bị tấn công xâm nhập là do lỗ hổng bảo mật trong phần mềm điều khiển nhúng (Firmware), phần mềm quản lý điều khiển của hãng sản xuất CCTV; do hệ điều hành; giả mạo các thiết bị giám sát từ xa kết nối vào hệ thống; các nguy

cơ mất an toàn thông tin từ các User trong hệ thống Tin tặc lợi dụng lỗ hổng bảo mật để cài mã độc cửa hậu (Backdoor) vào hệ thống CCTV

Nhiều hệ thống Camera bị phát hiện lỗ hổng bảo mật như: Camera an ninh cao cấp ngoài trời D-Link DCS-7410 Giao diện quản trị của DCS-7410 được cung cấp qua web server nguồn mở lighttpd, nhưng script rtpd.cgi của nó lại chứa lỗi bảo mật nghiêm trọng Script này xử lý các tham số đầu vào bằng cách thay thế tất cả các dấu “&” bằng khoảng trắng rồi đánh giá kết quả Do dữ liệu trong $QUERY_STRING được xử lý một cách “máy móc”, một tin tặc không được hệ thống xác thực cũng có thể thực hiện bất kỳ lệnh nào bằng cách chỉ định nó trong các tham số HTTP GET: $ wget http://192.168.1.101/cgi-bin/rtpd.cgi?reboot Vì lighttpd và các script CGI mà nó thực thi được chạy với quyền root, nên lệnh mà tin tặc gửi vào cũng có quyền root Hơn nữa, kết quả của câu lệnh sẽ được gửi lại cho trình duyệt web của tin tặc, nên sẽ cung cấp cho chúng một giao diện thực thi lệnh

bằng quyền root qua web Tin tặc cũng có thể lợi dụng lỗ hổng này để lấy được mật khẩu quản trị không được bảo mật của camera

Hay như Camera không dây Linksys WVC80N Trong cấu hình mặc định cho giao diện web của nó, tất cả người dùng không có quyền (kể cả người dùng chưa được xác thực) đều có thể truy cập địa chỉ /img/snapshot.cgi (trên thực tế là một symlink tới tệp /adm/ez.cgi) Tệp thi hành ez.cgi được tham chiếu tới bởi khá nhiều symlink khác và chọn thực hiện tác vụ dựa trên việc symlink được gọi Tác vụ của snapshot.cgi được xử lý bởi hàm sub_AE64 Tuy nhiên, hàm sub_AE64 chứa một lỗi nghiêm trọng: nó lấy biến môi trường QUERY_STRING chứa dữ liệu do người dùng cung cấp và dùng hàm strcpy để chép dữ liệu đó vào một ngăn xếp có kích thước cố định tên là “dest” Biến dest chỉ nằm cách địa chỉ quay về được lưu trên ngăn xếp đó có 152 byte Vì thế địa chỉ quay về có thể

bị ghi đè một cách dễ dàng khi người dùng gửi một chuỗi yêu cầu lớn hơn hoặc bằng 152 byte cho /img/snapshot.cgi: $ wget http://192.168.1.101/img/snapshot.cgi? $(perl -e „print

“A”x152‟) Tin tặc có thể tạo ra những cách phá hoại theo ý mình bằng cách tạo các yêu cầu đặc chế Và do tệp ez.cgi binary cũng xử lý các yêu cầu cho các symlink bị hạn chế khác, tin tặc có thể khiến hàm bị lỗi gọi đến các chức năng mà chỉ có người quản trị được phép dùng Hàm xử lý cho symlink admcfg.cfg (sub_9B88) có lẽ là hàm dễ thấy và dễ bị lợi dụng nhất; nó không cần tham số nào và trả lại cấu hình hiện thời cho người yêu cầu, trong đó bao gồm cả thông tin tài khoản quản trị và mạng không dây: $ wget http://192.168.1.101/img/snapshot.cgi? $(perl -e „print “A”x148; print “\x88\x9B”‟) Gửi yêu cầu không cần xác thực trên tới camera sẽ trả về một tệp cấu hình được mã theo base64 WVC80N dùng một chuỗi khóa không chuẩn cho base64 Việc thay thế chuỗi khóa chuẩn của base64 bằng chuỗi tùy biến trong môđun Python không phải là việc quá khó và tin tặc sẽ giải mã được toàn bộ tệp cấu hình, trong đó có cả tài khoản/ mật khẩu trần cho quản trị và mạng không dây: admin_name=admin/ admin_password=11696626/ wlan_essid=chupaca/ wpa_ascii=grreatcoloroloc1873 Với những thông tin này trong tay, tin tặc có thể truy cập mạng không dây của camera, đồng thời nắm quyền quản trị thiết bị,

kể cả việc bật/ tắt âm thanh và cập nhật firmware mới

(ThS Nguyễn Anh Tuấn - Tạp trí an toàn thông tin, tháng 03/2014)

Tháng 7/2016, Trung tâm An toàn thông tin (VNPT CERT) – Bộ Thông tin và Truyền thông đã thông báo "Lỗ hổng thực thi mã từ xa trong CCTV-DVR ảnh hưởng tới

79 nhà cung cấp khác nhau" Tin tặc lợi dụng lỗ hổng bảo mật khi kiểm tra cây thư mục mà không tìm thấy thư mục [language] để truyền vào giá trị [language] chưa có, đồng thời gửi

kèm câu lệnh cần thực thi, cho phép chúng cài mã độc cửa hậu (Backdoor) vào hệ thống CCTV 79 nhà cung cấp gồm:

Bảng 1.1 Danh sách 79 nhà cung cấp tồn tại lỗ hổng thực thi mã từ xa trong CCTV

2 ATS Alarmes technolgy and ststems 42 PARA Vision

7 China security systems 47 RIT Huston com

11 Digital Eye‟z no website 51 Skilleye

12 Diote Service & Consulting 52 Smarteye

23 Goldmaster 63 United Video Security System, Inc

30 ISC Illinois Security Cameras, Inc 70 Vtek

1.3 Các yếu tố nội hàm và phương trình khoa học:

1.3.1 Các yếu tố nội hàm của đề tài:

- Công tác lựa chọn hệ thống Camera giám sát kết nối Internet trước khi triển khai lắp đặt

- Công tác kiểm tra lỗ hổng bảo mật hệ thống Camera giám sát kết nối Internet trước

và sau khi triển khai lắp đặt

- Giải pháp đảm bảo an ninh, an toàn từ bên ngoài vào hệ thống Camera giám sát kết nối Internet

- Giải pháp đảm bảo an ninh, an toàn từ bên trong hệ thống Camera giám sát kết nối Internet ra bên ngoài

- Giải pháp đảm bảo an ninh, an toàn giữa các đơn vị sử dụng hệ thống Camera giám sát kết nối Internet

- Giải pháp sao lưu dữ liệu hệ thống Camera giám sát kết nối Internet

- Đào tạo, phổ cập kiến thức về an ninh, an toàn thông tin và quản trị hệ thống Camera giám sát kết nối Internet

- Quy trình quản lý, vận hành hệ thống Camera giám sát kết nối Internet

- Chính sách ứng dụng, phát triển khoa học công nghệ và công nghệ thông tin

- Chính sách về an ninh, an toàn thông tin

1.3.2 Phương trình khoa học của an ninh, an toàn hệ thống Camera:

An ninh, an toàn hệ thống Camera = Thiết bị + Công nghệ + Con người + Quy trình + Chính sách

1.3.3 Bảng hỏi, đánh giá năng lực phòng ngừa, ngăn chặn hoạt động tấn công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet:

Bảng 1.2 Bảng hỏi, đánh giá năng lực phòng ngừa, ngăn chặn hoạt động tấn công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet

(1-10)

1 Công tác lựa chọn hệ thống Camera giám sát kết nối Internet trước

khi triển khai lắp đặt

2 Công tác kiểm tra lỗ hổng bảo mật hệ thống Camera giám sát kết nối

Internet trước và sau khi triển khai lắp đặt

3 Giải pháp đảm bảo an ninh, an toàn từ bên ngoài vào hệ thống

Camera giám sát kết nối Internet

4 Giải pháp đảm bảo an ninh, an toàn từ bên trong hệ thống Camera

giám sát kết nối Internet ra bên ngoài

5 Giải pháp đảm bảo an ninh, an toàn giữa các đơn vị sử dụng hệ

thống Camera giám sát kết nối Internet

6 Giải pháp sao lưu dữ liệu hệ thống Camera giám sát kết nối Internet

7 Đào tạo, phổ cập kiến thức về an ninh, an toàn thông tin và quản trị

hệ thống Camera giám sát kết nối Internet

8 Quy trình quản lý, vận hành hệ thống Camera giám sát kết nối

KẾT LUẬN CHƯƠNG I

Chương I đề cập đến những khái niệm cơ bản về hệ thống thông tin, tấn công mạng,

an ninh mạng, an toàn thông tin, mạng Internet, hệ thống Camera giám sát, mô hình tổ chức hệ thống Camera giám sát kết nối Internet; phân tích, tổng hợp đưa ra một số lỗ hổng

bảo mật hệ thống Camera kết nối Internet Từ đó đưa ra nội hàm của đề tài: "Thực trạng và

giải pháp phòng ngừa, ngăn chặn hoạt động tấn công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet của Công an thành phố Hà Nội" và xây dựng bảng hỏi, đánh giá năng lực phòng ngừa, ngăn chặn hoạt động tấn công mạng qua việc chiếm quyền điều khiển hệ thống Camera giám sát kết nối Internet Đây là cơ sở để phân tích đánh giá thực trạng hệ thống Camera giám sát kết nối Internet của Công an thành phố Hà Nội và nguy cơ mất an ninh, an toàn ở chương tiếp theo

2.1 Thực trạng hệ thống Camera giám sát kết nối Internet của Công an thành phố Hà Nội:

2.1.1 Mô hình hệ thống Camera giám sát kết nối Internet của CATP:

Hệ thống Camera giám sát có Trung tâm quan lý, lưu trữ kết nối Internet của Công

an thành phố Hà Nội được triển khai thí điểm tại 01 quận Hệ thống gồm 108 Camera, lắp đặt tại các nút giao thông, các tuyến phố, sử dụng đường truyền cáp quang dùng riêng đưa tín hiệu về Trung tâm quản lý, lưu trữ dữ liệu tại CATP Hình ảnh giám sát từ Trung tâm được truyền dẫn thông qua mạng cáp quang dùng riêng đến phòng giám sát của 11 Công

an phường theo địa giới hành chính và phòng giám sát trung tâm Công an quận Tại phòng giám sát trung tâm Công an quận lắp đặt hệ thống lưu trữ cho toàn bộ dữ liệu 108 Camera được triển khai Như vậy, dữ liệu các Camera giám sát của quận được lưu trữ 02 nơi, 01 tại trung tâm quận, 01 tại máy chủ quản lý, lưu trữ dữ liệu CATP Trung tâm quản lý, lưu trữ

dữ liệu Camera tại CATP có đường kết nối Internet để cho một số thiết bị giám sát từ xa truy nhập, phục vụ công tác chỉ huy

Hình 2.1 Mô hình hệ thống Camera giám sát kết nối Internet của CATP

Hệ thống Camera giám sát kết nối Internet của Công an thành phố Hà Nội được triển khai giám sát tình hình an ninh trật tự công khai, thông tin thu được không thuộc phạm vi bảo vệ bí mật nhà nước Tuy nhiên, nếu không đảm bảo an ninh, an toàn sẽ là một trong những mục tiêu mà Hacker nhắm tới để khai thác thông tin, lấy cắp địa chỉ IP Camera tạo

ra mạng Botnet để tấn công vào các hệ thống máy tính, trang Web của chính phủ, cơ quan, doanh nghiệp

2.1.2 Thiết bị, công nghệ, con người, quy trình, chính sách thực hiện đối với hệ thống Camera giám sát kết nối Internet của CATP:

2.1.2.1 Công tác lựa chọn hệ thống Camera giám sát kết nối Internet trước khi triển khai lắp đặt: CATP lựa chọn hệ thống Camera giám sát để triển khai lắp đặt trên cơ sở khuyến cáo của các hãng bảo mật trên thế giới

2.1.2.2 Công tác kiểm tra lỗ hổng bảo mật hệ thống Camera giám sát kết nối Internet trước và sau khi triển khai lắp đặt: Tất cả hệ thống Camera trước khi triển khai lắp đặt được kiểm tra an ninh thiết bị và kiểm tra lỗ hổng bảo mật của phần cứng, phần mềm bằng các hệ thống Test chuyên dụng

2.1.2.3 Giải pháp đảm bảo an ninh, an toàn từ bên ngoài vào hệ thống Camera giám sát kết nối Internet

Tại Trung tâm quản lý, lưu trữ dữ liệu CATP triển khai giải pháp bảo mật toàn diện,

đa lớp: Giải pháp hệ thống gồm 2 lớp bảo mật Lớp ngoài kiểm soát và bảo vệ Trung tâm quản lý, lưu trữ dữ liệu hệ thống Camera giám sát ở mức độ Packet Filtering thực hiện chức năng như một tường lửa và cổng VPN Lớp trong được bảo vệ bằng một hệ thống IDP cho Trung tâm quản lý, lưu trữ dữ liệu hệ thống Camera giám sát

Hình 2.2 Mô hình giải pháp bảo mật toàn diện, đa lớp

Lớp Firewall bên ngoài

Đây là lớp an ninh chủ lực chuyên dùng để chống lại các cuộc tấn công từ môi trường bên ngoài như hacker, virus, spam….bảo vệ Trung tâm quản lý, lưu trữ dữ liệu hệ thống Camera giám sát giảm thiểu tối đa các ảnh hưởng xấu từ bên ngoài Khi được kết nối với môi trường bên ngoài, nguy cơ xâm nhập vào Trung tâm quản lý, lưu trữ dữ liệu hệ thống Camera giám sát từ các đối tượng ngoại vi (như hacker, virus…) phải được kiểm soát chặt chẽ

Hình 2.3 Mô hình lớp Firewall bên ngoài

Lớp an ninh trung gian

Lớp an ninh này chủ yếu dựa trên các tính năng an ninh cơ bản của thiết bị mạng, hệ điều hành, Với thiết bị mạng cao cấp chúng ta có thể triển khai những tính năng an ninh mạng cơ bản như:

 Access control list hạn chế truy cập của người dùng cuối qua những phần vùng, những ứng dụng không thuộc phạm vi truy xuất của mình

 Thiết lập các quyền truy cập thông qua username, password

 Hạn chế kết nối vào hệ thống (kết nối vật lý) tại những vị trí không được phép thông qua tính năng port security, VLAN access control list của thiết bị mạng

 Phân vùng VLAN hạn chế các dữ liệu vô ích (Broadcast, ARP signal…) tràn ngập

từ khu vực này qua khu vực khác, tận dụng tối đa băng thông cho thông tin có ích (traffic thực sự của người dùng) của hệ thống Ngăn chặn khuyếch tán Virus hay ảnh hưởng liên đới do trường hợp không ổn định của hệ thống phần cứng từ vùng này qua vùng khác

 v.v

Firewall bảo vệ hệ thống máy chủ (serverfarm) - internal firewall