Tải bản đầy đủ
3 Hiện trạng nghiên cứu về an ninh NGN của các tổ chức chuẩn hoá

3 Hiện trạng nghiên cứu về an ninh NGN của các tổ chức chuẩn hoá

Tải bản đầy đủ

62
học viên xác định sẽ sử dụng khuyến nghị này để xây dựng một cơ sở lý thuyết chính cho việc
xây dựng giải pháp an ninh đối vói mạng NGN. Do đó, trong phần này học viên sẽ đi sâu phân
tích nội dung của khuyến nghị X.805, làm rõ được qui trình cách thức áp dụng của chúng. Và
trong phần tiếp sau đó, toàn bộ kết quả của việc phân tích trong phần này sẽ được áp dụng trực
tiếp sang mạng NGN, được diễn tả dưới ngôn ngữ của các phần tử trong NGN.


Khuyến nghị X.805 nhằm xây dựng được một tập các phần tử kiến trúc (các thành phần trong
kiến trúc) liên quan đến việc thực hiện chức năng an ninh tổng quát để có thể cung cấp cơ chế
an ninh từ đầu cuối đến đầu cuối (end-to-end security).

4.3.2 Phân tích khuyến nghị X.805
4.3.2.1 Đánh giá ưu nhược điểm của X.805
Ưu điểm


Là một Framework rất rõ ràng và bài bản.



Đưa ra đầy đủ định nghĩa vễ các Nguy cơ và các Giải pháp tổng quát tương ứng rất thuận lợi
cho việc xây dựng các Giải pháp an ninh end-to-end cho một đối tượng. Nhược điểm



Chưa chỉ rõ loại nguy cơ xuất phát từ bên trong hay từ các tương tác bên ngoài.



Chỉ áp dụng đảm bảo an ninh theo kiến trúc end-to-end nên có thể bỏ sót các đối tượng an
ninh trong nội bộ đối tượng. Như vậy X.805 chỉ có hiệu quả khi đối tượng đầu vào được phân
tích kỹ càng thành các đối tượng nhỏ hơn đảm bảo không bỏ sót các giao diện tiềm ẩn nguy
cơ.

4.3.2.2 Miền an ninh
Việc áp dụng khuyến nghị X.805 có thể thực hiện cho từng phần tử mạng một cách riêng biệt tuy nhiên
điều này nảy sinh 2 vấn đề.


Một là mức độ bảo vệ sẽ không cao, điều này thể hiện ở chỗ: vì các phần tử chức năng ngoài
việc thực hiện chức năng an ninh còn phải thực hiện chức năng chính khác của nó trong mạng
do đó không thể năng lực xử lý chức năng an ninh của các phần tử sẽ không thể lớn.



Hai là có sự lặp trong việc phải xử lý cùng chức năng an ninh đối với các phần tử. Một giải
pháp được nghĩ ra đề giải quyết vấn đề này đó là sử dụng biện pháp phân miền an ninh, nhờ
việc gom các phần tử lại thành một miền như khái niệm sẽ được làm rõ trong phần dưới đây.

Bản thân miền an ninh là một khái niệm không được nêu ra trong khuyến nghị X.805, nó không là một
thành phần an ninh trong kiến trúc an ninh mà khuyến nghị X.805 đưa ra, mà chỉ được đề cập gần đây
trong các kiến trúc an ninh của 3GPP hay của TISPAN. Học viên lựa chọn đưa khái niệm này vào trình
bày trong phần này đó là bởi vì các giải pháp an ninh thực tế đều dựa trên khái niệm này, và theo ý
kiến chủ quan của học viên thì việc thực hiện kỹ thuật phân miền an ninh sẽ làm cho việc phân tích các
vấn đề an ninh trở nên bớt phức tạp đi rất nhiều so với áp kiến trúc an ninh đầy đủ đến từng thực thể
chức năng trong mạng, đồng thời cũng làm cho giải pháp an ninh được đơn giản hơn như chúng ta sẽ
thấy về sau.
Khái niệm miền an ninh có thể được hiểu là một tập các phần tử cần có độ an toàn tương đương, được
quản trị bởi một nhà quản lý duy nhất. Một mạng sẽ được phân chia thành nhiều miền an ninh, mỗi
miền bao gồm một vài phần tử, các miền được phân cách nhau bởi một phần tử biên, có nghĩa là lưu

63
lượng liên miền đều phải đi qua phần tử biên đặt giữa 2 miền đó. Phần tử biên này sẽ thực hiện một số
biện pháp an ninh chung cho cả những phần tử bên trong nó.
Khi chúng ta thực hiện cơ chế phân miền an ninh và sử dụng các phần tử biên như vậy sẽ khắc phục
được 2 vấn đề gặp phải như đã nói ở trên khi áp dụng đối với từng phần tử riêng biệt. Đó là do chỉ tập
trung vào thực hiện chức năng an ninh cho nên có thể yêu cầu phần tử biên này có năng lực xử lý chức
năng an ninh khá lớn, chúng ta sẽ có thể tăng cường áp dụng biện pháp an ninh cho toàn miền nhờ việc
thực hiện chức năng an ninh trên phần tử này. Mặt khác cũng tránh được sự chồng lặp về việc phải xử
lý các biện pháp an ninh nhờ việc đẩy các biện pháp an ninh chung cần áp dụng cho các phần tử ra
phần tử biên.
Vì vậy trong những phân tích và đề xuất về giải pháp an ninh của học viên về sau học viên sử dụng
khái niệm miền an ninh như là một thành phần trong kiến trúc an ninh đồng thời thực hiện phân miền
an ninh trong qui trình áp dụng X.805.

4.4 Các bổ sung cho X.805
4.4.1 Bổ sung về phân loại nguy cơ
X.805 đưa ra 5 nguy cơ nhưng chưa chỉ rõ nguồn gốc các nguy cơ này. Để dễ nhìn nhận, theo học
viên, để thuận tiện cho việc đánh giá mức độ quan trọng, các nguy cơ cần phải được phân loại thành


Nguy cơ nội bộ: Là loại nguy cơ xảy ra khi đối tượng mạng hoạt động độc lập, không có sự
tương tác với các đối tượng khác. Trên thực tế loại nguy cơ này có nguồn gốc từ các hoạt động
liên quan đến quá trình OA&M.



Nguy cơ từ bên ngoài: Là loại nguy cơ xảy ra khi đối tượng mạng tham gia vào hoạt động
tương tác với các đối tượng khác.

Đ?i tư?ng an ninh

Nguy cơ t? bên

Nguy cơ t? bên

ngoài

trong

Hình 4.1 Phân loại nguy cơ an ninh

4.4.2 Bổ sung về phân loại giải pháp
Tương ứng với việc phân loại nguồn gốc nguy cơ, 8 giải pháp X.805 đưa ra cũng cần được chia làm 2
loại:


Giải pháp OAM: Trong nhiều trường hợp, nguy cơ mất an ninh xảy ra do chính nội bộ đối
tượng, cụ thể là thông qua các lỗ hổng OAM. Người thực hiện OAM vô tình hay hữu ý có thể
gây ra sai sót ở nhiều mức độ khác nhau. Đồng thời đôi khi sự bảo đảm an toàn trong quy trình
OAM cũng làm giảm thiểu rất nhiều nguy cơ mất an ninh (phòng trước khi chống).

64


Giải pháp tự bảo vệ: Loại giải pháp này được áp dụng cho bản thân NeE chứ không phải các
NSE.



Giải pháp bảo vệ dưới sự hỗ trợ của các NSE.
Giải pháp bảo vệ
dưới sự hỗ trợ của
đối tượng khác
Giải pháp đảm
bảo quy trình hoạt
động
Giải pháp tự
bảo vệ

Hình 4.2 Phân loại giải pháp an ninh

4.5 Quy trình xây dựng giải pháp an ninh mạng NGN
Như đã nêu trong phần phân tích khuyến nghị X.805, bản thân X.805 chỉ là một framework an ninh
thực hiện từ đầu cuối đến đầu cuối (end-to-end), mà bài toán an ninh đặt ra thường thì không phải
dạng này, vì nguy cơ có thể đến từ bất kỳ đoạn mạng nào, trên bất kỳ giao diện nào. Như vậy, việc
phân rã đối tượng mạng thành các đối tượng nhỏ hơn rồi áp dụng X.805 là một bước cần thiết để có
thể phát hiện đầy đủ các nguy cơ đồng thời giảm thiểu độ phức tạp xử lý trong quá trình xây dựng giải
pháp an ninh cho bất kỳ mạng nào.
Dưới đây là quy trình thực hiện nhiệm vụ do học viên cùng nhóm nghiên cứu tại CDiT đề xuất.
Dữ liệu mạng

Tiền xử lý (TXL)

Cập nhật tiêu
chí tiền xử lý

Cập nhật dữ
liệu mạng

X.805

Tối ưu hoá (TUH)

Giải pháp

Hình 4.3 Quy trình xây dựng giải pháp

Cập nhật tiêu
chí tối ưu hoá

65
4.5.1 Module tiền xử lý
Như đã phân tích ở trên, phân tích mạng là một khâu rất quan trọng, vấn đề đặt ra là phân tích thế nào?
Tiêu chí nào được sử dụng? Mức độ quan trọng ra sao?
Nguyên tắc chung


Phải xây dựng được bộ tiêu chí và thứ tự ưu tiên để khuyến nghị ban đặt hàng đồng thời phải
thống nhất với ban đặt hàng trước khi đi vào xử lý.



Phân chia càng nhỏ thì càng tránh bỏ sót nguy cơ an ninh, tuy nhiên cũng nên tránh phân chia
quá nhỏ gây phức tạp hoá giải pháp.



Các miền phải có tính độc lập tương đối theo nguyên tắc các giao diện nội bộ phải nhiều hơn
các giao diện với miền khác

Đầu vào


Thông tin về Mô hình quản lý



Thông tin về Dịch vụ



Thông tin về Cấu trúc mạng



Thông tin về Công nghệ



Thông tin về Thiết bị cụ thể



Thông tin về Nhà cung cấp thiết bị



Thông tin về Lộ trình phát triển mạng

Đầu ra
 Sơ đồ phân rã mạng theo các tiêu chí phân chia (quản lý, công nghệ, dịch vụ,…), thành các đối
tượng, gọi là các miền an ninh