GIẢI PHÁP MÃ NGUỒN MỞ PHÒNG CHỐNG RÒ RỈ DỮ LIỆU ĐA MỨC

Kiến trúc tổng quan của hệ thống

Kiến trúc tổng quan về giải pháp mã nguồn mở phòng chống rò rỉ dữ liệu đa mức được minh họa như Hình 1. Giải pháp gồm 3 thành phần chính là giao diện giám sát, điều khiển hệ thống Multi-level DLP (DLP Dashboard), tác tử giám sát lưu lượng mạng (DLP Network) và tác tử giám sát thiết bị đầu cuối (DLP Endpoint). Các thành phần này giao tiếp với nhau thông qua các API được xây dựng, tích hợp phù hợp nhằm tạo độ trong suốt với hệ thống mạng và trải nghiệm của người dùng.

Hình 1. Kiến trúc tổng quan hệ thống

Các thành phần trong hệ thống

Thành phần giao diện giám sát, điều khiển hệ thống Multi-level DLP

Giao diện bảng giám sát, điều khiển DLP bao gồm 02 module chính là Backend và Frontend Dashboard. Cả hai đều được đóng gói sử dụng nền tảng công nghệ Docker để đảm bảo triển khai dễ dàng và nhất quán, cụ thể:

- Backend DLP Dashboard đóng vai trò quan trọng trong việc tạo ra các API để giao tiếp với các phần khác của hệ thống. Module này được tích hợp các công nghệ như FastAPI, Redis, PostgreSQL, Elasticsearch và MinIO.

- Phần Frontend DLP Dashboard sử dụng hai công nghệ chính là Next.js và React. Các chức năng chính bao gồm: Giao diện tương tác với người dùng; Tương tác với API; Hiển thị thống kê và báo cáo.

Thành phần tác tử giám sát thiết bị đầu cuối

Để giám sát và ngăn chặn các hành vi có nguy cơ gây lộ lọt thông tin nhạy cảm, nhóm tác giả thiết kế các “tác tử” (agent), đây là một phần mềm máy tính tồn tại trong một môi trường nhất định, tự động hành động phản ứng lại sự thay đổi của môi trường nhằm đáp ứng mục tiêu đã được thiết kế trước. Cụ thể, DLP Endpoint được cài đặt trên các thiết bị cần giám sát và bảo vệ với các chức năng chính bao gồm: Giám sát và phát hiện dữ liệu nhạy cảm; Chặn hành vi không hợp lệ; Hiển thị thông báo cho người dùng; Gửi nhật ký và báo cáo; Triển khai tập luật đã được cấu hình.

Thành phần tác tử giám sát lưu lượng mạng

DLP Network đảm nhiệm vai trò giám sát và bảo vệ dữ liệu trên toàn bộ mạng. Chức năng chính của DLP Network là chặn bắt các gói tin truyền tải trong hệ thống mạng để phát hiện và ngăn chặn việc rò rỉ dữ liệu nhạy cảm, đồng thời cũng gửi các báo cáo về cho Backend thông qua API. DLP Network sử dụng Network TAP hoặc Port Monitoring kết hợp với Wireshark/Tshark để chặn bắt gói tin, phân tích nội dung và phục hồi tự động các dữ liệu không được mã hóa (gồm các dữ liệu có định dạng pdf, doc, excel, powerpoint, JPEG, PNG, Bitmap, GIF). Tác tử này lưu trữ các dữ liệu vào bộ nhớ tạm kèm theo thông tin về địa chỉ IP gửi/nhận, thời gian truyền tải phục vụ điều tra, truy vết. DLP Network tích hợp công nghệ Nhận dạng ký tự quang học (Optical Character Recognition - OCR) để nhận dạng ký tự trong hình ảnh và tài liệu được truyền tải qua mạng. Điều này giúp phát hiện và bảo vệ dữ liệu nhạy cảm không chỉ dưới dạng văn bản thuần túy mà còn dưới dạng hình ảnh.

TRIỂN KHAI THỬ NGHIỆM

Hạ tầng triển khai thử nghiệm giải pháp

Để thử nghiệm khả năng hoạt động các chức năng chính của giải pháp mã nguồn mở phòng chống rò rỉ dữ liệu nhạy cảm ở nhiều mức độ khác nhau, nhóm tác giả sử dụng hệ thống máy tính thử nghiệm bao gồm: 10 máy tính để bàn (với cấu hình đồng bộ gồm CPU Intel® Core i3 3.7GHz, RAM 8GB DDR3, 500GB HDD, OS Windows 10) và 01 máy chủ (CPU Intel® Core i5 gen 10 3.2GHz, RAM 8GB DDR3, 256GB SSD, OS Windows 10) cài đặt giải pháp đề xuất.

Kịch bản thử nghiệm

Để đánh giá hiệu quả của giải pháp, nhóm tác giả đã tạo mới tập luật dựa trên chính sách bảo mật về việc in tài liệu và cắm thẻ nhớ USB. Sau khi chính sách bảo mật này được triển khai, nhóm tác giả sẽ tiến hành thử nghiệm cắm USB và in tài liệu vi phạm chính sách bảo mật nêu trên để xem khả năng phản ứng của giải pháp. Các bước trong kịch bản thử nghiệm được trình bày cụ thể bao gồm:

- Bước 1: Cài đặt tác tử vào thiết bị cần theo dõi, thông tin của thiết bị (bao gồm địa chỉ MAC, IP, tên máy tính…) sẽ tự động được gửi về hệ thống giám sát.

- Bước 2: Thêm mới một nhóm quyền trong hệ thống liên quan tới chính sách in tài liệu mật và cắm USB không hợp lệ bằng cách chọn chức năng “Quản trị danh sách chức năng endpoint”, “Thêm mới”.

- Bước 3: Thêm mới các từ khóa trong chính sách bảo mật của hệ thống để tìm kiếm, cảnh báo nội dung vi phạm liên quan bằng cách truy cập chức năng “Quản trị danh sách từ khóa”.

- Bước 4: Cập nhật cấu hình chính sách bảo mật xuống các tác tử DLP Endpoint và DLP Network bằng cách chọn thiết bị mục tiêu cần cập nhật trong chức năng “Quản trị danh sách thiết bị”, chọn nhóm quyền hạn, chính sách bảo mật đã cấu hình.

KẾT QUẢ THỬ NGHIỆM

Với kiến trúc giải pháp đề xuất và môi trường, hạ tầng triển khai thử nghiệm giải pháp, nhóm tác giả đã cài đặt và thử nghiệm các chức năng của giải pháp này. Nội dung mã nguồn của giải pháp được chia sẻ tại địa chỉ github. Kết quả minh họa chức năng chính của giải pháp được thể hiện tại Hình 2, 3, 4, 5.

Hình 2. Dashboard thống kê trạng thái hoạt động của hệ thống

Hình 3. Giao diện quản lý các chức năng tác tử tại thiết bị đầu cuối

Hình 4. Kết quả phát hiện và cảnh báo việc in tài liệu (bên trái) và cắm USB (bên phải) vi phạm chính sách bảo mật

Hình 5. Kết quả phát hiện và cảnh báo việc gửi tài liệu vi phạm chính sách bảo mật qua mạng

KẾT LUẬN

Trong bài viết này, nhóm tác giả đã đề xuất một giải pháp mã nguồn mở phòng chống rò rỉ dữ liệu nhạy cảm ở nhiều mức độ khác nhau nhằm bảo vệ an toàn thông tin mạng nội bộ tổ chức, đơn vị triển khai chuyển đổi số. Giải pháp đề xuất đã được xây dựng và thử nghiệm khả năng phát hiện, ngăn chặn rò rỉ dữ liệu nhạy cảm trong môi trường phòng thí nghiệm ở nhiều mức độ khác nhau. Trong tương lai gần, nhóm tác giả sẽ tiếp tục cải tiến về hiệu năng, khả năng tương thích của giải pháp với các môi trường hệ điều hành khác nhau và khả năng nhận dạng các tài liệu scan, sao chụp có độ nét chưa cao, đồng thời tăng độ chính xác của mô hình AI nhận dạng các tài liệu vi phạm chính sách bảo mật của tổ chức, đơn vị.