Nghiên cứu và ứng dụng hệ thống chống thất thoát dữ liệu.doc

DỊCH VỤ VIẾT THUÊ ĐỀ TÀI TRỌN GÓI ZALO / TEL: 0909.232.620
TẢI TÀI LIỆU – KẾT BẠN ZALO: 0909.232.620
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------
VŨ VĂN TUẤN
NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THỐNG
CHỐNG THẤT THOÁT DỮ LIỆU
LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)
HÀ NỘI - 2016

i
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
---------------------------------------
VŨ VĂN TUẤN
NGHIÊN CỨU VÀ ỨNG DỤNG HỆ THỐNG
CHỐNG THẤT THOÁT DỮ LIỆU
CHUYÊN NGÀNH : HỆ THỐNG THÔNG TIN
MÃ SỐ: 60.48.01.04
LUẬN VĂN THẠC SĨ KỸ THUẬT
(Theo định hướng ứng dụng)
NGƯỜI HƯỚNG DẪN KHOA HỌC: TS. VŨ VĂN THỎA
HÀ NỘI - 2016

ii
LỜI CAM ĐOAN
Tôi cam đoan đây là công trình nghiên cứu của riêng tôi.
Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng
được ai công bố trong bất kỳ công trình nào khác.
Học viên
VŨ VĂN TUẤN

iii
MỤC LỤC
LỜI CAM ĐOAN...........................................................................................................................ii
MỤC LỤC .......................................................................................................................................... iii
DANH MỤC CÁC BẢNG....................................................................................................vi
DANH MỤC CÁC HÌNH....................................................................................................vii
MỞ ĐẦU................................................................................................................................................ 1
Chương 1 : TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT THÔNG
TIN............................................................................................................................................................... 4
1.1. Nội dung an toàn và bảo mật thông tin.......................................................................4
1.2. Các nguy cơ thất thoát, rò rỉ dữ liệu.............................................................................7
1.2.1. Mất dữ liệu do tình cờ: .................................................................................................... 8
1.2.2. Mất dữ liệu do tấn công nội bộ................................................................................. 10
1.2.3. Mất dữ liệu do các cuộc tấn công bên ngoài ...................................................... 12
1.3. Các giải pháp an toàn và bảo mật thông tin truyền thống............................15
1.3.1. Các chiến lược an toàn hệ thống :........................................................................... 15
1.3.2. Các mức bảo vệ trên mạng : ...................................................................................... 16
1.3.3. An toàn thông tin bằng mật mã................................................................................. 18
1.4. Giải pháp ngăn ngừa mất mát/rò rỉ thông tin theo hướng DLP................19
1.4.1. Data-in-Motion:............................................................................................................... 20
1.4.2. Data-in-Use:...................................................................................................................... 21
1.4.3 Data-at-Rest:...................................................................................................................... 22
1.5. Kết luận chương....................................................................................................................23
Chương 2: HỆ THỐNG CHỐNG THẤT THOÁT DỮ LIỆU ............ 25
2.1. Sự xuất hiện của DLP........................................................................................................25
2.2. Mô hình, tính năng của hệ thống.................................................................................26
2.2.1 Quét nội dung..................................................................................................................... 27

iv
2.2.2 Endpoint Protection......................................................................................................... 28
2.2.3. Giám sát mạng.................................................................................................................. 29
2.2.4. Quản lý trung ương........................................................................................................ 30
2.3. Công nghệ cốt lõi của hệ thống....................................................................................31
2.3.1. Policies................................................................................................................................. 31
2.3.2. Phân loại dữ liệu ............................................................................................................. 33
2.3.2.1. Phương pháp kết hợp từ khóa ......................................................................33
2.3.2.2. Phương pháp sử dụng các biểu thức thông dụng..............................33
2.3.2.3 Phương pháp so sánh dấu vân tay dữ liệu sử dụng hàm băm....34
2.3.2.4. Các thuật toán học máy....................................................................................35
2.4. Một số giải pháp của các hãng......................................................................................39
2.4.1. Giải pháp Mcafee............................................................................................................ 39
2.4.2. Giải pháp Symantec Data Loss Prevention......................................................... 42
2.4.3. Giải pháp Active Directory Right Management Services của Microsoft . 42
2.5. Kết luận:.....................................................................................................................................44
CHƯƠNG 3: TRIỂN KHAI HỆ THỐNG THỬ NGHIỆM................... 45
3.1. Hệ thống thông tin thử nghiệm và các yêu cầu đặt ra.....................................45
3.2. Triển khai hệ thống .............................................................................................................46
3.2.1. Cấu hình yêu cầu............................................................................................................. 47
3.2.2. Cấu hình tính năng Block USB và CD-Rom........................................................ 49
3.2.3. Tạo Tag cho File Server cần bảo vệ dữ liệu ....................................................... 53
3.2.4 Cấu hình tính năng Block Upload............................................................................. 55
3.2.5. Thiết lập các chính sách............................................................................................... 58
3.2.5.1. Phân loại thông tin..............................................................................................58
3.2.5.2. Chính sách quản lý thông tin.......................................................................59
3.2.5.3. Quản lý truy cập...................................................................................................60
3.3. Đánh giá hệ thống thử nghiệm:....................................................................................62
3.3.1. Kết quả đạt được ..............................................................................................................62

v
3.3.2. Hạn chế của hệ thống.................................................................................................... 62
3.3.3. Các biện pháp khắc phục hạn chế ........................................................................... 63
3.4. Kết luận......................................................................................................................................64
DANH MỤC TÀI LIỆU THAM KHẢO ............................................................... 65

vi
DANH MỤC CÁC BẢNG
Bảng 1.1.Tần suất lỗi do quản trị viên hệ thống[7]................................................................ 10
Bảng 3.2. Cấu hình yêu cầu của hệ thống DLP ....................................................................... 47
Bảng 3.3. Các bước tiến hành Block USB và CD-Rom....................................................... 50
Bảng 3.4. Các bước tạo Tag cho File Server cần bảo vệ dữ liệu. .................................... 53
Bảng 3.5. Cấu hình tính năng Block Upload............................................................................. 55

vii
DANH MỤC CÁC HÌNH
Hình 1.1. Sơ đồ tổng quan mạng thông tin hiện nay ................................................................ 7
Hình 1.2. Tần số phân loại sự cố an ninh thông tin[7]............................................................. 8
Hình 1.3. Các nguy cơ thất thoát, rò rỉ dữ liệu......................................................................... 20
Hình 1.4. Mô hình giải pháp Data-in-Motion........................................................................... 21
Hình 1.5. Mô hình giải pháp Data-in-Use.................................................................................. 22
Hình 1.6. Mô hình giải pháp Data-at-Rest ................................................................................. 23
Hình 2.1. Mô hình DLP cơ bản....................................................................................................... 26
Hình 2.2. Endpoint DLP - Thi hành chính sách [6] ............................................................... 28
Hình 2.3. Tổng quan về chính sách............................................................................................... 32
Hình 2.4. Mô hình hệ thống Mcafee............................................................................................. 40
Hình 2.5. Mô hình giải pháp Mcafee............................................................................................ 40
Hình 3.1. Mô hình hệ thống hiện tại............................................................................................. 45

1
MỞ ĐẦU
Tính cấp thiết của đề tài
Trong những năm gần đây, theo các nghiên cứu về an toàn và bảo mật thông
tin, các nguy cơ mất an toàn đang có xu hướng chuyển từ tấn công vào hạ tầng
mạng của tổ chức, doanh nghiệp để phá hoại, làm mất uy tín..., sang đánh cắp thông
tin tài khoản cá nhân để trục lợi. Các nguy cơ rò rỉ, thất thoát thông tin ngày càng
tăng cao. Do vô tình hay cố ý mà các thông tin nhạy cảm có thể bị rò rỉ, phát tán qua
nhiều con đường khác nhau như:
- Gửi nhầm nội dung hoặc upload các file chứa thông tin nhạy cảm ra ngoài
qua các hộp thư cá nhân, khi chia sẻ file qua mạng xã hội, web cá nhân...
- Các phần mềm gián điệp, virus, mã độc hại... tự động ăn cắp thông tin, gửi
ra ngoài, thay đổi thông tin làm mất tính toàn vẹn dữ liệu mà người dùng không hề
biết.
Một nghiên cứu của IDC (International Data Corporation) chỉ ra rằng hầu hết
các trường hợp mất mát dữ liệu đều do sơ ý, chứ không phải do mã độc gây ra. Họ
đã ước tính rằng khoảng 80% những trường hợp mất mát dữ liệu như vậy là do vô
tình. Tuy nhiên, những nhân viên có nhu cầu làm việc thực sự cần phải gửi đi những
thông tin nhạy cảm lại thiếu một kênh bảo mật để làm việc này.
Chính vì vậy, nghiên cứu, ứng dụng các giải pháp ngăn ngừa mất mát, rò rỉ
thông tin là thực sự cần thiết. Do đó, học viên lựa chọn nghiên cứu đề tài: “Nghiên
cứu và ứng dụng hệ thống chống thất thoát dữ liệu”.
Tổng quan về các vấn đề nghiên cứu
Hiện nay, nhiều doanh nghiệp Việt Nam có thể cung cấp và triển khai các gói
giải pháp ngăn ngừa thất thoát, rò rỉ dữ liệu dựa một số sản phẩm thương mại hóa
của nước ngoài như giải pháp chống thất thoát, rò rỉ thông tin/dữ liệu DLP của
Check Point, giải pháp Symantec Data Loss Prevention hoặc McAfee Data Loss
Prevention Endpoint.
Mỗi giải pháp có những ưu điểm vượt trội khác nhau. Chính vì điều đó học
viên đã chọn nghiên cứu giải pháp chống thất thoát rò rỉ dữ liệu McAfee Data Loss
Prevention Endpoint (DLP). Giải pháp DLP thực hiện các chức năng chặn, ngăn
ngừa rò rỉ và lưu trữ thông tin thông qua các phần sau: Giám sát trên lưu lượng
(Traffic Monitor), giám sát trên các thiết bị (Device Monitor) và Lưu trữ các thông
tin bị chặn xuống Database (Forensic Storage Database).

2
Một ưu điểm quan trọng và khác biệt của giải pháp McAfee Data Loss
Prevention Endpoint là ứng dụng công nghệ có khả năng xử lý ngôn ngữ tự nhiên
tiếng Việt để xác định nội dung của thông tin, qua đó tự động phân mục (Category)
thông tin và nhanh chóng phát hiện ra các thông tin có nội dung nhạy cảm cần lưu ý,
giám sát.
Một ưu điểm khác của giải pháp này là phân tích các dữ liệu có cấu trúc và
không cấu trúc:
- Dữ liệu không cấu trúc được dùng cho giao tiếp con người rất khó phát
hiện, giải pháp của McAfee Data Loss Prevention Endpoint cung cấp chức năng
khai thác văn bản (Text Mining) cho phép khám phá các dữ liệu không cấu trúc.
- Xác định và tập hợp các nguồn, chủ sở hữu và nơi đến của các thông tin, dữ
liệu đó.
Mục đích nghiên cứu
- Nghiên cứu hệ thống chống thất thoát dữ liệu Data Loss Prevention (DLP).
- Triển khai thử nghiệm hệ thống DLP ngăn ngừa mất mát rò rỉ thông tin và
đánh giá khả năng của hệ thống.
Đối tượng nghiên cứu
- Các thuật toán phân loại dữ liệu.
- Hệ thống ngăn ngừa mất mát rò rỉ thông tin DLP.
Phạm vi nghiên cứu
- Nghiên cứu các nguy cơ rò rỉ thông tin và giải pháp phòng chống.
- Triển khai thử nghiệm hệ thống thất thoát dữ liệu DLP trên môi trường giả
lập và môi trường thực.
Phương pháp nghiên cứu
Phương pháp nghiên cứu lý thuyết
- Đọc tài liệu và nghiên cứu về các giải pháp chống mất mát dữ liệu - DLP
(Data lost prevention) từ các hãng trên thế giới và cách thức hoạt động của chúng.
Phương pháp thực nghiệm
- Xây dựng hệ thống McAfee Data Loss Prevention Endpoint và đồng thời
thử nghiệm, đánh giá kết quả.

3
Cấu trúc luận văn
Nội dung luận văn gồm 2 phần như sau
1. Phần mở đầu
2. Phần nội dung: bao gồm ba chương
Chương 1: Tổng quan về an toàn và bảo mật thông tin.
Chương 2: Hệ thống chống thất thoát dữ liệu DLP.
Chương 3: Triển khai hệ thống thử nghiệm.
Mỗi chương sẽ có phần kết luận riêng của từng chương đó.

4
Chương 1 : TỔNG QUAN VỀ AN TOÀN VÀ BẢO MẬT
THÔNG TIN
1.1. Nội dung an toàn và bảo mật thông tin
Khi nhu cầu trao đổi thông tin dữ liệu ngày càng lớn và đa dạng, các tiến bộ
về điện tử - viễn thông và công nghệ thông tin không ngừng được phát triển ứng
dụng để nâng cao chất lượng và lưu lượng truyền tin thì các quan niệm ý tưởng và
biện pháp bảo vệ thông tin dữ liệu cũng được đổi mới. Bảo vệ an toàn thông tin dữ
liệu là một chủ đề rộng, có liên quan đến nhiều lĩnh vực và trong thực tế có thể có
rất nhiều phương pháp được thực hiện để bảo vệ an toàn thông tin dữ liệu. Các
phương pháp bảo vệ an toàn thông tin dữ liệu có thể được quy tụ vào ba nhóm sau:
- Bảo vệ an toàn thông tin bằng các biện pháp hành chính.
- Bảo vệ an toàn thông tin bằng các biện pháp kỹ thuật (phần cứng).
- Bảo vệ an toàn thông tin bằng các biện pháp thuật toán (phần mềm).
Ba nhóm trên có thể được ứng dụng riêng rẽ hoặc phối kết hợp. Môi trường
khó bảo vệ an toàn thông tin nhất và cũng là môi trường đối phương dễ xân nhập
nhất đó là môi trường mạng và truyền tin. Biện pháp hiệu quả nhất và kinh tế nhất
hiện nay trên mạng truyền tin và mạng máy tính là biện pháp thuật toán.
An toàn thông tin bao gồm các nội dung sau:
- Tính bí mật: tính kín đáo riêng tư của thông tin.
- Tính xác thực của thông tin, bao gồm xác thực đối tác (bài toán nhận
danh), xác thực thông tin trao đổi.
- Tính trách nhiệm: đảm bảo người gửi thông tin không thể thoái thác trách
nhiệm về thông tin mà mình đã gửi.
Để đảm bảo an toàn thông tin dữ liệu trên đường truyền tin và trên mạng máy
tính có hiệu quả thì điều trước tiên là phải lường trước hoặc dự đoán trước các khả
năng không an toàn, khả năng xâm phạm, các sự cố rủi ro có thể xảy ra đối với
thông tin dữ liệu được lưu trữ và trao đổi trên đường truyền tin cũng như trên mạng.

5
Xác định càng chính xác các nguy cơ nói trên thì càng quyết định được tốt các giải
pháp để giảm thiểu các thiệt hại.
Khi các tổ chức tiến vào một môi trường công nghệ nhiều hơn, số lượng dữ
liệu được lưu trữ kỹ thuật số tăng đột biến. Như một hệ quả, theo dõi nơi dữ liệu
được lưu trữ không còn dễ dàng như trước. Một cách tự nhiên, các nhân viên tạo ra
và sử dụng dữ liệu nhạy cảm của tổ chức để làm công việc của họ. Những thông tin
này sau đó được sử dụng trên các dịch vụ như email, các ứng dụng kinh doanh và
dịch vụ điện toán đám mây, cũng như đang được truy cập từ nhiều thiết bị, bao gồm
cả máy tính xách tay và điện thoại di động. Trong nhiều trường hợp, nó thậm chí
còn khó khăn cho người sử dụng để quản lý số lượng dữ liệu mà họ có thể tự giải
quyết được, và không chỉ kết thúc ở đó. Ngoài ra, người dùng cũng cần phải theo
dõi những dữ liệu nhạy cảm và những người được phép truy cập vào nó.
Trước đây, khi nói đến an toàn thông tin người ta thường nghĩ ngay đến
những phương thức bảo mật thông tin truyền thống như tường lửa hay phân quyền
truy cập tập tin hay thư mục bằng ACL. Tuy nhiên điều đó không thể ngăn ngừa
được rò rỉ, thất thoát dữ liệu khi laptop hay USB bị mất cũng như được truyền qua
đường thư điện tử hay thư thoại.Theo báo cáo mới nhất về an ninh toàn cầu của
Microsoft thì vấn đề thất thoát thông tin trong doanh nghiệp và chính phủ ngày càng
phổ biến với mức độ thiệt hại không hề thua kém so với virus hay mã độc.
Dữ liệu lưu trữ của công ty bạn có an toàn hay không?
- Dữ liệu được lưu trữ trên những thiết bị nào? Máy tính xách tay, những thư
mục chia sẻ hay trên Cơ sở dữ liệu?
- Trong quá trình đánh giá rủi ro, người ta nhận thấy một trong mười tài liệu
chia sẻ trên mạng có dấu hiệu bị rò rỉ.
Dữ liệu đang được sử dụng như thế nào, bởi ai?
- Bạn có biết phần lớn các thông tin bị rò rỉ là do người dùng trong mạng nội
bộ gây ra?

6
- Những gì bị sao chép sang USB hoặc bị phát tán bởi Email, IM, FTP?
- Ai là người phát tán dữ liệu đó?
Rất nhiều người với mong muốn làm việc tại nhà do đó sẽ dễ dàng chuyển
một lượng lớn các thông tin và dữ liệu nhạy cảm từ văn phòng vào các thiết bị di
động nhỏ gọn như USB, iPod thậm chí điện thoại, Và hiển nhiên cũng có thể dễ
dàng chuyển các thông tin này qua các hòm thư trên internet chẳng hạn như Yahoo
hoặc Gmail.
Rò rỉ, thất thoát dữ liệu luôn là mối lo ngại hàng đầu của các cơ quan tổ
chức. Nó có thể là thể phá hỏng quy trình kinh doanh hoặc vi phạm các chính sách
bảo mật của công ty hay tổ chức.
Điều này cũng rất dễ hiểu vì ngày nay thông tin không còn bị bó hẹp trong
phạm vi công ty hay vùng miền mà nó có thể được phát tán trên phạm vi toàn cầu
chỉ trong vài giờ. Một ví dụ điển hình là những tác động của vụ website Wikileak
chia sẻ thông tin mật về chiến tranh Iraq của Bộ Quốc Phòng Mỹ hay vụ tập đoàn
Boeing mất 382.000 tệp thông tin mật mà mất mát tài chính và uy tín là vô cùng
lớn.

7
1.2. Các nguy cơ thất thoát, rò rỉ dữ liệu
Hình 1.1. Sơ đồ tổng quan mạng thông tin hiện nay
Bản báo cáo cuối cùng cho năm 2015 “Data Breach Investigations Report”
(Báo cáo điều tra về vi phạm dữ liệu) đã phân tích toàn diện thống kê các vụ trộm
dữ liệu và tổng hợp thông tin về các cuộc tấn công máy tính.
Tài liệu nói trên bắt đầu từ việc vẽ lên thực trạng tội phạm máy tính hiện
nay:

8
Hình 1.2. Tần số phân loại sự cố an ninh thông tin[7]
Để cung cấp một cái nhìn tổng quan hơn về an toàn và bảo mật thông tin, học
viên đã phân loại các loại mất dữ liệu như sau: mất dữ liệu do tình cờ, các cuộc tấn
công nội bộ và các cuộc tấn công từ bên ngoài.
1.2.1. Mất dữ liệu do tình cờ:
Một nguyên nhân điển hình cho sự mất mát dữ liệu tình cờ là nhân viên
không quen thuộc với các chính sách của công ty. Nói cách khác, họ không nhận ra
sự nhạy cảm của các tài liệu mà họ đang làm việc với họ hoặc đánh giá quá cao kiến
thức của mình về bảo mật máy tính. Một số ví dụ phổ biến:
- Nhân viên tiết lộ thông tin nội bộ ra bên ngoài trong quá trình sử dụng :
skype, yahoo, điện thoại… Nhân viên có thể dễ dàng đính kèm tài liệu nội bộ của
công ty và gửi nó đi thông qua các trình tin nhắn nhanh chuyên dụng. Bằng cách
tương tự, người dùng có thể gửi tiết lộ thông tin bí mật thông qua phiên hội thoại
(chat text)

9
- Chia sẻ file ngang hàng P2P: Nhân viên có thể dễ dàng sử dụng giao thức
P2P để gửi file ra ngoài. Web mail: Nhân viên có thể sử dụng web mail như Yahoo,
Google, Hotmail có thể đính kèm file hay coppy nội dung vào phần message text để
gửi ra ngoài.Tuy nhiên, các phiên làm việc với web mail được mã hóa, nên khó bị
phát hiện hơn.
- Có thể do sự vô ý của nhân viên: Nhân viên đính kèm nhầm file, nhân viên
chọn sai người gửi (tính năng AutoComplete trên Outlook, nếu như nhân viên
không kiểm tra kỹ thì nguy cơ nhân viên gửi nhầm mail quan trọng rất có khả năng
xảy ra), nhân viên bị lừa để gửi thông tin ra ngoài. Hoặc thông qua các dịch vụ
cloud storage miễn phí: Nhân viên có thể upload dữ liệu nhạy cảm lên các hệ thống
lưu trữ đám mây miễn phí như dropbox hay Skydriver. Nhân viên có thể upload dữ
liệu lên một FTP server trên internet để gửi thông tin ra ngoài.
- In tài liệu, photocopy tự do không được quản lý tập trung. Đem tài liệu in,
copy ra bên ngoài.
- Dùng điện thoại, camera chụp lại tài liệu của công ty.
- Nhân viên ra ngoài không log off tài khoản hay tắt máy tính để nhân viên
khác chép dữ liệu của mình đem ra bên ngoài.
- Thiết bị USB chứa dữ liệu quan trọng bị mất hay để quên tại nơi làm việc.
Một nguyên nhân khác mà kết quả trong việc xử lý không an toàn của các tài
liệu nhạy cảm là thiếu sự đào tạo thích hợp. Nếu một người dùng không biết làm thế
nào để đánh dấu một tập tin nhạy cảm hoặc mã hóa nó, làm thế nào nó có thể được
bảo vệ?
Ngay sau khi dữ liệu rời công ty, dữ liệu mất kiểm soát. Người ta chỉ có thể
hy vọng e-mail được gửi qua một kết nối an toàn cho một bên thứ ba đáng tin cậy,
hoặc các tài liệu đã được mã hóa trước khi được lưu vào một ổ đĩa USB sau đó đã
đánh mất.

10
Bản báo cáo cuối cùng cho năm 2015 “Data Breach Investigations Report”
(Báo cáo điều tra về vi phạm dữ liệu) cũng chỉ ra rằng, những lỗi sai sót do nhân
viên nội bộ gây ra, đặc biệt là lỗi do quản trị viên hệ thống gây ra chiếm tới 60%:
Bảng 1.1.Tần suất lỗi do quản trị viên hệ thống[7]
1
Thông tin nhạy cảm đến người nhận không chính
30%
xác
2
Xuất bản dữ liệu không công khai đến các máy chủ
17%
web công cộng
3 Xử lý không an toàn dữ liệu 12%
Hậu quả do nguyên nhân này gây ra có thể là không đo lường bởi vì những
dữ liệu đó có thể có chứa các thông tin bảo mật rất cao và có thể gây ra nhiều hậu
quả nghiêm trọng.
1.2.2. Mất dữ liệu do tấn công nội bộ
Định nghĩa : Tấn công nội bộ là bất kỳ cuộc tấn công độc hại trên hệ thống
của công ty hoặc mạng mà kẻ xâm nhập là một người đã được giao phó với truy cập
được phép vào mạng, và cũng có thể có kiến thức về kiến trúc mạng.
Nói một cách khác, nếu một hacker không tìm được cách nào để tấn công
vào tổ chức, sự lựa chọn tốt nhất tiếp theo để xâm nhập là thuê một nhân viên, hoặc
tìm kiếm một nhân viên đang bất mãn, để làm nội gián, cung cấp các thông tin cần
thiết. Đó chính là Insider Attack – tấn công nội bộ. Insider Attack có một thế mạnh
rất lớn, vì những gián điệp này được phép truy cập vật lý vào hệ thống công ty, và
di chuyển ra vào tự do trong công ty. Một ví dụ điển hình tại Việt Nam, đó chính là
vụ tấn công vào Vietnamnet (năm 2010) được cho rằng có liên quan đến sự rò rỉ các
thông tin nội bộ.
Một kiểu khác của tấn công nội bộ, chính là sự bất mãn của nhân viên.
Những nhân viên làm việc với mức lương thấp kém, và anh ta muốn có mức lương

11
cao hơn. Bằng cách xâm nhập vào CSDL nhân sự công ty, anh ta có thể thay đổi
mức lương của mình. Hoặc một trường hợp khác, nhân viên muốn có nhiều tiền.
Các tài liệu phát hành tại WikiLeaks.org cũng là những ví dụ của các cuộc
tấn công nội bộ với mục đích của văn bản công khai bị rò rỉ. Tất nhiên, động lực
đằng sau kiểu tấn công này không phải đều liên quan đến hoạt động chính trị. Các lý
do khác để tiến hành các cuộc tấn công nội thường lợi ích tài chính hoặc nắm giữ
một mối thù với người sử dụng lao động.
Ngăn chặn các cuộc tấn công nội bộ không nhất thiết phải là một cái gì đó
mà có thể được thực hiện trên trình độ công nghệ. Nhân viên bất mãn và người lao
động có kế hoạch rời khỏi công ty là một số các ứng cử viên có khả năng nhất để
thực hiện kiểu tấn công này. Trong môi trường mà dữ liệu nhạy cảm được sử dụng
với tần suất cao, điều quan trọng là tập trung vào lớp người này. Những điểm sau
đây sẽ giúp trong việc giải quyết các vấn đề:
- Các chính sách rõ ràng: Nêu rõ chính sách công ty một cách súc tích và dễ
hiểu sẽ làm tăng khả năng một nhân viên sẽ thực sự đọc và áp dụng nó khi làm việc.
Các chính sách cần hướng dẫn nhân viên về những gì các hành vi, hoạt động xác
định được làm, bị cấm.
- Đào tạo tốt: Đào tạo nhân viên về nhận thức chính sách an ninh cũng như
giải thích ý nghĩa đằng sau các chính sách khác nhau của công ty sẽ làm tăng hiểu
biết của nhân viên về toàn bộ quá trình làm việc, và làm thế nào họ có thể giúp cải
thiện nó.
- Kiểm tra lý lịch: Thực hiện kiểm tra nền tảng của nhân viên có thể hỗ trợ
trong việc ngăn chặn cá nhân không đáng tin cậy ở giai đoạn đầu.
- Bảo mật vật lý: Hãy chắc chắn rằng cơ sở hạ tầng công nghệ thông tin quan
trọng và lưu trữ các thông tin nhạy cảm được bảo vệ. Trộm cắp có thể xảy ra ngay

12
khi có cơ hội tiếp cận cơ sở hạ tầng và nơi lưu trữ thông tin nhạy cảm, hạn chế cơ
hội này sẽ đi một chặng đường dài trong việc bảo vệ tài sản kinh doanh.
- Xây dựng niềm tin: Đối xử lao động công bằng và sự tin tưởng là một trong
những công cụ đơn giản nhất trong việc chống lại tinh thần thấp và cũng đi một
chặng đường dài trong việc xây dựng một lực lượng lao động trung thành. Làm thế
nào bạn có thể tin tưởng một người mà không tin tưởng bạn?
1.2.3. Mất dữ liệu do các cuộc tấn công bên ngoài
Các cuộc tấn công bên ngoài là những cuộc tấn công đánh cắp dữ liệu được
thực hiện từ xa. Về cơ bản, một ai đó có quyền truy cập vào hệ thống thông qua một
kết nối từ xa, chẳng hạn như internet, và sử dụng truy cập này để ăn cắp dữ liệu, tạo
ra botnet hoặc gây ra sự gián đoạn. Động cơ đằng sau các cuộc tấn công chủ yếu
của bản chất tài chính.
Hiện nay có rất nhiều hình thức tấn công ăn cắp dữ liệu như :
- Tấn công trực tiếp: Sử dụng một máy tính để tấn công một máy tính khác
với mục đích dò tìm mật mã, tên tài khoản tương ứng, …. Kẻ tấn công có thể sử
dụng một số chương trình giải mã để giải mã các file chứa password trên hệ thống
máy tính của nạn nhân. Do đó, những mật khẩu ngắn và đơn giản thường rất dễ bị
phát hiện.
- Kỹ thuật Social Engineering: Đây là thủ thuật được nhiều hacker sử dụng
cho các cuộc tấn công thâm nhập vào hệ thống mạng và máy tính bởi tính đơn giản
mà hiệu quả của nó. Kỹ thuật này thường được sử dụng để lấy cắp mật khẩu, thông
tin, tấn công vào và phá hủy hệ thống. Ví dụ, kỹ thuật đánh lừa Fake Email Login.
- Kỹ thuật tấn công vào vùng ẩn: Những phần bị dấu đi trong các website
thường chứa những thông tin về phiên làm việc của các client. Các phiên làm việc
này thường được ghi lại ở máy khách chứ không tổ chức cơ sở dữ liệu trên máy chủ.
Vì vậy, người tấn công có thể sử dụng chiêu thức View Source của trình duyệt

13
để đọc phần đầu đi này và từ đó có thể tìm ra các sơ hở của trang Web mà họ muốn
tấn công. Từ đó, có thể tấn công vào hệ thống máy chủ.
- Tấn công vào các lỗ hổng bảo mật: Hiện, nay các lỗ hổng bảo mật được
phát hiện càng nhiều trong các hệ điều hành, các web server hay các phần mềm
khác, ... Các hãng sản xuất cũng luôn cập nhật các bản vá lỗ hổng và đưa ra các
phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bản trước. Do đó, người
sử dụng phải luôn cập nhật thông tin và nâng cấp phiên bản cũ mà mình đang sử
dụng để tránh các hacker lợi dụng điều này tấn công vào hệ thống.
- Khai thác tình trạng tràn bộ đệm: Tràn bộ đệm là một tình trạng xảy ra khi
dữ liệu được gửi quá nhiều so với khả năng xử lý của hệ thống hay CPU. Nếu
hacker khai thác tình trạng tràn bộ đệm này thì họ có thể làm cho hệ thống bị tê liệt
hoặc làm cho hệ thống mất khả năng kiểm soát.
- Nghe trộm: Các hệ thống trao đổi thông tin qua mạng đôi khi không được
bảo mật tốt và lợi dụng điều này, hacker có thể truy cập vào data paths để nghe trộm
hoặc đọc trộm luồng dữ liệu truyền qua. Hacker nghe trộm sự truyền đạt thông tin,
dữ liệu sẽ chuyển đến sniffing hoặc snooping. Nó sẽ thu thập những thông tin quan
trọng về hệ thống như một packet chứa password và username của một ai đó.
- Kỹ thuật giả mạo địa chỉ: Thông thường, các mạng máy tính nối với
Internet đều được bảo vệ bằng tường lửa (fire wall). Tường lửa có thể hiểu là cổng
duy nhất mà người đi vào nhà hay đi ra cũng phải qua đó và sẽ bị “điểm mặt”.
Tường lửa hạn chế rất nhiều khả năng tấn công từ bên ngoài và gia tăng sự tin tưởng
lẫn nhau trong việc sử dụng tài nguyên chia sẻ trong mạng nội bộ. Sự giả mạo địa
chỉ nghĩa là người bên ngoài sẽ giả mạo địa chỉ máy tính của mình là một trong
những máy tính của hệ thống cần tấn công. Họ tự đặt địa chỉ IP của máy tính mình
trùng với địa chỉ IP của một máy tính trong mạng bị tấn công. Nếu như làm được
điều này, hacker có thể lấy dữ liệu, phá hủy thông tin hay phá hoại hệ thống.

14
- Kỹ thuật chèn mã lệnh: Một kỹ thuật tấn công căn bản và được sử dụng cho
một số kỹ thuật tấn công khác là chèn mã lệnh vào trang web từ một máy khách bất
kỳ của người tấn công. Kỹ thuật chèn mã lệnh cho phép người tấn công đưa mã lệnh
thực thi vào phiên làm việc trên web của một người dùng khác. Khi mã lệnh này
chạy, nó sẽ cho phép người tấn công thực hiện nhiều hành vi như giám sát phiên
làm việc trên trang web hoặc có thể toàn quyền điều khiển máy tính của nạn nhân.
Kỹ thuật tấn công này thành công hay thất bại tùy thuộc vào khả năng và sự linh
hoạt của người tấn công.
- Tấn công vào hệ thống có cấu hình không an toàn: Cấu hình không an toàn
cũng là một lỗ hổng bảo mật của hệ thống. Các lỗ hổng này được tạo ra do các ứng
dụng có các thiết lập không an toàn hoặc người quản trị hệ thống định cấu hình
không an toàn. Chẳng hạn như cấu hình máy chủ web cho phép ai cũng có quyền
duyệt qua hệ thống thư mục. Việc thiết lập như trên có thể làm lộ các thông tin nhạy
cảm như mã nguồn, mật khẩu hay các thông tin của khách hàng.
- Tấn công dùng Cookies: Cookie là những phần tử dữ liệu nhỏ có cấu trúc
được chia sẻ giữa website và trình duyệt của người dùng. Cookies được lưu trữ dưới
những file dữ liệu nhỏ dạng text (size dưới 4KB). Chúng được các site tạo ra để lưu
trữ, truy tìm, nhận biết các thông tin về người dùng đã ghé thăm site và những vùng
mà họ đi qua trong site. Những thông tin này có thể bao gồm tên, định danh người
dùng, mật khẩu, sở thích, thói quen,
Lỗ hổng không cần login: Nếu như các ứng dụng không được thiết kế chặt
chẽ, không ràng buộc trình tự các bước khi duyệt ứng dụng thì đây là một lỗ hổng
bảo mật mà các hacker có thể lợi dụng để truy cập thẳng đến các trang thông tin bên
trong mà không cần phải qua bước đăng nhập.
- Thay đổi dữ liệu: Sau khi những người tấn công lấy được dữ liệu của một
hệ thống nào đó, họ có thể thay đổi dữ liệu này mà không quan tâm đến người gửi
và người nhận nó.

15
- Password-base Attact: Thông thường, hệ thống khi mới cấu hình có
username và password mặc định. Sau khi cấu hình hệ thống, một số admin vẫn
không đổi lại các thiết lập mặc định này. Đây là lỗ hổng giúp những người tấn công
có thể thâm nhập vào hệ thống bằng con đường hợp pháp. Khi đã đăng nhập vào,
hacker có thể tạo thêm user, cài backboor cho lần viếng thăm sau.
- Identity Spoofing: Các hệ thống mạng sử dụng IP address để nhận biết sự
tồn tại của mình. Vì thế địa chỉ IP là sự quan tâm hàng đầu của những kẻ tấn công.
Khi họ tấn công vào bất cứ hệ thống nào, họ đều biết địa chỉ IP của hệ thống mạng
đó. Thông thường, những kẻ tấn công giả mạo IP address để xâm nhập vào hệ thống
và cấu hình lại hệ thống, sửa đổi thông tin, …
1.3. Các giải pháp an toàn và bảo mật thông tin truyền thống
1.3.1. Các chiến lược an toàn hệ thống :
- Giới hạn quyền hạn tối thiểu (Last Privilege): Đây là chiến lược cơ bản nhất
theo nguyên tắc này bất kỳ một đối tượng nào cùng chỉ có những quyền hạn nhất
định đối với tài nguyên mạng, khi thâm nhập vào mạng đối tượng đó chỉ được sử
dụng một số tài nguyên nhất định.
- Bảo vệ theo chiều sâu (Defence In Depth): Nguyên tắc này nhắc nhở chúng
ta: Không nên dựa vào một chế độ an toàn nào dù cho chúng rất mạnh, mà nên tạo
nhiều cơ chế an toàn để tương hỗ lẫn nhau.
- Nút thắt (Choke Point): Tạo ra một “cửa khẩu” hẹp, và chỉ cho phép thông
tin đi vào hệ thống của mình bằng con đường duy nhất chính là “cửa khẩu” này. =>
phải tổ chức một cơ cấu kiểm soát và điều khiển thông tin đi qua cửa này.
- Điểm nối yếu nhất (Weakest Link): Chiến lược này dựa trên nguyên tắc: “ Một
dây xích chỉ chắc tại mắt duy nhất, một bức tường chỉ cứng tại điểm yếu nhất”. Kẻ phá
hoại thường tìm những chỗ yếu nhất của hệ thống để tấn công, do đó ta cần phải gia cố
các yếu điểm của hệ thống. Thông thường chúng ta chỉ quan tâm đến kẻ

16
tấn công trên mạng hơn là kẻ tiếp cận hệ thống, do đó an toàn vật lý được coi là yếu
điểm nhất trong hệ thống của chúng ta.
- Tính toàn cục: Các hệ thống an toàn đòi hỏi phải có tính toàn cục của các
hệ thống cục bộ. Nếu có một kẻ nào đó có thể bẻ gãy một cơ chế an toàn thì chúng
có thể thành công bằng cách tấn công hệ thống tự do của ai đó và sau đó tấn công hệ
thống từ nội bộ bên trong.
- Tính đa dạng bảo vệ: Cần phải sử dụng nhiều biện pháp bảo vệ khác nhau
cho hệ thống khác nhau, nếu không có kẻ tấn công vào được một hệ thống thì chúng
cũng dễ dàng tấn công vào các hệ thống khác.
1.3.2. Các mức bảo vệ trên mạng :
Vì không thể có một giải pháp an toàn tuyệt đối nên người ta thường phải sử
dụng đồng thời nhiều mức bảo vệ khác nhau tạo thành nhiều hàng rào chắn đối với
các hoạt động xâm phạm. Việc bảo vệ thông tin trên mạng chủ yếu là bảo vệ thông
tin cất giữ trong máy tính, đặc biệt là các server trên mạng. Bởi thế ngoài một số
biện pháp nhằm chống thất thoát thông tin trên đường truyền mọi cố gắng tập trung
vào việc xây dựng các mức rào chắn từ ngoài vào trong cho các hệ thống kết nối
vào mạng. Thông thường bao gồm các mức bảo vệ sau:
 Quyền truy nhập
Lớp bảo vệ trong cùng là quyền truy nhập nhằm kiểm soát các tài nguyên của
mạng và quyền hạn trên tài nguyên đó. Dĩ nhiên là kiểm soát được các cấu trúc dữ
liệu càng chi tiết càng tốt. Hiện tại việc kiểm soát thường ở mức tệp.
 Đăng ký tên /mật khẩu.
Thực ra đây cũng là kiểm soát quyền truy nhập, nhưng không phải truy nhập
ở mức thông tin mà ở mức hệ thống. Đây là phương pháp bảo vệ phổ biến nhất vì
nó đơn giản ít phí tổn và cũng rất hiệu quả. Mỗi người sử dụng muốn được tham gia
vào mạng để sử dụng tài nguyên đều phải có đăng ký tên và mật khẩu trước. Người
quản trị mạng có trách nhiệm quản lý, kiểm soát mọi hoạt động của mạng và xác

17
định quyền truy nhập của những người sử dụng khác theo thời gian và không gian
(nghĩa là người sử dụng chỉ được truy nhập trong một khoảng thời gian nào đó tại
một vị trí nhất định nào đó).
Về lý thuyết nếu mọi người đều giữ kín được mật khẩu và tên đăng ký của
mình thì sẽ không xảy ra các truy nhập trái phép. Song điều đó khó đảm bảo trong
thực tế vì nhiều nguyên nhân rất đời thường làm giảm hiệu quả của lớp bảo vệ này.
Có thể khắc phục bằng cách người quản mạng chịu trách nhiệm đặt mật khẩu hoặc
thay đổi mật khẩu theo thời gian.
 Mã hoá dữ liệu
Để bảo mật thông tin trên đường truyền người ta sử dụng các phương pháp
mã hoá. Dữ liệu bị biến đổi từ dạng nhận thức được sang dạng không nhận thức
được theo một thuật toán nào đó và sẽ được biến đổi ngược lại ở trạm nhận (giải
mã). Đây là lớp bảo vệ thông tin rất quan trọng.
 Bảo vệ vật lý
Ngăn cản các truy nhập vật lý vào hệ thống. Thường dùng các biện pháp
truyền thống như ngăn cấm tuyệt đối người không phận sự vào phòng đặt máy
mạng, dùng ổ khoá trên máy tính hoặc các máy trạm không có ổ mềm.
 Tường lửa
Thông thờng Firewall được đặt giữa mạng bên trong (Intranet) của một công
ty, tổ chức, ngành hay một quốc gia, và Internet. Vai trò chính là bảo mật thông tin,
ngăn chặn sự truy nhập không mong muốn từ bên ngoài (Internet) và cấm truy nhập
từ bên trong (Intranet) tới một số địa chỉ nhất định trên Internet.
Chức năng chính của Firewall là kiểm soát luồng thông tin từ giữa Intranet
và Internet. Thiết lập cơ chế điều khiển dòng thông tin giữa mạng bên trong
(Intranet) và mạng Internet. Cụ thể là:
- Cho phép hoặc cấm những dịch vụ truy nhập ra ngoài (từ Intranet ra
Internet).

18
- Cho phép hoặc cấm những dịch vụ phép truy nhập vào trong (từ Internet
vào Intranet).
- Theo dõi luồng dữ liệu mạng giữa Internet và Intranet.
- Kiểm soát địa chỉ truy nhập, cấm địa chỉ truy nhập.
- Kiểm soát ngời sử dụng và việc truy nhập của ngời sử dụng.
- Kiểm soát nội dung thông tin thông tin lu chuyển trên mạng.
 Quản trị mạng.
Trong thời đại phát triển của công nghệ thông tin, mạng máy tính quyết định
toàn bộ hoạt động của một cơ quan, hay một công ty xí nghiệp. Vì vậy việc bảo đảm
cho hệ thống mạng máy tính hoạt động một cách an toàn, không xảy ra sự cố là một
công việc cấp thiết hàng đầu. Công tác quản trị mạng máy tính phải được thực hiện
một cách khoa học đảm bảo các yêu cầu sau :
- Toàn bộ hệ thống hoạt động bình thường trong giờ làm việc.
- Có hệ thống dự phòng khi có sự cố về phần cứng hoặc phần mềm xảy ra.
- Backup dữ liệu quan trọng theo định kỳ.
- Bảo dưỡng mạng theo định kỳ.
- Bảo mật dữ liệu, phân quyền truy cập, tổ chức nhóm làm việc trên mạng.
1.3.3. An toàn thông tin bằng mật mã.
Mật mã là một ngành khoa học chuyên nghiên cứu các phương pháp truyền
tin bí mật. Mật mã bao gồm : Lập mã và phá mã. Lập mã bao gồm hai quá trình: mã
hóa và giải mã.
Để bảo vệ thông tin trên đường truyền người ta thường biến đổi nó từ dạng
nhận thức được sang dạng không nhận thức được trước khi truyền đi trên mạng, quá
trình này được gọi là mã hoá thông tin (encryption), ở trạm nhận phải thực hiện quá
trình ngược lại, tức là biến đổi thông tin từ dạng không nhận thức được (dữ liệu đã
được mã hoá) về dạng nhận thức được (dạng gốc), quá trình này được gọi là giải

19
mã. Đây là một lớp bảo vệ thông tin rất quan trọng và được sử dụng rộng rãi trong
môi trường mạng.
Để bảo vệ thông tin bằng mật mã người ta thường tiếp cận theo hai hướng:
- Theo đường truyền (Link_Oriented_Security).
- Từ nút đến nút (End_to_End).
Theo cách thứ nhất thông tin được mã hoá để bảo vệ trên đường truyền giữa
hai nút mà không quan tâm đến nguồn và đích của thông tin đó. Ở đây ta lưu ý rằng
thông tin chỉ được bảo vệ trên đường truyền, tức là ở mỗi nút đều có quá trình giải
mã sau đó mã hoá để truyền đi tiếp, do đó các nút cần phải được bảo vệ tốt.
Ngược lại theo cách thứ hai thông tin trên mạng được bảo vệ trên toàn đường
truyền từ nguồn đến đích. Thông tin sẽ được mã hoá ngay sau khi mới tạo ra và chỉ
được giải mã khi về đến đích. Cách này mắc phải nhược điểm là chỉ có dữ liệu của
người Dung thì mới có thể mã hóa được còn dữ liệu điều khiển thì giữ nguyên để có
thể xử lý tại các nút.
1.4. Giải pháp ngăn ngừa mất mát/rò rỉ thông tin theo hướng DLP.
Hiện nay, giải pháp ngăn ngừa mất mát/rò rỉ thông tin theo hướng DLP có ba
thành phần có thể triển khai một cách riêng biệt giúp giảm nguy cơ thất thoát thông
tin, tuy nhiên cần phải hiểu rõ 3 thành phần đó trước khi đưa ra quyết định là làm
thế nào để có hiệu quả nhất, đỡ tốn kém và dễ triển khai, trong khi vẫn đảm bảo các
yêu cầu về tính bảo mật. Ba thành phần đó là:

20
Hình 1.3. Các nguy cơ thất thoát, rò rỉ dữ liệu
1.4.1. Data-in-Motion:
Khái niệm: là phương pháp phát hiện và kiểm soát thông tin lưu chuyển trên
mạng như qua mail, web,... phương pháp này còn được gọi là ngăn ngừa mức mạng
(Network-based DLP).
- Ưu điểm: phạm vi kiểm soát thông tin rộng, từ tất cả các máy bên trong gửi
ra bên ngoài, chính sách kiểm soát thống nhất tại mạng vành đai (giữa mạng nội bộ
- LAN và mạng công cộng - Internet), triển khai đơn giản, không đòi hỏi cài đặt các
phần mềm trên các máy trạm, máy chủ.
- Nhược điểm: không kiểm soát được việc copy, in,... các thông tin từ máy
trạm, máy chủ.

21
Hình 1.4. Mô hình giải pháp Data-in-Motion
1.4.2. Data-in-Use:
là phương pháp phát hiện và kiểm soát dữ liệu trên máy trạm,
máy chủ như copy ra USB, ghi CD/DVD, in trên giấy,... Phương pháp này còn được
gọi là ngăn ngừa tại các điểm đầu cuối (Endpoint DLP).
- Ưu điểm: Phạm vi kiểm soát thông tin với mọi hành động của người dùng
(in, sao chép, gửi thông tin qua mạng).
- Nhược điểm: Chính sách được thiết lập phân tán trên các máy đầu cuối dẫn
tới có máy không được áp dụng chính sách và/hoặc để giảm thiểu chi phí cho bản
quyền, chi phí bảo trì nên khách hàng thường không mua đầy đủ license cho toàn bộ
các máy trạm, máy chủ; không kiểm soát được đối với các máy không cài phần
mềm, phần mềm không tương thích, phần mềm bị cố tình làm vô hiệu...; triển khai
phức tạp vì phải cài đặt, cấu hình phần mềm trên các máy trạm, máy chủ,...
- K
hái niệm:

22
Hình 1.5. Mô hình giải pháp Data-in-Use
1.4.3 Data-at-Rest:
Khái niệm: là phương pháp phát hiện sự tồn tại của dữ liệu nhạy cảm nằm
trong các máy trạm, máy chủ, ổ đĩa cứng, thiết bị đầu cuối,... việc thực thi các chính
sách ngăn ngừa mất mát dữ liệu không phải là một kết quả trực tiếp của Data- at-
Rest DLP. Các thông tin thu thập được qua Data- at- Rest DLP có thể được sử dụng
để đưa ra một kế hoạch hành động nhằm làm giảm nguy cơ mất dữ liệu.
- Ưu điểm:Phạm vi phát hiện sự tồn tại của dữ liệu nhạy cảm khi thực hiện
quét các vị trí được chỉ ra.
- Nhược điểm:Phát hiện sự tồn tại của dữ liệu nhạy cảm, nhưng không thực
hiện được các chính sách ngăn ngừa thất thoát dữ liệu; thực hiện quét với phần mềm
(Agent) thường trú, hoặc phần mềm tạm thời khiến tiêu tốn tài nguyên của các hệ
thống bị quét.

23
Hình 1.6. Mô hình giải pháp Data-at-Rest
Mỗi phương pháp ngăn ngừa rò rỉ/mất mát thông tin có các ưu điểm, nhược
điểm khác nhau, nhưng phương pháp ngăn ngừa tại mức mạng (Network- based
DLP hay Data- in-Motion) mang lại hiệu quả cao với thời gian triển khai nhanh,
phạm vi kiểm soát lớn, kiểm soát tại vị trí thích hợp và ít tác động tới người dùng
cuối. Tuy nhiên, đối với hệ thống đòi hỏi mức độ ngăn ngừa cao thì việc kết hợp cả
ba phương pháp trên là cần thiết.
1.5. Kết luận chương
Cùng với sự phát triển của doanh nghiệp là những đòi hỏi ngày càng cao của
môi trường kinh doanh yêu cầu doanh nghiệp cần phải chia sẻ thông tin của mình
cho nhiều đối tượng khác nhau qua Internet hay Intranet. Việc mất mát, rò rỉ thông
tin có thể ảnh hưởng nghiêm trọng đến tài chính, danh tiếng của công ty và quan hệ
với khách hàng.
Các phương thức tấn công thông qua mạng ngày càng tinh vi, phức tạp có thể
dẫn đến mất mát thông tin, thậm chí có thể làm sụp đổ hoàn toàn hệ thống thông tin
của doanh nghiệp. Vì vậy an toàn và bảo mật thông tin là nhiệm vụ rất nặng nề và
khó đoán trước được.
Hiện nay, máy tính đòi hỏi các phương pháp tự động để bảo vệ các tệp và các
thông tin lưu trữ. Nhu cầu bảo mật rất lớn và rất đa dạng, có mặt khắp mọi nơi,

24
mọi lúc. Do đó không thể không đề ra các qui trình tự động hỗ trợ bảo đảm an toàn
thông tin. Data Loss Prevention là một hệ thống đáp ứng nhu cầu hỗ trợ đảm bảo an
toàn thông tin đó.

25
Chương 2: HỆ THỐNG CHỐNG THẤT THOÁT DỮ LIỆU
Trong chương 1 học viên đã trình bày các nguy cơ và giải pháp liên quan đến
phòng chống thất thoát, rò rỉ dữ liệu. Tại chương 2 này, học viên xin trình bày mô
hình hệ thống chống thất thoát, rò rỉ dữ liệu DLP.
2.1. Sự xuất hiện của DLP
DLP- Data Loss Prevention là một công cụ ngăn ngừa phòng chống rò rỉ, thất
thoát dữ liệu và được gọi dưới nhiều cái tên khác nhau:
- Data Loss Prevention/Protection
- Data Leak Prevention/Protection
- Information Loss Prevention/Protection
- Information Leak Prevention/Protection
- Extrusion Prevention
- Content Monitoring and Filtering
- Content Monitoring and Protection
DLP là một loại công nghệ bảo mật theo hướng bảo vệ dữ liệu nhạy cảm một
cách tự động. Thông qua các chính sách, một hệ thống DLP tự động đảm bảo an
toàn cho dữ liệu nhạy cảm được lưu trữ, gửi hoặc truy cập, trong khi vẫn cho phép
người dùng sử dụng các công cụ và dịch vụ mà họ lựa chọn và cần phải hoàn thành
nhiệm vụ của họ. DLP chỉ chặn những hành động có liên quan dữ liệu nhạy cảm, ví
dụ như gửi e-mail là hoàn toàn chấp nhận được, nhưng không phải nếu chúng chứa
dữ liệu nhạy cảm. DLP cũng có thể được thiết lập để xử lý các mức độ khác nhau về
độ nhạy và truy cập tài liệu kiểm soát.
Trở nên phổ biến từ năm 2006, nở rộ vào khoảng năm 2008, đến nay DLP
phổ biến rộng rãi như một trong nhiều xu hướng bảo mật thông tin. Như một sự tất
yếu, với sự phát triển của công nghệ hiện nay, các biến thể của DLP cũng xuất hiện
như DLP cho đám mây, DLP cho di động.

26
Các nhà cung cấp lớn nhất hiện nay là Websense, Symantec, RSA, Palisade
Systems, NextLabs, McAfee, Fidelis Security Systems... Tất cả các nhà cung cấp
cung cấp sản phẩm với nhiều hơn hoặc ít hơn các tính năng cốt lõi liên quan đến
một DLP. Điều này bao gồm: giám sát mạng, giám sát e-mail, giám sát hệ thống tập
tin, và bảo vệ thiết bị đầu cuối.
2.2. Mô hình, tính năng của hệ thống
Hình 2.7. Mô hình DLP cơ bản
Đặc điểm cơ bản của giải pháp DLP là :
- Đảm bảo nội dung nhạy cảm ở khu vực “rest” trước nguy cơ rủi ro
- Bảo vệ dữ liệu khỏi các rủi ro được biết đến trong quá trình truyền

27
- Thu thập những luồng thông tin đi trong mạng để xây dựng những rule và
xây dựng phòng chống trước các nguy cơ rủi ro phát sinh.
- Thi hành các hành động khắc phục hậu quả như tự động mã hóa trong quá
trình quét dữ liệu hoặc những hành động mà người dùng thực hiện
2.2.1 Quét nội dung
Trước khi có giải pháp DLP, các tổ chức thường xuyên phải đối mặt với một
tình huống mà các dữ liệu kỹ thuật số của họ được lan truyền trên nhiều địa điểm
không có quyền kiểm soát dữ liệu nhạy cảm. DLP áp dụng chính sách quét và phát
hiện nội dung để khám phá nơi đặt tập tin nhạy cảm. Đây có thể là cơ sở dữ liệu,
trên các tập tin chia sẻ, lưu trữ nội bộ trên máy tính xách tay và máy trạm... Công
việc này được thực hiện giống như một máy quét chống virus, nhưng thay vì tìm
kiếm virus và malware, nó sẽ tìm các tài liệu nhạy cảm và ghi lại vị trí của chúng.
Từ đó, những nhà quản trị và quản lý kết quả có thể quyết định làm thế nào đối với
các tập tin nhạy cảm đó.
Công việc này được thực hiện với sự giúp đỡ của nhiều phương pháp, bao
gồm cả trình thu thập tập tin đơn giản mà có thể được cài đặt trên máy chủ và máy
trạm, quét tập tin từ xa, nơi các máy chủ quản lý quét mạng chia sẻ, và quét điểm
cuối tại nơi DLP Endpoint được cài đặt.
Một hệ thống DLP tiên tiến sau khi phát hiện tập tin có thể thêm một bước
nữa là tự động gán nhãn tập tin nhạy cảm, mã hóa dữ liệu, và hợp nhất dữ liệu vào
một địa điểm an toàn hơn khi gặp phải [5].
Mặc dù phát hiện nội dung thường được sử dụng khi ban đầu triển khai DLP,
chạy quét thường xuyên không phải là hiếm. Tuy nhiên việc này có thể chiếm tài
nguyên hệ thống và cần có thời gian để hoàn thành, vì vậy không nên được chạy
trong giờ làm việc [3].

28
2.2.2 Endpoint Protection
DLP bảo vệ thiết bị đầu cuối được cài đặt trên các máy trạm và các thiết bị
khác trong các hình thức của một đại lý. Các đại lý thực hiện các chính sách bằng
cách giám sát tất cả các hoạt động dữ liệu và quét tất cả các tập tin được lưu trữ tại
đó. Thông thường các đại lý cũng kiểm tra và cho phép đầu vào vật lý được kết nối.
Điều này có nghĩa là một quản trị viên trung ương có thể vô hiệu hóa USB,
FireWire và kiểm soát giao diện khác một cách dễ dàng. Ngoài ra, hành động ghi
đĩa CD hoặc DVD có thể được ngăn chặn. Hình 2.3 minh họa cách tài liệu nhạy
cảm được cho phép được lưu trữ trên các mạng, các ổ đĩa cứng cục bộ và trong một
cơ sở dữ liệu, nhưng không phải trong e-mails hoặc trên các thiết bị lưu trữ di động.
Hình 2.8. Endpoint DLP - Thi hành chính sách [6]
Thiết bị đầu cuối DLP tính năng khác nhau của bảo vệ có thể được phân loại
như sau:
- Hệ thống bảo vệ tập tin: Theo dõi tất cả các hoạt động tập tin để bảo vệ
thời gian thực tương tự như trong các phần mềm chống virus. Điều này là để đảm

29
bảo các file không được sao chép đến các địa điểm không được phép hoặc mã hóa
cũng được áp dụng bởi các DLP khi lưu dữ liệu để biết địa điểm. Quét cũng có thể
được thực hiện trên dữ liệu được lưu trữ để phát hiện hành vi vi phạm chính sách.
- Bảo vệ mạng: Theo dõi dữ liệu được truyền qua mạng khi các thiết bị đầu
cuối là đi từ các mạng công ty. Nếu không, DLP mạng chịu trách nhiệm cho các
chức năng này.
- Bảo vệ ứng dụng: DLP tích hợp trong hệ điều hành và các ứng dụng để
ngăn chặn các hành động như việc sao chép vào clipboard, chụp ảnh chụp màn hình
hoặc gõ dữ liệu nhạy cảm vào các chương trình chat.
2.2.3. Giám sát mạng
Các DLP mạng có thể hoạt động ở hai chế độ khác nhau: thụ động và chủ
động. Chế độ thụ động DLP kiểm tra lưu lượng mạng và các bản ghi có bất kỳ sự vi
phạm chính sách nào, trong khi ở chế độ chủ động DLP cũng có thể chặn bất kỳ gói
dữ liệu liên quan đến việc vi phạm chính sách. Sử dụng chế độ nào là phụ thuộc vào
yêu cầu của tổ chức.
Ví dụ, nếu các chính sách hiện kết quả trong rất nhiều dương tính giả bị chặn,
nó có thể là tốt hơn để chạy nó trong chế độ thụ động, kể từ khi các dữ liệu thu thập
được vẫn có thể hữu ích trong việc phát hiện hành vi vi phạm chính sách thực.
Các vị trí của DLP thường là một vị trí trong mạng mà nó có thể chặn dữ liệu
ra trong mạng cục bộ. Đây có thể là nơi dữ liệu đi đến các mạng kém an toàn khác
trong cùng một công ty, các trang web từ xa kết nối với VPN, hoặc là internet. Có
thể có các lựa chọn ở đây bao gồm chạy DLP như một proxy gateway hoặc kết nối
nó vào một SPAN, giống như một hệ thống phát hiện xâm nhập (IDS). Lựa chọn
thứ hai là chỉ có thể dùng khi DLP chạy trong chế độ thụ động [4].

30
Mặc dù chặn e-mail và tải lên tập tin có thể được thực hiện từ các đại lý thiết
bị đầu cuối, một DLP mạng thực thi các chính sách ngay cả trên các thiết bị mà
không cần một đại lý cài đặt cục bộ. Thiết lập một mạng DLP cũng đòi hỏi phải làm
việc ít hơn, vì không giống như thiết bị đầu cuối DLP và tập tin trình thu thập, mỗi
máy chủ và máy trạm của công ty không cần phải được xúc động cho việc bảo vệ để
có hiệu lực. Ngoài ra, các DLP cũng được áp dụng cho các nhà thầu thuê và khách
hàng sử dụng mạng [3].
Các kênh được kiểm tra bởi DLP mạng có thể khác nhau đối với các hãng.
HTTP, FTP và e-mail dịch vụ là phổ biến nhất. Ngoài ra, các giao thức nhắn tin
nhanh, HTTPS và nhiều dịch vụ chia sẻ file cũng thường theo dõi trong các sản
phẩm này. Trong nhiều trường hợp e-mail được điều khiển bởi phần DLP riêng của
mình, hoặc như là một giải pháp chuyên dụng tương tác với máy chủ e-mail hoặc
như là một thành phần thiết bị đầu cuối theo dõi các ứng dụng e-mail địa phương
[3].
2.2.4. Quản lý trung ương
Một số chức năng chính của máy chủ quản lý DLP là:
- Endpoint triển khai đại lý và quản lý đại lý.
- Cập nhật phần mềm, định nghĩa thông thường và thông tin cấp phép từ
máy chủ của nhà cung cấp.
- Thu thập các bản ghi từ các dịch vụ khác, chẳng hạn như thu thập tập tin
và DLPS mạng, và giữ cho các dịch vụ này được cập nhật với các chính
sách và các bản vá lỗi phần mềm.
- Chuyển tiếp cảnh báo quan trọng đối với các quản trị viên hệ thống.
- Tạo ra các báo cáo dựa trên dữ liệu thu thập được.
- Cung cấp các công cụ để tạo và quản lý các chính sách DLP.

31
Nhiều điểm trong số những điểm nêu trên thường có thể được truy cập và
quản lý thông qua một giao diện quản trị. Đây thường là một ứng dụng web có thể
truy cập từ bất kỳ trình duyệt, mặc dù giao diện dòng lệnh cũng tồn tại.
Các máy chủ DLP thường đi kèm trong các hình thức của một phần cứng
hoặc thiết bị ảo. Tùy thuộc vào nhà cung cấp, theo dõi và quản lý mạng thường
được thực hiện trên cùng một thiết bị. Vì vậy, khuyến cáo được đưa ra là có một
thiết bị chuyên dụng bởi vì số lượng lớn dữ liệu mà sẽ cần phải được xử lý tại bất kỳ
thời điểm nào.
Tất cả các đại lý hoạt động báo cáo hoạt động của chúng đến máy chủ quản
lý, bao gồm cả hành vi vi phạm chính sách. Điều này thường được thực hiện trên
hơn một cổng giao tiếp đặc biệt mở trên cả hai thiết bị đầu cuối và máy chủ. Khi
triển khai các thiết bị đầu cuối, điều quan trọng là xác định địa chỉ của các máy chủ
quản lý nếu thiết bị đầu cuối không phát hiện ra điều này tự động. Nếu một đại lý
thiết bị đầu cuối nằm bên ngoài mạng nội bộ, tất cả các sự kiện đăng nhập sẽ được
lưu trữ cục bộ trên các thiết bị đầu cuối cho đến khi nó được kết nối với mạng cục
bộ. Các máy chủ quản lý thường hiển thị những thiết bị đầu cuối đang lên và chạy,
và đó là ẩn (bên ngoài LAN hoặc tắt). Báo cáo và duy trì giao tiếp trong thời gian
thực gần đảm bảo các đại lý luôn được cập nhật với phần mềm và chính sách cập
nhật mới nhất [3].
2.3. Công nghệ cốt lõi của hệ thống
2.3.1. Policies
Trung tâm DLP là các Policy. Nếu không có các Policy sẽ không có sự phân
biệt giữa dữ liệu công cộng và nhạy cảm. Policy có thể được tạo ra dựa vào các tổ
chức sở hữu thông số kỹ thuật, cũng như yêu cầu bên ngoài.
Tạo các Policy là một trong số ít các công việc trong việc triển khai DLP có
liên quan đến toàn bộ công ty mà không chỉ các bộ phận CNTT. Ở giai đoạn này,
điều quan trọng là xem xét các chính sách Policy hiện hành và thảo luận với những

32
người xử lý dữ liệu công ty làm thế nào để phân loại đúng, xác định và bảo vệ các
dữ liệu này. Những chính sách này sau đó được chuyển đổi thành quy tắc mà các
DLP có thể thực thi trong khi hoạt động.
Ví dụ: Một Policy phân loại mã nguồn java là một tài sản quan trọng của
công ty. Bởi vì điều này, mã này chỉ nên được lưu trữ trong các kho lưu trữ mã và
trên các máy tính của các nhà phát triển java. Nếu một nhà phát triển cố gắng để lưu
mã nguồn cho bất kỳ vị trí khác DLP thực thi chính sách và bỏ yêu cầu.
Hình 2.9. Tổng quan về chính sách
Hình 2.2 cho thấy cách các chính sách sẽ được chuyển đổi thành những quy
tắc phần mềm DLP có thể sử dụng để thực thi các chính sách nói trên. Các quy tắc
phát hiện quy định cụ thể như thế nào để phát hiện nội dung nhạy cảm, trong khi các
quy tắc phòng, chống chỉ định cách phát hiện nội dung cần được thực hiện. Những
quy định là sau đó triển khai cho các đại lý thiết bị đầu cuối và các DLP mạng để họ
có thể được sử dụng khi kiểm tra trạng thái dữ liệu khác nhau.
Tập đoàn RSA, tập đoàn chuyên cung cấp cấp các chiến lược, giải pháp bảo
mật đề nghị để tạo nên một chính sách tốt cần trả lời những câu hỏi sau đây [6]:
- Ai là đối tượng chính sách sẽ áp dụng và làm thế nào nó ảnh hưởng đến
họ?
- Những loại thông tin cần bảo vệ?
- Tại sao bạn bảo vệ nó?

33
- Trường hợp bạn nên bảo vệ nó? Là các dữ liệu chuyển động hoặc trong
một trung tâm dữ liệu? Là nó đang được sử dụng tại các điểm cuối?
- Khi bạn nên kích hoạt một vi phạm?
- Làm thế nào bạn nên bảo vệ các dữ liệu? Kiểm toán, mã hóa, ngăn chặn,
... Lựa chọn nên được thực hiện tùy thuộc vào loại thông tin.
2.3.2. Phân loại dữ liệu
Phương pháp để phân tích và khám phá dữ liệu nhạy cảm tồn tại. Các
phương pháp phổ biến nhất là sử dụng kết hợp từ khoá, biểu thức thông dụng, so
sánh dấu vân tay dữ liệu sử dụng hàm băm và sử dụng các thuật toán học máy.
2.3.2.1. Phương pháp kết hợp từ khóa
Kết hợp từ khoá (Keyword Matching) là phương pháp cơ bản nhất trong tất
cả các phương pháp phân tích nội dung. Dựa trên một danh sách các từ khóa, máy
quét sẽ quét qua các hệ thống tập tin tìm kiếm các chuỗi văn bản thô phù hợp với
các từ khóa được xác định trước.
Phương pháp này là nhanh chóng và có hiệu quả khi thực hiện trong một môi
trường nơi mà các tài liệu nhạy cảm được xác định bởi một số từ hay chuỗi văn bản.
Bây giờ, trong hầu hết các kịch bản thế giới thực không phải là trường hợp mà mọi
tài liệu nhạy cảm có thể được xác định một cách dễ dàng. Các doanh nghiệp đối phó
với số an sinh xã hội, số thẻ tín dụng và ID khác sẽ có vấn đề bằng cách sử dụng kết
hợp từ khoá là những loại số là những giá trị không tĩnh.
Việc sử dụng kết hợp từ khoá là chỉ nên dùng cho các văn bản đơn giản có
chứa các từ khóa tĩnh phổ biến.
2.3.2.2. Phương pháp sử dụng các biểu thức thông dụng
Việc sử dụng phương pháp kết hợp từ khoá đó vẫn có thể loại bỏ các dữ liệu
như số thẻ tín dụng hoặc số an sinh xã hội. Một cách hiệu quả hơn để làm điều này

34
là với biểu thức thông dụng. Như một ví du, mỗi loại số thẻ sẽ có các quy định khác
nhau về cách thức viết, số kí tự,...
Biểu thức thông dụng là phương pháp thích hợp cho việc phát hiện biến, dữ
liệu có cấu trúc. Điều này bao gồm mã nguồn và các thẻ nhận dạng. Điều quan
trọng là cho các công ty để thêm các biểu thức theo nhu cầu của họ. Trong trường
hợp của một tổ chức quốc tế, các mục cho từng loại số ID quốc gia liên quan đến
các nước công ty đã có mặt tại có thể được thêm vào. Biểu thức thông dụng cần
được xây dựng đủ cụ thể để giảm thiểu sai tích cực.
2.3.2.3 Phương pháp so sánh dấu vân tay dữ liệu sử dụng hàm băm
Một phương pháp để phát hiện ra các tài liệu nhạy cảm là bằng cách so sánh
nó với một nhóm các tập tin nhạy cảm. Đến kiểm tra xem hai tập tin giống hệt nhau,
chúng ta có thể so sánh chúng từng bít một, nhưng một cách hiệu quả hơn để làm
điều này là sử dụng hàm băm để tính toán giá trị băm tương ứng của cả tập tin và
sau đó so sánh các bít của giá trị băm này. Những lợi ích của việc sử dụng hàm băm
mật mã là:
- Một chiều: Một hàm băm là hàm một chiều, vì vậy nếu một kẻ tấn công
đánh cắp được các giá trị băm của tài liệu thì cũng sẽ không tiết lộ bất cứ bí mật từ
các tài liệu đó.
- Kích thước: Một giá trị băm đòi hỏi không gian đáng kể ít hơn các tập tin
và luôn luôn cho kết quả trong các khối bít có chiều dài tương tự (thường là 128
hoặc 160 bit tùy thuộc trên thuật toán). Điều này có nghĩa là chuyển giao các hash
qua mạng là nhanh chóng và sản xuất rất ít chi phí. Ngoài ra, lưu trữ các hash là dễ
dàng và nó sẽ thay thế sự cần thiết để lưu trữ tất cả các tập tin nhạy cảm trên máy
chủ DLP, chỉ để có thể thực hiện so sánh tập tin.
- Hiệu suất: các thuật toán hash hiện đại đều được tối ưu hóa cao và là kết
quả, làm việc tốt, thậm chí trên các thiết bị di động nhỏ với nguồn lực hạn chế.

35
Cách thức làm việc của phương pháp này tương tự như phương pháp sử dụng
từ khóa. Tất cả các dấu vân tay được tạo ra sau đó được lưu giữ trong một bảng
trong một cơ sở dữ liệu (tương tự như các danh sách từ khóa đề cập trước đó), được
liên tục cập nhật các tập tin nhạy cảm mới được tạo ra hoặc thay đổi, và dựa vào đó
để phân loại các tập tin dữ liệu nhạy cảm.
Bởi vì không phải tất cả dữ liệu được lưu trữ đều là dạng word, hình ảnh, âm
thanh và video cũng có thể nhạy cảm, nhưng đối với những định dạng này rất khó
để áp dụng phương pháp khác với dấu vân tay. Các tập tin được phân tích và chia
nó thành nhiều phần nhỏ hơn và cho từng đoạn một giá trị băm được tính toán. Điều
này có nghĩa rằng ngay cả khi một số bộ phận của tập tin thay đổi, nó vẫn có thể
được coi là nhạy cảm như các bộ phận khác vẫn được giữ nguyên và phù hợp với
các giá trị băm được lưu trữ [1].
2.3.2.4. Các thuật toán học máy
Đối với nhiều tổ chức, tập đoàn lớn, thực tế là có thể có hàng Gigabyte dữ
liệu nhạy cảm được tạo ra mỗi tháng. Trong tình huống như vậy thêm từ khóa, biểu
thức thông dụng có thể trở nên tốn thời gian và phản tác dụng đối với việc quản lý
công nghệ thông tin.
Các thuật toán máy học tìm kiếm để tự động hóa việc xác định các nội dung
nhạy cảm thông qua huấn luyện. Một ví dụ về một hệ thống dựa trên các khái niệm
tương tự là bộ lọc thư rác tự động mà làm việc như sau: đầu tiên là một giai đoạn
học tập, nơi các bộ lọc được biết sự phân loại những tin nhắn e-mail được coi là thư
rác và không phải thư rác. Khi ngày càng nhiều tin nhắn được xử lý, các thuật toán
học và cải thiện độ chính xác của nó. Khi bộ lọc thư rác đó qua được các bài dữ liệu
kiểm thử, nó được chuyển qua từ giai đoạn học tập đến một giai đoạn quản lý mà
không cần sự giám sát liên tục. Mặc dù các bộ lọc hoạt động trong chế độ quản lý
nhưng nó vẫn chấp nhận thông tin phản hồi trong các trường hợp phân loai sai hoặc

36
nếu nó cần để mở rộng khả năng lọc của mình để phân loại các loại mới của thư rác
(ví dụ như trong một ngôn ngữ khác nhau).
Tuy nhiên, một hệ thống như thế này chỉ làm việc với các tài liệu văn bản, và
có thể có một tỷ lệ lỗi cao nếu không được huấn luyện đúng cách. Và một vấn đề
quan trọng nữa là phải xác định ngôn ngữ tài liệu nhạy cảm được viết và tạo ra hệ
thống các tập tin huấn luyện cho phù hợp.
Học viên xin giới thiệu một số thuật toán học máy phân loại tài liệu như sau:
 Thuật toán cây quyết định (Decision tree)
Đây là phương pháp học xấp xỉ các hàm mục tiêu có giá trị rời rạc. Mặt khác
cây quyết định còn có thể chuyển sang dạng biểu diễn tương đương dưới dạng cơ sở
tri thức là các luật Nếu – Thì.
Ý tưởng: Bộ phân lớp cây quyết định là một dạng cây mà mỗi nút được gán
nhãn là một đặc trưng, mỗi nhánh là giá trị trọng số xuất hiện của đặc trưng trong
văn bản cần phân lớp, và mỗi lá là nhãn của phân lớp tài liệu. Việc phân lớp của
một tài liệu dj sẽ được duyệt đệ quy theo trọng số của những đặc trưng có xuất hiện
trong văn bản dj. Thuật toán lặp đệ quy đến khi đạt đến nút lá và nhãn của dj chính
là nhãn của nút lá tìm được. Thông thường việc phân lớp văn bản nhị phân sẽ tương
thích với việc dùng cây nhị phân.
Cây quyết định này được tổ chức như sau: Các nút trong được gán nhãn bởi
các thuật ngữ, nhãn của các cung tương ứng với trọng số của thuật ngữ trong tài liệu
mẫu, nhãn của các lá tương ứng với nhãn của các lớp. Cho một tài liệu dj, ta sẽ thực
hiện so sánh các nhãn của cung xuất phát từ một nút trong (tương ứng với một thuật
ngữ nào đó) với trọng số của thuật ngữ này trong dj, để quyết định nút trong nào sẽ
được duyệt tiếp. Quá trình này được lặp từ nút gốc của cây, cho tới khi nút được
duyệt là một lá của cây. Kết thúc quá trình này, nhãn của nút lá sẽ là nhãn của lớp
được gán cho văn bản

37
 Thuật toán K-Nearest Neighbor (KNN)
Đây là phương pháp truyền thống khá nổi tiếng về hướng tiếp cận dựa trên
thống kê đã được nghiên cứu trong nhận dạng mẫu.
Ý tưởng chính của thuật toán K-láng giềng gần nhất (K-NN) là so sánh độ
phù hợp của văn bản d với từng nhóm chủ đề, dựa trên k văn bản mẫu trong tập
huấn luyện mà có độ tương tự với văn bản d là lớn nhất.
Khi cần phân loại một văn bản mới, thuật toán sẽ tính khoảng cách (khoảng
cách Euclide, Cosine ...) của tất cả các văn bản trong tập huấn luyện đến văn bản
này để tìm ra k văn bản “gần nhất” (gọi là k “láng giềng”), sau đó dùng các khoảng
cách này đánh trọng số cho tất cả chủ đề. Trọng số của một chủ đề chính là tổng tất
cả khoảng cách ở trên của các văn bản trong k láng giềng có cùng chủ đề, chủ đề
nào không xuất hiện trong k láng giềng sẽ có trọng số bằng 0. Sau đó các chủ đề sẽ
được sắp xếp theo mức độ trọng số giảm dần và các chủ đề có trọng số cao sẽ được
chọn là chủ đề của văn bản cần phân loại.
Có 2 vấn đề cần quan tâm khi phân lớp văn bản bằng thuật toán K- láng
giềng gần nhất là xác định khái niệm gần, công thức để tính mức độ gần; và làm thế
nào để tìm được nhóm văn bản phù hợp nhất với văn bản đó (nói cách khác là tìm
được chủ đề thích hợp để gán cho văn bản).
Khái niệm gần ở đây được hiểu là độ tương tự giữa các văn bản. Có nhiều
cách để xác định độ tương tự giữa hai văn bản, trong đó công thức Cosine trọng số
được coi là hiệu quả để đánh giá độ tương tự giữa hai văn bản. Cho T={t1, t2, …,
tn} là tập hợp các thuật ngữ; W={wt1, wt2, …, wtn} là vector trọng số, wti là trọng
số của thuật ngữ ti. Xét hai văn bản X={x1, x2, …, xn} và Y={y1, y2, …, yn}, xi,
yi lần lượt là tần số xuất hiện của thuật ngữ ti trong văn bản X, Y. Khi đó độ tương
tự giữa hai văn bản X và Y được tính theo công thức sau:

38
Sim(X ,Y ) cosine(X ,Y ,W )
t T
(x
t
w
t
) ( y
t
w
t
)
t T (xt wt )2
t T ( yt wt )2
Trong vector X, Y các thành phần xi, yi được chuẩn hoá theo tần số xuất hiện
của thuật ngữ ti trong các văn bản X và Y. Vector W được xác định bằng tay hoặc
tính vector W theo nghịch đảo tần suất văn bản IDF khi đó văn bản được biểu diễn
dưới dạng vector tần xuất TFxIDF
 Thuật toán Naive Bayes (NB):
NB là phương pháp phân loại dựa vào xác suất được sử dụng rộng rãi trong
lĩnh vực máy học.
Ý tưởng cơ bản của cách tiếp cận Naive Bayes là sử dụng xác suất có điều
kiện giữa từ và chủ đề để dự đoán xác suất chủ đề của một văn bản cần phân loại.
Điểm quan trọng của phương pháp này chính là ở chỗ giả định rằng sự xuất hiện của
tất cả các từ trong văn bản đều độc lập với nhau. Với giả định này NB không sử
dụng sự phụ thuộc của nhiều từ vào một chủ đề, không sử dụng việc kết hợp các từ
để đưa ra phán đoán chủ đề và do đó việc tính toán NB chạy nhanh hơn các phương
pháp khác.
 Support Vector Machine (SVM)
SVM là một phương pháp phân lớp xuất phát từ lý thuyết học thống kê.
Ý tưởng của nó là ánh xạ (tuyến tính hoặc phi tuyến) dữ liệu vào không gian
các vector đặc trưng (space of feature vectors) mà ở đó một siêu phẳng tối ưu được
tìm ra để tách dữ liệu thuộc hai lớp khác nhau.
Cho trước một tập huấn luyện được biểu diễn trong không gian vector trong
đó mỗi tài liệu là một điểm, phương pháp này tìm ra một siêu mặt phẳng h quyết
định tốt nhất có thể chia các điểm trên không gian này thành hai lớp riêng biệt tương
ứng lớp + và lớp –. Chất lượng của siêu mặt phẳng này được quyết định bởi

39
khoảng cách (gọi là biên) của điểm dữ liệu gần nhất của mỗi lớp đến mặt phẳng này.
Khoảng cách biên càng lớn thì mặt phẳng quyết định càng tốt đồng thời việc phân
loại càng chính xác. Mục đích thuật toán SVM tìm được khoảng cách biên lớn nhất.
 Support Vector Machines Nearest Neighbor (SVM-NN)
Support Vector Machines Nearest Neighbor (SVM-NN) (Blanzieri &
Melgani 2006) là một thuật toán phân lớp cải tiến gần đây nhất của phương pháp
phân lớp SVM. SVM-NN là một kỹ thuật phân loại văn bản máy học sử dụng kết
hợp cách tiếp cận K-láng giềng gần nhất (K-NN) với những luật ra quyết định dựa
trên SVM (SVM-based decision rule).
Ý tưởng của thuật toán SVM-NN
Thuật toán phân lớp SVM-NN kết hợp các ý tưởng của thuật toán phân lớp
SVM và thuật toán phân lớp K-NN.
Nó hoạt động theo cách sau:
- Cho một mẫu để phân loại, thuật toán xác định k mẫu gần nhất trong các
mẫu dữ liệu của tập dữ liệu huấn luyện.
- Một phân loại SVM được huấn luyện trên những mẫu này.
- Sau đó, các bộ phân loại SVM được huấn luyện sẽ được sử dụng để phân
loại các mẫu chưa biết.
2.4. Một số giải pháp của các hãng
Từ bắt đầu chương 2, học viên đã trình bày những vấn đề cơ bản của một hệ
thống chống rò rỉ, thất thoát dữ liệu DLP. Phần này học viên xin giới thiệu hệ thống
DLP của một số hãng thương mại hiện nay.
2.4.1. Giải pháp Mcafee

40
Hình 2.10. Mô hình hệ thống Mcafee
Hình 2.11. Mô hình giải pháp Mcafee

41
Đặc điểm
- Đảm bảo nội dung nhạy cảm ở khu vực “rest” trước nguy cơ rủi ro.
- Bảo vệ dữ liệu khỏi các rủi ro được biết đến trong quá trình truyền.
- Thu thập những luồng thông tin đi trong mạng để xây dựng những rule và
xây dựng phòng chống trước các nguy cơ rủi ro phát sinh.
- Thi hành các hành động khắc phục hậu quả như tự động mã hóa trong quá
trình quét dữ liệu hoặc những hành động mà người dùng thực hiện.
Các thành phần:
McAfee ePolicy Orchestrator (EPO) - giao diện điều khiển quản lý tập trung
cho các giải pháp DLP của McAfee cũng như tất cả các công nghệ bảo mật thiết bị
đầu cuối của McAfee.
McAfee DLP Manager Appliances: các sự kiện quản lý tập trung, khả năng
quản lý sự cố, và quản lý của NDLP
McAfee Host DLP Solution: bao gồm Host DLP và endpoint
McAfee Network DLP Monitor: Phân tích tất cả thông tin liên lạc mạng và
phát hiện ra mối đe dọa cho dữ liệu của bạn. Thiết bị này sẽ nắm bắt tất cả lưu
lượng truy cập mạng của bạn để lại, chỉ số này để điều tra trong tương lai và cũng
có thể đánh giá nó so với quy định thời gian thực.
McAfee Network DLP Discover: Đánh giá trung tâm dữ liệu của bạn và tất
cả các nguồn dữ liệu khác trên mạng của bạn để phát hiện và phân loại dữ liệu của
bạn và đặt nền tảng cho việc bảo vệ tự động
McAfee Network DLP Prevent: Block/Encrypt cả chiều inbound và
outbound dựa trên chính sách được định nghĩa.

Nghiên cứu và ứng dụng hệ thống chống thất thoát dữ liệu.doc

Nghiên cứu và ứng dụng hệ thống chống thất thoát dữ liệu.doc

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Nghiên cứu và ứng dụng hệ thống chống thất thoát dữ liệu.doc

Similar to Nghiên cứu và ứng dụng hệ thống chống thất thoát dữ liệu.doc (20)

More from Dịch Vụ Viết Bài Trọn Gói ZALO 0917193864

More from Dịch Vụ Viết Bài Trọn Gói ZALO 0917193864 (20)

Recently uploaded

Recently uploaded (20)

Nghiên cứu và ứng dụng hệ thống chống thất thoát dữ liệu.doc