Nghiên cứu thiết kế và triển khai giải pháp giám sát cho hệ thống an ninh thông tin của phòng quản lý xuất nhập cảnh – công an thành phố hà nội.
- 67 trang
- file .pdf
ĐẠI HỌC QUỐC GIA HÀ NỘI
KHOA QUẢN TRỊ VÀ KINH DOANH
*** *** ***
BÙI NGỌC HẠNH
NGHIÊN CỨU THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP
GIÁM SÁT CHO HỆ THỐNG AN NINH THÔNG TIN
CỦA PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH
CÔNG AN THÀNH PHỐ HÀ NỘI
LUẬN VĂN THẠC SĨ
QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)
Hà Nội - 2017
ĐẠI HỌC QUỐC GIA HÀ NỘI
KHOA QUẢN TRỊ VÀ KINH DOANH
*** *** ***
BÙI NGỌC HẠNH
NGHIÊN CỨU THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP
GIÁM SÁT CHO HỆ THỐNG AN NINH THÔNG TIN
CỦA PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH
CÔNG AN THÀNH PHỐ HÀ NỘI
Chuyên ngành: Quản trị an ninh phi truyền thống
Mã số: Chương trình thí điểm
LUẬN VĂN THẠC SĨ
QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)
NGƯỜI HƯỚNG DẪN KHOA HỌC: Thiếu tướng,TS. NGUYỄN THẾ BÌNH
Hà Nội - 2017
CAM KẾT
Tác giả cam kết rằng kết quả nghiên cứu trong luận văn là kết quả lao động của chính
tác giả thu được trong thời gian học và nghiên cứu và chưa công bố trong bất kỳ một
chương trình nghiên cứu nào của người khác.
Những kết quả nghiên cứu và tài liệu của người khác (trích dẫn, bảng, biểu, công
thức, đồ thị cùng những tài liệu khác) được sử dụng trong luận văn này đã được các tác giả
đồng ý và trích dẫn cụ thể.
Tôi hoàn toàn chịu trách nhiệm trước Hội đồng bảo vệ luận văn, Khoa quản trị và
Kinh doanh và pháp luật trước các cam kết nói trên.
Hà Nội, ngày 6 tháng 8 năm 2017
Tác giả luận văn
Bùi Ngọc Hạnh
2
LỜI CẢM ƠN
Sau thời gian học tập, nghiên cứu tại HSB, tôi đã thu nhận được những kiến thức sâu
sắc về quản trị an ninh phi truyền thống gắn với bảo vệ an ninh quốc gia và mọi mặt của
đời sống, công tác do thầy cô Khoa Quản trị và Kinh doanh - Đại học Quốc gia Hà Nội
truyền thụ.
Trong lời cảm ơn này, Tôi xin được bày tỏ sự biết ơn và cảm ơn đến các thầy cô của
HSB, đặc biệt Tôi xin gửi tới các thầy: Thượng tướng, TS. Nguyễn Văn Hưởng – Nguyên
Thứ trưởng Bộ Công an; PGS. TS. Hoàng Đình Phi – Chủ nhiệm khoa Quản trị và Kinh
doanh, Đại học quốc gia Hà Nội; Đại tá,PGS. TS. Trần Văn Hòa – Nguyên Phó cục trưởng
Cục C50 Bộ Công an, đã trang bị cho Tôi kiến thức khoa học liên ngành, sâu sắc, giúp Tôi
hoàn thiện kiến thức
Tôi xin tỏ lòng biết ơn chân thành đến: Thiếu tướng, TS. Nguyễn Thế Bình – Phó
Tổng cục trưởng Tổng cục Hậu Cần Kỹ thuật, Bộ Công an, người đã tận tình hướng dẫn và
giúp đỡ tôi trong suốt thời gian học tập, nghiên cứu thực hiện đề tài.
Tôi xin trân trọng cảm ơn Ban Giám đốc, các đơn vị trong Công an thành phố Hà
Nội đã tạo điều kiện, giúp đỡ, hỗ trợ Tôi hoàn thành khóa học và luận văn.
Xin trân trọng cảm ơn.
Hà Nội, ngày 6 tháng 8 năm 2017
Tác giả luận văn
Bùi Ngọc Hạnh
3
MỤC LỤC
MỞ ĐẦU 10
CHƯƠNG 1: HỆ THỐNG GSANM 14
1.1 Tổng quan về hệ thống GSANM 14
1.1.1. Tầm quan trọng của GSANM 14
1.1.2. Những yếu tố cần thiết cho một hệ thống GSANM 15
1.1.3. Công nghệ triển khai hệ thống GSANM 16
1.2. Một số giải pháp công nghệ GSANM nổi bật 18
1.2.1. Phân tích theo giải pháp công nghệ 18
1.2.2. Phân tích theo nhà cung cấp 20
1.3. Phương trình khoa học 24
CHƯƠNG 2: THIẾT KẾ GIẢI PHÁP GSANM CHO HỆ THỐNG MẠNG 25
TẠI PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH CATP HÀ NỘI
2.1 Các thành phần của hệ thống GSANM cho hệ thống mạng tại 25
phòng Quản lý xuất nhập cảnh CATP Hà Nội
2.1.1. Thành phần thu thập thông tin 25
2.1.2 Thành phần lưu trữ, phân tích sơ bộ 26
2.1.3. Thành phần phân tích quản trị tập trung 26
2.1.4 Các giao thức sử dụng tích hợp các thành phần trong GSANM 26
2.2. Khảo sát hệ thống mạng tại Phòng Quản lý xuất nhập cảnh 31
CATP Hà Nội
2.2.1. Mô hình hệ thống mạng 31
2.2.2. Hiện trạng hệ thống mạng 32
2.3. Phân tích, đánh giá các nguy cơ, rủi ro của hệ thống mạng tại 33
phòng Quản lý xuất nhập cảnh CATP Hà Nội, xác định các thành
phần cần thực hiện giám sát
2.3.1. Phân tích, đánh giá các rủi ro của hệ thống thống mạng tại phòng 33
Quản lý xuất nhập cảnh CATP Hà Nội
2.3.2. Thành phần cần thực hiện giám sát 42
CHƯƠNG 3: TRIỂN KHAI XÂY DỰNG HỆ THỐNG GSANM CHO HỆ 43
THỐNG MẠNG TẠI PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH
CATP HÀ NỘI
3.1. Đề xuất giải pháp, mô hình hệ thống GSANM phù hợp cho hệ 43
thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội
3.1.1. Các yêu cầu đối với hệ thống GSANM phù hợp 43
3.1.2. Đề xuất giải pháp 44
3.2. Xây dựng hệ thống GSANM 58
4
3.2.1. Xây dựng thành phần phân tích quản trị tập trung- ArcSight ESM 58
3.2.2. Xây dựng thành phần lưu trữ, phân tích sơ bộ - ArcSight Logger 58
3.2.3. Xây dựng thành phần thu thập thông tin – ArcSight Connector 58
3.2.4. Cấu hình tích hợp các thành phần 58
3.3. Một số chính sách thực hiện giám sát 59
KẾT LUẬN 64
4.1. Đánh giá hiệu quả của hệ thống GSANM đã xây dựng 64
4.2. Những khó khăn, tồn tại của hệ thống GSANM đã xây dựng 64
4.3. Hướng phát triển giải pháp, mở rộng hoàn thiện hệ thống 64
GSANM
TÀI LIỆU THAM KHẢO 66
5
DANH MỤC TỪ VIẾT TẮT
STT Thuật Ngữ/Từ Viết Tắt Giải thích từ ngữ
1 AD Active Directory (Microsoft)
2 APT Advanced Persistent Threat
3 ATANTT An toàn an ninh thông tin
4 ATTT An toàn thông tin
5 BGP Giao thức định tuyến (Border Gateway Protocol)
6 BTTTT Bộ Thông tin và Truyền thông
7 CATP Công an thành phố
8 CGI Chuẩn kết nối chương trình ứng dụng với
webserver (Common Gateway Interface)
9 CIFS Common Internet File System
10 CNTT Công nghệ Thông tin
11 CPU Bộ xử lý trung tâm (Central Processing Unit)
12 CSDL Cơ sở dữ liệu
13 DDoS Tấn công từ chối dịch vụ phân tán (Distributed
Denial of Service)
14 DHCP Giao thức cấu hình động máy chủ (Dynamic Host
15 DNS Hệ thống tên miền (Domain Name System)
16 DoS Tấn công từ chối dịch vụ (Denial of Service)
17 ESM Enterprise Security Management
18 FTP Giao thức truyền tập tin (File Transfer Protocol)
19 GSANM Giám sát an ninh mạng
20 GSM Hệ thống thông tin di động toàn cầu (Global
System for Mobile Communications)
21 GUI Giao diện người dùng đồ họa (Graphical User
Interface)
22 HOST Máy chủ
23 HTML Ngôn ngữ đánh dấu siêu văn bản (HyperText
Markup Language)
24 HTTP Giao thức truyền siêu văn bản (Hypertext
Transfer Protocol)
6
25 ICMP Giao thức bản tin điều khiển Internet (Internet
Control Message Protocol)
26 ID Định danh (Identifier)
27 IDS Hệ thống phát hiện xâm nhập (Intrusion
Detection System)
28 IM Tin nhắn nhanh (Instant Messaging)
29 IMAP Giao thức truy cập thông điệp Internet (Internet
30 ISO International Organization for Standardization
31 LAN Local Area Network (mạng cục bộ)
32 LDAP Lightweight Directory Access Protocol
33 NAS Network Attached Storage
34 NFS Network File System
35 NIST National Institute of Standards and Technology
(Viện Tiêu chuẩn và Kĩ thuật Quốc gia - Hoa Kỳ)
36 NIST SP NIST Special Publication
37 POP3 Post Office Protocol 3 (giao thức nhận thư điện
tử)
38 RAID Redundant Array of Independent Disks
39 SAN Storage Area Network
40 SCAP Security Content Automation Protocol (Giao thức
tự động bảo mật nội dung)
41 SEM Security Event Management (Quản lý Sự kiện
Bảo mật)
42 SIEM Security Information and Event Management
(Quản lý Thông tin và Sự kiên Bảo mật)
43 SIM Security Information Management (Quản lý
Thông tin Bảo mật)
44 SMTP Simple Mail Transfer Protocol (giao thức chuẩn
gửi thư điện tử)
45 TTĐT Thông tin Điện tử
46 TTTHDL Trung Tâm Tích hợp Dữ liệu
50 VPN Virtual Private Network (mạng riêng ảo)
51 WAN Wide area network (mạng diện rộng)
7
DANH MỤC HÌNH VẼ
Hình 1.1: Thành phần và chức năng của hệ thống GSANM 18
Hình 2.1: Mô hình hoạt động hệ thống GSANM tại phòng quản lý xuất nhập cảnh 25
Hình 2.2: Sơ đồ logic mạng tổng thể tại Phòng Quản lý xuất nhập cảnh CATP 31
Hình 3.1: ArcSight SIEM – 4 bước để đảm bảo an toàn 47
Hình 3.2: Mẫu dữ liệu nhật ký dạng nguyên thủy 49
Hình 3.3: Mẫu dữ liệu nhật ký sau khi được ArcSight chuẩn hóa 49
Hình 3.4: ArcSight chuẩn hóa nhật ký thành 1 định dạng chung CEF 49
Hình 3.5: Các kỹ thuật ArcSight sử dụng để phân tích tương quan (Correlation) 50
Hình 3.6: ArcSight Identity View 51
Hình 3.7: ArcSight phân tích và phát hiện Trojan and Botnet detection - 1 52
Hình 3.8: ArcSight phân tích và phát hiện Trojan and Botnet detection – 2 52
Hình 3.9: ArcSight Use-cases 53
Hình 3.10: Giao diện theo dõi ArcSight Dashboard 54
Hình 3.11: Giám sát bùng nổ WORM trong mạng 54
Hình 3.12: Giám sát việc phát tán Mã độc trong hệ thống 55
Hình 3.13: Giao diện quản lý thông báo, cảnh báo an ninh 56
Hình 3.14: Mô hình triển khai logic của giải pháp 57
Hình 3.15: Mẫu cảnh báo tình trạng mất kết nối cổng mạng tại màn hình giám sát 59
Hình 3.16: Mẫu thư điện tử cảnh báo tình trạng mất kết nối cổng mạng 59
Hình 3.17: Mẫu báo cáo các cảnh báo của Firewall 60
Hình 3.18: Mẫu báo cáo Vmware Events 61
Hình 3.19: Mẫu cảnh báo Brute Force Login 62
Hình 3.20: Mẫu báo cáo Trend Micro spam rules 63
8
DANH MỤC BẢNG BIỂU
Bảng 2.1: Thông tin cần nắm bắt khi giám sát một TTTHDL
9
CHƯƠNG MỞ ĐẦU
1. Tính cấp thiết của đề tài
Ngày nay, cùng với sự phát triển của công nghệ thông tin, việc đẩy mạnh ứng dụng
công nghệ thông tin, phát triển hạ tầng hệ thống mạng thông tin điện tử trong mỗi cơ quan,
tổ chức ngày càng tăng cao giúp nâng cao hiệu quả hoạt động mang lại nhiều lợi ích thiết
thực cho cơ quan, tổ chức. Bên cạnh với những lợi ích đạt được, hệ thống mạng thông tin
điện tử trong các cơ quan cũng phải đối đầu với rất nhiều nguy cơ, thách thức mất an toàn
ngày càng tăng cao như các cuộc tấn công mạng ngày càng trở lên tinh vi, phức tạp, sự gia
tăng nhanh chóng của các phần mềm độc hại … gây ảnh hưởng không nhỏ tới tính an toàn,
tính bí mật, tính sẵn sàng của thông tin và thiết bị, tài nguyên, dịch vụ trong hệ thống.
Đồng thời, với xu hướng phát triển công nghệ trong thời gian gần đây, các cuộc tấn
công mạng ngày càng mang động cơ chính trị và kinh tế rõ ràng, các hệ thống thông tin
điện tử (TTĐT) trong các cơ quan tổ chức nhà nước đang trở thành những môi trường với
nhiều nguy cơ mất an toàn thông tin (ATTT). Ngày càng nhiều báo cáo, nghiên cứu cho
thấy xu hướng phát triển của hình thức tấn công APT mà Việt Nam đang là một mục tiêu.
Theo công ty bảo mật FireEye, các cơ quan báo chí, các cơ quan chính phủ Việt Nam, các
ngân hàng … đang là đối tượng tấn công của APT 30, APT 64 trong 10 năm qua với mục
đích lấy cắp dữ liệu nhạy cảm.
Vì vậy, cùng với xu hướng phát triển trên thì việc đảm bảo an toàn, an ninh thông tin
cho các cơ quan, tổ chức, mang lại sự hoạt động ổn định của các tài nguyên và ứng dụng,
công tác đẩy mạnh công nghệ thông tin đạt hiệu quả cao và giảm thiểu các rủi ro, thiệt hại
đang là vấn đề rất cấp thiết.
Hiện nay, cùng chung với tình hình trong và ngoài nước như trên, phòng Quản lý
xuất nhập cảnh CATP Hà Nội với đặc thù vừa là một cơ quan có nhiều thông tin quan
trọng, vừa là đơn vị cung cấp dịch vụ trên internet (Hộ chiếu, Lưu trú…) cũng phải đối mặt
với nhiều khó khăn, nguy cơ mất ATANTT trong hệ thống mạng thông tin điện tử tại
phòng Quản lý xuất nhập cảnh CATP Hà Nội. Đặc biệt lĩnh vực quản lý xuất nhập cảnh là
một lĩnh vực đặc thù và trong tình hình mới khi tội phạm đa quốc gia, nạn khủng bố đang
hoạt động một cách mạnh mẽ, nạn di dân... công tác quản lý xuất nhập cảnh phải hết sức
chặt chẽ, tránh các sơ hở, lộ lọt thông tin cấm xuất, cấm nhập... có ý nghĩa hết sức quan
trọng trong bảo vệ an ninh quốc gia và điểm yếu từ quản lý hệ thống thông tin xuất nhập
cảnh dễ bị lợi dụng. Đây cũng là ý nghĩa quan trọng trong mối liên kế giữa an ninh phi
truyền thống và an toàn, an ninh thông tin trong khuôn khổ phạm vi của đề tài này.
10
2. Tổng quan tình hình nghiên cứu
Hiện nay trong thực tế, hầu hết trong các cơ quan, tổ chức tại Việt Nam đều chưa có
được một giải pháp có thể giám sát, đánh giá tổng thể về tình hình hoạt động và mức độ an
toàn, an ninh thông tin trong đơn vị.
Để có thể đánh giá tổng thể và toàn cảnh về an toàn, an ninh thông tin (ATANTT)
của một cơ quan, tổ chức, thì việc thu thập, phân tích và lưu trữ các sự kiện ATTT từ các.
thiết bị, dịch vụ và ứng dụng như là hết sức cần thiết. Tuy nhiên, số lượng sự kiện ATTT
được tạo ra bởi các thiết bị an ninh và toàn bộ hệ thống là rất lớn, với các kiểu định dạng
khác nhau và giá trị thông tin mang lại cũng khác nhau. Các thiết bị khác nhau có thể tạo ra
báo cáo ở các góc độ khác nhau về cùng một sự cố ATTT.
Song song với hệ thống thiết bị kỹ thuật, yếu tố con người và môi trường làm việc có
thể dẫn đến việc một số thông tin cảnh báo quan trọng bị bỏ qua, các sự cố ATTT mạng
không được xử lý kịp thời... gây ra thiệt hại lớn cho cơ quan, tổ chức.
Đối với riêng hệ thống của phòng Quản lý xuất nhập cảnh CATP Hà Nội có quy mô
hơn 100 máy tính cá nhân và hơn 20 máy chủ dịch vụ trong hệ thống mạng, phòng Quản lý
xuất nhập cảnh CATP Hà Nội bước đầu đã có sự quan tâm nhất định tới vấn đề đảm bảo
ATANTT bằng việc đã đầu tư, triển khai một số biện pháp tăng cường bảo mật cho hệ
thống như các thiết bị tường lửa thế hệ mới (Firewall), các thiết bị IDS/IPS, hệ thống
phòng chống mã độc/thư rác, hệ thống kiểm soát truy cập web… Tuy nhiên, trong thực tế
hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội còn gặp rất nhiều khó
khăn trong việc có thể phát hiện, ngăn chặn và xử lý các sự cố gây mất ATANTT điển hình
như: tình trạng lộ lọt tài liệu, thông tin nhạy cảm; các máy tính bị nhiễm mã độc mặc dù đã
có cảnh báo của phần mềm phòng chống; tình trạng dịch vụ cung cấp trên mạng (thư điện
tử, các dịch vụ công …) còn chưa thực sự ổn định để đáp ứng nhu cầu khai thác của cán bộ
và người dân; việc tra cứu, tổng hợp thông tin về tình trạng hoạt động của hệ thống mạng
để theo dõi là rất khó khăn …
Bởi vậy, cần có một hệ thống cho phép theo dõi, giám sát tình trạng hoạt động và các
nguy cơ gây mất ATANTT trong hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP
Hà Nội, đó chính là hệ thống giám sát an ninh mạng (GSANM). Hệ thống giám sát an ninh
mạng quản lý và phân tích các sự kiện ATTT, thực hiện thu thập, chuẩn hóa, lưu trữ và
phân tích tương quan toàn bộ các sự kiện ATTT được sinh ra từ các thành phần trong hạ
tầng công nghệ thông tin. Hệ thống giám sát an ninh mạng có thể thực hiện được các
nhiệm vụ sau:
11
Phát hiện kịp thời các tấn công mạng xuất phát từ Internet cũng như các tấn công
xuất phát trong nội bộ.
Phát hiện kịp thời các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch
vụ trong hệ thống.
Phát hiện kịp thời sự lây nhiễm mã độc trong hệ thống mạng, các máy tính bị
nhiễm mã độc, các máy tính bị tình nghi là thành viên của mạng máy tính ma (botnet).
Giám sát việc tuân thủ chính sách an ninh trong hệ thống.
Cung cấp bằng chứng số phục vụ công tác điều tra sau sự cố.
Như vậy, ta có thể thấy việc nghiên cứu triển khai xây dựng hệ thống giám sát an
ninh mạng trong các cơ quan tổ chức như phòng Quản lý xuất nhập cảnh CATP Hà Nội là
rất cấp thiết, đó sẽ là công cụ hiệu quả trong việc hỗ trợ giám sát và phát hiện sớm các
nguy cơ, các sự cố gây mất ATANTT và hỗ trợ điều tra nguồn gốc đối với các tấn công
vào hệ thống thông tin điện tử. Qua đó giúp cho người quản trị hệ thống có thể theo dõi
thường xuyên hệ thống và sớm nhận biết các mối nguy hiểm vào hệ thống của mình. Ngoài
ra, việc triển khai xây dựng hệ thống giám sát an ninh mạng cho các cơ quan, tổ chức như
phòng Quản lý xuất nhập cảnh CATP Hà Nội là tiền đề để có thể xây dựng hệ thống giám
sát an ninh mạng cho CATP Hà Nội. Việc này có ý nghĩa to lớn trong việc chủ động đảm
bảo an toàn an ninh mạng chung, bảo vệ thông tin quốc gia trong tình hình mất ATTT diễn
ra ngày càng tinh vi, phức tạp trên toàn thế giới.
3. Mục tiêu nghiên cứu
Đề tài được thực hiện với mục tiêu nhằm tăng cường công tác đảm bảo ATTT và chủ
động đối phó với các vấn đề gây mất ATANTT tại phòng Quản lý xuất nhập cảnh CATP
Hà Nội, nghiên cứu và triển khai xây dựng hệ thống giám sát an ninh mạng trong thực tế
cho hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội.
4. Đối tượng nghiên cứu
Đề tài tập trung nghiên cứu về giám sát tài nguyên hệ thống (thiết bị mạng, máy
chủ), hoạt động truy cập mạng, hoạt động của các thiết bị bảo mật (Firewall, IDS/IPS,
Antivirus …) đồng thời triển khai thực tế hệ thống giám sát an ninh mạng tại phòng Quản
lý xuất nhập cảnh CATP Hà Nội.
5. Phạm vi nghiên cứu
Đề tài sẽ tập trung nghiên cứu một cách tổng quan về mô hình và kiến trúc bảo đảm
an toàn, an ninh thông tin đặc biệt trong hướng xây dựng hệ thống giám sát an ninh mạng.
Các vấn đề nghiên cứu trong phần này xoay quanh việc xác định các nguyên tắc để giám
12
sát an toàn, an ninh thông tin một cách toàn diện nhất với toàn bộ hệ thống từ con người,
kỹ thuật, quy trình và thủ tục.
6. Phương pháp nghiên cứu
Nghiên cứu những đặc điểm của các hệ thống hệ thống giám sát an ninh mạng nói
dung. Các giải pháp được nghiên cứu, tổng hợp từ nhiều nguồn khác nhau từ đó, tổng hợp
đưa ra giải pháp tổng thể để xây dựng hệ thống giám sát an ninh mạng giúp đảm bảo an
ninh an toàn cho hệ thống mạng phòng quản lý xuất nhập cảnh của Công an thành phố Hà
Nội.
Ngoài ra, thực hiện khảo sát, phân tích hệ thống mạng tại phòng Quản lý xuất nhập
cảnh CATP Hà Nội. Phân tích đánh giá các nguy cơ, rủi ro đối với hệ thống mạng tại
phòng Quản lý xuất nhập cảnh CATP Hà Nội. Xác định các thành phần cần được giám sát
từ đó đưa ra các yêu cầu, tiêu chí để lựa chọn, thiết kết giải pháp giám sát an ninh mạng
phù hợp. Lựa chọn, đề xuất giải pháp, công nghệ giám sát an ninh mạng phù hợp.
7. Cấu trúc luận văn
Chương I: Hệ thống giám sát an ninh mạng (GSANM)
Chương II: Thiết kế giải pháp GSANM cho hệ thống mạng tại phòng quản lý xuất
nhập cảnh CATP Hà Nội
Chương III: Triển khai xây dựng hệ thống GSANM cho hệ thống mạng phòng quản
lý xuất nhập cảnh CATP Hà Nội.
13
CHƯƠNG 1: HỆ THỐNG GIÁM SÁT AN NINH MẠNG (GSANM)
- Tổng quan lý thuyết, khái niệm cơ bản về hệ thống GSANM.
- Giới thiệu một số giải pháp GSANM nổi bật.
1.1. Tổng quan về hệ thống GSANM
Hệ thống GSANM là hệ thống quản lý và phân tích các sự kiện ATTT được sinh ra
từ các thành phần trong hạ tầng công nghệ thông tin của cơ quan/tổ chức từ đó kịp thời
phát hiện các sự cố, nguy cơ mất ATTT (các cuộc tấn công mạng, máy tính nhiễm mã độc,
các lỗ hổng bảo mật của các thiết bị/ứng dụng …), đồng thời cung cấp bằng chứng số phục
vụ công tác điều tra khi xảy ra sự cố cũng như giám sát việc tuân thủ chính sách an ninh
thông tin của các thành phần trong hệ thống thông tin của cơ quan/tổ chức.
1.1.1 1.1.1. Tầm quan trọng của GSANM
Ngày nay, hệ thống mạng có độ phức tạp ngày càng cao. Các thiết bị như router,
switch, hub đã kết nối vô số các máy con đến các dịch vụ trên máy chủ cũng như ra ngoài
Internet. Thêm vào đó là rất nhiều các tiện ích bảo mật và truyền thông được cài đặt bao
gồm cả tường lửa, mạng riêng ảo (VPN), các dịch vụ phòng chống mã độc và thư rác. Sự
hiểu biết về cấu trúc của hệ thống cũng như có được khả năng cảnh báo về hệ thống là một
yếu tố quan trọng trong việc duy trì hiệu suất cũng như tính toàn vẹn của hệ thống. Có
hàng ngàn khả năng có thể xảy ra đối với một hệ thống và quản trị viên phải đảm bảo được
rằng các nguy cơ xảy ra được thông báo một cách kịp thời và chính xác.
Hệ thống mạng không còn là một cấu trúc cục bộ riêng rẽ. Nó được xây dựng để
phục vụ các nguồn truy cập từ Internet, mạng cục bộ (LAN), mạng diện rộng (WAN), với
sự kết hợp của các thiết bị, server (máy chủ), ứng dụng chạy trên hệ thống đó.
Thực tế là các hệ thống mạng rất phức tạp và mỗi thành phần trong mạng đại diện
cho một nguy cơ ảnh hưởng đến hệ thống. Đó cũng là lý do tại sao nó cần thiết phải được
giám sát để giảm thiểu tối đa các nguy cơ tiềm tàng. Tuy nhiên không phải mọi vấn đề đều
có thể được giải quyết một cách chủ động trước bất kỳ dấu hiệu cảnh báo nào. Nhưng nếu
ta có thể giám sát hệ thống trong thời gian thực thì có thể xác định các vấn đề trước khi
chúng trở nên nguy hiểm hơn. Ví dụ, một máy chủ bị quá tải có thể được thay thế trước khi
nó bị treo. Điều này sẽ làm giảm thiểu các nguy cơ đối với hệ thống và tăng hiệu suất làm
việc của hệ thống. Với một hệ thống GSANM, ta sẽ biết được tình trạng của tất cả các thiết
bị trên mạng mà không cần phải kiểm tra một cách cụ thể từng thiết bị và cũng nhanh
chóng xác định chính xác vấn đề khi cần thiết.
14
1.1.2 1.1.2. Những yếu tố cần thiết cho một hệ thống GSANM
Để hiểu được về hệ thống, cần một giải pháp giám sát để có thể cung cấp các thông
tin quan trọng trong thời gian thực và ở bất cứ đâu cũng như bất cứ thời điểm nào. Đối với
các doanh nghiệp, tổ chức thì cần các giải pháp đơn giản để triển khai, sử dụng. Nếu một tổ
chức yêu cầu tính sẵn sàng cao, thì cần một giải pháp tin cậy đã được triển khai và chứng
minh là hoạt động tốt.
Hệ thống mạng ngày nay có rất nhiều thiết bị trên hệ thống và phải thu thập rất nhiều
thông tin liên quan. Chính vì vậy cần một giải pháp hiển thị hệ thống như bản đồ mạng,
báo cáo dữ liệu, cảnh báo sự cố. Bên cạnh việc xử lý sự cố dễ dàng hơn, điều này sẽ giúp
tận dụng mạng lưới dữ liệu để hiểu được các xu hướng trong việc sử dụng thiết bị, sử dụng
mạng, và dung lượng mạng tổng thể để thiết kế hệ thống mạng lưới hiệu quả.
Theo NIST SP 800-137 [7], các bước trong tiến trình giám sát liên lục gồm:
- Xác định chiến lược: định nghĩa chiến lược theo chính sách rủi ro của tổ chức,
xây dựng và triển khai các chính sách, phát triển các thủ tục và các mẫu để hỗ
trợ thực hiện chiến lược và chính sách.
- Thiết lập đo lường và các đại lượng đo: thiết lập những thông số và tình trạng
của các thành phần cần xác thực/không xác thực trên mạng để thu thập các thông
tin cho hoạt động giám sát như tình trạng hoạt động của thiết bị, các giao tiếp
vào ra, phân bố các dòng dữ liệu (flow), .... Các đối tượng được giám sát như
giám sát nguồn/đích và lưu lượng luồng dữ liệu, giám sát các dịch vụ như các
cổng, các giao thức, giám sát các loại dữ liệu như các sơ sở dữ liệu, thư điện tử,
...
- Thiết lập giám sát và theo dõi thường xuyên: Giám sát và kiểm soát các đại
lượng và các phép đo thường xuyên dựa trên một số thông tin như: các rủi ro về
hệ thống của tổ chức, thông tin về các mối nguy và lỗ hổng bảo mật, kiểm soát
các điểm yếu đã được nhận diện, kiểm soát các chức năng bảo mật quan trọng,
kết quả nhận diện các rủi ro, các yêu cầu báo cáo, ...
- Thực hiện giám sát: thu thập thông tin đã thiết lập cho hoạt động giám sát.
- Phân tích các thông tin (dữ liệu) có liên quan và lập báo cáo: dữ liệu được phân
tích trong ngữ cảnh như các rủi ro của tổ chức đã được chấp nhận, các điểm yếu
tiềm ẩn trong các quá trình vận hành hệ thống mạng của của tổ chức.
- Phản ứng với các rủi ro như từ chối, chuyển, hoặc chấp nhận. Cảnh báo là một
trong những bước đầu tiên quan trọng của việc phản ứng. Dựa trên đó, người
15
quản trị hoặc người có trách nhiệm sẽ thực hiện các hành động tiếp theo trực tiếp
tại chỗ hay từ xa như tiếp tục theo dõi, xử lý, thay đổi, xoá ...
- Xem xét lại và cập nhật chiến lược và chương trình giám sát.
Các bước này cần được lưu ý và triển khai trong các hệ thống GSANM. Tuỳ theo
điều kiện và yêu cầu thực tế mà hệ thống GSANM ở mỗi tổ chức sẽ được hoạch định và
triển khai khác nhau theo các tiêu chí khác nhau.
1.1.3 1.1.3. Công nghệ triển khai hệ thống GSANM
Có nhiều công nghệ được dùng cho các hệ thống GSANM. Tuy nhiên, có thể phân thành
3 nhóm công nghệ cơ bản thường dùng cho các hệ thống các hệ thống GSANM liên tục:
- Thu thập dữ liệu trực tiếp về tình trạng hoạt động của mạng thông qua các giao
thức như ICMP, SNMP, Syslog, NetFlow, ...
- Tổng hợp và Phân tích bằng giải pháp SIEM (Quản lý sự kiện và thông tin bảo
mật), quản lý qua Dashboard.
- Tự động hoá: giao thức SCAP (Security Content Automation Protocol - Giao
thức tự động bảo mật nội dung).
Hiện nay, có khá nhiều công cụ, giải pháp được phát triển phục vụ cho các hệ thống
GSANM với các mục đích đặc thù khác nhau. Tuy nhiên, nhìn chung các hệ thống
GSANM thường được xây dựng dựa trên một trong ba nhóm giải pháp sau: Giải pháp quản
lý thông tin an ninh (SIM), Giải pháp quản lý sự kiện an ninh (SEM) và Giải pháp quản lý
và phân tích sự kiện an ninh (SIEM). Trong đó SIEM đang được coi là giải pháp tổng thể
phù hợp nhất để xây dựng hệ thống GSANM.
Hệ thống SIEM thường bao gồm các thành phần chính với các chức năng như sau:
- Thành phần thu thập nhật ký (nhật ký ATTT):
Thực hiện thu thập toàn bộ các nhật ký cần thiết của các thành phần trong hệ
thống công nghệ thông tin (bao gồm các thiết bị/ứng dụng).
Chuẩn hóa các thông tin nhật ký thu thập được phục vụ công tác lưu trữ và
phân tích sau này.
Chuyển toàn bộ thông tin nhật ký thu thập được sau khi chuẩn hóa tới thành
phần lưu trữ và phân tích.
- Thành phần lưu trữ và phân tích:
Tập hợp, lưu trữ tập trung các thông tin nhật ký ATTT từ các nguồn thu
thập khác nhau.
Thực hiện phân tích, so sánh tính tương quan của toàn bộ các thông tin nhật
ký ATTT đã tập hợp nhằm phát hiện các sự cố, nguy cơ mất ATTT trong hệ
16
thống. Việc phân tích chủ yếu dựa trên các tập luật được định nghĩa nhưng
đồng thời cũng cần có khả năng tùy biến linh động nhằm đưa ra các kết quả
phân tích chính xác nhất.
Cập nhật các kết quả phân tích, kịp thời đưa ra các cảnh báo về các sự cố,
nguy cơ mất ATTT trong hệ thống cho người quản trị.
- Thành phần quản trị tập trung:
Cung cấp giao diện quản trị tập trung của toàn bộ hệ thống GSANM cho
người quản trị.
Hỗ trợ người quản trị dễ dàng, thuận tiện theo dõi các báo cáo kết quả phân
tích nhật ký ATTT cũng như các sự kiện ATTT xảy ra trong hệ thống.
Cung cấp các công cụ hỗ trợ người quản trị thực hiện xử lý khi các sự kiện
ATTT xảy ra nhằm hạn chế, giảm thiểu rủi ro, hậu quả mà các sự kiện
ATTT gây ra cho hệ thống.
Giải pháp quản lý sự kiện và an ninh thông tin (SIEM) mang lại một số lợi ích như
sau:
- Tăng hiệu quả sử dụng các thông tin về sự kiện, log an ninh cho các cán bộ phụ
trách an ninh, vận hành hệ thống: Giải pháp SIEM cho phép thu thập, chuẩn hóa
log từ nhiều nguồn, giao diện quản trị mạnh mẽ, tập trung giúp tăng hiệu quả
việc sử dụng các thông tin về sự kiện, log an ninh phục vụ công tác an ninh và
vận hành hệ thống
- Phát hiện nhanh sự cố và các mối đe dọa: Công cụ SIEM thu thập các thông tin
từ nhiều nguồn để phát hiện các loại tấn công tinh vi. Có thể phát hiện bất kì
thay đổi từ các hoạt động bình thường để chỉ ra các mối đe dọa sắp xảy ra và các
nguy cơ trong hệ thống. Ví dụ: bùng nổ mã độc, spam mail, xâm nhập trái phép,
dò quét, tấn công dịch vụ....
- Hỗ trợ đảm bảo tính tuân thủ về bảo mật: Công cụ SIEM thu thập tất cả các
thông tin liên quan và hiển thị qua báo cáo tuân thủ theo tiêu chuẩn.
- Đưa ra cái nhìn toàn diện về tình trạng an ninh trên hệ thống: Thông qua các báo
cáo ở các cấp độ khác nhau, giải pháp SIEM có thể đưa ra cái nhìn toàn diện về
tình trạng an ninh trên toàn hệ thống.
- Giảm thời gian, nhân lực phục vụ giám sát vận hành và an ninh: Giao diện quản
trị tập trung, tính năng phân tích mạnh mẽ giúp giảm thời gian, nhân lực phục vụ
việc giám sát vận hành và an ninh hệ thống so với các công cụ riêng rẽ khác và
cách làm thủ công
17
- Giảm chi phí hoạt động và bảo trì: Có thể quản lý, phân tích log đối với hầu hết
các hệ thống và CSDL từ nhiều nhà cung cấp khác nhau bằng một giải pháp
SIEM duy nhất. Việc này giúp các tổ chức tiết kiệm thời gian, tiền bạc so với
mua và bảo trì nhiều hệ thống giám sát và phân tích khác nhau.
Hình 1.1: Thành phần và chức năng của hệ thống GSANM
1.2. Một số giải pháp công nghệ GSANM nổi bật
1.1.4 1.2.1. Phân tích theo giải pháp công nghệ.
a. Security information management (SIM): giải pháp quản lý thông tin an ninh.
SIM thực hiện việc thu thập nhật ký (log), lưu trữ, đưa ra báo cáo (reporting) và
cảnh báo. Các nhật ký này chủ yếu là từ: hệ thống máy chủ, các ứng dụng, thiết bị
network và từ các thiết bị chuyên về Security… SIM là giải pháp thực hiện tốt các
công việc như Index dữ liệu, lưu trữ và tạo ra các báo cáo định kỳ để kiểm tra tính
tuân thủ (compliance). Các thành phần chính của SIM bao gồm: thành phần thu
thập nhật ký, thành phần lưu trữ.
- Ưu điểm:
Cung cấp giải pháp lưu trữ nhật ký an ninh cho các tổ chức.
Cho phép lưu trữ, quản lý nhật ký trong thời gian dài và báo cáo định kỳ.
Triển khai và vận hành đơn giản.
- Nhược điểm
Hạn chế trong quá trình theo dõi giám sát do không có thành phần thực hiện
việc phân tích. Các cảnh bảo đưa ra ở mức độ đơn giản.
Hệ thống không có khả năng phân tích mối tương quan giữa các sự kiện.
18
Các công cụ cho việc theo dõi, xử lý sự cố thường đơn giản, không đầy đủ.
b. Security event management (SEM): giải pháp quản lý các sự kiện an ninh. SEM
thực hiện việc xử lý log và các sự kiện an ninh từ các thiết bị gửi về bao gồm: các
thiết bị mạng (network devices), các máy chủ (Server), các ứng dụng theo thời gian
thực nhằm thực việc việc theo dõi các sự kiện an ninh xảy ra trong hệ thống. SEM
tập trung vào chuẩn hóa và phân tích tính tương quan giữ các sự kiện và thực hiện
các phản ứng đối với các sự cố an ninh thông tin. Các thành phần chính của hệ
thống bao gồm: thành phần thu thập nhật ký, thành phần phân tích nhật ký, các
module phân tích các mối đe dọa mở rộng.
- Ưu điểm:
Cho phép thu thập, phân tích các sự kiện theo thời gian thực từ nhiều hệ
thống khác nhau.
Đưa ra các cảnh báo dựa vào việc phân tích tính tương quan giữa cá sự kiện
an ninh được thu thập từ nhiều hệ thống khác nhau.
Cung cấp khả năng phản ứng khi hệ thống đưa ra cảnh báo.
- Nhược điểm:
Không có khả năng lưu trữ nhật ký trong thời gian dài.
Vận hành hệ thống phức tạp hơn SIM.
c. Security information event Management (SIEM) là giải pháp được kết hợp bởi 2
giải pháp SIM và SEM. SIEM là một giải pháp hoàn chính, đầy đủ cho phép các tổ
chức thực hiện việc giám sát các sự kiện ATTT cho một hệ thống. Các thành phần
chính của SIEM bao gồm: thành phần thu thập nhật ký, thành phần phân tích, thành
phần lưu trữ và các module phân tích các mối đe dọa mở rộng.
- Ưu điểm:
Cho phép thu thập, chuẩn hóa các sự kiện theo thời gian thực.
Cung cấp khả năng lưu trữ dài hạn, toàn diện.
Cho phép phân tích tương quan và đưa ra cảnh báo về các sự cố an ninh
thông tin phức tạp.
Dễ dàng triển khai và duy trì.
- Nhược điểm.
Là hệ thống lớn nên đòi hỏi đội ngũ vận hành phải có trình độ.
Chi phí cao khi xây dựng hệ thống lớn.
Dựa trên các phân tích trên và nhu cầu thực tế, người thực hiện đề xuất lựa chọn
công nghệ SIEM vì:
19
KHOA QUẢN TRỊ VÀ KINH DOANH
*** *** ***
BÙI NGỌC HẠNH
NGHIÊN CỨU THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP
GIÁM SÁT CHO HỆ THỐNG AN NINH THÔNG TIN
CỦA PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH
CÔNG AN THÀNH PHỐ HÀ NỘI
LUẬN VĂN THẠC SĨ
QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)
Hà Nội - 2017
ĐẠI HỌC QUỐC GIA HÀ NỘI
KHOA QUẢN TRỊ VÀ KINH DOANH
*** *** ***
BÙI NGỌC HẠNH
NGHIÊN CỨU THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP
GIÁM SÁT CHO HỆ THỐNG AN NINH THÔNG TIN
CỦA PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH
CÔNG AN THÀNH PHỐ HÀ NỘI
Chuyên ngành: Quản trị an ninh phi truyền thống
Mã số: Chương trình thí điểm
LUẬN VĂN THẠC SĨ
QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)
NGƯỜI HƯỚNG DẪN KHOA HỌC: Thiếu tướng,TS. NGUYỄN THẾ BÌNH
Hà Nội - 2017
CAM KẾT
Tác giả cam kết rằng kết quả nghiên cứu trong luận văn là kết quả lao động của chính
tác giả thu được trong thời gian học và nghiên cứu và chưa công bố trong bất kỳ một
chương trình nghiên cứu nào của người khác.
Những kết quả nghiên cứu và tài liệu của người khác (trích dẫn, bảng, biểu, công
thức, đồ thị cùng những tài liệu khác) được sử dụng trong luận văn này đã được các tác giả
đồng ý và trích dẫn cụ thể.
Tôi hoàn toàn chịu trách nhiệm trước Hội đồng bảo vệ luận văn, Khoa quản trị và
Kinh doanh và pháp luật trước các cam kết nói trên.
Hà Nội, ngày 6 tháng 8 năm 2017
Tác giả luận văn
Bùi Ngọc Hạnh
2
LỜI CẢM ƠN
Sau thời gian học tập, nghiên cứu tại HSB, tôi đã thu nhận được những kiến thức sâu
sắc về quản trị an ninh phi truyền thống gắn với bảo vệ an ninh quốc gia và mọi mặt của
đời sống, công tác do thầy cô Khoa Quản trị và Kinh doanh - Đại học Quốc gia Hà Nội
truyền thụ.
Trong lời cảm ơn này, Tôi xin được bày tỏ sự biết ơn và cảm ơn đến các thầy cô của
HSB, đặc biệt Tôi xin gửi tới các thầy: Thượng tướng, TS. Nguyễn Văn Hưởng – Nguyên
Thứ trưởng Bộ Công an; PGS. TS. Hoàng Đình Phi – Chủ nhiệm khoa Quản trị và Kinh
doanh, Đại học quốc gia Hà Nội; Đại tá,PGS. TS. Trần Văn Hòa – Nguyên Phó cục trưởng
Cục C50 Bộ Công an, đã trang bị cho Tôi kiến thức khoa học liên ngành, sâu sắc, giúp Tôi
hoàn thiện kiến thức
Tôi xin tỏ lòng biết ơn chân thành đến: Thiếu tướng, TS. Nguyễn Thế Bình – Phó
Tổng cục trưởng Tổng cục Hậu Cần Kỹ thuật, Bộ Công an, người đã tận tình hướng dẫn và
giúp đỡ tôi trong suốt thời gian học tập, nghiên cứu thực hiện đề tài.
Tôi xin trân trọng cảm ơn Ban Giám đốc, các đơn vị trong Công an thành phố Hà
Nội đã tạo điều kiện, giúp đỡ, hỗ trợ Tôi hoàn thành khóa học và luận văn.
Xin trân trọng cảm ơn.
Hà Nội, ngày 6 tháng 8 năm 2017
Tác giả luận văn
Bùi Ngọc Hạnh
3
MỤC LỤC
MỞ ĐẦU 10
CHƯƠNG 1: HỆ THỐNG GSANM 14
1.1 Tổng quan về hệ thống GSANM 14
1.1.1. Tầm quan trọng của GSANM 14
1.1.2. Những yếu tố cần thiết cho một hệ thống GSANM 15
1.1.3. Công nghệ triển khai hệ thống GSANM 16
1.2. Một số giải pháp công nghệ GSANM nổi bật 18
1.2.1. Phân tích theo giải pháp công nghệ 18
1.2.2. Phân tích theo nhà cung cấp 20
1.3. Phương trình khoa học 24
CHƯƠNG 2: THIẾT KẾ GIẢI PHÁP GSANM CHO HỆ THỐNG MẠNG 25
TẠI PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH CATP HÀ NỘI
2.1 Các thành phần của hệ thống GSANM cho hệ thống mạng tại 25
phòng Quản lý xuất nhập cảnh CATP Hà Nội
2.1.1. Thành phần thu thập thông tin 25
2.1.2 Thành phần lưu trữ, phân tích sơ bộ 26
2.1.3. Thành phần phân tích quản trị tập trung 26
2.1.4 Các giao thức sử dụng tích hợp các thành phần trong GSANM 26
2.2. Khảo sát hệ thống mạng tại Phòng Quản lý xuất nhập cảnh 31
CATP Hà Nội
2.2.1. Mô hình hệ thống mạng 31
2.2.2. Hiện trạng hệ thống mạng 32
2.3. Phân tích, đánh giá các nguy cơ, rủi ro của hệ thống mạng tại 33
phòng Quản lý xuất nhập cảnh CATP Hà Nội, xác định các thành
phần cần thực hiện giám sát
2.3.1. Phân tích, đánh giá các rủi ro của hệ thống thống mạng tại phòng 33
Quản lý xuất nhập cảnh CATP Hà Nội
2.3.2. Thành phần cần thực hiện giám sát 42
CHƯƠNG 3: TRIỂN KHAI XÂY DỰNG HỆ THỐNG GSANM CHO HỆ 43
THỐNG MẠNG TẠI PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH
CATP HÀ NỘI
3.1. Đề xuất giải pháp, mô hình hệ thống GSANM phù hợp cho hệ 43
thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội
3.1.1. Các yêu cầu đối với hệ thống GSANM phù hợp 43
3.1.2. Đề xuất giải pháp 44
3.2. Xây dựng hệ thống GSANM 58
4
3.2.1. Xây dựng thành phần phân tích quản trị tập trung- ArcSight ESM 58
3.2.2. Xây dựng thành phần lưu trữ, phân tích sơ bộ - ArcSight Logger 58
3.2.3. Xây dựng thành phần thu thập thông tin – ArcSight Connector 58
3.2.4. Cấu hình tích hợp các thành phần 58
3.3. Một số chính sách thực hiện giám sát 59
KẾT LUẬN 64
4.1. Đánh giá hiệu quả của hệ thống GSANM đã xây dựng 64
4.2. Những khó khăn, tồn tại của hệ thống GSANM đã xây dựng 64
4.3. Hướng phát triển giải pháp, mở rộng hoàn thiện hệ thống 64
GSANM
TÀI LIỆU THAM KHẢO 66
5
DANH MỤC TỪ VIẾT TẮT
STT Thuật Ngữ/Từ Viết Tắt Giải thích từ ngữ
1 AD Active Directory (Microsoft)
2 APT Advanced Persistent Threat
3 ATANTT An toàn an ninh thông tin
4 ATTT An toàn thông tin
5 BGP Giao thức định tuyến (Border Gateway Protocol)
6 BTTTT Bộ Thông tin và Truyền thông
7 CATP Công an thành phố
8 CGI Chuẩn kết nối chương trình ứng dụng với
webserver (Common Gateway Interface)
9 CIFS Common Internet File System
10 CNTT Công nghệ Thông tin
11 CPU Bộ xử lý trung tâm (Central Processing Unit)
12 CSDL Cơ sở dữ liệu
13 DDoS Tấn công từ chối dịch vụ phân tán (Distributed
Denial of Service)
14 DHCP Giao thức cấu hình động máy chủ (Dynamic Host
15 DNS Hệ thống tên miền (Domain Name System)
16 DoS Tấn công từ chối dịch vụ (Denial of Service)
17 ESM Enterprise Security Management
18 FTP Giao thức truyền tập tin (File Transfer Protocol)
19 GSANM Giám sát an ninh mạng
20 GSM Hệ thống thông tin di động toàn cầu (Global
System for Mobile Communications)
21 GUI Giao diện người dùng đồ họa (Graphical User
Interface)
22 HOST Máy chủ
23 HTML Ngôn ngữ đánh dấu siêu văn bản (HyperText
Markup Language)
24 HTTP Giao thức truyền siêu văn bản (Hypertext
Transfer Protocol)
6
25 ICMP Giao thức bản tin điều khiển Internet (Internet
Control Message Protocol)
26 ID Định danh (Identifier)
27 IDS Hệ thống phát hiện xâm nhập (Intrusion
Detection System)
28 IM Tin nhắn nhanh (Instant Messaging)
29 IMAP Giao thức truy cập thông điệp Internet (Internet
30 ISO International Organization for Standardization
31 LAN Local Area Network (mạng cục bộ)
32 LDAP Lightweight Directory Access Protocol
33 NAS Network Attached Storage
34 NFS Network File System
35 NIST National Institute of Standards and Technology
(Viện Tiêu chuẩn và Kĩ thuật Quốc gia - Hoa Kỳ)
36 NIST SP NIST Special Publication
37 POP3 Post Office Protocol 3 (giao thức nhận thư điện
tử)
38 RAID Redundant Array of Independent Disks
39 SAN Storage Area Network
40 SCAP Security Content Automation Protocol (Giao thức
tự động bảo mật nội dung)
41 SEM Security Event Management (Quản lý Sự kiện
Bảo mật)
42 SIEM Security Information and Event Management
(Quản lý Thông tin và Sự kiên Bảo mật)
43 SIM Security Information Management (Quản lý
Thông tin Bảo mật)
44 SMTP Simple Mail Transfer Protocol (giao thức chuẩn
gửi thư điện tử)
45 TTĐT Thông tin Điện tử
46 TTTHDL Trung Tâm Tích hợp Dữ liệu
50 VPN Virtual Private Network (mạng riêng ảo)
51 WAN Wide area network (mạng diện rộng)
7
DANH MỤC HÌNH VẼ
Hình 1.1: Thành phần và chức năng của hệ thống GSANM 18
Hình 2.1: Mô hình hoạt động hệ thống GSANM tại phòng quản lý xuất nhập cảnh 25
Hình 2.2: Sơ đồ logic mạng tổng thể tại Phòng Quản lý xuất nhập cảnh CATP 31
Hình 3.1: ArcSight SIEM – 4 bước để đảm bảo an toàn 47
Hình 3.2: Mẫu dữ liệu nhật ký dạng nguyên thủy 49
Hình 3.3: Mẫu dữ liệu nhật ký sau khi được ArcSight chuẩn hóa 49
Hình 3.4: ArcSight chuẩn hóa nhật ký thành 1 định dạng chung CEF 49
Hình 3.5: Các kỹ thuật ArcSight sử dụng để phân tích tương quan (Correlation) 50
Hình 3.6: ArcSight Identity View 51
Hình 3.7: ArcSight phân tích và phát hiện Trojan and Botnet detection - 1 52
Hình 3.8: ArcSight phân tích và phát hiện Trojan and Botnet detection – 2 52
Hình 3.9: ArcSight Use-cases 53
Hình 3.10: Giao diện theo dõi ArcSight Dashboard 54
Hình 3.11: Giám sát bùng nổ WORM trong mạng 54
Hình 3.12: Giám sát việc phát tán Mã độc trong hệ thống 55
Hình 3.13: Giao diện quản lý thông báo, cảnh báo an ninh 56
Hình 3.14: Mô hình triển khai logic của giải pháp 57
Hình 3.15: Mẫu cảnh báo tình trạng mất kết nối cổng mạng tại màn hình giám sát 59
Hình 3.16: Mẫu thư điện tử cảnh báo tình trạng mất kết nối cổng mạng 59
Hình 3.17: Mẫu báo cáo các cảnh báo của Firewall 60
Hình 3.18: Mẫu báo cáo Vmware Events 61
Hình 3.19: Mẫu cảnh báo Brute Force Login 62
Hình 3.20: Mẫu báo cáo Trend Micro spam rules 63
8
DANH MỤC BẢNG BIỂU
Bảng 2.1: Thông tin cần nắm bắt khi giám sát một TTTHDL
9
CHƯƠNG MỞ ĐẦU
1. Tính cấp thiết của đề tài
Ngày nay, cùng với sự phát triển của công nghệ thông tin, việc đẩy mạnh ứng dụng
công nghệ thông tin, phát triển hạ tầng hệ thống mạng thông tin điện tử trong mỗi cơ quan,
tổ chức ngày càng tăng cao giúp nâng cao hiệu quả hoạt động mang lại nhiều lợi ích thiết
thực cho cơ quan, tổ chức. Bên cạnh với những lợi ích đạt được, hệ thống mạng thông tin
điện tử trong các cơ quan cũng phải đối đầu với rất nhiều nguy cơ, thách thức mất an toàn
ngày càng tăng cao như các cuộc tấn công mạng ngày càng trở lên tinh vi, phức tạp, sự gia
tăng nhanh chóng của các phần mềm độc hại … gây ảnh hưởng không nhỏ tới tính an toàn,
tính bí mật, tính sẵn sàng của thông tin và thiết bị, tài nguyên, dịch vụ trong hệ thống.
Đồng thời, với xu hướng phát triển công nghệ trong thời gian gần đây, các cuộc tấn
công mạng ngày càng mang động cơ chính trị và kinh tế rõ ràng, các hệ thống thông tin
điện tử (TTĐT) trong các cơ quan tổ chức nhà nước đang trở thành những môi trường với
nhiều nguy cơ mất an toàn thông tin (ATTT). Ngày càng nhiều báo cáo, nghiên cứu cho
thấy xu hướng phát triển của hình thức tấn công APT mà Việt Nam đang là một mục tiêu.
Theo công ty bảo mật FireEye, các cơ quan báo chí, các cơ quan chính phủ Việt Nam, các
ngân hàng … đang là đối tượng tấn công của APT 30, APT 64 trong 10 năm qua với mục
đích lấy cắp dữ liệu nhạy cảm.
Vì vậy, cùng với xu hướng phát triển trên thì việc đảm bảo an toàn, an ninh thông tin
cho các cơ quan, tổ chức, mang lại sự hoạt động ổn định của các tài nguyên và ứng dụng,
công tác đẩy mạnh công nghệ thông tin đạt hiệu quả cao và giảm thiểu các rủi ro, thiệt hại
đang là vấn đề rất cấp thiết.
Hiện nay, cùng chung với tình hình trong và ngoài nước như trên, phòng Quản lý
xuất nhập cảnh CATP Hà Nội với đặc thù vừa là một cơ quan có nhiều thông tin quan
trọng, vừa là đơn vị cung cấp dịch vụ trên internet (Hộ chiếu, Lưu trú…) cũng phải đối mặt
với nhiều khó khăn, nguy cơ mất ATANTT trong hệ thống mạng thông tin điện tử tại
phòng Quản lý xuất nhập cảnh CATP Hà Nội. Đặc biệt lĩnh vực quản lý xuất nhập cảnh là
một lĩnh vực đặc thù và trong tình hình mới khi tội phạm đa quốc gia, nạn khủng bố đang
hoạt động một cách mạnh mẽ, nạn di dân... công tác quản lý xuất nhập cảnh phải hết sức
chặt chẽ, tránh các sơ hở, lộ lọt thông tin cấm xuất, cấm nhập... có ý nghĩa hết sức quan
trọng trong bảo vệ an ninh quốc gia và điểm yếu từ quản lý hệ thống thông tin xuất nhập
cảnh dễ bị lợi dụng. Đây cũng là ý nghĩa quan trọng trong mối liên kế giữa an ninh phi
truyền thống và an toàn, an ninh thông tin trong khuôn khổ phạm vi của đề tài này.
10
2. Tổng quan tình hình nghiên cứu
Hiện nay trong thực tế, hầu hết trong các cơ quan, tổ chức tại Việt Nam đều chưa có
được một giải pháp có thể giám sát, đánh giá tổng thể về tình hình hoạt động và mức độ an
toàn, an ninh thông tin trong đơn vị.
Để có thể đánh giá tổng thể và toàn cảnh về an toàn, an ninh thông tin (ATANTT)
của một cơ quan, tổ chức, thì việc thu thập, phân tích và lưu trữ các sự kiện ATTT từ các.
thiết bị, dịch vụ và ứng dụng như là hết sức cần thiết. Tuy nhiên, số lượng sự kiện ATTT
được tạo ra bởi các thiết bị an ninh và toàn bộ hệ thống là rất lớn, với các kiểu định dạng
khác nhau và giá trị thông tin mang lại cũng khác nhau. Các thiết bị khác nhau có thể tạo ra
báo cáo ở các góc độ khác nhau về cùng một sự cố ATTT.
Song song với hệ thống thiết bị kỹ thuật, yếu tố con người và môi trường làm việc có
thể dẫn đến việc một số thông tin cảnh báo quan trọng bị bỏ qua, các sự cố ATTT mạng
không được xử lý kịp thời... gây ra thiệt hại lớn cho cơ quan, tổ chức.
Đối với riêng hệ thống của phòng Quản lý xuất nhập cảnh CATP Hà Nội có quy mô
hơn 100 máy tính cá nhân và hơn 20 máy chủ dịch vụ trong hệ thống mạng, phòng Quản lý
xuất nhập cảnh CATP Hà Nội bước đầu đã có sự quan tâm nhất định tới vấn đề đảm bảo
ATANTT bằng việc đã đầu tư, triển khai một số biện pháp tăng cường bảo mật cho hệ
thống như các thiết bị tường lửa thế hệ mới (Firewall), các thiết bị IDS/IPS, hệ thống
phòng chống mã độc/thư rác, hệ thống kiểm soát truy cập web… Tuy nhiên, trong thực tế
hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội còn gặp rất nhiều khó
khăn trong việc có thể phát hiện, ngăn chặn và xử lý các sự cố gây mất ATANTT điển hình
như: tình trạng lộ lọt tài liệu, thông tin nhạy cảm; các máy tính bị nhiễm mã độc mặc dù đã
có cảnh báo của phần mềm phòng chống; tình trạng dịch vụ cung cấp trên mạng (thư điện
tử, các dịch vụ công …) còn chưa thực sự ổn định để đáp ứng nhu cầu khai thác của cán bộ
và người dân; việc tra cứu, tổng hợp thông tin về tình trạng hoạt động của hệ thống mạng
để theo dõi là rất khó khăn …
Bởi vậy, cần có một hệ thống cho phép theo dõi, giám sát tình trạng hoạt động và các
nguy cơ gây mất ATANTT trong hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP
Hà Nội, đó chính là hệ thống giám sát an ninh mạng (GSANM). Hệ thống giám sát an ninh
mạng quản lý và phân tích các sự kiện ATTT, thực hiện thu thập, chuẩn hóa, lưu trữ và
phân tích tương quan toàn bộ các sự kiện ATTT được sinh ra từ các thành phần trong hạ
tầng công nghệ thông tin. Hệ thống giám sát an ninh mạng có thể thực hiện được các
nhiệm vụ sau:
11
Phát hiện kịp thời các tấn công mạng xuất phát từ Internet cũng như các tấn công
xuất phát trong nội bộ.
Phát hiện kịp thời các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch
vụ trong hệ thống.
Phát hiện kịp thời sự lây nhiễm mã độc trong hệ thống mạng, các máy tính bị
nhiễm mã độc, các máy tính bị tình nghi là thành viên của mạng máy tính ma (botnet).
Giám sát việc tuân thủ chính sách an ninh trong hệ thống.
Cung cấp bằng chứng số phục vụ công tác điều tra sau sự cố.
Như vậy, ta có thể thấy việc nghiên cứu triển khai xây dựng hệ thống giám sát an
ninh mạng trong các cơ quan tổ chức như phòng Quản lý xuất nhập cảnh CATP Hà Nội là
rất cấp thiết, đó sẽ là công cụ hiệu quả trong việc hỗ trợ giám sát và phát hiện sớm các
nguy cơ, các sự cố gây mất ATANTT và hỗ trợ điều tra nguồn gốc đối với các tấn công
vào hệ thống thông tin điện tử. Qua đó giúp cho người quản trị hệ thống có thể theo dõi
thường xuyên hệ thống và sớm nhận biết các mối nguy hiểm vào hệ thống của mình. Ngoài
ra, việc triển khai xây dựng hệ thống giám sát an ninh mạng cho các cơ quan, tổ chức như
phòng Quản lý xuất nhập cảnh CATP Hà Nội là tiền đề để có thể xây dựng hệ thống giám
sát an ninh mạng cho CATP Hà Nội. Việc này có ý nghĩa to lớn trong việc chủ động đảm
bảo an toàn an ninh mạng chung, bảo vệ thông tin quốc gia trong tình hình mất ATTT diễn
ra ngày càng tinh vi, phức tạp trên toàn thế giới.
3. Mục tiêu nghiên cứu
Đề tài được thực hiện với mục tiêu nhằm tăng cường công tác đảm bảo ATTT và chủ
động đối phó với các vấn đề gây mất ATANTT tại phòng Quản lý xuất nhập cảnh CATP
Hà Nội, nghiên cứu và triển khai xây dựng hệ thống giám sát an ninh mạng trong thực tế
cho hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội.
4. Đối tượng nghiên cứu
Đề tài tập trung nghiên cứu về giám sát tài nguyên hệ thống (thiết bị mạng, máy
chủ), hoạt động truy cập mạng, hoạt động của các thiết bị bảo mật (Firewall, IDS/IPS,
Antivirus …) đồng thời triển khai thực tế hệ thống giám sát an ninh mạng tại phòng Quản
lý xuất nhập cảnh CATP Hà Nội.
5. Phạm vi nghiên cứu
Đề tài sẽ tập trung nghiên cứu một cách tổng quan về mô hình và kiến trúc bảo đảm
an toàn, an ninh thông tin đặc biệt trong hướng xây dựng hệ thống giám sát an ninh mạng.
Các vấn đề nghiên cứu trong phần này xoay quanh việc xác định các nguyên tắc để giám
12
sát an toàn, an ninh thông tin một cách toàn diện nhất với toàn bộ hệ thống từ con người,
kỹ thuật, quy trình và thủ tục.
6. Phương pháp nghiên cứu
Nghiên cứu những đặc điểm của các hệ thống hệ thống giám sát an ninh mạng nói
dung. Các giải pháp được nghiên cứu, tổng hợp từ nhiều nguồn khác nhau từ đó, tổng hợp
đưa ra giải pháp tổng thể để xây dựng hệ thống giám sát an ninh mạng giúp đảm bảo an
ninh an toàn cho hệ thống mạng phòng quản lý xuất nhập cảnh của Công an thành phố Hà
Nội.
Ngoài ra, thực hiện khảo sát, phân tích hệ thống mạng tại phòng Quản lý xuất nhập
cảnh CATP Hà Nội. Phân tích đánh giá các nguy cơ, rủi ro đối với hệ thống mạng tại
phòng Quản lý xuất nhập cảnh CATP Hà Nội. Xác định các thành phần cần được giám sát
từ đó đưa ra các yêu cầu, tiêu chí để lựa chọn, thiết kết giải pháp giám sát an ninh mạng
phù hợp. Lựa chọn, đề xuất giải pháp, công nghệ giám sát an ninh mạng phù hợp.
7. Cấu trúc luận văn
Chương I: Hệ thống giám sát an ninh mạng (GSANM)
Chương II: Thiết kế giải pháp GSANM cho hệ thống mạng tại phòng quản lý xuất
nhập cảnh CATP Hà Nội
Chương III: Triển khai xây dựng hệ thống GSANM cho hệ thống mạng phòng quản
lý xuất nhập cảnh CATP Hà Nội.
13
CHƯƠNG 1: HỆ THỐNG GIÁM SÁT AN NINH MẠNG (GSANM)
- Tổng quan lý thuyết, khái niệm cơ bản về hệ thống GSANM.
- Giới thiệu một số giải pháp GSANM nổi bật.
1.1. Tổng quan về hệ thống GSANM
Hệ thống GSANM là hệ thống quản lý và phân tích các sự kiện ATTT được sinh ra
từ các thành phần trong hạ tầng công nghệ thông tin của cơ quan/tổ chức từ đó kịp thời
phát hiện các sự cố, nguy cơ mất ATTT (các cuộc tấn công mạng, máy tính nhiễm mã độc,
các lỗ hổng bảo mật của các thiết bị/ứng dụng …), đồng thời cung cấp bằng chứng số phục
vụ công tác điều tra khi xảy ra sự cố cũng như giám sát việc tuân thủ chính sách an ninh
thông tin của các thành phần trong hệ thống thông tin của cơ quan/tổ chức.
1.1.1 1.1.1. Tầm quan trọng của GSANM
Ngày nay, hệ thống mạng có độ phức tạp ngày càng cao. Các thiết bị như router,
switch, hub đã kết nối vô số các máy con đến các dịch vụ trên máy chủ cũng như ra ngoài
Internet. Thêm vào đó là rất nhiều các tiện ích bảo mật và truyền thông được cài đặt bao
gồm cả tường lửa, mạng riêng ảo (VPN), các dịch vụ phòng chống mã độc và thư rác. Sự
hiểu biết về cấu trúc của hệ thống cũng như có được khả năng cảnh báo về hệ thống là một
yếu tố quan trọng trong việc duy trì hiệu suất cũng như tính toàn vẹn của hệ thống. Có
hàng ngàn khả năng có thể xảy ra đối với một hệ thống và quản trị viên phải đảm bảo được
rằng các nguy cơ xảy ra được thông báo một cách kịp thời và chính xác.
Hệ thống mạng không còn là một cấu trúc cục bộ riêng rẽ. Nó được xây dựng để
phục vụ các nguồn truy cập từ Internet, mạng cục bộ (LAN), mạng diện rộng (WAN), với
sự kết hợp của các thiết bị, server (máy chủ), ứng dụng chạy trên hệ thống đó.
Thực tế là các hệ thống mạng rất phức tạp và mỗi thành phần trong mạng đại diện
cho một nguy cơ ảnh hưởng đến hệ thống. Đó cũng là lý do tại sao nó cần thiết phải được
giám sát để giảm thiểu tối đa các nguy cơ tiềm tàng. Tuy nhiên không phải mọi vấn đề đều
có thể được giải quyết một cách chủ động trước bất kỳ dấu hiệu cảnh báo nào. Nhưng nếu
ta có thể giám sát hệ thống trong thời gian thực thì có thể xác định các vấn đề trước khi
chúng trở nên nguy hiểm hơn. Ví dụ, một máy chủ bị quá tải có thể được thay thế trước khi
nó bị treo. Điều này sẽ làm giảm thiểu các nguy cơ đối với hệ thống và tăng hiệu suất làm
việc của hệ thống. Với một hệ thống GSANM, ta sẽ biết được tình trạng của tất cả các thiết
bị trên mạng mà không cần phải kiểm tra một cách cụ thể từng thiết bị và cũng nhanh
chóng xác định chính xác vấn đề khi cần thiết.
14
1.1.2 1.1.2. Những yếu tố cần thiết cho một hệ thống GSANM
Để hiểu được về hệ thống, cần một giải pháp giám sát để có thể cung cấp các thông
tin quan trọng trong thời gian thực và ở bất cứ đâu cũng như bất cứ thời điểm nào. Đối với
các doanh nghiệp, tổ chức thì cần các giải pháp đơn giản để triển khai, sử dụng. Nếu một tổ
chức yêu cầu tính sẵn sàng cao, thì cần một giải pháp tin cậy đã được triển khai và chứng
minh là hoạt động tốt.
Hệ thống mạng ngày nay có rất nhiều thiết bị trên hệ thống và phải thu thập rất nhiều
thông tin liên quan. Chính vì vậy cần một giải pháp hiển thị hệ thống như bản đồ mạng,
báo cáo dữ liệu, cảnh báo sự cố. Bên cạnh việc xử lý sự cố dễ dàng hơn, điều này sẽ giúp
tận dụng mạng lưới dữ liệu để hiểu được các xu hướng trong việc sử dụng thiết bị, sử dụng
mạng, và dung lượng mạng tổng thể để thiết kế hệ thống mạng lưới hiệu quả.
Theo NIST SP 800-137 [7], các bước trong tiến trình giám sát liên lục gồm:
- Xác định chiến lược: định nghĩa chiến lược theo chính sách rủi ro của tổ chức,
xây dựng và triển khai các chính sách, phát triển các thủ tục và các mẫu để hỗ
trợ thực hiện chiến lược và chính sách.
- Thiết lập đo lường và các đại lượng đo: thiết lập những thông số và tình trạng
của các thành phần cần xác thực/không xác thực trên mạng để thu thập các thông
tin cho hoạt động giám sát như tình trạng hoạt động của thiết bị, các giao tiếp
vào ra, phân bố các dòng dữ liệu (flow), .... Các đối tượng được giám sát như
giám sát nguồn/đích và lưu lượng luồng dữ liệu, giám sát các dịch vụ như các
cổng, các giao thức, giám sát các loại dữ liệu như các sơ sở dữ liệu, thư điện tử,
...
- Thiết lập giám sát và theo dõi thường xuyên: Giám sát và kiểm soát các đại
lượng và các phép đo thường xuyên dựa trên một số thông tin như: các rủi ro về
hệ thống của tổ chức, thông tin về các mối nguy và lỗ hổng bảo mật, kiểm soát
các điểm yếu đã được nhận diện, kiểm soát các chức năng bảo mật quan trọng,
kết quả nhận diện các rủi ro, các yêu cầu báo cáo, ...
- Thực hiện giám sát: thu thập thông tin đã thiết lập cho hoạt động giám sát.
- Phân tích các thông tin (dữ liệu) có liên quan và lập báo cáo: dữ liệu được phân
tích trong ngữ cảnh như các rủi ro của tổ chức đã được chấp nhận, các điểm yếu
tiềm ẩn trong các quá trình vận hành hệ thống mạng của của tổ chức.
- Phản ứng với các rủi ro như từ chối, chuyển, hoặc chấp nhận. Cảnh báo là một
trong những bước đầu tiên quan trọng của việc phản ứng. Dựa trên đó, người
15
quản trị hoặc người có trách nhiệm sẽ thực hiện các hành động tiếp theo trực tiếp
tại chỗ hay từ xa như tiếp tục theo dõi, xử lý, thay đổi, xoá ...
- Xem xét lại và cập nhật chiến lược và chương trình giám sát.
Các bước này cần được lưu ý và triển khai trong các hệ thống GSANM. Tuỳ theo
điều kiện và yêu cầu thực tế mà hệ thống GSANM ở mỗi tổ chức sẽ được hoạch định và
triển khai khác nhau theo các tiêu chí khác nhau.
1.1.3 1.1.3. Công nghệ triển khai hệ thống GSANM
Có nhiều công nghệ được dùng cho các hệ thống GSANM. Tuy nhiên, có thể phân thành
3 nhóm công nghệ cơ bản thường dùng cho các hệ thống các hệ thống GSANM liên tục:
- Thu thập dữ liệu trực tiếp về tình trạng hoạt động của mạng thông qua các giao
thức như ICMP, SNMP, Syslog, NetFlow, ...
- Tổng hợp và Phân tích bằng giải pháp SIEM (Quản lý sự kiện và thông tin bảo
mật), quản lý qua Dashboard.
- Tự động hoá: giao thức SCAP (Security Content Automation Protocol - Giao
thức tự động bảo mật nội dung).
Hiện nay, có khá nhiều công cụ, giải pháp được phát triển phục vụ cho các hệ thống
GSANM với các mục đích đặc thù khác nhau. Tuy nhiên, nhìn chung các hệ thống
GSANM thường được xây dựng dựa trên một trong ba nhóm giải pháp sau: Giải pháp quản
lý thông tin an ninh (SIM), Giải pháp quản lý sự kiện an ninh (SEM) và Giải pháp quản lý
và phân tích sự kiện an ninh (SIEM). Trong đó SIEM đang được coi là giải pháp tổng thể
phù hợp nhất để xây dựng hệ thống GSANM.
Hệ thống SIEM thường bao gồm các thành phần chính với các chức năng như sau:
- Thành phần thu thập nhật ký (nhật ký ATTT):
Thực hiện thu thập toàn bộ các nhật ký cần thiết của các thành phần trong hệ
thống công nghệ thông tin (bao gồm các thiết bị/ứng dụng).
Chuẩn hóa các thông tin nhật ký thu thập được phục vụ công tác lưu trữ và
phân tích sau này.
Chuyển toàn bộ thông tin nhật ký thu thập được sau khi chuẩn hóa tới thành
phần lưu trữ và phân tích.
- Thành phần lưu trữ và phân tích:
Tập hợp, lưu trữ tập trung các thông tin nhật ký ATTT từ các nguồn thu
thập khác nhau.
Thực hiện phân tích, so sánh tính tương quan của toàn bộ các thông tin nhật
ký ATTT đã tập hợp nhằm phát hiện các sự cố, nguy cơ mất ATTT trong hệ
16
thống. Việc phân tích chủ yếu dựa trên các tập luật được định nghĩa nhưng
đồng thời cũng cần có khả năng tùy biến linh động nhằm đưa ra các kết quả
phân tích chính xác nhất.
Cập nhật các kết quả phân tích, kịp thời đưa ra các cảnh báo về các sự cố,
nguy cơ mất ATTT trong hệ thống cho người quản trị.
- Thành phần quản trị tập trung:
Cung cấp giao diện quản trị tập trung của toàn bộ hệ thống GSANM cho
người quản trị.
Hỗ trợ người quản trị dễ dàng, thuận tiện theo dõi các báo cáo kết quả phân
tích nhật ký ATTT cũng như các sự kiện ATTT xảy ra trong hệ thống.
Cung cấp các công cụ hỗ trợ người quản trị thực hiện xử lý khi các sự kiện
ATTT xảy ra nhằm hạn chế, giảm thiểu rủi ro, hậu quả mà các sự kiện
ATTT gây ra cho hệ thống.
Giải pháp quản lý sự kiện và an ninh thông tin (SIEM) mang lại một số lợi ích như
sau:
- Tăng hiệu quả sử dụng các thông tin về sự kiện, log an ninh cho các cán bộ phụ
trách an ninh, vận hành hệ thống: Giải pháp SIEM cho phép thu thập, chuẩn hóa
log từ nhiều nguồn, giao diện quản trị mạnh mẽ, tập trung giúp tăng hiệu quả
việc sử dụng các thông tin về sự kiện, log an ninh phục vụ công tác an ninh và
vận hành hệ thống
- Phát hiện nhanh sự cố và các mối đe dọa: Công cụ SIEM thu thập các thông tin
từ nhiều nguồn để phát hiện các loại tấn công tinh vi. Có thể phát hiện bất kì
thay đổi từ các hoạt động bình thường để chỉ ra các mối đe dọa sắp xảy ra và các
nguy cơ trong hệ thống. Ví dụ: bùng nổ mã độc, spam mail, xâm nhập trái phép,
dò quét, tấn công dịch vụ....
- Hỗ trợ đảm bảo tính tuân thủ về bảo mật: Công cụ SIEM thu thập tất cả các
thông tin liên quan và hiển thị qua báo cáo tuân thủ theo tiêu chuẩn.
- Đưa ra cái nhìn toàn diện về tình trạng an ninh trên hệ thống: Thông qua các báo
cáo ở các cấp độ khác nhau, giải pháp SIEM có thể đưa ra cái nhìn toàn diện về
tình trạng an ninh trên toàn hệ thống.
- Giảm thời gian, nhân lực phục vụ giám sát vận hành và an ninh: Giao diện quản
trị tập trung, tính năng phân tích mạnh mẽ giúp giảm thời gian, nhân lực phục vụ
việc giám sát vận hành và an ninh hệ thống so với các công cụ riêng rẽ khác và
cách làm thủ công
17
- Giảm chi phí hoạt động và bảo trì: Có thể quản lý, phân tích log đối với hầu hết
các hệ thống và CSDL từ nhiều nhà cung cấp khác nhau bằng một giải pháp
SIEM duy nhất. Việc này giúp các tổ chức tiết kiệm thời gian, tiền bạc so với
mua và bảo trì nhiều hệ thống giám sát và phân tích khác nhau.
Hình 1.1: Thành phần và chức năng của hệ thống GSANM
1.2. Một số giải pháp công nghệ GSANM nổi bật
1.1.4 1.2.1. Phân tích theo giải pháp công nghệ.
a. Security information management (SIM): giải pháp quản lý thông tin an ninh.
SIM thực hiện việc thu thập nhật ký (log), lưu trữ, đưa ra báo cáo (reporting) và
cảnh báo. Các nhật ký này chủ yếu là từ: hệ thống máy chủ, các ứng dụng, thiết bị
network và từ các thiết bị chuyên về Security… SIM là giải pháp thực hiện tốt các
công việc như Index dữ liệu, lưu trữ và tạo ra các báo cáo định kỳ để kiểm tra tính
tuân thủ (compliance). Các thành phần chính của SIM bao gồm: thành phần thu
thập nhật ký, thành phần lưu trữ.
- Ưu điểm:
Cung cấp giải pháp lưu trữ nhật ký an ninh cho các tổ chức.
Cho phép lưu trữ, quản lý nhật ký trong thời gian dài và báo cáo định kỳ.
Triển khai và vận hành đơn giản.
- Nhược điểm
Hạn chế trong quá trình theo dõi giám sát do không có thành phần thực hiện
việc phân tích. Các cảnh bảo đưa ra ở mức độ đơn giản.
Hệ thống không có khả năng phân tích mối tương quan giữa các sự kiện.
18
Các công cụ cho việc theo dõi, xử lý sự cố thường đơn giản, không đầy đủ.
b. Security event management (SEM): giải pháp quản lý các sự kiện an ninh. SEM
thực hiện việc xử lý log và các sự kiện an ninh từ các thiết bị gửi về bao gồm: các
thiết bị mạng (network devices), các máy chủ (Server), các ứng dụng theo thời gian
thực nhằm thực việc việc theo dõi các sự kiện an ninh xảy ra trong hệ thống. SEM
tập trung vào chuẩn hóa và phân tích tính tương quan giữ các sự kiện và thực hiện
các phản ứng đối với các sự cố an ninh thông tin. Các thành phần chính của hệ
thống bao gồm: thành phần thu thập nhật ký, thành phần phân tích nhật ký, các
module phân tích các mối đe dọa mở rộng.
- Ưu điểm:
Cho phép thu thập, phân tích các sự kiện theo thời gian thực từ nhiều hệ
thống khác nhau.
Đưa ra các cảnh báo dựa vào việc phân tích tính tương quan giữa cá sự kiện
an ninh được thu thập từ nhiều hệ thống khác nhau.
Cung cấp khả năng phản ứng khi hệ thống đưa ra cảnh báo.
- Nhược điểm:
Không có khả năng lưu trữ nhật ký trong thời gian dài.
Vận hành hệ thống phức tạp hơn SIM.
c. Security information event Management (SIEM) là giải pháp được kết hợp bởi 2
giải pháp SIM và SEM. SIEM là một giải pháp hoàn chính, đầy đủ cho phép các tổ
chức thực hiện việc giám sát các sự kiện ATTT cho một hệ thống. Các thành phần
chính của SIEM bao gồm: thành phần thu thập nhật ký, thành phần phân tích, thành
phần lưu trữ và các module phân tích các mối đe dọa mở rộng.
- Ưu điểm:
Cho phép thu thập, chuẩn hóa các sự kiện theo thời gian thực.
Cung cấp khả năng lưu trữ dài hạn, toàn diện.
Cho phép phân tích tương quan và đưa ra cảnh báo về các sự cố an ninh
thông tin phức tạp.
Dễ dàng triển khai và duy trì.
- Nhược điểm.
Là hệ thống lớn nên đòi hỏi đội ngũ vận hành phải có trình độ.
Chi phí cao khi xây dựng hệ thống lớn.
Dựa trên các phân tích trên và nhu cầu thực tế, người thực hiện đề xuất lựa chọn
công nghệ SIEM vì:
19