Nghiên cứu phát triển hệ thống giám sát cảnh báo và hỗ trợ xử lý cho điều hành mạng viễn thông tự động cấp tỉnh

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG --- TRẦN CÔNG THÀNH NGHIÊN CỨU PHÁT TRIỂN HỆ THỐNG GIÁM SÁT CẢNH BÁO VÀ HỖ TRỢ XỬ LÝ CHO ĐIỀU HÀNH MẠNG VIỄN THÔNG TỰ ĐỘNG CẤP TỈNH Chuyên ngàn

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

-

TRẦN CÔNG THÀNH

NGHIÊN CỨU PHÁT TRIỂN HỆ THỐNG GIÁM SÁT CẢNH BÁO VÀ HỖ TRỢ XỬ LÝ CHO ĐIỀU HÀNH MẠNG VIỄN THÔNG TỰ ĐỘNG CẤP TỈNH

Chuyên ngành: Truyền dữ liệu và mạng máy tính

Mã số: 60.48.15

TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI - 2012

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: PGS.TSKH HOÀNG ĐĂNG HẢI

Phản biện 1: ……… Phản biện 2: ………

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc: giờ ngày tháng năm

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

MỞ ĐẦU

Trong những năm gần đây cùng với sự phát triển của khoa học công nghệ, viễn thông và công nghệ thông tin, đã làm thay đổi cơ bản đến hoạt động xã hội, hoạt động kinh doanh và giải trí của con người Ngày càng nhiều khách hàng sử dụng các dịch vụ viễn thông băng rộng, tốc độ cao như điện thọai truyền hình, IPTV, truyền hình theo yêu cầu (VOD), Internet tốc độ cao (xDSL, FTTx)

Đồng thời, các hãng truyền thông đã nghiên cứu chế tạo

và đưa ra thị trường nhiều loại thiết bị viễn thông công nghệ mới, cung cấp các dịch vụ tiện ích cho con người Bên cạnh đó

là các hệ thống viễn thông đa dạng với nhiều chủng loại, rất khó khăn cho việc giám sát, điều hành và khai thác thiết bị của đơn vị cung cấp dịch vụ Số nhân lực bố trí trực thông tin, khai thác quản lý mạng nhiều nhưng vẫn không hiệu quả do mạng lưới được quản lý riêng rẽ, không đồng bộ, qua nhiều bộ phận nên phải trao đổi thông tin tác nghiệp nhiều, dẫn đến nhiều sai sót

Trong khi đó, việc xử lý sự cố an toàn thông tin trên mạng còn nhiều bất cập do chưa được chú trọng đúng mức, chưa có khả năng giám sát được các nguy cơ tấn công nên khả năng phát hiện sớm và thông báo về sự cố còn nhiều hạn chế

Chính vì lẽ đó, cần có một hệ thống kỹ thuật theo dõi giám sát an toàn mạng nhằm nâng cao năng lực phát hiện, cảnh

báo các sự cố an toàn thông tin trên mạng Đây đang là một vấn

đề cấp bách đặt ra đối với mạng Viễn thông tỉnh

Để có một hệ thống như vậy cần xây dựng các loại thiết

bị có khả năng thu thập thông tin an toàn mạng (Hệ thống giám sát cảnh báo và hỗ trợ xử lý cho điều hành mạng Viễn thông tự động) Phần mềm này này bao gồm phần cứng/phần mềm lắng nghe, theo dõi và thu thập các thông tin phản ánh các dấu hiệu mất an toàn thông tin trên mạng

Mục đích của đề tài (các kết quả cần đạt được):

Trên cơ sở nghiên cứu triển khai chương trình, mong muốn của đề tài sẽ xem các cảnh báo về điểm yếu, mã độc, lỗ hổng do các chương trình chống Virus gài ở các Server hoặc các máy trạm của mạng máy tính toàn Viễn thông tỉnh truyền

về Server trung tâm, xử lý tập trung từ đó lọc các cảnh báo và đưa ra báo cáo hoặc thông qua SMS gửi đến bộ phận chuyên trách để xử lý ngay, nhằm nâng cao hiệu qủa mạng lưới và đáp ứng nhu cầu ngày càng lớn về sử dụng mạng trong sản xuất kinh doanh của Viễn thông Hưng Yên

Luận văn được chia làm các chương như sau:

Chương 1 Nghiên cứu khảo sát hiện trạng và phân tích nhu cầu mạng VNPT Hưng Yên

Nghiên cứu hiện trạng hệ thống quản lý điều hành mạng lưới Viễn thông, phân tích đánh giá các hạn chế, nhu cầu giám sát cảnh báo các tấn công mạng từ đó đưa ra nhu cầu phát triển

Chương 3 Phát triển hệ thống giám sát cảnh báo và

hỗ trợ xử lý cho điều hành mạng VNPT Hưng Yên tự động

Đề xuất mô hình hệ thống, giải pháp thu thập thông tin

về các điểm yếu, mã độc, sự cố tấn công mạng

Hệ thống luồng thông tin, Truyền gửi Các bản tin chứa thông tin phục vụ giám sát cảnh báo, thu thập dữ liệu, định dạnh dữ liệu báo cáo, thống kê,

Quy trình (các thuật toán ) thu thập thông tin, hiển thị cảnh báo, hỗ trợ xử lý

Nội dung 4 Một số kết quả thử nghiệm hệ thống tại VNPT Hưng Yên

Trình bày một số kết quả thử nghiệm tại

Kết luận và hướng phát triển tiếp

CHƯƠNG 1: NGHIÊN CỨU KHẢO SÁT HIỆN TRẠNG

VÀ PHÂN TÍCH NHU CẦU

1.1 Nghiên cứu hiện trạng hệ thống quản lý điều hành mạng lưới VNPT Hưng Yên

Hiện tại VNPT Hưng Yên có 360 nhân viên với 08 Phòng ban, Trung tâm chức năng và 12 đơn vị thành viên trực thuộc bao gồm 10 Trung tâm Viễn thông các Huyện-Thành Phố, Trung tâm Dịch vụ khách hàng và Trung tâm Chuyển mạch Truyền dẫn trải khắp địa bàn tỉnh với nhiều hệ thống viễn thông được đầu tư đa dạng với nhiều chủng loại:

Hệ thống tổng đài TDM: EWSD,E10,AXE…

Hệ thống truyền dẫn quang: Huawei, Alcatel, Fujitsu…

Hệ thống XDSL, MSAN: Alcatel, Huawei, Siemens…

Hệ thống MANE: Cisco, Huawei

Hệ thống BTS VNP: Motorola, Huawei, Siemens, Ericson, ZTE…

Hệ thống Switch layer2: Alcatel, Huawei, Cisco…

Hệ thống mạng ĐHSXKD: Cisco, Huawei, IBM, HP,…

Riêng trong hệ thống mạng ĐHSXKD ngoài các hệ thống phần cứng nêu trên kết nối các trung tâm huyện, các hệ thống thiết bị viễn thong nêu trên, điểm đại lý và kết nối ra mạng ngoài mạng ĐHSXKD của VNPT Hưng Yên như: Trung tâm thanh khoản, ban kế toán, Công ty Vinaphone, Học viện

BCVT, Tập đoàn Bưu Chính Viễn Thông và một số đối tác khác Số nút mạng tham gia vào mạng ĐHSXKD hơn 1.500 nút mạng với nhiều Server Ứng dụng:

Hệ thống quản lý mạng ngoài vi và điều hành sửa chữa 119; Phát triển thuê bao; Tính cước và in hóa đơn; Quản lý thu

nợ và chăm sóc khách hàng; Quản lý và điều hành công việc (AIS); Kế toán; Thi trắc nghiệm; Quản lý thuê bao, lấy số liệu; Quản lý database; Website, mail, virus; Tra cước Online và hệ thống giám sát điều hành mạng viễn thông tự động AOMC

Mỗi loại hệ thống thiết bị lại có một hệ thống quản lý NMS hỗ trợ giám sát, khai thác riêng rẽ, các cảnh báo không thống nhất, dẫn đến tình trạng nhân viên khai thác hệ thống xử

lý khai báo cầu hình thiết bị bị chậm trễ

Các hệ thống giám sát, quản lý thiết bị chỉ được cài đặt tại các host điều này làm cho việc điều hành xử lý thông tin thường xuyên chậm trễ do khi xự cố xảy bộ phận điều hành cũng như cán bộ kỹ thuật trực tiếp không nắm bắt thông tin kịp thời

Số nhân lực bố trí trực thông tin, khai thác quản lý mạng nhiều nhưng vẫn không hiệu quả do mạng lưới được quản lý riêng rẽ, không đồng bộ, qua nhiều bộ phận nên phải trao đổi thông tin tác nghiệp nhiều, dẫn đến nhiều sai sót

Hệ thống quản lý phân tán nên khó khăn trong việc chuẩn hóa, tối ưu, nâng cao chất lượng mạng lưới

1.2 Phân tích đánh giá các hạn chế, nhu cầu giám

sát cảnh báo các tấn công mạng

Hiện nay mạng Internet đã trở thành một phần không thể thiếu của con người Việc học tập, vui chơi giải trí, kinh doanh, liên lạc trao đổi thông tin trên mạng đã trở thành những hành động thường ngày của mọi người Khả năng kết nối trên toàn thế giới đang mang lại thuận tiện cho tất cả mọi người, nhưng nó cũng tiềm ẩn những nguy cơ khó lường đe dọa tới mọi mặt của đời sống xã hội Việc mất trộm thông tin trên mạng gây ảnh hưởng đến tính riêng tư cho các cá nhân, những

vụ lừa đảo, tấn công từ chối dịch vụ gây ảnh hưởng lớn đến hoạt động kinh doanh cho các công ty và gây phiền toái cho người sử dụng Internet… làm cho vấn đề bảo mật trên mạng luôn là một vấn đề nóng và được quan tâm đến trong mọi thời điểm

Cho đến nay, các giải pháp bảo mật luôn được chú trọng

và đã có những đóng góp lớn trong việc hạn chế và ngăn chặn những vấn đề về bảo mật, ví dụ như Firewall ngăn chặn những kết nối không đáng tin cậy, mã hóa làm tăng độ an toàn cho việc truyền dữ liệu, các chương trình diệt virus với cơ sở dữ liệu liên tục cập nhật về những loại virus mới nhất Tuy nhiên hiện nay các vụ vi phạm bảo mật xảy ra ngày càng tinh vi hơn cùng với sự gia tăng những vụ lạm dụng, dùng sai xuất phát từ trong hệ thống mà những phương pháp bảo mật truyền thống không chống được Những điều đó dẫn đến yêu cầu phải có

một phương pháp bảo mật mới bổ trợ cho những phương pháp bảo mật truyền thống

Nhu cầu bảo vệ thông tin trên mạng Viễn thông Hưng Yên có thể chia thành ba loại như sau:

Bảo mật: Những thông tin có giá trị về kinh tế, quân

sự, chính sách vv cần được giữ kín

Tính toàn vẹn: Thông tin không bị mất mát hoặc sửa

đổi, đánh tráo

Tính kịp thời: Yêu cầu truy nhập thông tin vào đúng

thời điểm cần thiết

Trong các yêu cầu này, thông thường yêu cầu về bảo mật được coi là yêu cầu số 1 đối với thông tin lưu trữ trên mạng Tuy nhiên, ngay cả khi những thông tin này không được giữ bí mật, thì những yêu cầu về tính toàn vẹn cũng rất quan trọng không một cá nhân, một tổ chức nào lãng phí tài nguyên vật chất và thời gian để lưu trữ những thông tin mà không biết

về tính đúng đắn của những thông tin đó

Bảo vệ các tài nguyên sử dụng trên mạng:

Trên thực tế trong các cuộc tấn công trên Internet kẻ tấn công sau khi đã làm chủ hệ thống bên trong sẽ sử dụng các máy tính này để phục vụ cho mục đích cá nhân của mình hoặc dùng để tiếp tục tấn công các hệ thống khác

Bảo vệ uy tín của đơn vị:

Như trên đã nêu, một phần lớn các cuộc tấn công không được thông báo rộng rãi, và một trong những nguyên nhân là nỗi lo bị mất uy tín của các tổ chức, đặc biệt là các công ty lớn

và các cơ quan quan trọng trong bộ máy nhà nước Trong trường hợp người quản trị hệ thống chỉ được biết đến sau khi chính hệ thống của mình được dùng làm bàn đạp để tấn công các hệ thống khác, thì tổn thất về uy tín là rất lớn và có thể để lại hậu quả lâu dài

Trước thực tế đó nhu cầu đảm bảo an tòan cho các máy tính, mạng được kết nối vào Internet càng trở nên vô cùng cấp thiết Nhiều quốc gia trên thế giới đó phải xây dựng các Trung tâm giám sát thông tin trên mạng Internet để từ đó phát hiện các nguy cơ gây mất an tòan cho người sử dụng và đưa ra các cảnh báo, các biện pháp ngăn chặn kịp thời

1.3 Phân tích nhu cầu phát triển hệ thống giám sát cảnh báo

Hệ thống giám sát cảnh báo, phát hiện xâm nhập trái phép và hỗ trợ xử lý cho điều hành mạng Viễn thông tự động là một phương pháp có khả năng chống lại các kiểu tấn công mới, các vụ lạm dụng, dùng sai xuất phát từ trong hệ thống và có thể hoạt động tốt với các phương pháp bảo mật truyền thống Nó đã được nghiên cứu, phát triển và ứng dụng từ lâu trên thế giới và

đã thể hiện vai trò quan trọng trong các chính sách bảo mật Tuy nhiên ở Việt Nam hiện nay hệ thống phát hiện xâm nhập trái phép vẫn mới đang được nghiên cứu, vẫn chưa được ứng

dụng vào trong thực tế Nguyên nhân của việc này có thể do các hệ thống hiện nay quá phức tạp, tốn thời gian đào tạo để sử dụng, cũng có thể do nó là những hệ thống lớn, yêu cầu nhiều trang thiết bị, nhiều công sức để quản lý bảo dưỡng, không phù hợp với điều kiện của các hệ thống ở Việt Nam hiện nay

Chương trình hiện nay chủ yếu tập hợp giám sát quản lý thiết bị, các lỗi xẩy ra và từ đó đưa ra thông báo cần xử lý, chưa

có giám sát cảnh báo các lỗ hổng, các nguy cơ bị tấn công,…một khi hệ thống bị tấn công hoặc bị nghiễm Virus (Ví dụ: hệ thống tổng đài ngừng hoạt động, hệ thống máy chủ bị tấn công không vận hành được) dẫn đến ngừng việc hoạt động sản xuất kinh doanh và các sự cố này chưa được tập hợp tập chung, Xuất phát nhu cầu thực tế này cần phát triển thêm phần giám sát cảnh báo và hỗ trợ xử lý lỗi sự cố tấn công tập chung

Từ những vấn đề nêu trên, tôi thực hiện luận văn này với mong muốn không chỉ nghiên cứu những đặc trưng cơ bản của hệ thống cảnh báo và hỗ trợ xử lý cho điều hành mạng Viễn thông tự động với vai trò là phương pháp mới bổ sung cho những phương pháp hiện tại, mà còn có thể xây dựng được một phần mềm phù hợp với điều kiện của Việt Nam và có thể ứng dụng vào thực tiễn nhằm đảm bảo sự an toàn cho các hệ thống

và chất lượng dịch vụ cho người dùng

CHƯƠNG 2: KHÁI QUÁT VỀ HỆ THỐNG GIÁM SÁT ĐIỀU HÀNH MẠNG VNPT HƯNG YÊN

2.1 Mô hình kiến trúc hệ thống giám sát điều hành mạng

2.1.1 Kiến trúc hệ thống

Mô hình kiến trúc 3 mức của hệ CSDL gồm: Mức trong, mức mô hình dữ liệu (Mức quan niệm) và mức ngoài Giữa các mức tồn tại các ánh xạ quan niệm trong và ánh xạ quan niệm ngoài Trung tâm của hệ thống là mức quan niệm, tức là mức mô hình dữ liệu Ngoài ra còn có khái niệm người

sử dụng, hệ quản trị CSDL và người quản trị CSDL

Người sử dụng: Là những người tại thiết bị đầu cuối

truy nhập vào các hệ CSDL theo chế độ trực tuyến hay tương tác bằng các chương trình ứng dụng hay bằng các ngôn ngữ con

dữ liệu Thường là các chuyên viên kỹ thuật tin học, có trình độ thành thạo biết lập trình và biết sử dụng ngôn ngữ con thao tác

dữ liệu (SQL Server, Oracle ) Người sử dụng có thể truy nhập toàn bộ hay một phần CSDL mà họ quan tâm, phụ thuộc vào quyền truy nhập của họ Cách nhìn CSDL của người sử dụng nói chung là trìu tượng Họ nhìn CSDL bằng mô hình ngoài, gọi là mô hình con dữ liệu

Mô hình ngoài:Mô hình ngoài là nội dung thông tin của

CSDL dưới cách nhìn của người sử dụng Là nội dung thông tin của một phần dữ liệu tác nghiệp đựơc một người hoặc một nhóm người sử dụng quan tâm Nói cách khác, mô hình ngoài

mô tả cách nhìn dữ liệu của người sử dụng và mỗi người sử dụng có cách nhìn dữ liệu khác nhau Nhiều mô hình ngoài khác nhau có thể cùng tồn tại trong một hệ CSD, nghĩa là có nhiều người sử dụng chia sẻ chung cùng một cơ sở dữ liệu

Mô hình ngoài được xác định bởi một sơ đồ ngoài bao gồm các mô tả về kiểu bản ghi ngoài như tên các trường, kiểu

dữ liệu các trường, độ rộng của trường

• Ngôn ngữ con dữ liệu của người sử dụng thao tác trên các bản ghi ngoài

• Người sử dụng khác nhau có khung nhìn dữ liệu khác nhau

• Người sử dụng đầu cuối có thể là các ứng dụng hay thao tác trực tiếp bằng ngôn ngữ thao tác, truy vấn dữ liệu

Mô hình dữ liệu (mô hình quan niệm): Mô hình quan

niệm là cách nhìn dữ liệu một cách tổng quát của người sử dụng Nghĩa là có rất nhiều cách nhìn dữ liệu ở mô hình ngoài, nhưng chỉ có duy nhất một cách nhìn dữ liệu ở mức quan niệm Biểu diễn toàn bộ thông tin trong CSDL là duy nhất

Mô hình trong: Mô hình trong là mô hình lưu trữ vật lý

dữ liệu Chỉ có duy nhất một và chỉ một cách biểu diễn CSDL dưới dạng lưu trữ vật lý Mô hình trong là cách biểu diễn cơ sở

dữ liệu trìu tượng ở mức thấp nhất

Mô hình trong gồm nhiều xuất hiện của nhiều kiểu bản ghi lưu trữ được xác định bởi một sơ đồ trong Thông tin biểu diễn trong mô hình trong là duy nhất

2.1.2 Mô hình hệ thống

Hệ thống gồm 3 phân hệ chính: Phân hệ thu thập cảnh báo (AlarmCollections), phân hệ trung tâm (cơ sở dữ liệu database oracle, các module chuẩn hóa dữ liệu), phân hệ hiển thị (bao gốm phần mềm hiển thị AOMC và module nhắn tin điều hành SMS)

Phân hệ thu nhận dữ liệu bao gốm các windows services hoạt động độc lập với nhau, mỗi service sẽ đảm nhiệm giao tiếp, thu nhận dữ liệu cho một hệ thống viễn thông

Các services này có thể giao tiếp với các hệ thống viễn thông bằng nhiều chuẩn giao tiếp khác nhau: thông qua database, web url, web services, snmp, Rs232, X25…

2.2 Các khả năng tấn công mạng, sự cố và khả năng giám sát mạng

- Sự rò rỉ thông tin (Information leaks)

- Sự giả mạo (Falsification)

- Từ chối dịch vụ (Dinial of Service)

- Sự mạo danh (Impersonation)

- Sự tấn công (Attack)

- Tấn công trực tiếp