Luận văn thạc sĩ: NGHIÊN CỨU XÂY DỰNG HỆ THỐNG THU THẬP THÔNG TIN

SIGS Hệ thống thu thập thông tin an toàn mạng Internet.NSAIR Phân hệ tiếp nhận thông tin ATM tự động SAMS Phân hệ tiếp nhận và hỗ trợ xử lý thông báo sự cố SIG Gate Cổng tiếp nhận thông

MỤC LỤC

I.Thuật ngữ và từ viết tắt 3

II.Giới thiệu chung 5

II.1Mục tiêu của tài liệu 5

II.2Đối tượng sử dụng 5

III.Giao thức thu thập thông tin an toàn mạng - ISGP 5

III.1Mục tiêu giao thức thu thập thông tin ATM - ISGP 5

III.2Tham chiếu trên mô hình TCP/IP 5

III.3Bảo mật dữ liệu 6

III.4Lược đồ trao đổi thông tin 7

III.5Định dạng gói tin thông báo sự kiện 9

III.5.1Sự kiện chuẩn hóa 9

III.5.2Sự kiện MAC 10

III.5.3Sự kiện hệ điều hành 11

III.5.4Sự kiện dịch vụ (Service event) 12

IV.Phân tích yêu cầu hệ thống giám sát ATM 13

14

V.Kiến trúc hệ thống tiếp nhận thông tin ATM SIGS 15

V.1Thiết kế phân hệ thu thập TT ATM tự động – NSIAR 16

V.1.1Phân tích yêu cầu 16

V.1.2Thiết kế phân hệ phần mềm NSIAR 18

V.1.3Các yêu cầu khác đối với hệ thống NSAIR 27

V.2Thiết kế phân hệ hỗ trợ xử lý thông báo sự cố 28

V.2.1Tổng quan quy trình xử lý thông báo sự cố 28

V.2.2Phân tích yêu cầu phân hệ hỗ trợ xử lý thông báo sự cố 29

V.2.3Thiết kế phân hệ hỗ trợ xử lý thông báo sự cố 31

V.2.4Thiết kế cơ sở dữ liệu lưu trữ thông báo sự cố an toàn mạng 33

VI.Mô hình triển khai hệ thống theo dõi an toàn mạng 52

VII.Kiểm tra và kết quả thử nghiệm 53

VII.1Kiểm tra, thử nghiệm tiếp nhận thông tin an toàn mạng tự động 53

VII.1.1Phần mềm hỗ trợ thử nghiệm : SIGS Test Client 53

VII.1.2Nội dung và kết quả thử nghiệm 53

I.2.Thử nghiệm giả định trên môi trường mạng nội bộ số 001: 62

I.3.Thử nghiệm giả định trên môi trường mạng nội bộ số 002 63

I.3.1 Các bước tiến hành 63

I.3.2 Đánh giá thử nghiệm nội bộ số 002 64

II.Đánh giá chung cho thử nghiệm trên môi trường mạng nội bộ 64

III.KIẾM TRA THỬ NGHIỆM SO SÁNH VỚI KẾT QUẢ LÝ THUYẾT 65

VIII.Tài liệu tham khảo 66

IX.Phụ lục 01 Thiết kế giao diện quản lý thông báo sự cố 67

IX.1Giao diện chức năng dành cho người dùng 67

IX.1.1Chức năng mở thông báo mới 67

IX.2Giao diện chức năng dành cho quản trị hệ thống 72

IX.2.1Khung nhìn dành cho Admin 73

IX.2.2Khung nhìn dành cho chuyên viên 78

IX.3Giao diện chức năng dành cho cán bộ quản lý 85

IX.4Giao diện các chức năng dành cho chuyên viên 86

SIGS Hệ thống thu thập thông tin an toàn mạng Internet.

NSAIR Phân hệ tiếp nhận thông tin ATM tự động

SAMS Phân hệ tiếp nhận và hỗ trợ xử lý thông báo sự cố

SIG Gate Cổng tiếp nhận thông tin an toàn mạng

SIPS Hệ phần mềm tác nghiệp xử lý thông tin theo dõi - thống

kê - cảnh báo và điều khiển ISGP Giao thức thu thập thông tin an toàn mạng (Giao thức

được xây dựng riêng trên cơ sở TCP/IP để phục vụ trao đổi thông tin an toàn mạng giữa SIGS và các thiết bị sensor chuyên dụng).

Sensor Thiết bị cảm biến chuyên dụng để thu nhận hoặc phát hiện

tấn công mạng.

TT ATM Thông tin an toàn mạng – bao gồm các thông tin có khả

năng phản ánh diễn biến, tình hình an toàn mạng Thông tin an toàn mạng có thể là thông tin về băng thông, số liệu

về các kết nối v.v….

Event Sự kiện an toàn thông tin

Risk Rủi ro an toàn thông tin

Incident Sự cố an toàn thông tin

Alarm Cảnh báo an toàn thông tin

II Giới thiệu chung

II.1 Mục tiêu của tài liệu

Trình bày thiết kế và xây dựng hệ thống tiếp nhận thông tin an toàn mạng –SIGS và giao thức thu thập thông tin an toàn mạng

II.2 Đối tượng sử dụng

Tài liệu này được cung cấp cho các đối tượng sau:

- Chuyên gia thiết kế hệ thống giám sát an toàn mạng

- Chuyên gia thiết kế và lập trình phát triển hệ thống tiếp nhận thông

tin an toàn mạng, các công cụ tích hợp một số thiết bị an toàn mạngthương mại vào hệ thống giám sát an toàn mạng

- Chuyên gia kiểm tra đánh giá, nâng cấp, sửa chữa hệ thống tiếp nhận

thông tin an toàn mạng, các công cụ tích hợp một số thiết bị an toànmạng thương mại vào hệ thống giám sát an toàn mạng

III Giao thức thu thập thông tin an toàn mạng - ISGP

III.1 Mục tiêu giao thức thu thập thông tin ATM - ISGP

Giao thức thu thập thông tin an toàn mạng được xây dựng nhằm thốngnhất, chuẩn hóa quy trình trao đổi thông tin các thiết bị sensor chuyên dụng và

hệ thống thu thập thông tin an toàn mạng một cách an toàn, chính xác thông quamôi trường mạng TCP/IP

III.2 Tham chiếu trên mô hình TCP/IP

Giao thức ISGP là giao thức tầng ứng dụng, được xây dựng dựa trên giaothức TCP, mô hình dưới đây mô tả quan hệ và phân lớp giữa ISGP với các giaothức khác

| ISGP | |HTTTP| |TFTP | | | + -+ + -+ + -+ + -+

| | | |

+ -+ + -+ + -+

| TCP | | UDP | | |

Quan hệ giữa ISGP và một số giao thức cơ bản khác

III.3 Bảo mật dữ liệu

Giao thức ISGP được xây dựng phục vụ trao đổi thông tin giữa các thiết bịsensor chuyên dụng (gọi tắt là Agent) và hệ thống tiếp nhận thông tin an toànmạng SIPS (Server) Giao thức được thiết kế đảm bảo hỗ trợ hai chế độ hoạtđộng là có bảo mật và không bảo mật Yêu cầu này xuất phát từ thực tế, bảo vệtính bí mật của thông tin trao đổi thông qua mạng là rất cần thiết, phương phápthông dụng nhất thường được sử dụng là mã hóa bằng các mô đun mã hóa vàgiải mã sử dụng các thuật toán mã hóa công khai hoặc mã hóa đối xứng đặt tạihai đầu kết nối Tuy nhiên, giải pháp này chỉ phù hợp với các hệ thống có nănglực tính toán mạnh so với lượng dữ liệu cần phải tiếp nhận do liên tục phải thựchiện các phép tính để mã hóa và giải mã dữ liệu trong khi thực tế đối với hệthống giám sát an toàn mạng thì số lượng thông tin trao đổi giữa các agent vàserver luôn luôn rất lớn và khó có hệ thống máy chủ nào có thể đáp ứng, đặc biệt

do kinh phí đầu tư trang thiết bị của đề tài nghiên cứu còn hạn chế nên khi sốlượng kết nối lớn chắc chắn sẽ xảy ra các hiện tượng quá tải tại thiết bị servertiếp nhận Do đó giao thức được thiết kết để có thể thực hiện trao đổi thông tinbằng cả hai chế độ mã hóa hoặc không mã hóa Đối với trường hợp giao thứchoạt động ở chế độ không mã hóa, thông tin trao đổi giữa agent và server sẽ vẫn

an toàn nếu như triển khai một hệ thống mạng riêng ảo VPN sử dụng công nghệIPSEC, với phương án này server sẽ không bị quá tải do việc mã hóa và giải mã

dữ liệu đã được chuyển sang cho thiết bị VPN chuyên dụng Đây cũng là hình

thức triển khi thực tế của hầu hết các hệ thống giám sát an toàn mạng thươngmại đang áp dụng hiện nay như: SSIM của Synmatec hay Argsight.

III.4 Lược đồ trao đổi thông tin

Lược đồ trao đổi thông tin bao gồm năm bước cơ bản, được mô tả như hìnhdưới đây:

Bước 1 Tạo khóa mã hóa - Generate Random key:

- Mục đích: Sinh ra một khóa mã hóa ngẫu nhiên dài 16 bytes

Bước 2 Gửi thông báo yêu cầu kết nối - CONNECT msg:

- Mục đích:

Gửi yêu cầu thiết lập kết nối từ agent tới server

- Định dạng gói tin bao gồm bốn thông tin chính

connect key=”%s” id=”%d” type=”sensor” version=”%s”\n

- Giải thích

• key: key mã hóa (xâu kí tự bất kỳ 16 bytes) đã sinh ra

• id: Số thứ tự được gán cho plugin (bắt đầu từ 1)

• Type: kiểu sensor

• version: phiên bản sensor

• ok là từ khóa xác định kết nối đã thành công

• ID là số thứ tự của plug nhận được trong lệnh kết nối

Bước 4 Thông báo lỗi - ERROR msg

- Mục đích: Server thông báo cho agent kết nối không thành công

- Định dạng gói tin

error id=”%d”\n

- Mô tả:

• Error là từ khóa của thông báo lỗi

• is là mã của sensor server đã nhận được từ trước

Bước 5 Điều khiển - CONTROL msg:

- Mục đích:

Cho phép Server gửi các lệnh điều khiển hoạt động của Agent, Agent ởđây có thể là các sensor hoặc cũng có thể là các server khác

Lệnh điều khiển này có 4 chức năng , bao gồm: Enable/Disable/Start/Stop

- Cấu trúc lệnh điều khiển:

Các thông báo lệnh điều khiển có cấu trúc như sau

• Command plugin_id=\”%d”\n

- Mô tả

Trong đó các thuật ngữ được hiểu như sau:

• Command là một trong bốn lệnh điều khiển sau:

◦ sensor-plugin-start Khởi động tiến trình được gắn với plugin

◦ sensor-plugin-stopTắt tiến trình được gắn với plugin

◦ sensor-plugin-enableBật plugin

◦ sensor-plugin-disnableTắt plugin

• plugin_id: Số thứ tự của plugin đã được gán

III.5 Định dạng gói tin thông báo sự kiện

Gói tin thông báo sự kiện là gói tin chứa nội dung thông tin mà Sensor gửi thông tin tới server các sự kiện thu nhận được

Các sự kiện được chia làm bốn loại :

- Event đã chuẩn hóa,

- Mô tả

• EVENT: từ khóa xác định thông báo kiểu sự kiện

• type: kiểu event, detector hoặc monitor

• date: thời gian phát sinh event

• plugin_id: id của plugin phát sinh event (nhận được từCONNECT msg), dùng để phân biệt giữa các plugin

• plugin_sid: plugin class, dùng để phân biệt giữa các message từ

1 plugin

• interface: giao diện mạng

• sensor: địa chỉ IP của sensor phát sinh event

• priority: mức độ ưu tiên của event (deprecated)

• protocol: một trong các giao thức TCP, UDP hoặc ICMP

• src_ip: IP nguồn của event (do sensor nhận ra)

• src_port: cổng nguồn (do sensor nhận ra)

• dst_ip: IP đích của event (do sensor nhận ra)

• dst_port: cổng đích (do sensor nhận ra)

• log: nội dung log

• data: event payload (hoặc bất cứ nội dung gì)

• username: user phát sinh event (thường dùng trong HIDS event)

• password: password cho event

• filename: file dùng trong event (thường dùng trong HIDS event)

• userdata1: các trường do user định nghĩa trong file config tối đa

9 trường với mỗi plugin Có thể chứa nội dung bất kỳ, thường làcác nội dung trong log mà không nằm trong các trường còn lại

III.5.2 Sự kiện MAC

Sự kiện MAC EVENT phát sinh khi có sự thay đổi địa chỉ MAC

- Định dạng gói tin sự kiện mác bao gồm

• host-mac-event host="183.127.115.4" interface="eth1"mac="0:4:23:80:fb:ha" vendor="Intel Corporation" date="2006-03-17 11:30:09" sensor="163.117.131.11" plugin_id="1512"plugin_sid="1" log="ip address: 163.117.155.2 interface: eth1ethernet address: 0:4:23:88:fb:8a ethernet vendor: IntelCorporation timestamp: Friday, March 17, 2006 11:30:09+0100"

- Mô tả:

• Host-mac-event : Từ khóa xác định gói tin loại MAC EVENT

• host: IP của máy phát sinh event

• mac: địa chỉ MAC (dạng hexa)

• vendor: nhà sản xuất

• sensor: địa chỉ IP của sensor phát sinh event

• interface: giao diện mạng

• date: thời gian

• plugin_id: Mã Plugin (giá trị mặc định là 1512)

• log: nhật ký

• Các trường được dành riêng:

• userdata1: Bản sao của trường mac

• userdata2: Bản sao của trường vendor

III.5.3 Sự kiện hệ điều hành

Thông báo sự thay đổi trong hệ điều hành

- Định dạng biểu diễn:

• host-os-event host="192.168.1.81" os="Windows" 12-23 22:56:13" sensor="192.168.1.10" plugin_id="1511" plugin_sid="1" log="Windows XP" interface="eth1"

date="2006 Mô tả:

• Host-os-event : Từ khóa xác định gói tin loại OS Event

• host: IP của máy phát sinh event

• os: tên hệ điều hành (Windows, Linux )

• sensor: địa chỉ IP của sensor phát sinh event

• interface: giao diện mạng

• date: thời gian

• plugin_id: Mã Plugin (giá trị mặc định là 1512)

• log: nhật ký

• Các trường được dành riêng:

• userdata1: bản sao của trường os

III.5.4 Sự kiện dịch vụ (Service event)

Lưu lại thông tin các máy tính trong mạng, khi các ứng dụng được chạy, hoặc các cổng được mở

- Định dạng biểu diễn:

• host-service-event host="192.168.1.77" sensor="192.168.1.10"interface="eth1" port="80" protocol="6" service="www"application="CCO/4.0.3 (Unix) tomcat" date="2006-03-2707:59:54" plugin_id="1516" plugin_sid="1"log="blablablablabla"

- Mô tả:

• host: IP của máy phát sinh event

• sensor: địa chỉ IP của sensor phát sinh event

• interface: giao diện mạng

• port: Cổng được mở trong máy host

• protocol: một trong các giao thức TCP, UDP hoặc ICMP

• service: Tên loại dịch vụ ở cổng được nêu trong port (www,http )

• application: Tên ứng dụng thực thi dịch vụ

• date: thời gian phát sinh event

• plugin_id: Thường là 1516

• plugin_sid: Do OSSIM server gán giá trị

• log: nhật ký

• Các trường được dành riêng:

• userdata1: Bản sao của trường application

• userdata2: Bản sao của trường service

IV Phân tích yêu cầu hệ thống giám sát ATM

Thiết kế tổng thể hệ thống giám sát ATM bao gồm năm thành phần chínhsau đây:

- Hệ thống tiếp nhận thông tin an toàn mạng – SIGS:

Phân hệ thu thập thông tin an toàn mạng tự động SIGS bao gồm hai thànhphần chính đóng vai trò tiếp nhận hai loại thông báo sự cố với đặc tínhkhác nhau, bao gồm:

+ Phân hệ thu thập thông tin an toàn mạng tự động (NSIAR) có chức năngtiếp nhận thông tin an toàn mạng từ các phần mềm thu thập thông tin antoàn mạng và sensor tự phát triển

+ Phân hệ thu thập thông tin từ các kênh thông báo (SAM) có chức năng

hỗ trợ tiếp nhận và xử lý các thông báo sự cố an toàn mạng

- Phân hệ các bộ cảm biến giám sát chuyên dụng

- Phân hệ phần mềm chuyên dụng thu thập thông tin

- Phần mềm thu thập thông tin từ các thiết bị bảo vệ mạng thương mại

- Phân hệ cơ sở dữ liệu và phần mềm xử lý thông tin trung tâm

- Phân hệ hỗ trợ chỉ huy và điều hành ứng cứu sự cố

V Kiến trúc hệ thống tiếp nhận thông tin ATM SIGS

Sơ đồ cấu trúc chung của hệ thống

Hệ thống tiếp nhận thông tin an toàn mạng SIGS bao gồm hai thành phầnchính đóng vai trò tiếp nhận hai loại thông báo sự cố với đặc tính khác nhau, baogồm:

+ Phân hệ thu thập thông tin an toàn mạng tự động (NSIAR) có chức năngtiếp nhận thông tin an toàn mạng từ các phần mềm thu thập thông tin antoàn mạng và sensor tự phát triển

+ Phân hệ thu thập thông tin từ các kênh thông báo (SAM) có chức năng

hỗ trợ tiếp nhận và xử lý các thông báo sự cố an toàn mạng Phân hệ nàybao gồm hai module:

* Cổng tiếp nhận thông báo sự cố an toàn mạng từ người sử dụng

* Module hỗ trợ xử lý các thông báo sự cố an toàn mạng – BGC

V.1 Thiết kế phân hệ thu thập TT ATM tự động – NSIAR

V.1.1 Phân tích yêu cầu

V.1.1.1 Yêu cầu chung

Phân hệ NSIAR có nhiệm vụ chính là tự động thu thập các sự kiện an toànmạng do mạng lưới sensor và phần mềm thu thập an toàn mạng cung cấp để lưutrữ vào cơ sở dữ liệu để phục vụ cho hoạt động nghiệp vụ giám sát, phân tích và

xử lý các sự cố an toàn mạng NSIAR cũng phải cho phép khả năng mở rộngtrong tương lai để có thể tiếp nhận các sự kiện an toàn mạng từ các nguồn cungcấp khác nhau như: các sản phẩm bảo vệ an toàn mạng thương mại, mã nguồnmở; các hệ thống giám sát an toàn trong và ngoài nước v.v

Về mặt quản lý và điều khiển, NSIAR không có giao diện quản lý riêng,đây là một dịch vụ nền, cần được thiết kế để dễ dàng tích hợp với hệ thống SIPS

để tiếp nhận các lệnh điều khiển đồng thời không làm ảnh hưởng hoạt động tớicác dịch vụ khác trên cùng hệ thống

NSIAR phải đáp ứng khả năng kết nối được tới trên 50 sensor với khả năngtiếp nhận 100.000 sự kiện an toàn mạng mỗi ngày

V.1.1.2 Môi trường phát triển

Hệ thồng được phát triển trên môi trường mã nguồn mở, cụ thể như sau:

- Hệ điều hành: Linux Kernel version 2.6.32

- Hệ quản trị cơ sở dữ liệu : MySQL Version 5.1.41

- Ngôn ngữ lập trình : C

- Nền tảng phát triển ứng dụng : Glib & GTK+

V.1.1.3 Dữ liệu đầu vào

Dữ liệu đầu vào của phân hệ NSIAT bao gồm:

- Yêu cầu thiết lập kênh kết nối từ sensor và phần mềm thu thập thông tin

an toàn mạng gửi tới NSIAR

- Sự kiện an toàn mạng từ sensor và phần mềm thu thập thông tin an toàn mạng gửi tới NSIAR

- Các lệnh điều khiển từ SIPS gửi tới NSIAR,

V.1.1.4 Dữ liệu đầu ra

Dữ liệu đầu ra của hệ thống bao gồm:

- Các sự kiện an toàn mạng được lưu trữ vào cơ sở dữ liệu

- Các lệnh điều khiển gửi tới sensor

V.1.1.5 Các tác nhân của hệ thống

Tác nhân liên quan đến phân hệ NSIAR bao gồm:

- Các sensor chuyên dụng: cung cấp sự kiện an toàn mạng phát hiện được cho NSIAR

- Các phần mềm thu thập thông tin an toàn mạng: Cung cấp các sự kiện an toàn mạng thu thập từ các sản phẩm đảm bảo an toàn mạng thương mại như IDS, Antivirus và Firewall

- Một số thiết bị an toàn mạng khác: NSIAR có khả năng tiếp nhận trực tiếpthông tin an toàn mạng từ một số loại thiết bị/ phần mềm an toàn mạng

- Phân hệ xử lý thông tin theo dõi- thống kê - cảnh báo và điều khiển

(SIPS) : Có chức năng điều khiển hoạt động của NSIAR như:

 Bật và tắt hoạt động của NSIAR

 Cập nhật danh mục sensor cung cấp sự kiện an toàn mạng

- Cở sở dữ liệu an toàn mạng : Lưu trữ các sự kiện an toàn mạng do NSIARtiếp nhận được và cung cấp cho NSIAR các thông tin liên quan đến quản

lý hoạt động

V.1.1.6 Yêu cầu về chức năng

Hệ thống NSIAR cần đáp ứng các yêu cầu chức năng sau đây:

- Tiếp nhận thông tin an toàn mạng từ các nguồn tự động:

o Kết nối với ba loại thiết bị sensor là sản phẩm của đề tài để tiếp nhận thông tin an toàn mạng

o Kết nối với phần mềm thu thập thông tin an toàn mạng từ các thiết bị thương mại

o Có khả năng mở rộng để tiếp nhận các thông tin ATM từ các nguồn cung cấp tự động khác

- Kiểm tra xác thực nguồn cung cấp thông tin

- Phân tích, giải mã và lưu trữ dữ liệu vào cơ sở dữ liệu chung phục vụ

cho công tác giám sát, phát hiện và xử lý các sự cố an toàn mạng

Có thể kết nối với 50 nguồn thông tin hay sensor tại nút mạng cấp quốc gia

và 500 nguồn thông tin từ mạng người dùng, xử lý khoảng 100.000 bản ghi mỗingày Tốc độ xử lý đáp ứng dung lượng tương đương

Hệ thống phải được trang bị các chức năng đảm bảo an toàn để hạn chếđược các rủi ro an toàn thông tin có thể xảy ra như: quản lý an toàn truy cập,phát hiện tấn công v.v…

V.1.2 Thiết kế phân hệ phần mềm NSIAR

V.1.2.1 Cơ chế hoạt động

Về cơ chế hoạt động NSIAR được xây dựng hoạt động như một dịch vụ hoạtđộng ở chế độ background trên hệ điều hành Linux Dữ liệu đầu vào và các lệnhđiều khiển được gửi tới NSIAR thông qua cổng TCP Với cơ chế hoạt động nhưtrên, NSIAR hoạt động hoàn toàn độc lập với hệ thống SIPS giảm thiểu các tácđộng bất lợi giữa các hệ thống

V.1.2.2 Phân loại thông tin đầu vào

Nguồn cung cấp thông tin an toàn mạng được phân làm hai loại:

- Loại sensor chủ động gửi thông tin tới NSIAR – Detector, các sensordetector sẽ chủ động gửi thông báo sự kiện an toàn mạng tới NSIAR khiphát hiện ra vấn đề Điển hình loại sensor này có thể kể đến như Snort,Ntop, ISS Proventia v.v…

- Loại chỉ gửi thông tin khi có yêu cầu từ NSIAR – Monitor, các sensor loạinày sẽ không chủ động gửi các thông báo sự kiện an toàn mạng tớiNSIAR Khi NSIAR cần có thông tin an toàn mạng từ các sensor này sẽgửi các lệnh yêu cầu cung cấp thông tin tới Sensor và sensor sẽ tiến hànhcác hoạt động để thu thập thông tin an toàn mạng theo yêu cầu củaNSIAR sau đó gửi lại NSIAR Điển hình loại Sensor Monitor có thể kểđến như các sensor sử dụng phần mềm nmap, phần mềm nessus v.v…Các sensor này sẽ thực hiện quét và kiểm tra một đối tượng nào đó theocác lệnh được gửi từ NSIAR tới và sau đó thu thập và phân tích kết quả đểgửi thông báo tới NSIAR

Với giai đoạn hiện nay, đề tài tập trung vào việc sử dụng các nguồn cung cấpthông tin loại Detector Tuy nhiên thiết kế hệ thống hoàn toàn có thể đáp ứngkhả năng triển khai việc thu thập thông tin an toàn mạng từ các sensor loạiMonitor

Sự kiện an toàn mạng được chia làm bốn loại cơ bản sau:

- Sự kiện an toàn mạng được chuẩn hóa: Sự kiện này do các phần mềm

thu thập thông tin an toàn mạng cung cấp, dữ liệu sau khi được truyền từcác thiết bị an toàn mạng thương mại tới phần mềm thu thập thông tin antoàn mạng sẽ được chuẩn hóa và chuyển tới hệ thu thập thông tin an toànmạng trung tâm NSIAR Sự kiện này bao gồm các thông tin sau về sựkiên ATM: Kiểu nguồn phát hiện sự kiện (Detector hoặc monitor); Thờigian; IP của sensor phát hiện; giao diện mạng; Mã của Plugin ; Mã của

Sub-Plugin; Mức độ ưu tiên; Giao thức; địa chỉ IP nguồn, cổng nguồn, địachỉ IP đích, cổng đích liên quan đến sự kiện; Log; dữ liệu; mật khẩu mãhóa, file dữ liệu liên quan; 9 trường dữ liệu dự phòng, được định nghĩatrong các plugin.

Bảng dưới đây mô tả chi tiết các trường nội dung sự kiện an toàn mạng:

dụng để mở rộng khả năng kết

dụng để mở rộng khả năng kết nối

dụng để mở rộng khả năng kết nối

dụng để mở rộng khả năng kết nối

dụng để mở rộng khả năng kết nối

userdata6 text Yes Trường dữ liệu dự phòng, sử

dụng để mở rộng khả năng kết nối

userdata7 text Yes Trường dữ liệu dự phòng, sử

dụng để mở rộng khả năng kết nối

userdata8 text Yes Trường dữ liệu dự phòng, sử

dụng để mở rộng khả năng kết nối

userdata9 text Yes Trường dữ liệu dự phòng, sử

dụng để mở rộng khả năng kết nối

- Sự kiện OS: Sự kiện liên quan đến sự thay đổi bất bình thường của hệ

điều hành, thông thường do các sản phẩm như Pof (Operationg System

anomaly detection) phát hiện ra Sự kiện OS bao gồm các thông tin cơbản: host, hệ điều hành, sensor, cổng mạng và thời gian.

- Sự kiện MAC: Sự kiện an toàn mạng liên quan đến địa chỉ mac thường

dựa thu thập từ các phần mềm giám sát arpwatch hoặc hệ thống pads Các

sự kiện này có vai trò quan trọng trong phát hiện các tấn công sử dụng kỹthuật arpwatch poisioning Sự kiện Mac bao gồm các thông tin cơ bản:host, địa chỉ mac, hãng cung cấp, sensor, cổng mạng và thời gian

- Sự kiện Service: Sự kiện liên quan đến việc cập nhật thông tin về các

cổng dịch vụ trên các thiết bị được sử dụng Sự kiện Service bao gồm cácthông tin cơ bản: host, sensor, cổng mạng, cổng dịch vụ, giao thức, dịch

vụ, ứng dụng và thời gian

V.1.2.3 Phân tích dữ liệu an toàn mạng

Dữ liệu an toàn mạng được các sensor và phần mềm thu thập thông tin antoàn mạng gửi tới NSIAR thông qua các định dạng chuẩn được mô tả chi tiếttrong giao thức trao đổi thông tin an toàn mạng Với Sensor khác nhau, thì tạiNSIAR sẽ hỗ trợ các cơ chế khác nhau để phân tích gói tin tiếp nhận được thànhcác thông tin cụ thể có thể lưu trữ vào cơ sở dữ liệu

V.1.2.4 Kiến trúc

Kiến trúc của phân hệ NSIAR bao gồm 4 module, cung cấp bốn nhóm chức năng tương ứng sau đây:

- Module tiếp nhận thông tin – NSAIR-R Module

Quản lý việc xác thực các nguồn cung cấp thông tin và trao đổi thông tin

- Module phân tích thông tin an toàn mạng – NSAIR-A Module

Phân tích các thông tin thu được để xác định các thông tin an toàn mạng

do các nguồn cung cấp khác nhau cung cấp

- Module tương tác với CSDL – NSAIR-DI Module

Cung cấp các chức năng tương tác với cơ sở dữ liệu chung của hệ thống

NSIAR, trong đó bao gồm hai chức năng chính là truy xuất và cập nhật /

lưu trữ dữ liệu vào CSDL

- Module điều khiển hoạt động – NSAIR-C Module

Tiếp nhận các lệnh điều khiển từ các phân hệ khác, kiểm tra và tạo các

lệnh điều khiển nội bộ cần thiết tới các module khác trong nội bộ

NSAIR-C

V.1.2.5 Lược đồ luồng dữ liệu

Luồng xử lý thông tin của NSIAR bao gồm bốn bước chính:

- Tiếp nhận và lọc các thông tin do các sensor và phần mềm an toàn mạng

thương mại theo các chuẩn cung cấp khác nhau mà hệ thống hỗ trợ Chức

năng này do mô đun SIR thực hiện

Thông tin ATM

Configuration Files

Lược đồ luồng dữ liệu của NSIAR

Thông tin ATM

Danh mục Sensor/ PM thu thập

SIPS

SENSOR

PHÂN HỆ NSIAR

Lệnh điều khiển

- Phân tích các gói tin ATM nhận được theo các định dạng đã có và trích racác thông tin ATM, các gói tin không phân tích được sẽ bị loại bỏ.

- Lưu trữ các thông tin ATM sau khi phân tích vào CSDL lưu trữ

- Quản trị toàn bộ hoạt động của module NSIAR bao gồm việc: quản lýdanh sách các sensor và phần mềm cung cấp thông tin ATM, cấu hình cácđịnh dạng gói tin cung cấp thông tin ATM, thông tin về CSDL và cácthông tin khác

- Configuration files: các tệp tin chứa nội dung cấu hình hoạt động cho toàn

bộ thành phần NSIAR

- Cơ sở dữ liệu là cơ sở dữ liệu lưu trữ thông tin chung của toàn bộ hệthống SIGS

V.1.2.5.1 Module tiếp nhận thông tin – NSAIR-R Module

Module tiếp nhận thông tin ATM có tên viết tắt là NSAIR-R module có chứcnăng tạo cổng chờ, tiếp nhận và cập nhật tình hình hoạt động của các nguồncung cấp thông tin an toàn mạng cho phân hệ NSAIR

NSAIR-R Module bao gồm các trường hợp sử dụng chính sau đây:

- Khởi động dịch vụ tiếp nhận thông tin ATM

- Khởi động lại dịch vụ tiếp nhận thông tin ATM

- Đóng cổng tiếp nhận

- Xác thực kênh kết nối

- Tạo kênh trao đổi thông tin

- Đóng kênh trao đổi thông tin

V.1.2.5.2 Module phân tích thông tin – NSAIR-A Module

Module NSAIR-A có chức năng phân tích các thông tin thu nhận được đểtrích ra các thông tin về an toàn mạng theo các định dạng chuẩn đã được quyđịnh theo các lược đồ trong cơ sở dữ liệu Với mỗi định dạng truyền tin khácnhau, thì hệ thống NSAIR-A sẽ có một lược đồ phân tích tương ứng phù hợp,với cơ chế quản lý linh động này thì khi định dạng truyền tinh với sensorhoặc các phần mềm thu thập thông tin ATM được nâng cấp, thay đổi thìNSAIR-A không phải thay đổi nhiều mà chỉ cần bổ sung lược đồ phân tíchthông tin mới, tương tự như vậy NSAIR-A cũng có thể phân tích cả các gói

tin do các phần mềm / thiết bị ATM thương mại khác được trực tiếp gửi đếnSIGS hoặc NSAIR-C nếu có được lược đồ định dạng thông tin truyền.

NSAIR-A bao gồm các trường hợp sử dụng cơ bản sau đây:

- Cập nhật lược đồ phân tích thông tin

- Phân tích thông tin

V.1.2.5.3 Module tương tác cơ sở dữ liệu – NSAIR-DI Module

Module NSAIR-DI có chức năng thực hiện tương tác với hệ thống CSDLchung của SIGS để truy xuất và lưu trữ dữ liệu, hỗ trợ hoạt động cho các module

xử lý nghiệp vụ khác trong phân hệ NSAIR

NSAIR-DI có hai chức năng chính:

- Tiếp nhận các yêu cầu truy xuất và lưu trữ dữ liệu từ các module kháctrong phân hệ NSAIR-DI

- Truy xuất dữ liệu từ CSDL

- Lưu dữ liệu vào CSDL

- Gửi thông tin phản hồi đến các yêu cầu truy xuất dữ liệu từ các modulekhác trong phân hệ NSAIR-DI

V.1.2.5.4 Module điều khiển hoạt động – NSAIR-C Module

Hoạt động phân hệ NSAIR bao gồm các dịch vụ nội bộ hoạt động chế độnền, không hỗ trợ giao diện điều khiển trực tiếp cho người sử dụng tới các dịch

vụ nội bộ kể trên Thông qua hệ thống giao diện của SIPS, người sử dụng có thểgửi một số lệnh điều khiển tới các dịch vụ của NSAIR như lệnh khởi động, khởiđộng lại dịch vụ tiếp nhận thông tin; thay đổi các dịch vụ phân tích thông tin;sửa đổi, cập nhật danh mục các nguồn cung cấp thông tin v.v… Các lệnh điềukhiển không được SIPS gửi trực tiếp đến các dịch vụ thi thành của NSAIR nhưNSAIR-A hay NSAIR-R mà được thực thi thông qua module điều khiểnNSAIR-C Module này có chức năng tiếp nhận các lệnh điều khiển từ SIPS sau

đó chuyển tới các module xử lý tác vụ phù hợp Với thiết kế này, hệ thống SIPShoàn toàn độc lập và không bị ảnh hưởng khi SIGS có các thay đổi trong nội bộ.Các trường hợp sử dụng chính của NSAIR-C bao gồm:

- Cập nhật danh sách các nguồn cung cấp thông tin ATM

- Mở và tắt các dịch vụ giải mã thông tin ATM

- Mở/khởi động lại và đóng dịch vụ tiếp nhận thông tin ATM.

V.1.2.6 Cấu trúc cơ sở dữ liệu lưu trữ thông tin an toàn mạng

Cấu trúc cơ sở dữ liệu lưu trữ thông tin an toàn mạng bao gồm các bảng chính sau đây:

Bảng chính được sử dụng để lưu trữ thông tin an toàn mạng là bảngEvent, bảng event có các liên kết đến các bảng dữ liệu khác như sau

Liên kết bảng plugin_reference để thực hiện các luật corrilation,

Liên kết với bảng alarm để xác định liên quan giữa các event đến cảnhbáo

Liên kết với bảng Backlog_event để hỗ trợ corrilation

Bảng Event có cấu trúc cơ sở dữ liệu như sau:

Tên trường Kiểu dữ liệu Null Khóa Ghi chú

Type Int(11) Not Null Kiểu sự kiện

V.1.3 Các yêu cầu khác đối với hệ thống NSAIR

V.1.3.1 Yêu cầu về hiệu năng

Đảm bảo hiệu năng là một trong các yếu tố rất quan trọng mà hệ thốngNSIAR phải đáp ứng do NSIAR kết nối thu thập thông tin trực tuyến với nhiềuthiết bị khác nhau bao gồm tối thiếu: 50 Sensor thu thập thông tin tại nút mạngtốc độ cao và 500 sensor thu thập thông tin an toàn mạng tại các nút mạng tốc độthấp với tốc độ đạt trên 100.000 thông tin một ngày

V.1.3.2 Yêu cầu về tài nguyên

Hệ thống cần hoạt động ổn định trên các máy chủ thông dụng có cầu hình tối thiểu sau:

CPU: Intel Xeon 2.0 Mhz

RAM: 2 GB

HDD: 50 GB Trống

Ethernet: 10/100Mbps

V.2 Thiết kế phân hệ hỗ trợ xử lý thông báo sự cố

V.2.1 Tổng quan quy trình xử lý thông báo sự cố

Quy trình xử lý thông báo sự cố được xây dựng hoàn toàn phù hợp với quytrình đảm bảo an toàn thông tin RITR, trong đó bao gồm các bước cơ bản sauđây:

Quy trình tiếp nhận và xử lý thông báo sự cố bao gồm các bước chính sau:

1 Tiếp nhận thông báo :

- Thông báo được tiếp nhận theo nhiều kênh khác nhau như: Web, Fax, Email, Tel v.v…

- Đối với các thông báo thu nhận qua hệ thống web sẽ được cập nhật trực tiếp vào cơ sở dữ liệu lưu trữ

- Đối với các thông báo thu nhận qua các kênh khác như: điện thoại, fax, email sẽ được các chuyên gia tổng hợp và cập nhật lại qua giao diện web

để đưa vào cơ sở dữ liệu

1 Tiếp nhận thông báo sự

cố ATM

2 Kiểm tra và cập nhật thông báo ATM

3 Tạo sự

cố ATM

2.1 Xóa thông báo

Thông báo

sự cố ATM

4 Xử lý sự cố ATM

5 Đóng sự cố

Lược đồ quy trình xử lý thông báo sự cố

2 Kiểm tra và cập nhật thông báo

- Thông báo sau khi được cập nhật vào cơ sở dữ liệu sẽ được các chuyênviên tiếp nhận, kiểm tra thông tin và cập nhật thêm dữ liệu cần thiết

- Các thông báo đúng và có nguy cơ xảy ra sự cố thì chuyên viên sẽ tạo racác sự cố an toàn mạng với thông tin căn cứ từ các thông báo tiếp nhậnđược

2.1 Kiểm tra và cập nhật thông báo

- Các thông báo sai hoặc không phù hợp thì sẽ được chuyên viên xóa bỏ

5 Đóng sự cố an toàn mạng

- Sau khi các sự cố an toàn mạng đã được xử lý hoàn tất, các chuyên giatiến hành đóng sự cố an toàn mạng

V.2.2 Phân tích yêu cầu phân hệ hỗ trợ xử lý thông báo sự cố

V.2.2.1 Yêu cầu về chức năng

Phân hệ được xây dựng nhằm cung cấp các chức năng tiếp nhận và xử lýcác thông báo sự cố an toàn mạng, đây là công cụ quan trọng hỗ trợ cho công tácphản ứng nhanh với các sự cố an toàn mạng xảy ra trên hệ thống mạng quốc gia.Phân hệ này cho phép cập nhật nhanh chóng thông tin để các chuyên gia có thểphát hiện được sớm các nguy cơ có khả năng bùng phát sự cố an toàn mạng.Phân hệ cần đáp ứng một số yêu cầu cụ thể sau:

- Có trang cung cấp chức năng thông báo sự cố an toàn mạng dưới dạngwebsite với giao diện đơn giản và thuận tiện để người dân có thể dễdàng cập nhật các thông báo.

- Cung cấp các chức năng cho phép chuyên gia bổ sung các thông tin cậpnhật về thông báo sự cố trong quá trình điều tra

- Cung cấp chức năng tạo ra các sự cố an toàn mạng

- Cung cấp chức năng cập nhật quá trình xử lý sự cố

- Cơ sở lưu trữ của phân hệ phải đảm bảo khả năng lưu trữ được đầy đủthông tin về báo cáo và các sự cố an toàn mạng

V.2.2.2 Đối tượng sử dụng

Đối tượng sử dụng hệ thống:

- Người dân có nhu cầu thông báo thông tin về an toàn mạng

- Các chuyên gia bảo mật

V.2.2.3 Dữ liệu

Dữ liệu đầu vào của hệ thống bao gồm

- Các thông báo sự cố từ người sử dụng

o Thông tin về người gửi thông báo

o Loại / chủ đề sự cố

o Mô tả về sự cố

o Các biện pháp đã thực hiện và kết quả

- Các thông tin cập nhật chi tiết về thông báo sự cố qua email, tin nhắnnội bộ hoặc điện thoại

Dữ liệu đầu vào của hệ thống bao gồm:

- Thông báo gửi người sử dụng về biện pháp xử lý hoặc yêu cầu về cậpnhật thêm thông tin

- Các sự cố an toàn mạng

- Các thông báo sự cố an toàn mạng

V.2.3 Thiết kế phân hệ hỗ trợ xử lý thông báo sự cố

V.2.3.1 Phân quyền sử dụng hệ thống

Đối tượng sử dụng hệ thống bao gồm hai nhóm người sử dụng:

- Tất cả người dân có thể gửi thông báo sự cố an toàn mạng qua website

- Các chuyên gia an toàn thông tin

o Các chuyên gia có quyền chuyên viên xử lý sự cố

o Các chuyên gia có quyền quản lý

o Quản trị hệ thống

V.2.3.2 Kiến trúc phân hệ SAMS

Kiến trúc phân hệ SAMS

Hệ thống SAMS bao gồm ba thành phần chính là :

- Bussiness Control gate (BCG ) Cổng nghiệp vụ quản lý thông báo ATM

- SIG Gate - Cổng thông báo sự cố an toàn mạng

- Cơ sở dữ liệu lưu trữ thông báo an toàn mạng

V.2.3.2.1 SIG Gate

SIG Gate cung cấp các chức năng cho phép người dân khai báo sự cố antoàn mạng và tiếp nhận các thông tin phản hồi về sự cố từ các chuyên gia antoàn mạng Trong đó bao gồm hai chức năng cơ bản:

- Thông báo sự cố an toàn mạng

Chức năng này cho phép tất cả người sử dụng có thể gửi thông báo sự

cố an toàn mạng tới chuyên gia an toàn mạng

- Theo dõi thông báo sự cố an toàn mạng đã gửi

Sau khi gửi thông báo sự cố an toàn mạng, người sử dụng có thể theodõi tình trạng xử lý thông báo sự cố an toàn mạng và tiếp nhận cácthông tin phản hồi từ các chuyên gia

V.2.3.2.2 Bussiness Control gate - BGC

BCG cung cấp các chức năng chính sau:

- Xem danh mục các thông báo sự cố

Các chuyên gia xử lý có thể xem các danh mục thông bao sự cố an toànmạng bao gồm một số thông tin tóm tắt như: tiêu đề sự cố, mã sự cố,thời gian tiếp nhận, tình trạng

- Xem nội dung thông báo sự cố

Các chuyên gia có thể xem nội dung chi tiết các thông báo sự cố an toànmạng

- Gửi thông tin phản hồi tới người thông báo sự cố

Các chuyên gia có thể gửi phản hồi hoặc lưu lại thông tin về các liên lạc

đã có với nguời cập nhật thông tin an toàn mạng để cập nhật dữ liệu mộtcách đầy đủ nhất để phục vụ điều tra hoặc xử lý sự cố an toàn mạng

- Tiếp nhận tin nhắn phản hồi từ người thông báo sự cố

Các chuyên gia xử lý có thể tiếp nhận các tin phản hồi từ người thôngbáo sự cố an toàn mạng

- Tạo sự cố an toàn mạng

Khi phát hiện ra các sự cố dựa trên các thông báo an toàn mạng hoặc dochính các dấu hiệu mà chuyên gia phát hiện ra, các chuyên gia có thểtạo ra các sự cố an toàn mạng.

- Cập nhật các biện pháp xử lý sự cố an toàn mạng

Các biện pháp xử lý sự cố an toàn mạng được chuyên gia lập ra để theodõi quá trình xử lý sự cố

- Cập nhật kết quả xử lý sự cố an toàn mạng

Các chuyên gia có chức năng cập nhật kết quả xử lý sự cố an toàn mạng

để làm dữ liệu theo dõi quá trình xử lý

V.2.4 Thiết kế cơ sở dữ liệu lưu trữ thông báo sự cố an toàn mạng V.2.4.1 Thiết kế nhóm các bảng dữ liệu về thông tin và sự cố ATM

1 Bảng phản hồi thông báo ATM

Nội dung thông báo phản hồi bao gồm:

- Chuyên viên;

- Người thông báo;

- Địa chỉ IP;

- Thời gian tạo phản hồi

Khóa chính: Mã phản hồi thông báo ATM (Response_id)

Khóa phụ: Mã thông báo ATM (Ticket_id); Chuyên viên (Staff_id); Ms_id

Chi tiết các trường thông tin

Nội dung chi tiết các trường thông tin bao gồm:

Tên trường Kiểu dữ liệu Null Khóa Ghi chú

- Thông tin liên hệ (Thư điện tử, địa chỉ, tên, số điện thoại )

- Đối tượng bị sự cố (Địa chỉ IP, hệ thống thiết bị bị ảnh hưởng,

mô tả sự cố)

- Tình hình xử lý thông báo sự cố

- Các mốc thời gian (Thời gian sự cố xảy ra, thời gian tiếp nhậnthông báo sự cố, thời gian trao đổi )

Khóa chính : Mã thông báo (ticket_id)

Khóa phụ : Mã đơn vị, Mã loại sự cố, Mã ưu tiên, Mã chuyên viên.

Các bảng liên kết : Bảng thông báo sự cố, bảng đơn vị, bảng chuyên viên,

bảng loại sự cố, bảng mức độ ưu tiên

Chi tiết các trường thông tin

Tên trường Kiểu dữ liệu Null Khóa Ghi chú

Topic_id Int(10) FK

quan…

Subject varchar(64) Not Null Vấn đề cần thông báo Helptopic varchar(255) Null

Ip_address Varchar(16) Not Null Địa chỉ IP

Devicescount Int(10) Not Null Số lượng thiết bị bị ảnh

hưởng

isanswered Tinyint Not Null Đã được trả lời chưa

Reportdate Datetime Not Null FK Ngày xảy ra sự cố

Lastreponse Datetime Null Thời gian gửi tin nhắn

gần nhất Created Datetime Not Null Thời gian trả lời gần nhất

3 Bảng ghi chú thông báo ATM

Tên bảng

VNCERT_TICKET_NOTE

Mô tả

Nội dung: Bảng VNCERT_TICKET_NOTE lưu các thông tin về ghi chú

do chuyên viên xử lý cập nhật thêm thông tin cho từng thông báo an toàn mạng Nội dung chính của bảng bao gồm:

- Nội dung ghi chú

- Người ghi chú

- Thông báo được ghi chú

Khóa chính : Mã ghi chú

Khóa phụ: Mã thông báo ATM (Ticket_id), Mã chuyên viên (Staff_id)Các bảng liên kết: Bảng chuyên viên và bảng thông báo ATM

Chi tiết các trường thông tin

Source Varchar(125) Not Null

4 Bảng phản hồi thông báo ATM

Nội dung thông báo phản hồi bao gồm:

- Chuyên viên;

- Người thông báo;

- Địa chỉ IP;

- Thời gian tạo phản hồi

Khóa chính: Mã phản hồi thông báo ATM (Response_id)

Khóa phụ: Mã thông báo ATM (Ticket_id); Chuyên viên (Staff_id); Ms_id

Chi tiết các trường thông tin

Nội dung chi tiết các trường thông tin bao gồm:

Tên trường Kiểu dữ liệu Null Khóa Ghi chú

Ticket_id Int(10) Not Null FK Mã thông báo

Khóa phụ: Mã Thông báo

Bảng liên kết : Bảng thông báo sự cố

Nội dung chi tiết

Tên trường Kiểu dữ liệu Null Khóa Ghi chú

Attach_id Int(10) Not Null PK Mã file đính kèm

Ref_type Varchar(1) Not Null Kiểu file đính kèm

File_size Varchar(32) Not Null Kích cỡ file

File_key Varchar(128) Not Null Trường mở rộng

6 Bảng chuyển đổi thông báo – sự cố ATM

Bảng Thông báo - Sự cố ATM bao gồm các thông tin chính sau:

- Mã của sự cố và mã của thông báo an toàn mạng liên quan

Khóa phụ: Ticket_id, Incident_id và staff_id

Chi tiết các trường thông tin

Mô tả chi tiết các trường thông tin :

Tên trường Kiểu dữ liệu Null Khóa Ghi chú

incident Text Not Null Mô tả sự cố

Devicescount Int(10) Not Null Số lượng thiết bị

an toàn mạng khác nhau Sự kiện an toàn mạng sẽ chứa nội dung chi tiết

đã xảy ra hoặc có thể xảy ra, trong khi sự cố an toàn mạng là tập hợp các

sự kiện có cùng điểm chung nào đó để thuận tiện cho chuyên viên an toànthông tin khi xử lý Nội dung mỗi sự cố an toàn thông tin bao gồm:

- Thông tin về người tạo lập

- Mức độ ưu tiên

- Loại sự cố

- Thông tin liên hệ (Thư điện tử, địa chỉ, tên, số điện thoại )

- Đối tượng bị sự cố (Địa chỉ IP, hệ thống thiết bị bị ảnh hưởng, )

- Thời gian hỏi và trả lời bổ sung thông tin sự cố

- Nguồn cung cấp thông tin

Khóa chính: Mã sự cố ATM

Khóa phụ : Mã đơn vị, Mã loại sự cố, mã ưu tiên, mã chuyên viên.

Các bảng liên kết : Bảng đơn vị, Bảng loại sự cố, bảng mức độ ưu tiên và

bảng chuyên viên

Chi tiết các trường thông tin

Tên trường Kiểu dữ liệu Null Khóa Ghi chú

Incident_id Int(10) Not Null PK Mã sự cố

Dept_id Int(10) Not Null FK Mã đơn vị xử lý sự cố Priority_id Int(10) Not Null FK Mã mức độ ưu tiên xử lý

sự cố Topic_id Int(10) Not Null FK Mã chủ đề sự có

Staff_id Int(10) Not Null FK Mã chuyên viên xử lý

Name Varchar(32) Not Null Họ tên người thông báo Subject varchar(64) Not Null Vấn đề cần thông báo Helptopic varchar(255) Null

Ip_address Varchar(16) Not Null Địa chỉ IP

Status varchar(6) Not Null Tình trạng hiện tại

systemdevice text Not Null Hệ thống thiết bị

Devicescount Int(10) Not Null Số lượng thiết bị bị ảnh

hưởng

isanswered Tinyint Not Null Đã được trả lời chưa

Incidentdate datetime Not Null Ngày xảy ra sự cố

Reportdate Datetime Not Null Ngày gửi thông báo

Lastmessage Datetime Null Thời gian gửi tin nhắn gần

nhất Lastreponse Datetime Null Thời gian trả lời gần nhất

8 Bảng hoạt động xử lý sự cố ATM

Tên bảng

VNCERT_INCIDENT_MESSAGE