Nghiên cứu thiết kế và triển khai giải pháp giám sát cho hệ thống an ninh thông tin của phòng quản lý xuất nhập cảnh – công an thành phố hà nội

Những yếu tố cần thiết cho một hệ thống GSANM 15 CHƯƠNG 2: THIẾT KẾ GIẢI PHÁP GSANM CHO HỆ THỐNG MẠNG TẠI PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH CATP HÀ NỘI 25 2.1 Các thành phần của hệ thống GSAN

ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH

*** *** ***

BÙI NGỌC HẠNH

NGHIÊN CỨU THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP GIÁM SÁT CHO HỆ THỐNG AN NINH THÔNG TIN CỦA PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH

CÔNG AN THÀNH PHỐ HÀ NỘI

LUẬN VĂN THẠC SĨ

QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)

Hà Nội - 2017

ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH

*** *** ***

BÙI NGỌC HẠNH

NGHIÊN CỨU THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP GIÁM SÁT CHO HỆ THỐNG AN NINH THÔNG TIN CỦA PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH

CÔNG AN THÀNH PHỐ HÀ NỘI

Chuyên ngành: Quản trị an ninh phi truyền thống

Mã số: Chương trình thí điểm

LUẬN VĂN THẠC SĨ

QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)

NGƯỜI HƯỚNG DẪN KHOA HỌC: Thiếu tướng,TS NGUYỄN THẾ BÌNH

Hà Nội - 2017

CAM KẾT

Tác giả cam kết rằng kết quả nghiên cứu trong luận văn là kết quả lao động của chính tác giả thu được trong thời gian học và nghiên cứu và chưa công bố trong bất kỳ một chương trình nghiên cứu nào của người khác

Những kết quả nghiên cứu và tài liệu của người khác (trích dẫn, bảng, biểu, công

thức, đồ thị cùng những tài liệu khác) được sử dụng trong luận văn này đã được các tác giả

đồng ý và trích dẫn cụ thể

Tôi hoàn toàn chịu trách nhiệm trước Hội đồng bảo vệ luận văn, Khoa quản trị và Kinh doanh và pháp luật trước các cam kết nói trên

Hà Nội, ngày 6 tháng 8 năm 2017

Tác giả luận văn

Bùi Ngọc Hạnh

LỜI CẢM ƠN Sau thời gian học tập, nghiên cứu tại HSB, tôi đã thu nhận được những kiến thức sâu sắc về quản trị an ninh phi truyền thống gắn với bảo vệ an ninh quốc gia và mọi mặt của đời sống, công tác do thầy cô Khoa Quản trị và Kinh doanh - Đại học Quốc gia Hà Nội truyền thụ

Trong lời cảm ơn này, Tôi xin được bày tỏ sự biết ơn và cảm ơn đến các thầy cô của HSB, đặc biệt Tôi xin gửi tới các thầy: Thượng tướng, TS Nguyễn Văn Hưởng – Nguyên Thứ trưởng Bộ Công an; PGS TS Hoàng Đình Phi – Chủ nhiệm khoa Quản trị và Kinh doanh, Đại học quốc gia Hà Nội; Đại tá,PGS TS Trần Văn Hòa – Nguyên Phó cục trưởng Cục C50 Bộ Công an, đã trang bị cho Tôi kiến thức khoa học liên ngành, sâu sắc, giúp Tôi hoàn thiện kiến thức

Tôi xin tỏ lòng biết ơn chân thành đến: Thiếu tướng, TS Nguyễn Thế Bình – Phó Tổng cục trưởng Tổng cục Hậu Cần Kỹ thuật, Bộ Công an, người đã tận tình hướng dẫn và giúp đỡ tôi trong suốt thời gian học tập, nghiên cứu thực hiện đề tài

Tôi xin trân trọng cảm ơn Ban Giám đốc, các đơn vị trong Công an thành phố Hà Nội đã tạo điều kiện, giúp đỡ, hỗ trợ Tôi hoàn thành khóa học và luận văn

Xin trân trọng cảm ơn

Hà Nội, ngày 6 tháng 8 năm 2017

Tác giả luận văn

Bùi Ngọc Hạnh

MỤC LỤC

1.1.2 Những yếu tố cần thiết cho một hệ thống GSANM 15

CHƯƠNG 2: THIẾT KẾ GIẢI PHÁP GSANM CHO HỆ THỐNG MẠNG

TẠI PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH CATP HÀ NỘI

25

2.1 Các thành phần của hệ thống GSANM cho hệ thống mạng tại

phòng Quản lý xuất nhập cảnh CATP Hà Nội

25

2.1.4 Các giao thức sử dụng tích hợp các thành phần trong GSANM 26 2.2 Khảo sát hệ thống mạng tại Phòng Quản lý xuất nhập cảnh

CATP Hà Nội

31

2.3 Phân tích, đánh giá các nguy cơ, rủi ro của hệ thống mạng tại

phòng Quản lý xuất nhập cảnh CATP Hà Nội, xác định các thành phần cần thực hiện giám sát

33

2.3.1 Phân tích, đánh giá các rủi ro của hệ thống thống mạng tại phòng

Quản lý xuất nhập cảnh CATP Hà Nội

33

CHƯƠNG 3: TRIỂN KHAI XÂY DỰNG HỆ THỐNG GSANM CHO HỆ

THỐNG MẠNG TẠI PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH CATP HÀ NỘI

43

3.1 Đề xuất giải pháp, mô hình hệ thống GSANM phù hợp cho hệ

thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội

43

3.1.1 Các yêu cầu đối với hệ thống GSANM phù hợp 43

3.2.1 Xây dựng thành phần phân tích quản trị tập trung- ArcSight ESM 58 3.2.2 Xây dựng thành phần lưu trữ, phân tích sơ bộ - ArcSight Logger 58 3.2.3 Xây dựng thành phần thu thập thông tin – ArcSight Connector 58

GSANM

64

DANH MỤC TỪ VIẾT TẮT

STT Thuật Ngữ/Từ Viết Tắt Giải thích từ ngữ

5 BGP Giao thức định tuyến (Border Gateway Protocol)

webserver (Common Gateway Interface)

11 CPU Bộ xử lý trung tâm (Central Processing Unit)

13 DDoS Tấn công từ chối dịch vụ phân tán (Distributed

Denial of Service)

14 DHCP Giao thức cấu hình động máy chủ (Dynamic Host

16 DoS Tấn công từ chối dịch vụ (Denial of Service)

18 FTP Giao thức truyền tập tin (File Transfer Protocol)

20 GSM Hệ thống thông tin di động toàn cầu (Global

System for Mobile Communications)

21 GUI Giao diện người dùng đồ họa (Graphical User

25 ICMP Giao thức bản tin điều khiển Internet (Internet

Control Message Protocol)

Detection System)

29 IMAP Giao thức truy cập thông điệp Internet (Internet

30 ISO International Organization for Standardization

32 LDAP Lightweight Directory Access Protocol

35 NIST National Institute of Standards and Technology

(Viện Tiêu chuẩn và Kĩ thuật Quốc gia - Hoa Kỳ)

37 POP3 Post Office Protocol 3 (giao thức nhận thư điện

tử)

40 SCAP Security Content Automation Protocol (Giao thức

tự động bảo mật nội dung)

41 SEM Security Event Management (Quản lý Sự kiện

Bảo mật)

42 SIEM Security Information and Event Management

(Quản lý Thông tin và Sự kiên Bảo mật)

Thông tin Bảo mật)

44 SMTP Simple Mail Transfer Protocol (giao thức chuẩn

gửi thư điện tử)

50 VPN Virtual Private Network (mạng riêng ảo)

DANH MỤC HÌNH VẼ

Hình 1.1: Thành phần và chức năng của hệ thống GSANM 18 Hình 2.1: Mô hình hoạt động hệ thống GSANM tại phòng quản lý xuất nhập cảnh 25 Hình 2.2: Sơ đồ logic mạng tổng thể tại Phòng Quản lý xuất nhập cảnh CATP 31 Hình 3.1: ArcSight SIEM – 4 bước để đảm bảo an toàn 47

Hình 3.3: Mẫu dữ liệu nhật ký sau khi được ArcSight chuẩn hóa 49 Hình 3.4: ArcSight chuẩn hóa nhật ký thành 1 định dạng chung CEF 49 Hình 3.5: Các kỹ thuật ArcSight sử dụng để phân tích tương quan (Correlation) 50

Hình 3.7: ArcSight phân tích và phát hiện Trojan and Botnet detection - 1 52 Hình 3.8: ArcSight phân tích và phát hiện Trojan and Botnet detection – 2 52

Hình 3.12: Giám sát việc phát tán Mã độc trong hệ thống 55 Hình 3.13: Giao diện quản lý thông báo, cảnh báo an ninh 56

Hình 3.15: Mẫu cảnh báo tình trạng mất kết nối cổng mạng tại màn hình giám sát 59 Hình 3.16: Mẫu thư điện tử cảnh báo tình trạng mất kết nối cổng mạng 59

DANH MỤC BẢNG BIỂU

Bảng 2.1: Thông tin cần nắm bắt khi giám sát một TTTHDL

CHƯƠNG MỞ ĐẦU

1 Tính cấp thiết của đề tài

Ngày nay, cùng với sự phát triển của công nghệ thông tin, việc đẩy mạnh ứng dụng công nghệ thông tin, phát triển hạ tầng hệ thống mạng thông tin điện tử trong mỗi cơ quan,

tổ chức ngày càng tăng cao giúp nâng cao hiệu quả hoạt động mang lại nhiều lợi ích thiết thực cho cơ quan, tổ chức Bên cạnh với những lợi ích đạt được, hệ thống mạng thông tin điện tử trong các cơ quan cũng phải đối đầu với rất nhiều nguy cơ, thách thức mất an toàn ngày càng tăng cao như các cuộc tấn công mạng ngày càng trở lên tinh vi, phức tạp, sự gia tăng nhanh chóng của các phần mềm độc hại … gây ảnh hưởng không nhỏ tới tính an toàn, tính bí mật, tính sẵn sàng của thông tin và thiết bị, tài nguyên, dịch vụ trong hệ thống Đồng thời, với xu hướng phát triển công nghệ trong thời gian gần đây, các cuộc tấn công mạng ngày càng mang động cơ chính trị và kinh tế rõ ràng, các hệ thống thông tin điện tử (TTĐT) trong các cơ quan tổ chức nhà nước đang trở thành những môi trường với nhiều nguy cơ mất an toàn thông tin (ATTT) Ngày càng nhiều báo cáo, nghiên cứu cho thấy xu hướng phát triển của hình thức tấn công APT mà Việt Nam đang là một mục tiêu Theo công ty bảo mật FireEye, các cơ quan báo chí, các cơ quan chính phủ Việt Nam, các ngân hàng … đang là đối tượng tấn công của APT 30, APT 64 trong 10 năm qua với mục đích lấy cắp dữ liệu nhạy cảm

Vì vậy, cùng với xu hướng phát triển trên thì việc đảm bảo an toàn, an ninh thông tin cho các cơ quan, tổ chức, mang lại sự hoạt động ổn định của các tài nguyên và ứng dụng, công tác đẩy mạnh công nghệ thông tin đạt hiệu quả cao và giảm thiểu các rủi ro, thiệt hại đang là vấn đề rất cấp thiết

Hiện nay, cùng chung với tình hình trong và ngoài nước như trên, phòng Quản lý xuất nhập cảnh CATP Hà Nội với đặc thù vừa là một cơ quan có nhiều thông tin quan trọng, vừa là đơn vị cung cấp dịch vụ trên internet (Hộ chiếu, Lưu trú…) cũng phải đối mặt với nhiều khó khăn, nguy cơ mất ATANTT trong hệ thống mạng thông tin điện tử tại phòng Quản lý xuất nhập cảnh CATP Hà Nội Đặc biệt lĩnh vực quản lý xuất nhập cảnh là một lĩnh vực đặc thù và trong tình hình mới khi tội phạm đa quốc gia, nạn khủng bố đang hoạt động một cách mạnh mẽ, nạn di dân công tác quản lý xuất nhập cảnh phải hết sức chặt chẽ, tránh các sơ hở, lộ lọt thông tin cấm xuất, cấm nhập có ý nghĩa hết sức quan trọng trong bảo vệ an ninh quốc gia và điểm yếu từ quản lý hệ thống thông tin xuất nhập cảnh dễ bị lợi dụng Đây cũng là ý nghĩa quan trọng trong mối liên kế giữa an ninh phi truyền thống và an toàn, an ninh thông tin trong khuôn khổ phạm vi của đề tài này

2 Tổng quan tình hình nghiên cứu

Hiện nay trong thực tế, hầu hết trong các cơ quan, tổ chức tại Việt Nam đều chưa có được một giải pháp có thể giám sát, đánh giá tổng thể về tình hình hoạt động và mức độ an toàn, an ninh thông tin trong đơn vị

Để có thể đánh giá tổng thể và toàn cảnh về an toàn, an ninh thông tin (ATANTT) của một cơ quan, tổ chức, thì việc thu thập, phân tích và lưu trữ các sự kiện ATTT từ các thiết bị, dịch vụ và ứng dụng như là hết sức cần thiết Tuy nhiên, số lượng sự kiện ATTT được tạo ra bởi các thiết bị an ninh và toàn bộ hệ thống là rất lớn, với các kiểu định dạng khác nhau và giá trị thông tin mang lại cũng khác nhau Các thiết bị khác nhau có thể tạo ra báo cáo ở các góc độ khác nhau về cùng một sự cố ATTT

Song song với hệ thống thiết bị kỹ thuật, yếu tố con người và môi trường làm việc có thể dẫn đến việc một số thông tin cảnh báo quan trọng bị bỏ qua, các sự cố ATTT mạng không được xử lý kịp thời gây ra thiệt hại lớn cho cơ quan, tổ chức

Đối với riêng hệ thống của phòng Quản lý xuất nhập cảnh CATP Hà Nội có quy mô hơn 100 máy tính cá nhân và hơn 20 máy chủ dịch vụ trong hệ thống mạng, phòng Quản lý xuất nhập cảnh CATP Hà Nội bước đầu đã có sự quan tâm nhất định tới vấn đề đảm bảo ATANTT bằng việc đã đầu tư, triển khai một số biện pháp tăng cường bảo mật cho hệ thống như các thiết bị tường lửa thế hệ mới (Firewall), các thiết bị IDS/IPS, hệ thống phòng chống mã độc/thư rác, hệ thống kiểm soát truy cập web… Tuy nhiên, trong thực tế

hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội còn gặp rất nhiều khó khăn trong việc có thể phát hiện, ngăn chặn và xử lý các sự cố gây mất ATANTT điển hình như: tình trạng lộ lọt tài liệu, thông tin nhạy cảm; các máy tính bị nhiễm mã độc mặc dù đã

có cảnh báo của phần mềm phòng chống; tình trạng dịch vụ cung cấp trên mạng (thư điện

tử, các dịch vụ công …) còn chưa thực sự ổn định để đáp ứng nhu cầu khai thác của cán bộ

và người dân; việc tra cứu, tổng hợp thông tin về tình trạng hoạt động của hệ thống mạng

để theo dõi là rất khó khăn …

Bởi vậy, cần có một hệ thống cho phép theo dõi, giám sát tình trạng hoạt động và các nguy cơ gây mất ATANTT trong hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP

Hà Nội, đó chính là hệ thống giám sát an ninh mạng (GSANM) Hệ thống giám sát an ninh mạng quản lý và phân tích các sự kiện ATTT, thực hiện thu thập, chuẩn hóa, lưu trữ và phân tích tương quan toàn bộ các sự kiện ATTT được sinh ra từ các thành phần trong hạ tầng công nghệ thông tin Hệ thống giám sát an ninh mạng có thể thực hiện được các nhiệm vụ sau:

 Phát hiện kịp thời các tấn công mạng xuất phát từ Internet cũng như các tấn công xuất phát trong nội bộ

 Phát hiện kịp thời các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch

vụ trong hệ thống

 Phát hiện kịp thời sự lây nhiễm mã độc trong hệ thống mạng, các máy tính bị nhiễm mã độc, các máy tính bị tình nghi là thành viên của mạng máy tính ma (botnet)

 Giám sát việc tuân thủ chính sách an ninh trong hệ thống

 Cung cấp bằng chứng số phục vụ công tác điều tra sau sự cố

Như vậy, ta có thể thấy việc nghiên cứu triển khai xây dựng hệ thống giám sát an ninh mạng trong các cơ quan tổ chức như phòng Quản lý xuất nhập cảnh CATP Hà Nội là rất cấp thiết, đó sẽ là công cụ hiệu quả trong việc hỗ trợ giám sát và phát hiện sớm các nguy cơ, các sự cố gây mất ATANTT và hỗ trợ điều tra nguồn gốc đối với các tấn công vào hệ thống thông tin điện tử Qua đó giúp cho người quản trị hệ thống có thể theo dõi thường xuyên hệ thống và sớm nhận biết các mối nguy hiểm vào hệ thống của mình Ngoài

ra, việc triển khai xây dựng hệ thống giám sát an ninh mạng cho các cơ quan, tổ chức như phòng Quản lý xuất nhập cảnh CATP Hà Nội là tiền đề để có thể xây dựng hệ thống giám sát an ninh mạng cho CATP Hà Nội Việc này có ý nghĩa to lớn trong việc chủ động đảm bảo an toàn an ninh mạng chung, bảo vệ thông tin quốc gia trong tình hình mất ATTT diễn

ra ngày càng tinh vi, phức tạp trên toàn thế giới

3 Mục tiêu nghiên cứu

Đề tài được thực hiện với mục tiêu nhằm tăng cường công tác đảm bảo ATTT và chủ động đối phó với các vấn đề gây mất ATANTT tại phòng Quản lý xuất nhập cảnh CATP

Hà Nội, nghiên cứu và triển khai xây dựng hệ thống giám sát an ninh mạng trong thực tế cho hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội

4 Đối tượng nghiên cứu

Đề tài tập trung nghiên cứu về giám sát tài nguyên hệ thống (thiết bị mạng, máy chủ), hoạt động truy cập mạng, hoạt động của các thiết bị bảo mật (Firewall, IDS/IPS, Antivirus …) đồng thời triển khai thực tế hệ thống giám sát an ninh mạng tại phòng Quản

lý xuất nhập cảnh CATP Hà Nội

5 Phạm vi nghiên cứu

Đề tài sẽ tập trung nghiên cứu một cách tổng quan về mô hình và kiến trúc bảo đảm

an toàn, an ninh thông tin đặc biệt trong hướng xây dựng hệ thống giám sát an ninh mạng Các vấn đề nghiên cứu trong phần này xoay quanh việc xác định các nguyên tắc để giám

sát an toàn, an ninh thông tin một cách toàn diện nhất với toàn bộ hệ thống từ con người,

kỹ thuật, quy trình và thủ tục

6 Phương pháp nghiên cứu

Nghiên cứu những đặc điểm của các hệ thống hệ thống giám sát an ninh mạng nói dung Các giải pháp được nghiên cứu, tổng hợp từ nhiều nguồn khác nhau từ đó, tổng hợp đưa ra giải pháp tổng thể để xây dựng hệ thống giám sát an ninh mạng giúp đảm bảo an ninh an toàn cho hệ thống mạng phòng quản lý xuất nhập cảnh của Công an thành phố Hà Nội

Ngoài ra, thực hiện khảo sát, phân tích hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội Phân tích đánh giá các nguy cơ, rủi ro đối với hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội Xác định các thành phần cần được giám sát

từ đó đưa ra các yêu cầu, tiêu chí để lựa chọn, thiết kết giải pháp giám sát an ninh mạng phù hợp Lựa chọn, đề xuất giải pháp, công nghệ giám sát an ninh mạng phù hợp

7 Cấu trúc luận văn

Chương I: Hệ thống giám sát an ninh mạng (GSANM)

Chương II: Thiết kế giải pháp GSANM cho hệ thống mạng tại phòng quản lý xuất nhập cảnh CATP Hà Nội

Chương III: Triển khai xây dựng hệ thống GSANM cho hệ thống mạng phòng quản

lý xuất nhập cảnh CATP Hà Nội

CHƯƠNG 1: HỆ THỐNG GIÁM SÁT AN NINH MẠNG (GSANM)

- Tổng quan lý thuyết, khái niệm cơ bản về hệ thống GSANM

- Giới thiệu một số giải pháp GSANM nổi bật

1.1 Tổng quan về hệ thống GSANM

Hệ thống GSANM là hệ thống quản lý và phân tích các sự kiện ATTT được sinh ra

từ các thành phần trong hạ tầng công nghệ thông tin của cơ quan/tổ chức từ đó kịp thời phát hiện các sự cố, nguy cơ mất ATTT (các cuộc tấn công mạng, máy tính nhiễm mã độc, các lỗ hổng bảo mật của các thiết bị/ứng dụng …), đồng thời cung cấp bằng chứng số phục

vụ công tác điều tra khi xảy ra sự cố cũng như giám sát việc tuân thủ chính sách an ninh thông tin của các thành phần trong hệ thống thông tin của cơ quan/tổ chức

Ngày nay, hệ thống mạng có độ phức tạp ngày càng cao Các thiết bị như router, switch, hub đã kết nối vô số các máy con đến các dịch vụ trên máy chủ cũng như ra ngoài Internet Thêm vào đó là rất nhiều các tiện ích bảo mật và truyền thông được cài đặt bao gồm cả tường lửa, mạng riêng ảo (VPN), các dịch vụ phòng chống mã độc và thư rác Sự hiểu biết về cấu trúc của hệ thống cũng như có được khả năng cảnh báo về hệ thống là một yếu tố quan trọng trong việc duy trì hiệu suất cũng như tính toàn vẹn của hệ thống Có hàng ngàn khả năng có thể xảy ra đối với một hệ thống và quản trị viên phải đảm bảo được rằng các nguy cơ xảy ra được thông báo một cách kịp thời và chính xác

Hệ thống mạng không còn là một cấu trúc cục bộ riêng rẽ Nó được xây dựng để phục vụ các nguồn truy cập từ Internet, mạng cục bộ (LAN), mạng diện rộng (WAN), với

sự kết hợp của các thiết bị, server (máy chủ), ứng dụng chạy trên hệ thống đó

Thực tế là các hệ thống mạng rất phức tạp và mỗi thành phần trong mạng đại diện cho một nguy cơ ảnh hưởng đến hệ thống Đó cũng là lý do tại sao nó cần thiết phải được giám sát để giảm thiểu tối đa các nguy cơ tiềm tàng Tuy nhiên không phải mọi vấn đề đều

có thể được giải quyết một cách chủ động trước bất kỳ dấu hiệu cảnh báo nào Nhưng nếu

ta có thể giám sát hệ thống trong thời gian thực thì có thể xác định các vấn đề trước khi chúng trở nên nguy hiểm hơn Ví dụ, một máy chủ bị quá tải có thể được thay thế trước khi

nó bị treo Điều này sẽ làm giảm thiểu các nguy cơ đối với hệ thống và tăng hiệu suất làm việc của hệ thống Với một hệ thống GSANM, ta sẽ biết được tình trạng của tất cả các thiết

bị trên mạng mà không cần phải kiểm tra một cách cụ thể từng thiết bị và cũng nhanh chóng xác định chính xác vấn đề khi cần thiết

1.1.2 1.1.2 Những yếu tố cần thiết cho một hệ thống GSANM

Để hiểu được về hệ thống, cần một giải pháp giám sát để có thể cung cấp các thông tin quan trọng trong thời gian thực và ở bất cứ đâu cũng như bất cứ thời điểm nào Đối với các doanh nghiệp, tổ chức thì cần các giải pháp đơn giản để triển khai, sử dụng Nếu một tổ chức yêu cầu tính sẵn sàng cao, thì cần một giải pháp tin cậy đã được triển khai và chứng minh là hoạt động tốt

Hệ thống mạng ngày nay có rất nhiều thiết bị trên hệ thống và phải thu thập rất nhiều thông tin liên quan Chính vì vậy cần một giải pháp hiển thị hệ thống như bản đồ mạng, báo cáo dữ liệu, cảnh báo sự cố Bên cạnh việc xử lý sự cố dễ dàng hơn, điều này sẽ giúp tận dụng mạng lưới dữ liệu để hiểu được các xu hướng trong việc sử dụng thiết bị, sử dụng mạng, và dung lượng mạng tổng thể để thiết kế hệ thống mạng lưới hiệu quả

Theo NIST SP 800-137 [7], các bước trong tiến trình giám sát liên lục gồm:

- Xác định chiến lược: định nghĩa chiến lược theo chính sách rủi ro của tổ chức, xây dựng và triển khai các chính sách, phát triển các thủ tục và các mẫu để hỗ trợ thực hiện chiến lược và chính sách

- Thiết lập đo lường và các đại lượng đo: thiết lập những thông số và tình trạng của các thành phần cần xác thực/không xác thực trên mạng để thu thập các thông tin cho hoạt động giám sát như tình trạng hoạt động của thiết bị, các giao tiếp vào ra, phân bố các dòng dữ liệu (flow), Các đối tượng được giám sát như giám sát nguồn/đích và lưu lượng luồng dữ liệu, giám sát các dịch vụ như các cổng, các giao thức, giám sát các loại dữ liệu như các sơ sở dữ liệu, thư điện tử,

- Thiết lập giám sát và theo dõi thường xuyên: Giám sát và kiểm soát các đại lượng và các phép đo thường xuyên dựa trên một số thông tin như: các rủi ro về

hệ thống của tổ chức, thông tin về các mối nguy và lỗ hổng bảo mật, kiểm soát các điểm yếu đã được nhận diện, kiểm soát các chức năng bảo mật quan trọng, kết quả nhận diện các rủi ro, các yêu cầu báo cáo,

- Thực hiện giám sát: thu thập thông tin đã thiết lập cho hoạt động giám sát

- Phân tích các thông tin (dữ liệu) có liên quan và lập báo cáo: dữ liệu được phân tích trong ngữ cảnh như các rủi ro của tổ chức đã được chấp nhận, các điểm yếu tiềm ẩn trong các quá trình vận hành hệ thống mạng của của tổ chức

- Phản ứng với các rủi ro như từ chối, chuyển, hoặc chấp nhận Cảnh báo là một trong những bước đầu tiên quan trọng của việc phản ứng Dựa trên đó, người

quản trị hoặc người có trách nhiệm sẽ thực hiện các hành động tiếp theo trực tiếp tại chỗ hay từ xa như tiếp tục theo dõi, xử lý, thay đổi, xoá

- Xem xét lại và cập nhật chiến lược và chương trình giám sát

Các bước này cần được lưu ý và triển khai trong các hệ thống GSANM Tuỳ theo điều kiện và yêu cầu thực tế mà hệ thống GSANM ở mỗi tổ chức sẽ được hoạch định và triển khai khác nhau theo các tiêu chí khác nhau

Có nhiều công nghệ được dùng cho các hệ thống GSANM Tuy nhiên, có thể phân thành

3 nhóm công nghệ cơ bản thường dùng cho các hệ thống các hệ thống GSANM liên tục:

- Thu thập dữ liệu trực tiếp về tình trạng hoạt động của mạng thông qua các giao thức như ICMP, SNMP, Syslog, NetFlow,

- Tổng hợp và Phân tích bằng giải pháp SIEM (Quản lý sự kiện và thông tin bảo mật), quản lý qua Dashboard

- Tự động hoá: giao thức SCAP (Security Content Automation Protocol - Giao thức tự động bảo mật nội dung)

Hiện nay, có khá nhiều công cụ, giải pháp được phát triển phục vụ cho các hệ thống GSANM với các mục đích đặc thù khác nhau Tuy nhiên, nhìn chung các hệ thống GSANM thường được xây dựng dựa trên một trong ba nhóm giải pháp sau: Giải pháp quản

lý thông tin an ninh (SIM), Giải pháp quản lý sự kiện an ninh (SEM) và Giải pháp quản lý

và phân tích sự kiện an ninh (SIEM) Trong đó SIEM đang được coi là giải pháp tổng thể phù hợp nhất để xây dựng hệ thống GSANM

Hệ thống SIEM thường bao gồm các thành phần chính với các chức năng như sau:

 Thực hiện phân tích, so sánh tính tương quan của toàn bộ các thông tin nhật

ký ATTT đã tập hợp nhằm phát hiện các sự cố, nguy cơ mất ATTT trong hệ

thống Việc phân tích chủ yếu dựa trên các tập luật được định nghĩa nhưng đồng thời cũng cần có khả năng tùy biến linh động nhằm đưa ra các kết quả phân tích chính xác nhất

 Cập nhật các kết quả phân tích, kịp thời đưa ra các cảnh báo về các sự cố, nguy cơ mất ATTT trong hệ thống cho người quản trị

Giải pháp quản lý sự kiện và an ninh thông tin (SIEM) mang lại một số lợi ích như sau:

- Tăng hiệu quả sử dụng các thông tin về sự kiện, log an ninh cho các cán bộ phụ trách an ninh, vận hành hệ thống: Giải pháp SIEM cho phép thu thập, chuẩn hóa log từ nhiều nguồn, giao diện quản trị mạnh mẽ, tập trung giúp tăng hiệu quả việc sử dụng các thông tin về sự kiện, log an ninh phục vụ công tác an ninh và vận hành hệ thống

- Phát hiện nhanh sự cố và các mối đe dọa: Công cụ SIEM thu thập các thông tin

từ nhiều nguồn để phát hiện các loại tấn công tinh vi Có thể phát hiện bất kì thay đổi từ các hoạt động bình thường để chỉ ra các mối đe dọa sắp xảy ra và các nguy cơ trong hệ thống Ví dụ: bùng nổ mã độc, spam mail, xâm nhập trái phép,

- Giảm thời gian, nhân lực phục vụ giám sát vận hành và an ninh: Giao diện quản trị tập trung, tính năng phân tích mạnh mẽ giúp giảm thời gian, nhân lực phục vụ việc giám sát vận hành và an ninh hệ thống so với các công cụ riêng rẽ khác và cách làm thủ công

- Giảm chi phí hoạt động và bảo trì: Có thể quản lý, phân tích log đối với hầu hết các hệ thống và CSDL từ nhiều nhà cung cấp khác nhau bằng một giải pháp SIEM duy nhất Việc này giúp các tổ chức tiết kiệm thời gian, tiền bạc so với mua và bảo trì nhiều hệ thống giám sát và phân tích khác nhau

Hình 1.1: Thành phần và chức năng của hệ thống GSANM

1.2 Một số giải pháp công nghệ GSANM nổi bật

a Security information management (SIM): giải pháp quản lý thông tin an ninh SIM thực hiện việc thu thập nhật ký (log), lưu trữ, đưa ra báo cáo (reporting) và cảnh báo Các nhật ký này chủ yếu là từ: hệ thống máy chủ, các ứng dụng, thiết bị network và từ các thiết bị chuyên về Security… SIM là giải pháp thực hiện tốt các công việc như Index dữ liệu, lưu trữ và tạo ra các báo cáo định kỳ để kiểm tra tính tuân thủ (compliance) Các thành phần chính của SIM bao gồm: thành phần thu thập nhật ký, thành phần lưu trữ

- Ưu điểm:

 Cung cấp giải pháp lưu trữ nhật ký an ninh cho các tổ chức

 Cho phép lưu trữ, quản lý nhật ký trong thời gian dài và báo cáo định kỳ

 Triển khai và vận hành đơn giản

 Các công cụ cho việc theo dõi, xử lý sự cố thường đơn giản, không đầy đủ

b Security event management (SEM): giải pháp quản lý các sự kiện an ninh SEM thực hiện việc xử lý log và các sự kiện an ninh từ các thiết bị gửi về bao gồm: các thiết bị mạng (network devices), các máy chủ (Server), các ứng dụng theo thời gian thực nhằm thực việc việc theo dõi các sự kiện an ninh xảy ra trong hệ thống SEM tập trung vào chuẩn hóa và phân tích tính tương quan giữ các sự kiện và thực hiện các phản ứng đối với các sự cố an ninh thông tin Các thành phần chính của hệ thống bao gồm: thành phần thu thập nhật ký, thành phần phân tích nhật ký, các module phân tích các mối đe dọa mở rộng

- Ưu điểm:

 Cho phép thu thập, phân tích các sự kiện theo thời gian thực từ nhiều hệ thống khác nhau

 Đưa ra các cảnh báo dựa vào việc phân tích tính tương quan giữa cá sự kiện

an ninh được thu thập từ nhiều hệ thống khác nhau

 Cung cấp khả năng phản ứng khi hệ thống đưa ra cảnh báo

- Ưu điểm:

 Cho phép thu thập, chuẩn hóa các sự kiện theo thời gian thực

 Cung cấp khả năng lưu trữ dài hạn, toàn diện

 Cho phép phân tích tương quan và đưa ra cảnh báo về các sự cố an ninh thông tin phức tạp

 Dễ dàng triển khai và duy trì

- Nhược điểm

 Là hệ thống lớn nên đòi hỏi đội ngũ vận hành phải có trình độ

 Chi phí cao khi xây dựng hệ thống lớn

 Dựa trên các phân tích trên và nhu cầu thực tế, người thực hiện đề xuất lựa chọn công nghệ SIEM vì:

 Phù hợp và đúng với nhu cầu thực tế của tổ chức về quản lý các sự kiện về ATTT

 Hỗ trợ thu thập, phân tích các sự kiện theo thời gian thực được thu thập từ các hệ thống gửi về, được kết hợp cùng với các thông tin liên quan đến người dùng, các thành phần trong hệ thống và dữ liệu

 Cung cấp khả năng lưu trữ lưu dài, toàn diện (log management) và khả năng phân tích theo ngữ cảnh (Correlation)

 Cung cấp các chức năng được xây dựng sẵn và cho phép thay đổi (Customized) theo các yêu cầu của các tổ chức

Hiện nay, trên thế giới có khá nhiều đơn vị cung cấp sản phẩm/giải pháp SIEM như

HP ArcSight Enterprise Security Manager (ESM), IBM Security QRadar SIEM,McAfee Enterprise Security Manager (ESM), AlienVault Open Source SIEM (OSSIM), LogRhythm Security Intelligence Platform …, mỗi sản phẩm đều có thế mạnh và khả năng ứng dụng phù hợp nhất định Trong phạm vi nghiên cứu của đề tài về giải pháp giám sát cho hệ thống an ninh thông tin tại phòng quản lý xuất nhập cảnh Công an Thành phố Hà Nội, người thực hiện xin giới thiệu và nhận định về 3 sản phẩm/giải pháp SIEM nổi bật sau:

 Application View – cung cấp khả năng giám sát toàn diện các ứng dụng dựa trên công nghệ HP Fortify

 HP ArcSight User Behavior Analytics (UBA) – cung cấp khả năng tích hợp phân tích hành vi của người dùng (Users)

 HP DNS Mã độc Analytics (DMA) – cho phép phát hiện các thiết bị (servers, desktop, monile) bị nhiễm mã độc

HP đã bổ sung và cải thiện lớn các tính năng trong 2014 như cho phép triển khai đảm bảo tính sẵn sàng cao cho sản phẩm ArcSight ESM, cập nhật & cải thiện giao diện Web UI trên ArcSight Logger và ArcSight Express cho phép tối ưu việc giám sát và phân tích

Tính đến 2015 ArcSight đã có 12 năm liên tiếp được Gartner đánh giá là sản phẩm Leader, không có một sản phẩm nào trong Top leader có kết quả tương tự Cũng theo đánh giá của Gartner năm 2015 về các tiêu chí chức năng mà hệ thống SIEM cần cung cấp, giải pháp HP ArcSight được chứng minh là giải pháp phù hợp nhất với việc ArcSight xếp vị trí thứ #1 hoặc thứ #2 trong 6 trên 8 tiêu chí về chức năng

Theo đánh giá mới nhất của IDC ArcSight đứng đầu chiếm đến 20% thị phần sản phẩm SIEM Hiện nay có khoảng 500 SOCs được xây dựng dựa trên công nghệ HPE ArcSight, và các nhà quản lý SOC luôn tìm đến ArcSight như một lựa chọn khi xây dựng SOC

- Ưu điểm:

 Cung cấp toàn diện các chức năng của một giải pháp SIEM, cho phép xây dựng một Security Operations Center (SOC), bao gồm đầy đủ khả năng điều tra và quản lý sự cố an ninh thông tin theo workflow

 HP ArcSight User Behavior Analytics cung cấp đầy đủ và chính xác các tính năng về phân tích hành vi của người dùng cùng với hệ thống SIEM

 HP ArcSight cung cấp sẵn một một số lượng lớn các công nghệ thu thập cho phép tích hợp và thu thập nhật ký một cách dễ dàng với các hãng thứ 3

 HP ArcSight tiếp tục là hãng có sức cạnh tranh lớn theo đánh giá của Gartner về giải pháp công nghệ SIEM

 ArcSight Logger cung cấp toàn diện giải pháp quản lý log (Log Management) và ArcSight Express cung cấp một lựa chọn đầy đủ cho việc triển khai SEM cho mô hình vừa và nhỏ

Bộ sản phẩm IBM Security Qradar bao gồm: Qradar SIEM, Log manager, Vulnerability Manager, Risk manager, Qflow, vflow collectors Qradar có thể triển khai với dạng một thiết bị, một thiết bị ảo hoặc SaaS Các thành phần trong giải pháp có thể triển khai dạng all-in-one hoặc mở rộng bằng việc sử dụng các thành phần độc lập với các tính năng khác nhau, tuy nhiên triển khai dạng all-in-one không sẽ bị giới một số tính năng Giải pháp IBM Qradar cho phép thu thập dữ liệu nhật ký, NetFlow data, full packet Hiện nay IBM cải thiện một số tính năng như hỗ trợ điều tra sự cố, khả năng lưu trữ, truy vấn dữ liệu, ngoài ra khả năng phân tích tương quan đối với dữ liệu nhật ký trong quá khứ cũng đã được hỗ trợ IBM có kế hoạch bổ sung tính năng xử lý sự cố sự cố theo workflow trong tương lai

- Ưu điểm

 Giải pháp IBM Qradar cho phép cung cấp khả năng quan sát đối với cả dữ liệu nhật ký và gói tin, các điểm yếu an ninh

 Sản phẩm được cho là dễ dàng triển khai trong nhiều môi trường khác nhau

 Qradar cung cấp khả năng phân tích hành vi đối với netflow và log events

- Nhược điểm

 Qradar hạn chế trong việc định nghĩa vai trò, khả năng tích hợp với các hệ thống trong việc thực hiện xử lý theo workflow và không thể so sánh với các sản phẩm cạnh tranh khác

 Sản phẩm Qradar Vulnerability Manager cung cấp hạn chế các tính năng, không ổn định, việc cập nhật tính năng chậm và hỗ trợ delays

 Qradar hiện tại chỉ cho phép tích hợp với duy nhất sản phẩm Qradar Vulnerability Manager để bổ sung các thông tin về điểm yếu an ninh trong khi các sản phẩm cạnh tranh cho phép tích hợp với hầu hết các sản phẩm quản lý điểm yếu an ninh

 Dòng sản phẩm All-in-one thực chất không có khả năng thu thập packet, chỉ hỗ trợ thu thập dữ liệu Netflow và log event Để có thể thu thập full packet khách hàng cần mua riêng một sản phẩm Qradar flow với chí đắt

full-và không có nhiều lựa chọn về models

c McAfee ESM

Mcaffee ESM là giải pháp SIEM với khả năng quản lý, phân tích sự kiện an ninh thông tin với hiệu suất cao và xác định nguy cơ mất ATTT một cách nhanh chóng giúp giảm thiểu rủi ro thông tin và cơ sở hạ tầng, trong khi đáp ứng nghiêm ngặt các chính sách tuân thủ quy định

McAfee ESM kết hợp đồng thời việc quản lý các sự kiện an ninh thông tin, giám sát, phân tích tương quan nội dung, khả năng phân tích tương quan hệ thống với các thay đổi, cập nhập các chinh sách bảo mật (các threats, attack mới) liên tục trên internet, từ đó đưa ra cảnh báo bảo mật, cũng như phương án đối phó nhanh và phù hợp

McAfee ESM được tổ chức Gartner đánh giá khá cao về tầm nhìn công nghệ (Next Generation SIEM) và hiệu suất/tốc độ xử lý của hệ thống Gartner khuyến cáo khách hàng

sử dụng McAfee ESM cho các hệ thống có lượng thông tin với yêu cầu xử lý nhanh

- Ưu điểm

 Có năng lực nhận và xử lý thông tin, phân tích, điều tra các sự kiện an ninh thông tin nhanh, đảm bảo khả năng xác định và đối phó đối với các nguy cơ một cách nhanh chóng

 Kết hợp tính năng phân tích các sự kiện an ninh thông tin với khả năng giám sát, phân tích sâu vào nội dung ứng dụng truyền gửi, các truy cập/thao tác vào CSDL, giúp cho quản trị viên phân tích bảo mật một cách chính xác, toàn diện hơn các sự kiện an ninh đã và đang xảy ra trong hệ thống

 Kết hơp đồng thời phương thức phân tích, điều tra dựa trên các tập luật tính tương quan với phương thức phân tích dựa trên rủi ro giúp cho quản trị viên xác định được chính xác các vấn đề bảo mật/sự kiện bảo mật trong hệ thống, đánh giá chính xác mức độ ảnh hưởng/rủi ro bảo mật của các sự kiện này, từ

đó quan tâm/chú trọng đến các sự kiện an ninh có mức độ rủi ro cao, gây ảnh hưởng đến các tài nguyên, đối tượng quan trọng trong hệ thống

 McAfee Advanced Correlation Engine có khả năng xử lý, phân tích thông tin với hiệu suất cao Module chuyên dụng để phân tích bảo mật, điều ra các

sự kiện xảy ra trong quá khứ Đảm bảo tính “play-back” để giúp quản trị viên khám phá các sự kiện bảo mật, các tấn công mà trước đây chưa xác định được

 McAfee Global Threats Intellegent (McAfee GTI) tập hợp một database gồm các IP/domain thường xuyên phát động tấn công từ chối dịch vụ (DoS, DDoS), phát tán mã độc, phát tán thư rác, tấn công người dùng… Áp dụng kết hợp McAfee GTI vào McAfee ESM giúp cho quản trị viên xác định một cách nhanh chóng các kết nối nghi vấn/tiềm ẩn rủi ro từ hệ thống mạng tổ chức tới các IP/Domain có mức độ rủi ro cao Từ đó giúp quản trị viên kịp thời phát hiện các rủi ro tiềm ẩn đang có, điều tra và đưa ra Phương án xử lý kịp thời

 Có khả năng tích hợp với nhiều hệ thống bảo mật một cách chặt chẽ để đảm bảo tính bảo mật cao nhất cho tổ chức:

o Kết hợp với giải pháp dò quét/quản lý điểm yếu: cho phép tiến hành khởi tạo dò quét từ giao diện McAfee ESM, cho phép nạp thêm thông tin kết quả dò quét bảo mật vào thành phần McAfee ESM, xác định và

ưu tiên quản trị bảo mật đối với những tài nguyên cần bảo vệ/giám sát với mức độ ưu tiên cao

o Kết hợp với giải pháp phòng chống tấn công xâm nhập: cho phép cập nhật thông tin tấn công vào hệ thống SIEM, xác định các nguy cơ có thể xảy ra và thực thi ra lệnh block/ngăn chặn tấn công trên McAfee IPS thông qua giao diện của McAfee ESM

o Kết hợp với giải pháp quản lý bảo mật Endpoint: nạp thông tin bảo mật của hệ thống Endpoint – McAfee ePO Cho phép McAfee ESM biết được chính xác thông tin các tài nguyên đang được quản lý bởi McAfee ePO, phục vụ quá trình điều tra các sự kiện liên quan đến các tài nguyên này Ngoài ra từ McAfee ESM cũng có thể thiết lập và ra lệnh cho McAfee ePO tự động chạy các task để bảo mật hệ thống Endpoint

Trong đó: T – Công nghệ; K – Kiến thức, sự hiểu biết; S – Kỹ năng

Trong phạm vi luận văn được hiểu: An toàn công nghệ chính là bao gồm phần cứng, phần mềm, hạ tầng mạng và thiết bị khác; cùng với kiến thức, dựa trên nền tảng khoa học

kỹ thuật và kỹ năng quản lý, khai thác, sử dụng đều cần phải được đảm bảo an toàn

Tất cả những yếu tố trên phần lớn phụ thuộc vào khả năng và yếu tố con người

CHƯƠNG 2: THIẾT KẾ GIẢI PHÁP GSANM CHO HỆ THỐNG MẠNG TẠI HỆ

PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH CATP HÀ NỘI

- Khảo sát, phân tích hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội

- Phân tích đánh giá các nguy cơ, rủi ro đối với hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội Xác định các thành phần cần được giám sát từ

đó đưa ra các yêu cầu, tiêu chí để lựa chọn, thiết kết giải pháp GSANM phù hợp

- Lựa chọn, đề xuất giải pháp, công nghệ GSANM phù hợp

2.1 Các thành phần của hệ thống GSANM cho hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội

Hệ thống GSANM tại phòng Quản lý xuất nhập cảnh CATP Hà Nội được xây dựng theo mô hình triển khai với giải pháp phần mềm ArcSight đã lựa chọn gồm 3 thành phần: thành phần thu thập thông tin, thành phần lưu trữ, phân tích sơ bộ thành phần phân tích quản trị tập trung được tích hợp với mô hình hoạt động cụ thể như sau:

Hình 2.1: Mô hình hoạt động hệ thống GSANM tại phòng Quản lý xuất nhập cảnh CATP

Hà Nội

Thu tập thông tin dữ liệu từ các thiết bị thành phần trong hệ thống mạng Thông tin thu thập được chuẩn hóa theo mẫu dữ liệu phù hợp của hệ thống GSANM và gửi tới Thành phần Lưu trữ và Phân tích sơ bộ để lưu trữ, quản lý tập trung

Thành phần thu thập thông tin sử dụng phần mềm ArcSight Connector được cài đặt dưới dạng agent để thu thập thông tin từ máy chủ thiết bị, chuẩn hóa thông tin theo chuẩn ArcSight SmartMessage rồi gửi tới thành phần lưu trữ phân tích sơ bộ Hệ thống cũng sử dụng 01 máy chủ được cài đặt các agent ArcSight Connector phù hợp để kết nối và thu thập thông tin từ các thiết bị không thực hiện cài đặt được agent (CoreSwitch, Firewall …) Một số phần mềm có hỗ trợ sẵn chuẩn thông tin ArcSight SmartMessage và sử các giao thức chuẩn cho phép kết nối với thành phần phân tích sơ bộ (ArcSight Logger) sẽ không cần sử dụng thêm connector để hỗ trợ thu thập thông tin (WebSense)

Nhận thông tin thu thập được từ thành phần thu thập Lưu trữ và phân tích sơ bộ các thông tin thập được sau đó chuyển thông tin cần thiết tới Thành phần phân tích và quản trị tập trung Thành phần này cho phép định nghĩa các luật cơ bản để trích lọc, tìm kiếm các thông tin cần thiết để phân tích và quản trị Việc phân tích tại thành phần lưu trữ chỉ thực hiện được ở mức cơ bản, chủ yếu phục vụ công tác tra cứu thông tin và trích lọc, giảm bớt các thông tin, dữ liệu không cần thiết để gửi tới Thành phần Phân tích Quản trị tập trung

Thành phần lưu trữ, phân tích sơ bộ được cài đặt trên 01 máy chủ với phần mềm ArcSight Logger

Trong phạm vi của đề tài, người thực hiện chỉ sử dụng thành phần lưu trữ để tìm kiếm, tra cứu thông tin, chưa thực hiện trích lọc phân tích sơ bộ thông tin Toàn bộ thông tin thu thập được từ thành phần thu thập sẽ được lưu trữ và chuyển tiếp tới Thành phần quản trị tập trung

Phân tích sâu các thông tin sự kiện được chuyển tới từ thành phần lưu trữ Sử dụng các tập luật, chính sách để phân tích đưa ra các cảnh báo tới người quản trị về các lỗ hổng, nguy cơ xuất hiện trong hệ thống mạng

Thành phần phân tích quản trị tập trung được cài đặt trên 01 máy chủ, sử dụng phần mềm Arcsight ESM (Enterprise Security Management) để thu nhận và phân tích thông tin

Trong phạm vi đề tài, người thực hiện sử dụng một số giao thức chuẩn như SNMP, sFlow/NetFlow, Syslog, HTTP/HTTPS … để kết nối các thiết bị cần thu thập thông tin, tích hợp, trao đổi thông tin giữa các thành phần trong hệ thống GSANM Thông tin sơ lược

về các giao thức được sử dụng như sau:

a Giao thức SNMP [4]

Vào đầu năm 1988, Tổ chức kiến trúc Internet IAB (Internet Architecture Board) nhận thấy sự cần thiết có bộ công cụ quản lý cho TCP/IP nên đã cho ra đời RFC 1052 RFC 1052 là các yêu cầu tiêu chuẩn hoá quản lý mạng và tập trung vào các vấn đề quản lý mạng phải thực hiện:

 Đảm bảo tính mở rộng

 Đảm bảo tính đa dạng để phát triển

 Đảm bảo tính đa dạng trong quản lý

 Bao trùm nhiều lớp giao thức

Tháng 4 năm 1993, SNMPv2 trở thành tiêu chuẩn quản lý mạng đơn giản thay thế SNMPv1 SNMPv2 bổ sung một số vấn đề mà SNMPv1 còn thiếu Tuy nhiên, SNMPv2 khá phức tạp và khó tương thích với SNMPv1

Năm 1997, SNMPv3 ra đời nhằm tương thích với các giao thức đa phương tiện trong quản lý mạng, phát triển trên nền Java và đưa ra kiến trúc và giao thức mới như giao thức quản lý đa phương tiện HMMP (Hypermedia Management Protocol)

- Ưu điểm sử dụng giao thức SNMP: SNMP được thiết kế để đơn giản hóa quá trình quản lý các thành phần trong mạng Nhờ đó các phần mềm SNMP có thể được phát triển nhanh và tốn ít chi phí SNMP được thiết kế để có thể mở rộng các chức năng quản lý, giám sát Khi có một thiết bị mới với các thuộc tính, tính năng mới thì người ta có thể thiết kế tùy chọn SNMP để phục vụ cho riêng mình SNMP được thiết kế để có thể hoạt động độc lập với các kiến trúc và cơ chế của các thiết bị hỗ trợ SNMP Các thiết bị khác nhau có hoạt động khác nhau nhưng hoạt động dựa trên giao thức SNMP là giống nhau

- Các phiên bản giao thức SNMP: hiện tại SNMP có 3 phiên bản SNMPv1, SNMPv2 và SNMPv3 Các phiên bản này khác nhau một chút ở định dạng bản tin và phương thức hoạt động Hiện nay SNMPv1 là phổ biến nhất do có nhiều thiết bị tương thích nhất và có nhiều phần mềm hỗ trợ nhất Trong khi đó chỉ có một số thiết bị và phần mềm hỗ trợ SNMPv3

b Giao thức NETFLOW

NetFlow là một giao thức sử dụng trong các hệ điều hành IOS của Cisco để phân tích lưu lượng mạng, là giao thức không thể thiếu cho người quản trị để đáp ứng các yêu cầu quản lý và biết được tình trạng hoạt động của mạng như thế nào Netflow của Cisco tạo ra một môi trường để người quản trị có thể biết được thời gian, địa điểm, đối tượng cũng như cách thức lưu thông của lưu lượng mạng, tăng cường hiệu quả của hệ thống mạng

Các nhà quản trị truyền thống thường hay sử dụng giao thức SNMP để kiểm tra hoạt động của băng thông Mặc dù có một số ưu điểm nhất định nhưng SNMP gặp khó khăn trong việc phân tích lưu thông của các ứng dụng và lưu thông trong mô hình mạng mà điều

đó lại rất cần thiết Việc tìm hiểu cách thức sử dụng băng thông là nội dung quan trọng trong hệ thống mạng IP ngày nay

NetFlow có khả năng phân tích lưu lượng IP, nắm được cách thức và địa điểm lưu thông của nó Việc kiểm tra luồng lưu lượng IP sẽ đảm bảo tài nguyên mạng được sử dụng một cách hợp lý hơn, giúp người quản trị biết được chất lượng dịch vụ (QoS), nhận biết được dấu hiệu hay nguy cơ của những cuộc tấn công từ chối dịch vụ (DoS), việc phát tán của mã độc, cũng như hàng loạt các sự cố khác NetFlow có thể giải quyết nhiều vấn đề đặt

ra của người quản trị:

 NetFlow giúp phân tích các ứng dụng mới và ảnh hưởng của chúng lên hệ thống mạng, ví dụ nhận dạng các ứng dụng mạng mới như VoIP

 Giảm sự quá tải của lưu lượng WAN cũng như phát hiện các lưu lượng WAN bất thường / trái phép

 Xử lý sự cố và nhận biết được điểm yếu của hệ thống mạng

 Bảo mật hệ thống mạng, phát hiện các sự cố bất thường

 Phân chia băng thông hợp lý cho từng loại dịch vụ mạng khác nhau

NetFlow có liên quan đến khái niệm các luồng (flow) IP Luồng IP được định nghĩa

là một dòng các packet Mỗi packet khi chuyển qua router hoặc switch đều được kiểm tra bằng một tập các thuộc tính IP Các thuộc tính này giúp định dạng và phân nhóm các packet vào các luồng khác nhau Thông thường, một luồng IP dựa trên một tập từ 5 đến 7 thuộc tính của packet IP như:

 Input logical interface

NetFlow hoạt động bằng cách tạo ra một cache NetFlow chứa thông tin về tất cả các luồng đang hoạt động Cache NetFlow được xây dựng trước hết bằng cách xử lý packet đầu tiên của một luồng thông qua một đường chuyển mạch chuẩn Một bản ghi về luồng được duy trì bởi NetFlow cache cho tất cả luồng hoạt động Mỗi một bản ghi luồng trong

NetFlow cache chứa các trường thuộc tính có thể được sử dụng sau đó để xuất dữ liệu tới một thiết bị thu thập dữ liệu Mỗi một bản ghi luồng được tạo ra bằng cách so sánh thuộc tính của các packet và đếm số packet và số byte của mỗi luồng

Thông tin của luồng rất hữu dụng cho việc tìm hiểu hoạt động mạng:

 Địa chỉ IP nguồn cho biết đối tượng đang phát sinh lưu lượng

 Địa chỉ IP đích cho biết đối tượng đang nhận lưu lượng

 Port cho biết loại ứng dụng đang sử dụng lưu lượng

 Lớp dịch vụ chiếm quyền ưu tiên lưu lượng

 Giao diện thiết bị cho biết cách thức sử dụng lưu lượng của thiết bị mạng

 Kiểm tra packet và byte cho biết độ lớn của lưu lượng

 Flow timestamps cho biết thời gian tồn tại của luồng; qua timestamps có thế biết tính toán được số packet và byte truyền đi trong mỗi giây

 Địa chỉ IP hop kế tiếp

 Subnet mask của địa chỉ nguồn và đích

 TCP flag

Phần mềm Cisco IOS NetFlow là một phần của họ các sản phẩm, tiện ích quản lý của Cisco Các phần mềm được thiết kế đồng bộ kết hợp chặt chẽ với nhau để có thể quản lý kiểm tra giám sát hệ thống mạng một cách tốt nhất

c Giao thức SSH

Lệnh ssh hoặc “secure shell”có trong hầu hết các môi trường thay thế telnet dùng thực hành để kết nối máy chủ xa và các máy trạm Từ quan điểm người dùng, các chức năng cơ bản nhất của ssh thực hiện tương tự chức năng của telnet - mở kết nối đến giao diện dòng lệnh trên máy chủ từ xa Điểm khác là ssh bảo mật kết nối từ điểm đầu đến cuối Được phát triển từ 1995, ssh sử dụng mật mã khoá công khai để xác thực lần đầu máy tính ở xa Sau khi xác thực, ssh tạo một kết nối bảo mật để đảm bảo toàn vẹn và bí mật dữ liệu Không giống như telnet với nền tảng mã của nó đã ổn định qua một thời gian dài, một số các thực thi ssh mới có hiện nay Vô số các phiên bản của nó đã được tạo lập bằng nhiều cách do việc phát hiện các lỗ hổng bảo mật trong các phiên bản trước Phiên bản hiện chấp nhận của ssh có tựa đề là “SSH-2” và là một tiêu chuẩn Internet đề nghị được xem xét bởi IFTF (Internet Engineering Task Force)

Sử dụng thực tế của ssh khác với telnet, ssh là một nền tảng mà các chức năng thêm vào có thể được đưa ra Ngoài ra, việc tạo một kết nối an toàn đến giao diện dòng lệnh, giao thức ssh có thể được tận dụng cho nhiều ứng dụng:

 Thực hiện lệnh đơn từng dòng

 Truyền tập tin, biểu hiện như SCP, SFTP hoặc rsync

 Chuyển tiếp cổng (Port forwarding) hoặc tạo đường hầm (tunnel)

 Tạo các kết nối VPN, kích hoạt thông qua việc phân phối OpenSSH

 Duyệt Web thông qua giao thức SOCKS

 Gắn thư mục từ xa, hiển thị như SSHFS

Ngắn gọn, mặc dù hầu hết các thiết bị mạng đều giữ lại khả năng dùng telnet để quản

lý từ xa, công nghệ áp dụng tốt nhất vẫn là dùng ssh Dù ssh không có sẵn trong một số phiên bản hệ điều hành của Microsoft Windows, các máy khách cho ssh có sẵn ứng dụng

để cài và thực hiện các quản lý cần thiết

d Giao thức SYSLOG

Syslog là một giao thức giám sát cho nền tảng UNIX Syslog là cơ chế mà thông tin log của sự kiện từ một hoặc nhiều máy chủ - thiết bị có thể được tổng hợp vào một cơ sở

dữ liệu để lưu trữ hoặc để phân tích lịch sử

Tổng hợp dữ liệu log của sự kiện là hữu dụng cho mạng đang hoạt động, mặc dù hầu hết sử dụng cho mục đích đánh giá Là dữ liệu dựa trên sự kiện tự nhiên, các loại dữ liệu tổng hợp bởi Syslog có xu hướng liên quan đến nội dung của nhiều loại log của các thiết bị riêng Điều này khác nhiều so với các loại dữ liệu cảm biến dùng cho việc xem các gói tin mạng, phân tích các dòng tin hoặc giám sát số liệu hiệu suất

Việc thực thi Syslog trong các máy chủ và các thiết bị mạng là có thể và thường khác nhau đáng kể tuỳ thuộc vào thiết bị Ví dụ như cấu hình tường lửa Cisco PIX cho Syslog

có thể dùng cấu trúc lệnh tương tự như ví dụ bên dưới:

logging host inside 192.168.1.100

Ngược lại, cấu hình tương tự trên bộ chuyển mạch CatOS của Cisco có thể dùng các cấu trúc lệnh sau:

set logging server enable

set logging server 192.168.1.100

set logging level all 5

set logging server severity 6

UNIX, Linux và các hệ điều hành Microsoft Windows có các cơ chế khác nhau cho phép lấy log

2.2 Khảo sát hệ thống mạng tại Phòng Quản lý xuất nhập cảnh CATP Hà Nội

1.1.10 2.2.1 Mô hình hệ thống mạng

Hình 2.2: Sơ đồ logic mạng tổng thể tại Phòng Quản lý xuất nhập cảnh CATP Hà Nội

a Mạng TTTHDL

Tại TTTHDL, hệ thống mạng được chia thành các phân vùng:

- Phân vùng máy chủ dịch vụ (vùng DMZ): bao gồm các máy chủ dịch vụ như Web Server, Mail Server phục vụ truy cập dịch vụ từ người dùng ngoài Internet

- Phân vùng máy chủ dữ liệu (vùng DATA): bao gồm các máy chủ ứng dụng, máy chủ CSDL phục vụ việc truy vấn dữ liệu từ các máy chủ vùng DMZ

b Mạng phòng Quản lý xuất nhập cảnh CATP Hà Nội

Tại phòng Quản lý xuất nhập cảnh CATP Hà Nội chia thành các phân vùng mạng:

- Phân vùng mạng LAN: bao gồm mạng các máy trạm làm việc của cán bộ công nhân viên trong cơ quan

- Phân vùng LAN-Server: mạng máy chủ dịch vụ phục vụ truy cập dịch vụ từ vùng mạng LAN phòng nhằm mục đích khai thác dữ liệu phục vụ công việc chuyên môn

c Mạng WAN Công an thành phố Hà Nội

Là mạng bao gồm các máy chủ, thiết bị phục vụ kết nối trao đổi thông tin giữa các cơ quan, đơn vị hành chính trong CATP Hà Nội Một số dịch vụ đang được cung cấp trên mạng WAN CATP Hà nội như: dịch vụ hội nghị truyền hình phục vụ kết nối hệ thống GBTT CATP Hà nội, dịch vụ kết nối trao đổi văn bản điện tử, dịch vụ xác thực thông tin cán bộ …

Hệ thống máy chủ tại phòng Quản lý xuất nhập cảnh CATP Hà Nội được quản lý với

mô hình tập trung và ảo hóa, bao gồm 10 máy chủ và thiết lập hơn 15 máy chủ ảo đảm bảo phục vụ ứng dụng, hệ thống thông tin của Phòng nói riêng và một số hoạt động công nghệ thông tin của CATP Hà Nội nói chung như: Hệ thống Thư điện tử; Hệ thống gửi nhận văn bản điện tử; Hệ thống Chữ ký điện tử; Cổng thông tin về hộ chiếu (http://hochieu.cahn.vn); Cổng thông tin về lưu trú (http://lutru.cahn.vn)…vv và công tác an toàn, bảo mật thông tin trong toàn hệ thống

b Thiết bị mạng

Hệ thống mạng nội bộ (LAN): Có mạng LAN sử dụng công nghệ wifi, đảm bảo 100% cán bộ được khai thác ứng dụng trên hệ thống mạng LAN, mạng điện thoại không dây

- Hệ thống phát hiện và phòng chống xâm nhập IPS

- Hệ thống phòng chống mã độc

- Hệ thống quản lý truy cập Internet, lọc nội dung, quản lý băng thông