Tải bản đầy đủ (.pdf) (67 trang)

Nghiên cứu thiết kế và triển khai giải pháp giám sát cho hệ thống an ninh thông tin của phòng quản lý xuất nhập cảnh – công an thành phố hà nội

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (3.7 MB, 67 trang )

ĐẠI HỌC QUỐC GIA HÀ NỘI
KHOA QUẢN TRỊ VÀ KINH DOANH
*** *** ***

BÙI NGỌC HẠNH

NGHIÊN CỨU THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP
GIÁM SÁT CHO HỆ THỐNG AN NINH THÔNG TIN
CỦA PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH
CÔNG AN THÀNH PHỐ HÀ NỘI

LUẬN VĂN THẠC SĨ

QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)

Hà Nội - 2017


ĐẠI HỌC QUỐC GIA HÀ NỘI
KHOA QUẢN TRỊ VÀ KINH DOANH
*** *** ***

BÙI NGỌC HẠNH

NGHIÊN CỨU THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP
GIÁM SÁT CHO HỆ THỐNG AN NINH THÔNG TIN
CỦA PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH
CÔNG AN THÀNH PHỐ HÀ NỘI

Chuyên ngành: Quản trị an ninh phi truyền thống
Mã số: Chương trình thí điểm



LUẬN VĂN THẠC SĨ

QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)

NGƯỜI HƯỚNG DẪN KHOA HỌC: Thiếu tướng,TS. NGUYỄN THẾ BÌNH

Hà Nội - 2017


CAM KẾT
Tác giả cam kết rằng kết quả nghiên cứu trong luận văn là kết quả lao động của chính
tác giả thu được trong thời gian học và nghiên cứu và chưa công bố trong bất kỳ một
chương trình nghiên cứu nào của người khác.
Những kết quả nghiên cứu và tài liệu của người khác (trích dẫn, bảng, biểu, công
thức, đồ thị cùng những tài liệu khác) được sử dụng trong luận văn này đã được các tác giả
đồng ý và trích dẫn cụ thể.
Tôi hoàn toàn chịu trách nhiệm trước Hội đồng bảo vệ luận văn, Khoa quản trị và
Kinh doanh và pháp luật trước các cam kết nói trên.

Hà Nội, ngày 6 tháng 8 năm 2017
Tác giả luận văn

Bùi Ngọc Hạnh

2


LỜI CẢM ƠN
Sau thời gian học tập, nghiên cứu tại HSB, tôi đã thu nhận được những kiến thức sâu

sắc về quản trị an ninh phi truyền thống gắn với bảo vệ an ninh quốc gia và mọi mặt của
đời sống, công tác do thầy cô Khoa Quản trị và Kinh doanh - Đại học Quốc gia Hà Nội
truyền thụ.
Trong lời cảm ơn này, Tôi xin được bày tỏ sự biết ơn và cảm ơn đến các thầy cô của
HSB, đặc biệt Tôi xin gửi tới các thầy: Thượng tướng, TS. Nguyễn Văn Hưởng – Nguyên
Thứ trưởng Bộ Công an; PGS. TS. Hoàng Đình Phi – Chủ nhiệm khoa Quản trị và Kinh
doanh, Đại học quốc gia Hà Nội; Đại tá,PGS. TS. Trần Văn Hòa – Nguyên Phó cục trưởng
Cục C50 Bộ Công an, đã trang bị cho Tôi kiến thức khoa học liên ngành, sâu sắc, giúp Tôi
hoàn thiện kiến thức
Tôi xin tỏ lòng biết ơn chân thành đến: Thiếu tướng, TS. Nguyễn Thế Bình – Phó
Tổng cục trưởng Tổng cục Hậu Cần Kỹ thuật, Bộ Công an, người đã tận tình hướng dẫn và
giúp đỡ tôi trong suốt thời gian học tập, nghiên cứu thực hiện đề tài.
Tôi xin trân trọng cảm ơn Ban Giám đốc, các đơn vị trong Công an thành phố Hà
Nội đã tạo điều kiện, giúp đỡ, hỗ trợ Tôi hoàn thành khóa học và luận văn.
Xin trân trọng cảm ơn.
Hà Nội, ngày 6 tháng 8 năm 2017
Tác giả luận văn

Bùi Ngọc Hạnh

3


MỤC LỤC
10

MỞ ĐẦU
CHƯƠNG 1:

HỆ THỐNG GSANM


14

1.1

Tổng quan về hệ thống GSANM

14

1.1.1.

Tầm quan trọng của GSANM

14

1.1.2.

Những yếu tố cần thiết cho một hệ thống GSANM

15

1.1.3.

Công nghệ triển khai hệ thống GSANM

16

1.2.

Một số giải pháp công nghệ GSANM nổi bật


18

1.2.1.

Phân tích theo giải pháp công nghệ

18

1.2.2.

Phân tích theo nhà cung cấp

20

1.3.

Phương trình khoa học

24

CHƯƠNG 2:

THIẾT KẾ GIẢI PHÁP GSANM CHO HỆ THỐNG MẠNG
TẠI PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH CATP HÀ NỘI

25

2.1


Các thành phần của hệ thống GSANM cho hệ thống mạng tại
phòng Quản lý xuất nhập cảnh CATP Hà Nội

25

2.1.1.

Thành phần thu thập thông tin

25

2.1.2

Thành phần lưu trữ, phân tích sơ bộ

26

2.1.3.

Thành phần phân tích quản trị tập trung

26

2.1.4

Các giao thức sử dụng tích hợp các thành phần trong GSANM

26

2.2.


Khảo sát hệ thống mạng tại Phòng Quản lý xuất nhập cảnh
CATP Hà Nội

31

2.2.1.

Mô hình hệ thống mạng

31

2.2.2.

Hiện trạng hệ thống mạng

32

2.3.

Phân tích, đánh giá các nguy cơ, rủi ro của hệ thống mạng tại
phòng Quản lý xuất nhập cảnh CATP Hà Nội, xác định các thành
phần cần thực hiện giám sát

33

2.3.1.

Phân tích, đánh giá các rủi ro của hệ thống thống mạng tại phòng
Quản lý xuất nhập cảnh CATP Hà Nội


33

2.3.2.

Thành phần cần thực hiện giám sát

42

CHƯƠNG 3:

TRIỂN KHAI XÂY DỰNG HỆ THỐNG GSANM CHO HỆ
THỐNG MẠNG TẠI PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH
CATP HÀ NỘI

43

3.1.

Đề xuất giải pháp, mô hình hệ thống GSANM phù hợp cho hệ
thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội

43

3.1.1.

Các yêu cầu đối với hệ thống GSANM phù hợp

43


3.1.2.

Đề xuất giải pháp

44

3.2.

Xây dựng hệ thống GSANM

58

4


3.2.1.

Xây dựng thành phần phân tích quản trị tập trung- ArcSight ESM

58

3.2.2.

Xây dựng thành phần lưu trữ, phân tích sơ bộ - ArcSight Logger

58

3.2.3.

Xây dựng thành phần thu thập thông tin – ArcSight Connector


58

3.2.4.

Cấu hình tích hợp các thành phần

58

3.3.

Một số chính sách thực hiện giám sát

59
64

KẾT LUẬN
4.1.

Đánh giá hiệu quả của hệ thống GSANM đã xây dựng

64

4.2.

Những khó khăn, tồn tại của hệ thống GSANM đã xây dựng

64

4.3.


Hướng phát triển giải pháp, mở rộng hoàn thiện hệ thống
GSANM

64

TÀI LIỆU THAM KHẢO

66

5


DANH MỤC TỪ VIẾT TẮT
STT

Thuật Ngữ/Từ Viết Tắt

Giải thích từ ngữ

1

AD

Active Directory (Microsoft)

2

APT


Advanced Persistent Threat

3

ATANTT

An toàn an ninh thông tin

4

ATTT

An toàn thông tin

5

BGP

Giao thức định tuyến (Border Gateway Protocol)

6

BTTTT

Bộ Thông tin và Truyền thông

7

CATP


Công an thành phố

8

CGI

Chuẩn kết nối chương trình ứng dụng với
webserver (Common Gateway Interface)

9

CIFS

Common Internet File System

10

CNTT

Công nghệ Thông tin

11

CPU

Bộ xử lý trung tâm (Central Processing Unit)

12

CSDL


Cơ sở dữ liệu

13

DDoS

Tấn công từ chối dịch vụ phân tán (Distributed
Denial of Service)

14

DHCP

Giao thức cấu hình động máy chủ (Dynamic Host

15

DNS

Hệ thống tên miền (Domain Name System)

16

DoS

Tấn công từ chối dịch vụ (Denial of Service)

17


ESM

Enterprise Security Management

18

FTP

Giao thức truyền tập tin (File Transfer Protocol)

19

GSANM

Giám sát an ninh mạng

20

GSM

Hệ thống thông tin di động toàn cầu (Global
System for Mobile Communications)

21

GUI

Giao diện người dùng đồ họa (Graphical User
Interface)


22

HOST

Máy chủ

23

HTML

Ngôn ngữ đánh dấu siêu văn bản (HyperText
Markup Language)

24

HTTP

Giao thức truyền siêu văn bản (Hypertext
Transfer Protocol)

6


25

ICMP

Giao thức bản tin điều khiển Internet (Internet
Control Message Protocol)


26

ID

Định danh (Identifier)

27

IDS

Hệ thống phát hiện xâm nhập (Intrusion
Detection System)

28

IM

Tin nhắn nhanh (Instant Messaging)

29

IMAP

Giao thức truy cập thông điệp Internet (Internet

30

ISO

International Organization for Standardization


31

LAN

Local Area Network (mạng cục bộ)

32

LDAP

Lightweight Directory Access Protocol

33

NAS

Network Attached Storage

34

NFS

Network File System

35

NIST

National Institute of Standards and Technology

(Viện Tiêu chuẩn và Kĩ thuật Quốc gia - Hoa Kỳ)

36

NIST SP

NIST Special Publication

37

POP3

Post Office Protocol 3 (giao thức nhận thư điện
tử)

38

RAID

Redundant Array of Independent Disks

39

SAN

Storage Area Network

40

SCAP


Security Content Automation Protocol (Giao thức
tự động bảo mật nội dung)

41

SEM

Security Event Management (Quản lý Sự kiện
Bảo mật)

42

SIEM

Security Information and Event Management
(Quản lý Thông tin và Sự kiên Bảo mật)

43

SIM

Security Information Management (Quản lý
Thông tin Bảo mật)

44

SMTP

Simple Mail Transfer Protocol (giao thức chuẩn

gửi thư điện tử)

45

TTĐT

Thông tin Điện tử

46

TTTHDL

Trung Tâm Tích hợp Dữ liệu

50

VPN

Virtual Private Network (mạng riêng ảo)

51

WAN

Wide area network (mạng diện rộng)

7


DANH MỤC HÌNH VẼ

Hình 1.1: Thành phần và chức năng của hệ thống GSANM

18

Hình 2.1: Mô hình hoạt động hệ thống GSANM tại phòng quản lý xuất nhập cảnh

25

Hình 2.2: Sơ đồ logic mạng tổng thể tại Phòng Quản lý xuất nhập cảnh CATP

31

Hình 3.1: ArcSight SIEM – 4 bước để đảm bảo an toàn

47

Hình 3.2: Mẫu dữ liệu nhật ký dạng nguyên thủy

49

Hình 3.3: Mẫu dữ liệu nhật ký sau khi được ArcSight chuẩn hóa

49

Hình 3.4: ArcSight chuẩn hóa nhật ký thành 1 định dạng chung CEF

49

Hình 3.5: Các kỹ thuật ArcSight sử dụng để phân tích tương quan (Correlation)


50

Hình 3.6: ArcSight Identity View

51

Hình 3.7: ArcSight phân tích và phát hiện Trojan and Botnet detection - 1

52

Hình 3.8: ArcSight phân tích và phát hiện Trojan and Botnet detection – 2

52

Hình 3.9: ArcSight Use-cases

53

Hình 3.10: Giao diện theo dõi ArcSight Dashboard

54

Hình 3.11: Giám sát bùng nổ WORM trong mạng

54

Hình 3.12: Giám sát việc phát tán Mã độc trong hệ thống

55


Hình 3.13: Giao diện quản lý thông báo, cảnh báo an ninh

56

Hình 3.14: Mô hình triển khai logic của giải pháp

57

Hình 3.15: Mẫu cảnh báo tình trạng mất kết nối cổng mạng tại màn hình giám sát

59

Hình 3.16: Mẫu thư điện tử cảnh báo tình trạng mất kết nối cổng mạng

59

Hình 3.17: Mẫu báo cáo các cảnh báo của Firewall

60

Hình 3.18: Mẫu báo cáo Vmware Events

61

Hình 3.19: Mẫu cảnh báo Brute Force Login

62

Hình 3.20: Mẫu báo cáo Trend Micro spam rules


63

8


DANH MỤC BẢNG BIỂU
Bảng 2.1: Thông tin cần nắm bắt khi giám sát một TTTHDL

9


CHƯƠNG MỞ ĐẦU
1. Tính cấp thiết của đề tài
Ngày nay, cùng với sự phát triển của công nghệ thông tin, việc đẩy mạnh ứng dụng
công nghệ thông tin, phát triển hạ tầng hệ thống mạng thông tin điện tử trong mỗi cơ quan,
tổ chức ngày càng tăng cao giúp nâng cao hiệu quả hoạt động mang lại nhiều lợi ích thiết
thực cho cơ quan, tổ chức. Bên cạnh với những lợi ích đạt được, hệ thống mạng thông tin
điện tử trong các cơ quan cũng phải đối đầu với rất nhiều nguy cơ, thách thức mất an toàn
ngày càng tăng cao như các cuộc tấn công mạng ngày càng trở lên tinh vi, phức tạp, sự gia
tăng nhanh chóng của các phần mềm độc hại … gây ảnh hưởng không nhỏ tới tính an toàn,
tính bí mật, tính sẵn sàng của thông tin và thiết bị, tài nguyên, dịch vụ trong hệ thống.
Đồng thời, với xu hướng phát triển công nghệ trong thời gian gần đây, các cuộc tấn
công mạng ngày càng mang động cơ chính trị và kinh tế rõ ràng, các hệ thống thông tin
điện tử (TTĐT) trong các cơ quan tổ chức nhà nước đang trở thành những môi trường với
nhiều nguy cơ mất an toàn thông tin (ATTT). Ngày càng nhiều báo cáo, nghiên cứu cho
thấy xu hướng phát triển của hình thức tấn công APT mà Việt Nam đang là một mục tiêu.
Theo công ty bảo mật FireEye, các cơ quan báo chí, các cơ quan chính phủ Việt Nam, các
ngân hàng … đang là đối tượng tấn công của APT 30, APT 64 trong 10 năm qua với mục
đích lấy cắp dữ liệu nhạy cảm.
Vì vậy, cùng với xu hướng phát triển trên thì việc đảm bảo an toàn, an ninh thông tin

cho các cơ quan, tổ chức, mang lại sự hoạt động ổn định của các tài nguyên và ứng dụng,
công tác đẩy mạnh công nghệ thông tin đạt hiệu quả cao và giảm thiểu các rủi ro, thiệt hại
đang là vấn đề rất cấp thiết.
Hiện nay, cùng chung với tình hình trong và ngoài nước như trên, phòng Quản lý
xuất nhập cảnh CATP Hà Nội với đặc thù vừa là một cơ quan có nhiều thông tin quan
trọng, vừa là đơn vị cung cấp dịch vụ trên internet (Hộ chiếu, Lưu trú…) cũng phải đối mặt
với nhiều khó khăn, nguy cơ mất ATANTT trong hệ thống mạng thông tin điện tử tại
phòng Quản lý xuất nhập cảnh CATP Hà Nội. Đặc biệt lĩnh vực quản lý xuất nhập cảnh là
một lĩnh vực đặc thù và trong tình hình mới khi tội phạm đa quốc gia, nạn khủng bố đang
hoạt động một cách mạnh mẽ, nạn di dân... công tác quản lý xuất nhập cảnh phải hết sức
chặt chẽ, tránh các sơ hở, lộ lọt thông tin cấm xuất, cấm nhập... có ý nghĩa hết sức quan
trọng trong bảo vệ an ninh quốc gia và điểm yếu từ quản lý hệ thống thông tin xuất nhập
cảnh dễ bị lợi dụng. Đây cũng là ý nghĩa quan trọng trong mối liên kế giữa an ninh phi
truyền thống và an toàn, an ninh thông tin trong khuôn khổ phạm vi của đề tài này.

10


2. Tổng quan tình hình nghiên cứu
Hiện nay trong thực tế, hầu hết trong các cơ quan, tổ chức tại Việt Nam đều chưa có
được một giải pháp có thể giám sát, đánh giá tổng thể về tình hình hoạt động và mức độ an
toàn, an ninh thông tin trong đơn vị.
Để có thể đánh giá tổng thể và toàn cảnh về an toàn, an ninh thông tin (ATANTT)
của một cơ quan, tổ chức, thì việc thu thập, phân tích và lưu trữ các sự kiện ATTT từ các.
thiết bị, dịch vụ và ứng dụng như là hết sức cần thiết. Tuy nhiên, số lượng sự kiện ATTT
được tạo ra bởi các thiết bị an ninh và toàn bộ hệ thống là rất lớn, với các kiểu định dạng
khác nhau và giá trị thông tin mang lại cũng khác nhau. Các thiết bị khác nhau có thể tạo ra
báo cáo ở các góc độ khác nhau về cùng một sự cố ATTT.
Song song với hệ thống thiết bị kỹ thuật, yếu tố con người và môi trường làm việc có
thể dẫn đến việc một số thông tin cảnh báo quan trọng bị bỏ qua, các sự cố ATTT mạng

không được xử lý kịp thời... gây ra thiệt hại lớn cho cơ quan, tổ chức.
Đối với riêng hệ thống của phòng Quản lý xuất nhập cảnh CATP Hà Nội có quy mô
hơn 100 máy tính cá nhân và hơn 20 máy chủ dịch vụ trong hệ thống mạng, phòng Quản lý
xuất nhập cảnh CATP Hà Nội bước đầu đã có sự quan tâm nhất định tới vấn đề đảm bảo
ATANTT bằng việc đã đầu tư, triển khai một số biện pháp tăng cường bảo mật cho hệ
thống như các thiết bị tường lửa thế hệ mới (Firewall), các thiết bị IDS/IPS, hệ thống
phòng chống mã độc/thư rác, hệ thống kiểm soát truy cập web… Tuy nhiên, trong thực tế
hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội còn gặp rất nhiều khó
khăn trong việc có thể phát hiện, ngăn chặn và xử lý các sự cố gây mất ATANTT điển hình
như: tình trạng lộ lọt tài liệu, thông tin nhạy cảm; các máy tính bị nhiễm mã độc mặc dù đã
có cảnh báo của phần mềm phòng chống; tình trạng dịch vụ cung cấp trên mạng (thư điện
tử, các dịch vụ công …) còn chưa thực sự ổn định để đáp ứng nhu cầu khai thác của cán bộ
và người dân; việc tra cứu, tổng hợp thông tin về tình trạng hoạt động của hệ thống mạng
để theo dõi là rất khó khăn …
Bởi vậy, cần có một hệ thống cho phép theo dõi, giám sát tình trạng hoạt động và các
nguy cơ gây mất ATANTT trong hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP
Hà Nội, đó chính là hệ thống giám sát an ninh mạng (GSANM). Hệ thống giám sát an ninh
mạng quản lý và phân tích các sự kiện ATTT, thực hiện thu thập, chuẩn hóa, lưu trữ và
phân tích tương quan toàn bộ các sự kiện ATTT được sinh ra từ các thành phần trong hạ
tầng công nghệ thông tin. Hệ thống giám sát an ninh mạng có thể thực hiện được các
nhiệm vụ sau:

11


 Phát hiện kịp thời các tấn công mạng xuất phát từ Internet cũng như các tấn công
xuất phát trong nội bộ.
 Phát hiện kịp thời các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch
vụ trong hệ thống.
 Phát hiện kịp thời sự lây nhiễm mã độc trong hệ thống mạng, các máy tính bị

nhiễm mã độc, các máy tính bị tình nghi là thành viên của mạng máy tính ma (botnet).
 Giám sát việc tuân thủ chính sách an ninh trong hệ thống.
 Cung cấp bằng chứng số phục vụ công tác điều tra sau sự cố.
Như vậy, ta có thể thấy việc nghiên cứu triển khai xây dựng hệ thống giám sát an
ninh mạng trong các cơ quan tổ chức như phòng Quản lý xuất nhập cảnh CATP Hà Nội là
rất cấp thiết, đó sẽ là công cụ hiệu quả trong việc hỗ trợ giám sát và phát hiện sớm các
nguy cơ, các sự cố gây mất ATANTT và hỗ trợ điều tra nguồn gốc đối với các tấn công
vào hệ thống thông tin điện tử. Qua đó giúp cho người quản trị hệ thống có thể theo dõi
thường xuyên hệ thống và sớm nhận biết các mối nguy hiểm vào hệ thống của mình. Ngoài
ra, việc triển khai xây dựng hệ thống giám sát an ninh mạng cho các cơ quan, tổ chức như
phòng Quản lý xuất nhập cảnh CATP Hà Nội là tiền đề để có thể xây dựng hệ thống giám
sát an ninh mạng cho CATP Hà Nội. Việc này có ý nghĩa to lớn trong việc chủ động đảm
bảo an toàn an ninh mạng chung, bảo vệ thông tin quốc gia trong tình hình mất ATTT diễn
ra ngày càng tinh vi, phức tạp trên toàn thế giới.
3. Mục tiêu nghiên cứu
Đề tài được thực hiện với mục tiêu nhằm tăng cường công tác đảm bảo ATTT và chủ
động đối phó với các vấn đề gây mất ATANTT tại phòng Quản lý xuất nhập cảnh CATP
Hà Nội, nghiên cứu và triển khai xây dựng hệ thống giám sát an ninh mạng trong thực tế
cho hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội.
4. Đối tượng nghiên cứu
Đề tài tập trung nghiên cứu về giám sát tài nguyên hệ thống (thiết bị mạng, máy
chủ), hoạt động truy cập mạng, hoạt động của các thiết bị bảo mật (Firewall, IDS/IPS,
Antivirus …) đồng thời triển khai thực tế hệ thống giám sát an ninh mạng tại phòng Quản
lý xuất nhập cảnh CATP Hà Nội.
5. Phạm vi nghiên cứu
Đề tài sẽ tập trung nghiên cứu một cách tổng quan về mô hình và kiến trúc bảo đảm
an toàn, an ninh thông tin đặc biệt trong hướng xây dựng hệ thống giám sát an ninh mạng.
Các vấn đề nghiên cứu trong phần này xoay quanh việc xác định các nguyên tắc để giám

12



sát an toàn, an ninh thông tin một cách toàn diện nhất với toàn bộ hệ thống từ con người,
kỹ thuật, quy trình và thủ tục.
6. Phương pháp nghiên cứu
Nghiên cứu những đặc điểm của các hệ thống hệ thống giám sát an ninh mạng nói
dung. Các giải pháp được nghiên cứu, tổng hợp từ nhiều nguồn khác nhau từ đó, tổng hợp
đưa ra giải pháp tổng thể để xây dựng hệ thống giám sát an ninh mạng giúp đảm bảo an
ninh an toàn cho hệ thống mạng phòng quản lý xuất nhập cảnh của Công an thành phố Hà
Nội.
Ngoài ra, thực hiện khảo sát, phân tích hệ thống mạng tại phòng Quản lý xuất nhập
cảnh CATP Hà Nội. Phân tích đánh giá các nguy cơ, rủi ro đối với hệ thống mạng tại
phòng Quản lý xuất nhập cảnh CATP Hà Nội. Xác định các thành phần cần được giám sát
từ đó đưa ra các yêu cầu, tiêu chí để lựa chọn, thiết kết giải pháp giám sát an ninh mạng
phù hợp. Lựa chọn, đề xuất giải pháp, công nghệ giám sát an ninh mạng phù hợp.
7. Cấu trúc luận văn
Chương I: Hệ thống giám sát an ninh mạng (GSANM)
Chương II: Thiết kế giải pháp GSANM cho hệ thống mạng tại phòng quản lý xuất
nhập cảnh CATP Hà Nội
Chương III: Triển khai xây dựng hệ thống GSANM cho hệ thống mạng phòng quản
lý xuất nhập cảnh CATP Hà Nội.

13


CHƯƠNG 1: HỆ THỐNG GIÁM SÁT AN NINH MẠNG (GSANM)
-

Tổng quan lý thuyết, khái niệm cơ bản về hệ thống GSANM.


-

Giới thiệu một số giải pháp GSANM nổi bật.

1.1. Tổng quan về hệ thống GSANM
Hệ thống GSANM là hệ thống quản lý và phân tích các sự kiện ATTT được sinh ra
từ các thành phần trong hạ tầng công nghệ thông tin của cơ quan/tổ chức từ đó kịp thời
phát hiện các sự cố, nguy cơ mất ATTT (các cuộc tấn công mạng, máy tính nhiễm mã độc,
các lỗ hổng bảo mật của các thiết bị/ứng dụng …), đồng thời cung cấp bằng chứng số phục
vụ công tác điều tra khi xảy ra sự cố cũng như giám sát việc tuân thủ chính sách an ninh
thông tin của các thành phần trong hệ thống thông tin của cơ quan/tổ chức.
1.1.1

1.1.1. Tầm quan trọng của GSANM
Ngày nay, hệ thống mạng có độ phức tạp ngày càng cao. Các thiết bị như router,

switch, hub đã kết nối vô số các máy con đến các dịch vụ trên máy chủ cũng như ra ngoài
Internet. Thêm vào đó là rất nhiều các tiện ích bảo mật và truyền thông được cài đặt bao
gồm cả tường lửa, mạng riêng ảo (VPN), các dịch vụ phòng chống mã độc và thư rác. Sự
hiểu biết về cấu trúc của hệ thống cũng như có được khả năng cảnh báo về hệ thống là một
yếu tố quan trọng trong việc duy trì hiệu suất cũng như tính toàn vẹn của hệ thống. Có
hàng ngàn khả năng có thể xảy ra đối với một hệ thống và quản trị viên phải đảm bảo được
rằng các nguy cơ xảy ra được thông báo một cách kịp thời và chính xác.
Hệ thống mạng không còn là một cấu trúc cục bộ riêng rẽ. Nó được xây dựng để
phục vụ các nguồn truy cập từ Internet, mạng cục bộ (LAN), mạng diện rộng (WAN), với
sự kết hợp của các thiết bị, server (máy chủ), ứng dụng chạy trên hệ thống đó.
Thực tế là các hệ thống mạng rất phức tạp và mỗi thành phần trong mạng đại diện
cho một nguy cơ ảnh hưởng đến hệ thống. Đó cũng là lý do tại sao nó cần thiết phải được
giám sát để giảm thiểu tối đa các nguy cơ tiềm tàng. Tuy nhiên không phải mọi vấn đề đều
có thể được giải quyết một cách chủ động trước bất kỳ dấu hiệu cảnh báo nào. Nhưng nếu

ta có thể giám sát hệ thống trong thời gian thực thì có thể xác định các vấn đề trước khi
chúng trở nên nguy hiểm hơn. Ví dụ, một máy chủ bị quá tải có thể được thay thế trước khi
nó bị treo. Điều này sẽ làm giảm thiểu các nguy cơ đối với hệ thống và tăng hiệu suất làm
việc của hệ thống. Với một hệ thống GSANM, ta sẽ biết được tình trạng của tất cả các thiết
bị trên mạng mà không cần phải kiểm tra một cách cụ thể từng thiết bị và cũng nhanh
chóng xác định chính xác vấn đề khi cần thiết.

14


1.1.2

1.1.2. Những yếu tố cần thiết cho một hệ thống GSANM
Để hiểu được về hệ thống, cần một giải pháp giám sát để có thể cung cấp các thông

tin quan trọng trong thời gian thực và ở bất cứ đâu cũng như bất cứ thời điểm nào. Đối với
các doanh nghiệp, tổ chức thì cần các giải pháp đơn giản để triển khai, sử dụng. Nếu một tổ
chức yêu cầu tính sẵn sàng cao, thì cần một giải pháp tin cậy đã được triển khai và chứng
minh là hoạt động tốt.
Hệ thống mạng ngày nay có rất nhiều thiết bị trên hệ thống và phải thu thập rất nhiều
thông tin liên quan. Chính vì vậy cần một giải pháp hiển thị hệ thống như bản đồ mạng,
báo cáo dữ liệu, cảnh báo sự cố. Bên cạnh việc xử lý sự cố dễ dàng hơn, điều này sẽ giúp
tận dụng mạng lưới dữ liệu để hiểu được các xu hướng trong việc sử dụng thiết bị, sử dụng
mạng, và dung lượng mạng tổng thể để thiết kế hệ thống mạng lưới hiệu quả.
Theo NIST SP 800-137 [7], các bước trong tiến trình giám sát liên lục gồm:
-

Xác định chiến lược: định nghĩa chiến lược theo chính sách rủi ro của tổ chức,
xây dựng và triển khai các chính sách, phát triển các thủ tục và các mẫu để hỗ
trợ thực hiện chiến lược và chính sách.


-

Thiết lập đo lường và các đại lượng đo: thiết lập những thông số và tình trạng
của các thành phần cần xác thực/không xác thực trên mạng để thu thập các thông
tin cho hoạt động giám sát như tình trạng hoạt động của thiết bị, các giao tiếp
vào ra, phân bố các dòng dữ liệu (flow), .... Các đối tượng được giám sát như
giám sát nguồn/đích và lưu lượng luồng dữ liệu, giám sát các dịch vụ như các
cổng, các giao thức, giám sát các loại dữ liệu như các sơ sở dữ liệu, thư điện tử,
...

-

Thiết lập giám sát và theo dõi thường xuyên: Giám sát và kiểm soát các đại
lượng và các phép đo thường xuyên dựa trên một số thông tin như: các rủi ro về
hệ thống của tổ chức, thông tin về các mối nguy và lỗ hổng bảo mật, kiểm soát
các điểm yếu đã được nhận diện, kiểm soát các chức năng bảo mật quan trọng,
kết quả nhận diện các rủi ro, các yêu cầu báo cáo, ...

-

Thực hiện giám sát: thu thập thông tin đã thiết lập cho hoạt động giám sát.

-

Phân tích các thông tin (dữ liệu) có liên quan và lập báo cáo: dữ liệu được phân
tích trong ngữ cảnh như các rủi ro của tổ chức đã được chấp nhận, các điểm yếu
tiềm ẩn trong các quá trình vận hành hệ thống mạng của của tổ chức.

-


Phản ứng với các rủi ro như từ chối, chuyển, hoặc chấp nhận. Cảnh báo là một
trong những bước đầu tiên quan trọng của việc phản ứng. Dựa trên đó, người

15


quản trị hoặc người có trách nhiệm sẽ thực hiện các hành động tiếp theo trực tiếp
tại chỗ hay từ xa như tiếp tục theo dõi, xử lý, thay đổi, xoá ...
-

Xem xét lại và cập nhật chiến lược và chương trình giám sát.

Các bước này cần được lưu ý và triển khai trong các hệ thống GSANM. Tuỳ theo
điều kiện và yêu cầu thực tế mà hệ thống GSANM ở mỗi tổ chức sẽ được hoạch định và
triển khai khác nhau theo các tiêu chí khác nhau.
1.1.3

1.1.3. Công nghệ triển khai hệ thống GSANM
Có nhiều công nghệ được dùng cho các hệ thống GSANM. Tuy nhiên, có thể phân thành

3 nhóm công nghệ cơ bản thường dùng cho các hệ thống các hệ thống GSANM liên tục:
-

Thu thập dữ liệu trực tiếp về tình trạng hoạt động của mạng thông qua các giao
thức như ICMP, SNMP, Syslog, NetFlow, ...

-

Tổng hợp và Phân tích bằng giải pháp SIEM (Quản lý sự kiện và thông tin bảo

mật), quản lý qua Dashboard.

-

Tự động hoá: giao thức SCAP (Security Content Automation Protocol - Giao
thức tự động bảo mật nội dung).

Hiện nay, có khá nhiều công cụ, giải pháp được phát triển phục vụ cho các hệ thống
GSANM với các mục đích đặc thù khác nhau. Tuy nhiên, nhìn chung các hệ thống
GSANM thường được xây dựng dựa trên một trong ba nhóm giải pháp sau: Giải pháp quản
lý thông tin an ninh (SIM), Giải pháp quản lý sự kiện an ninh (SEM) và Giải pháp quản lý
và phân tích sự kiện an ninh (SIEM). Trong đó SIEM đang được coi là giải pháp tổng thể
phù hợp nhất để xây dựng hệ thống GSANM.
Hệ thống SIEM thường bao gồm các thành phần chính với các chức năng như sau:
-

Thành phần thu thập nhật ký (nhật ký ATTT):
 Thực hiện thu thập toàn bộ các nhật ký cần thiết của các thành phần trong hệ
thống công nghệ thông tin (bao gồm các thiết bị/ứng dụng).
 Chuẩn hóa các thông tin nhật ký thu thập được phục vụ công tác lưu trữ và
phân tích sau này.
 Chuyển toàn bộ thông tin nhật ký thu thập được sau khi chuẩn hóa tới thành
phần lưu trữ và phân tích.

-

Thành phần lưu trữ và phân tích:
 Tập hợp, lưu trữ tập trung các thông tin nhật ký ATTT từ các nguồn thu
thập khác nhau.
 Thực hiện phân tích, so sánh tính tương quan của toàn bộ các thông tin nhật

ký ATTT đã tập hợp nhằm phát hiện các sự cố, nguy cơ mất ATTT trong hệ
16


thống. Việc phân tích chủ yếu dựa trên các tập luật được định nghĩa nhưng
đồng thời cũng cần có khả năng tùy biến linh động nhằm đưa ra các kết quả
phân tích chính xác nhất.
 Cập nhật các kết quả phân tích, kịp thời đưa ra các cảnh báo về các sự cố,
nguy cơ mất ATTT trong hệ thống cho người quản trị.
-

Thành phần quản trị tập trung:
 Cung cấp giao diện quản trị tập trung của toàn bộ hệ thống GSANM cho
người quản trị.
 Hỗ trợ người quản trị dễ dàng, thuận tiện theo dõi các báo cáo kết quả phân
tích nhật ký ATTT cũng như các sự kiện ATTT xảy ra trong hệ thống.
 Cung cấp các công cụ hỗ trợ người quản trị thực hiện xử lý khi các sự kiện
ATTT xảy ra nhằm hạn chế, giảm thiểu rủi ro, hậu quả mà các sự kiện
ATTT gây ra cho hệ thống.

Giải pháp quản lý sự kiện và an ninh thông tin (SIEM) mang lại một số lợi ích như
sau:
-

Tăng hiệu quả sử dụng các thông tin về sự kiện, log an ninh cho các cán bộ phụ
trách an ninh, vận hành hệ thống: Giải pháp SIEM cho phép thu thập, chuẩn hóa
log từ nhiều nguồn, giao diện quản trị mạnh mẽ, tập trung giúp tăng hiệu quả
việc sử dụng các thông tin về sự kiện, log an ninh phục vụ công tác an ninh và
vận hành hệ thống


-

Phát hiện nhanh sự cố và các mối đe dọa: Công cụ SIEM thu thập các thông tin
từ nhiều nguồn để phát hiện các loại tấn công tinh vi. Có thể phát hiện bất kì
thay đổi từ các hoạt động bình thường để chỉ ra các mối đe dọa sắp xảy ra và các
nguy cơ trong hệ thống. Ví dụ: bùng nổ mã độc, spam mail, xâm nhập trái phép,
dò quét, tấn công dịch vụ....

-

Hỗ trợ đảm bảo tính tuân thủ về bảo mật: Công cụ SIEM thu thập tất cả các
thông tin liên quan và hiển thị qua báo cáo tuân thủ theo tiêu chuẩn.

-

Đưa ra cái nhìn toàn diện về tình trạng an ninh trên hệ thống: Thông qua các báo
cáo ở các cấp độ khác nhau, giải pháp SIEM có thể đưa ra cái nhìn toàn diện về
tình trạng an ninh trên toàn hệ thống.

-

Giảm thời gian, nhân lực phục vụ giám sát vận hành và an ninh: Giao diện quản
trị tập trung, tính năng phân tích mạnh mẽ giúp giảm thời gian, nhân lực phục vụ
việc giám sát vận hành và an ninh hệ thống so với các công cụ riêng rẽ khác và
cách làm thủ công
17


-


Giảm chi phí hoạt động và bảo trì: Có thể quản lý, phân tích log đối với hầu hết
các hệ thống và CSDL từ nhiều nhà cung cấp khác nhau bằng một giải pháp
SIEM duy nhất. Việc này giúp các tổ chức tiết kiệm thời gian, tiền bạc so với
mua và bảo trì nhiều hệ thống giám sát và phân tích khác nhau.

Hình 1.1: Thành phần và chức năng của hệ thống GSANM
1.2. Một số giải pháp công nghệ GSANM nổi bật
1.1.4

1.2.1. Phân tích theo giải pháp công nghệ.

a.

Security information management (SIM): giải pháp quản lý thông tin an ninh.
SIM thực hiện việc thu thập nhật ký (log), lưu trữ, đưa ra báo cáo (reporting) và
cảnh báo. Các nhật ký này chủ yếu là từ: hệ thống máy chủ, các ứng dụng, thiết bị
network và từ các thiết bị chuyên về Security… SIM là giải pháp thực hiện tốt các
công việc như Index dữ liệu, lưu trữ và tạo ra các báo cáo định kỳ để kiểm tra tính
tuân thủ (compliance). Các thành phần chính của SIM bao gồm: thành phần thu
thập nhật ký, thành phần lưu trữ.
-

Ưu điểm:
 Cung cấp giải pháp lưu trữ nhật ký an ninh cho các tổ chức.
 Cho phép lưu trữ, quản lý nhật ký trong thời gian dài và báo cáo định kỳ.
 Triển khai và vận hành đơn giản.

-

Nhược điểm

 Hạn chế trong quá trình theo dõi giám sát do không có thành phần thực hiện
việc phân tích. Các cảnh bảo đưa ra ở mức độ đơn giản.
 Hệ thống không có khả năng phân tích mối tương quan giữa các sự kiện.

18


 Các công cụ cho việc theo dõi, xử lý sự cố thường đơn giản, không đầy đủ.
b.

Security event management (SEM): giải pháp quản lý các sự kiện an ninh. SEM
thực hiện việc xử lý log và các sự kiện an ninh từ các thiết bị gửi về bao gồm: các
thiết bị mạng (network devices), các máy chủ (Server), các ứng dụng theo thời gian
thực nhằm thực việc việc theo dõi các sự kiện an ninh xảy ra trong hệ thống. SEM
tập trung vào chuẩn hóa và phân tích tính tương quan giữ các sự kiện và thực hiện
các phản ứng đối với các sự cố an ninh thông tin. Các thành phần chính của hệ
thống bao gồm: thành phần thu thập nhật ký, thành phần phân tích nhật ký, các
module phân tích các mối đe dọa mở rộng.
-

Ưu điểm:
 Cho phép thu thập, phân tích các sự kiện theo thời gian thực từ nhiều hệ
thống khác nhau.
 Đưa ra các cảnh báo dựa vào việc phân tích tính tương quan giữa cá sự kiện
an ninh được thu thập từ nhiều hệ thống khác nhau.
 Cung cấp khả năng phản ứng khi hệ thống đưa ra cảnh báo.

-

Nhược điểm:

 Không có khả năng lưu trữ nhật ký trong thời gian dài.
 Vận hành hệ thống phức tạp hơn SIM.

c.

Security information event Management (SIEM) là giải pháp được kết hợp bởi 2
giải pháp SIM và SEM. SIEM là một giải pháp hoàn chính, đầy đủ cho phép các tổ
chức thực hiện việc giám sát các sự kiện ATTT cho một hệ thống. Các thành phần
chính của SIEM bao gồm: thành phần thu thập nhật ký, thành phần phân tích, thành
phần lưu trữ và các module phân tích các mối đe dọa mở rộng.
-

Ưu điểm:
 Cho phép thu thập, chuẩn hóa các sự kiện theo thời gian thực.
 Cung cấp khả năng lưu trữ dài hạn, toàn diện.
 Cho phép phân tích tương quan và đưa ra cảnh báo về các sự cố an ninh
thông tin phức tạp.
 Dễ dàng triển khai và duy trì.

-

Nhược điểm.
 Là hệ thống lớn nên đòi hỏi đội ngũ vận hành phải có trình độ.
 Chi phí cao khi xây dựng hệ thống lớn.

 Dựa trên các phân tích trên và nhu cầu thực tế, người thực hiện đề xuất lựa chọn
công nghệ SIEM vì:
19



 Phù hợp và đúng với nhu cầu thực tế của tổ chức về quản lý các sự kiện về
ATTT.
 Hỗ trợ thu thập, phân tích các sự kiện theo thời gian thực được thu thập từ
các hệ thống gửi về, được kết hợp cùng với các thông tin liên quan đến
người dùng, các thành phần trong hệ thống và dữ liệu.
 Cung cấp khả năng lưu trữ lưu dài, toàn diện (log management) và khả năng
phân tích theo ngữ cảnh (Correlation).
 Cung cấp các chức năng được xây dựng sẵn và cho phép thay đổi
(Customized) theo các yêu cầu của các tổ chức.
1.1.5

1.2.2. Phân tích theo nhà cung cấp
Hiện nay, trên thế giới có khá nhiều đơn vị cung cấp sản phẩm/giải pháp SIEM như

HP ArcSight Enterprise Security Manager (ESM), IBM Security QRadar SIEM,McAfee
Enterprise Security Manager (ESM), AlienVault Open Source SIEM (OSSIM),
LogRhythm Security Intelligence Platform …, mỗi sản phẩm đều có thế mạnh và khả năng
ứng dụng phù hợp nhất định. Trong phạm vi nghiên cứu của đề tài về giải pháp giám sát
cho hệ thống an ninh thông tin tại phòng quản lý xuất nhập cảnh Công an Thành phố Hà
Nội, người thực hiện xin giới thiệu và nhận định về 3 sản phẩm/giải pháp SIEM nổi bật
sau:
a.

HP ArcSight ESM [2]
Được HP mua lại năm 2010 – là nhà cung cấp lớn và dễ dàng nhận thấy nhất về giải

pháp SIEM. HP đang tiếp tục phát triển và cung cấp ArcSight như một nhà cung cấp chính
về giải pháp SIEM, nhưng cũng sử dụng công nghệ để xây dựng hợp nhất khả năng quản
lý các sự kiện an ninh.
Giải pháp SIEM của HP bao gồm phần mềm Enterprise Security Manager (ESM)

cho mỗi trường triển khai rất lớn, yêu cầu mở rộng cao; dòng sản phẩm ArcSight Express
là dạng thiết bị cung cấp giải pháp ESM cho các đối tượng khách hàng vừa, sản phẩm này
cung cấp sẵn các công cụ cho phép giám sát và báo cáo. Dòng sản phẩm thiết bị và phần
mềm ArcSight Logger cung cấp các tính năng thu thập và quản lý dữ liệu nhật ký.
ArcSight Logger có thể triển khai như một giải pháp quản lý nhật ký độc lập hoặc kết hợp
với ESM. HP hiện nay cung cấp các module mở rộng như:
 Application View – cung cấp khả năng giám sát toàn diện các ứng dụng dựa
trên công nghệ HP Fortify.
 HP ArcSight User Behavior Analytics (UBA) – cung cấp khả năng tích hợp
phân tích hành vi của người dùng (Users).
20


 HP DNS Mã độc Analytics (DMA) – cho phép phát hiện các thiết bị
(servers, desktop, monile) bị nhiễm mã độc.
HP đã bổ sung và cải thiện lớn các tính năng trong 2014 như cho phép triển khai
đảm bảo tính sẵn sàng cao cho sản phẩm ArcSight ESM, cập nhật & cải thiện giao diện
Web UI trên ArcSight Logger và ArcSight Express cho phép tối ưu việc giám sát và phân
tích.
Tính đến 2015 ArcSight đã có 12 năm liên tiếp được Gartner đánh giá là sản phẩm
Leader, không có một sản phẩm nào trong Top leader có kết quả tương tự. Cũng theo đánh
giá của Gartner năm 2015 về các tiêu chí chức năng mà hệ thống SIEM cần cung cấp, giải
pháp HP ArcSight được chứng minh là giải pháp phù hợp nhất với việc ArcSight xếp vị trí
thứ #1 hoặc thứ #2 trong 6 trên 8 tiêu chí về chức năng.
Theo đánh giá mới nhất của IDC ArcSight đứng đầu chiếm đến 20% thị phần sản
phẩm SIEM. Hiện nay có khoảng 500 SOCs được xây dựng dựa trên công nghệ HPE
ArcSight, và các nhà quản lý SOC luôn tìm đến ArcSight như một lựa chọn khi xây dựng
SOC.
-


Ưu điểm:
 Cung cấp toàn diện các chức năng của một giải pháp SIEM, cho phép xây
dựng một Security Operations Center (SOC), bao gồm đầy đủ khả năng điều
tra và quản lý sự cố an ninh thông tin theo workflow.
 HP ArcSight User Behavior Analytics cung cấp đầy đủ và chính xác các
tính năng về phân tích hành vi của người dùng cùng với hệ thống SIEM.
 HP ArcSight cung cấp sẵn một một số lượng lớn các công nghệ thu thập cho
phép tích hợp và thu thập nhật ký một cách dễ dàng với các hãng thứ 3.
 HP ArcSight tiếp tục là hãng có sức cạnh tranh lớn theo đánh giá của
Gartner về giải pháp công nghệ SIEM.
 ArcSight Logger cung cấp toàn diện giải pháp quản lý log (Log
Management) và ArcSight Express cung cấp một lựa chọn đầy đủ cho việc
triển khai SEM cho mô hình vừa và nhỏ.

-

Nhược điểm:
 Các tổ chức không chọn ArcSight thông thường cho rằng việc triển khai
ArcSight là khá phức tạp. Ngoài ra, phần nhiều mô hình hoạt động trong các
tổ chức cỡ nhỏ và vừa không cần một giải pháp được hỗ trợ đầy đủ các tính
năng như ArcSight.

b.

IBM Security Qradar [2]
21


Bộ sản phẩm IBM Security Qradar bao gồm: Qradar SIEM, Log manager,
Vulnerability Manager, Risk manager, Qflow, vflow collectors. Qradar có thể triển khai

với dạng một thiết bị, một thiết bị ảo hoặc SaaS. Các thành phần trong giải pháp có thể
triển khai dạng all-in-one hoặc mở rộng bằng việc sử dụng các thành phần độc lập với các
tính năng khác nhau, tuy nhiên triển khai dạng all-in-one không sẽ bị giới một số tính năng.
Giải pháp IBM Qradar cho phép thu thập dữ liệu nhật ký, NetFlow data, full packet.
Hiện nay IBM cải thiện một số tính năng như hỗ trợ điều tra sự cố, khả năng lưu
trữ, truy vấn dữ liệu, ngoài ra khả năng phân tích tương quan đối với dữ liệu nhật ký trong
quá khứ cũng đã được hỗ trợ. IBM có kế hoạch bổ sung tính năng xử lý sự cố sự cố theo
workflow trong tương lai.
-

Ưu điểm
 Giải pháp IBM Qradar cho phép cung cấp khả năng quan sát đối với cả dữ
liệu nhật ký và gói tin, các điểm yếu an ninh.
 Sản phẩm được cho là dễ dàng triển khai trong nhiều môi trường khác nhau.
 Qradar cung cấp khả năng phân tích hành vi đối với netflow và log events.

-

Nhược điểm
 Qradar hạn chế trong việc định nghĩa vai trò, khả năng tích hợp với các hệ
thống trong việc thực hiện xử lý theo workflow và không thể so sánh với
các sản phẩm cạnh tranh khác.
 Sản phẩm Qradar Vulnerability Manager cung cấp hạn chế các tính năng,
không ổn định, việc cập nhật tính năng chậm và hỗ trợ delays.
 Qradar hiện tại chỉ cho phép tích hợp với duy nhất sản phẩm Qradar
Vulnerability Manager để bổ sung các thông tin về điểm yếu an ninh trong
khi các sản phẩm cạnh tranh cho phép tích hợp với hầu hết các sản phẩm
quản lý điểm yếu an ninh.
 Dòng sản phẩm All-in-one thực chất không có khả năng thu thập fullpacket, chỉ hỗ trợ thu thập dữ liệu Netflow và log event. Để có thể thu thập
full packet khách hàng cần mua riêng một sản phẩm Qradar flow với chí đắt

và không có nhiều lựa chọn về models.

c.

McAfee ESM
Mcaffee ESM là giải pháp SIEM với khả năng quản lý, phân tích sự kiện an ninh

thông tin với hiệu suất cao và xác định nguy cơ mất ATTT một cách nhanh chóng giúp
giảm thiểu rủi ro thông tin và cơ sở hạ tầng, trong khi đáp ứng nghiêm ngặt các chính sách
tuân thủ quy định.
22


McAfee ESM kết hợp đồng thời việc quản lý các sự kiện an ninh thông tin, giám
sát, phân tích tương quan nội dung, khả năng phân tích tương quan hệ thống với các thay
đổi, cập nhập các chinh sách bảo mật (các threats, attack mới) liên tục trên internet, từ đó
đưa ra cảnh báo bảo mật, cũng như phương án đối phó nhanh và phù hợp.
McAfee ESM được tổ chức Gartner đánh giá khá cao về tầm nhìn công nghệ (Next
Generation SIEM) và hiệu suất/tốc độ xử lý của hệ thống. Gartner khuyến cáo khách hàng
sử dụng McAfee ESM cho các hệ thống có lượng thông tin với yêu cầu xử lý nhanh.
-

Ưu điểm
 Có năng lực nhận và xử lý thông tin, phân tích, điều tra các sự kiện an ninh
thông tin nhanh, đảm bảo khả năng xác định và đối phó đối với các nguy cơ
một cách nhanh chóng.
 Kết hợp tính năng phân tích các sự kiện an ninh thông tin với khả năng giám
sát, phân tích sâu vào nội dung ứng dụng truyền gửi, các truy cập/thao tác
vào CSDL, giúp cho quản trị viên phân tích bảo mật một cách chính xác,
toàn diện hơn các sự kiện an ninh đã và đang xảy ra trong hệ thống.

 Kết hơp đồng thời phương thức phân tích, điều tra dựa trên các tập luật tính
tương quan với phương thức phân tích dựa trên rủi ro giúp cho quản trị viên
xác định được chính xác các vấn đề bảo mật/sự kiện bảo mật trong hệ thống,
đánh giá chính xác mức độ ảnh hưởng/rủi ro bảo mật của các sự kiện này, từ
đó quan tâm/chú trọng đến các sự kiện an ninh có mức độ rủi ro cao, gây
ảnh hưởng đến các tài nguyên, đối tượng quan trọng trong hệ thống.
 McAfee Advanced Correlation Engine có khả năng xử lý, phân tích thông
tin với hiệu suất cao. Module chuyên dụng để phân tích bảo mật, điều ra các
sự kiện xảy ra trong quá khứ. Đảm bảo tính “play-back” để giúp quản trị
viên khám phá các sự kiện bảo mật, các tấn công mà trước đây chưa xác
định được.
 McAfee Global Threats Intellegent (McAfee GTI) tập hợp một database
gồm các IP/domain thường xuyên phát động tấn công từ chối dịch vụ (DoS,
DDoS), phát tán mã độc, phát tán thư rác, tấn công người dùng… Áp dụng
kết hợp McAfee GTI vào McAfee ESM giúp cho quản trị viên xác định một
cách nhanh chóng các kết nối nghi vấn/tiềm ẩn rủi ro từ hệ thống mạng tổ
chức tới các IP/Domain có mức độ rủi ro cao. Từ đó giúp quản trị viên kịp
thời phát hiện các rủi ro tiềm ẩn đang có, điều tra và đưa ra Phương án xử lý
kịp thời.
23


 Có khả năng tích hợp với nhiều hệ thống bảo mật một cách chặt chẽ để đảm
bảo tính bảo mật cao nhất cho tổ chức:
o

Kết hợp với giải pháp dò quét/quản lý điểm yếu: cho phép tiến hành
khởi tạo dò quét từ giao diện McAfee ESM, cho phép nạp thêm thông
tin kết quả dò quét bảo mật vào thành phần McAfee ESM, xác định và
ưu tiên quản trị bảo mật đối với những tài nguyên cần bảo vệ/giám sát

với mức độ ưu tiên cao.

o

Kết hợp với giải pháp phòng chống tấn công xâm nhập: cho phép cập
nhật thông tin tấn công vào hệ thống SIEM, xác định các nguy cơ có thể
xảy ra và thực thi ra lệnh block/ngăn chặn tấn công trên McAfee IPS
thông qua giao diện của McAfee ESM.

o

Kết hợp với giải pháp quản lý bảo mật Endpoint: nạp thông tin bảo mật
của hệ thống Endpoint – McAfee ePO. Cho phép McAfee ESM biết
được chính xác thông tin các tài nguyên đang được quản lý bởi McAfee
ePO, phục vụ quá trình điều tra các sự kiện liên quan đến các tài nguyên
này. Ngoài ra từ McAfee ESM cũng có thể thiết lập và ra lệnh cho
McAfee ePO tự động chạy các task để bảo mật hệ thống Endpoint.

-

Nhược điểm:
 McAfee ESM chưa thực sự hiệu quả và được đánh giá cao với những tổ
chức lớn.

1.3. Phương trình khoa học:
Từ phương trình công nghệ trong môn học Khoa học, công nghệ và an ninh của tác
giả PGS.TS. Hoàng Đình Phi – Chủ nhiệm khoa Quản trị và Kinh doanh, Đại học Quốc gia
Hà Nội:
Technology = Machines/Tools + Knowledge + Skills
(T)


(M)

(K)

(S)

Trong đó: T – Công nghệ; K – Kiến thức, sự hiểu biết; S – Kỹ năng.
Trong phạm vi luận văn được hiểu: An toàn công nghệ chính là bao gồm phần cứng,
phần mềm, hạ tầng mạng và thiết bị khác; cùng với kiến thức, dựa trên nền tảng khoa học
kỹ thuật và kỹ năng quản lý, khai thác, sử dụng đều cần phải được đảm bảo an toàn.
Tất cả những yếu tố trên phần lớn phụ thuộc vào khả năng và yếu tố con người.

24


×