ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH *** *** *** BÙI NGỌC HẠNH NGHIÊN CỨU THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP GIÁM SÁT CHO HỆ THỐNG AN NINH THƠNG TIN CỦA PHỊNG QUẢN LÝ XUẤT NHẬP CẢNH CÔNG AN THÀNH PHỐ HÀ NỘI LUẬN VĂN THẠC SĨ QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS) Hà Nội - 2017 ĐẠI HỌC QUỐC GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH *** *** *** BÙI NGỌC HẠNH NGHIÊN CỨU THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP GIÁM SÁT CHO HỆ THỐNG AN NINH THÔNG TIN CỦA PHỊNG QUẢN LÝ XUẤT NHẬP CẢNH CƠNG AN THÀNH PHỐ HÀ NỘI Chuyên ngành: Quản trị an ninh phi truyền thống Mã số: Chương trình thí điểm LUẬN VĂN THẠC SĨ QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS) NGƯỜI HƯỚNG DẪN KHOA HỌC: Thiếu tướng,TS NGUYỄN THẾ BÌNH Hà Nội - 2017 CAM KẾT Tác giả cam kết kết nghiên cứu luận văn kết lao động tác giả thu thời gian học nghiên cứu chưa công bố chương trình nghiên cứu người khác Những kết nghiên cứu tài liệu người khác (trích dẫn, bảng, biểu, cơng thức, đồ thị tài liệu khác) sử dụng luận văn tác giả đồng ý trích dẫn cụ thể Tơi hồn tồn chịu trách nhiệm trước Hội đồng bảo vệ luận văn, Khoa quản trị Kinh doanh pháp luật trước cam kết nói Hà Nội, ngày tháng năm 2017 Tác giả luận văn Bùi Ngọc Hạnh LỜI CẢM ƠN Sau thời gian học tập, nghiên cứu HSB, thu nhận kiến thức sâu sắc quản trị an ninh phi truyền thống gắn với bảo vệ an ninh quốc gia mặt đời sống, công tác thầy cô Khoa Quản trị Kinh doanh - Đại học Quốc gia Hà Nội truyền thụ Trong lời cảm ơn này, Tôi xin bày tỏ biết ơn cảm ơn đến thầy cô HSB, đặc biệt Tôi xin gửi tới thầy: Thượng tướng, TS Nguyễn Văn Hưởng – Ngun Thứ trưởng Bộ Cơng an; PGS TS Hồng Đình Phi – Chủ nhiệm khoa Quản trị Kinh doanh, Đại học quốc gia Hà Nội; Đại tá,PGS TS Trần Văn Hòa – Ngun Phó cục trưởng Cục C50 Bộ Công an, trang bị cho Tôi kiến thức khoa học liên ngành, sâu sắc, giúp Tơi hồn thiện kiến thức Tơi xin tỏ lòng biết ơn chân thành đến: Thiếu tướng, TS Nguyễn Thế Bình – Phó Tổng cục trưởng Tổng cục Hậu Cần Kỹ thuật, Bộ Công an, người tận tình hướng dẫn giúp đỡ suốt thời gian học tập, nghiên cứu thực đề tài Tôi xin trân trọng cảm ơn Ban Giám đốc, đơn vị Công an thành phố Hà Nội tạo điều kiện, giúp đỡ, hỗ trợ Tơi hồn thành khóa học luận văn Xin trân trọng cảm ơn Hà Nội, ngày tháng năm 2017 Tác giả luận văn Bùi Ngọc Hạnh MỤC LỤC 10 MỞ ĐẦU CHƯƠNG 1: HỆ THỐNG GSANM 14 1.1 Tổng quan hệ thống GSANM 14 1.1.1 Tầm quan trọng GSANM 14 1.1.2 Những yếu tố cần thiết cho hệ thống GSANM 15 1.1.3 Công nghệ triển khai hệ thống GSANM 16 1.2 Một số giải pháp cơng nghệ GSANM bật 18 1.2.1 Phân tích theo giải pháp cơng nghệ 18 1.2.2 Phân tích theo nhà cung cấp 20 1.3 Phương trình khoa học 24 CHƯƠNG 2: THIẾT KẾ GIẢI PHÁP GSANM CHO HỆ THỐNG MẠNG TẠI PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH CATP HÀ NỘI 25 2.1 Các thành phần hệ thống GSANM cho hệ thống mạng phòng Quản lý xuất nhập cảnh CATP Hà Nội 25 2.1.1 Thành phần thu thập thơng tin 25 2.1.2 Thành phần lưu trữ, phân tích sơ 26 2.1.3 Thành phần phân tích quản trị tập trung 26 2.1.4 Các giao thức sử dụng tích hợp thành phần GSANM 26 2.2 Khảo sát hệ thống mạng Phòng Quản lý xuất nhập cảnh CATP Hà Nội 31 2.2.1 Mơ hình hệ thống mạng 31 2.2.2 Hiện trạng hệ thống mạng 32 2.3 Phân tích, đánh giá nguy cơ, rủi ro hệ thống mạng phòng Quản lý xuất nhập cảnh CATP Hà Nội, xác định thành phần cần thực giám sát 33 2.3.1 Phân tích, đánh giá rủi ro hệ thống thống mạng phòng Quản lý xuất nhập cảnh CATP Hà Nội 33 2.3.2 Thành phần cần thực giám sát 42 CHƯƠNG 3: TRIỂN KHAI XÂY DỰNG HỆ THỐNG GSANM CHO HỆ THỐNG MẠNG TẠI PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH CATP HÀ NỘI 43 3.1 Đề xuất giải pháp, mơ hình hệ thống GSANM phù hợp cho hệ thống mạng phòng Quản lý xuất nhập cảnh CATP Hà Nội 43 3.1.1 Các yêu cầu hệ thống GSANM phù hợp 43 3.1.2 Đề xuất giải pháp 44 3.2 Xây dựng hệ thống GSANM 58 3.2.1 Xây dựng thành phần phân tích quản trị tập trung- ArcSight ESM 58 3.2.2 Xây dựng thành phần lưu trữ, phân tích sơ - ArcSight Logger 58 3.2.3 Xây dựng thành phần thu thập thông tin – ArcSight Connector 58 3.2.4 Cấu hình tích hợp thành phần 58 3.3 Một số sách thực giám sát 59 64 KẾT LUẬN 4.1 Đánh giá hiệu hệ thống GSANM xây dựng 64 4.2 Những khó khăn, tồn hệ thống GSANM xây dựng 64 4.3 Hướng phát triển giải pháp, mở rộng hoàn thiện hệ thống GSANM 64 TÀI LIỆU THAM KHẢO 66 DANH MỤC TỪ VIẾT TẮT STT Thuật Ngữ/Từ Viết Tắt Giải thích từ ngữ AD Active Directory (Microsoft) APT Advanced Persistent Threat ATANTT An tồn an ninh thơng tin ATTT An tồn thông tin BGP Giao thức định tuyến (Border Gateway Protocol) BTTTT Bộ Thông tin Truyền thông CATP Công an thành phố CGI Chuẩn kết nối chương trình ứng dụng với webserver (Common Gateway Interface) CIFS Common Internet File System 10 CNTT Công nghệ Thông tin 11 CPU Bộ xử lý trung tâm (Central Processing Unit) 12 CSDL Cơ sở liệu 13 DDoS Tấn công từ chối dịch vụ phân tán (Distributed Denial of Service) 14 DHCP Giao thức cấu hình động máy chủ (Dynamic Host 15 DNS Hệ thống tên miền (Domain Name System) 16 DoS Tấn công từ chối dịch vụ (Denial of Service) 17 ESM Enterprise Security Management 18 FTP Giao thức truyền tập tin (File Transfer Protocol) 19 GSANM Giám sát an ninh mạng 20 GSM Hệ thống thông tin di động toàn cầu (Global System for Mobile Communications) 21 GUI Giao diện người dùng đồ họa (Graphical User Interface) 22 HOST Máy chủ 23 HTML Ngôn ngữ đánh dấu siêu văn (HyperText Markup Language) 24 HTTP Giao thức truyền siêu văn (Hypertext Transfer Protocol) 25 ICMP Giao thức tin điều khiển Internet (Internet Control Message Protocol) 26 ID Định danh (Identifier) 27 IDS Hệ thống phát xâm nhập (Intrusion Detection System) 28 IM Tin nhắn nhanh (Instant Messaging) 29 IMAP Giao thức truy cập thông điệp Internet (Internet 30 ISO International Organization for Standardization 31 LAN Local Area Network (mạng cục bộ) 32 LDAP Lightweight Directory Access Protocol 33 NAS Network Attached Storage 34 NFS Network File System 35 NIST National Institute of Standards and Technology (Viện Tiêu chuẩn Kĩ thuật Quốc gia - Hoa Kỳ) 36 NIST SP NIST Special Publication 37 POP3 Post Office Protocol (giao thức nhận thư điện tử) 38 RAID Redundant Array of Independent Disks 39 SAN Storage Area Network 40 SCAP Security Content Automation Protocol (Giao thức tự động bảo mật nội dung) 41 SEM Security Event Management (Quản lý Sự kiện Bảo mật) 42 SIEM Security Information and Event Management (Quản lý Thông tin Sự kiên Bảo mật) 43 SIM Security Information Management (Quản lý Thông tin Bảo mật) 44 SMTP Simple Mail Transfer Protocol (giao thức chuẩn gửi thư điện tử) 45 TTĐT Thơng tin Điện tử 46 TTTHDL Trung Tâm Tích hợp Dữ liệu 50 VPN Virtual Private Network (mạng riêng ảo) 51 WAN Wide area network (mạng diện rộng) DANH MỤC HÌNH VẼ Hình 1.1: Thành phần chức hệ thống GSANM 18 Hình 2.1: Mơ hình hoạt động hệ thống GSANM phòng quản lý xuất nhập cảnh 25 Hình 2.2: Sơ đồ logic mạng tổng thể Phòng Quản lý xuất nhập cảnh CATP 31 Hình 3.1: ArcSight SIEM – bước để đảm bảo an tồn 47 Hình 3.2: Mẫu liệu nhật ký dạng nguyên thủy 49 Hình 3.3: Mẫu liệu nhật ký sau ArcSight chuẩn hóa 49 Hình 3.4: ArcSight chuẩn hóa nhật ký thành định dạng chung CEF 49 Hình 3.5: Các kỹ thuật ArcSight sử dụng để phân tích tương quan (Correlation) 50 Hình 3.6: ArcSight Identity View 51 Hình 3.7: ArcSight phân tích phát Trojan and Botnet detection - 52 Hình 3.8: ArcSight phân tích phát Trojan and Botnet detection – 52 Hình 3.9: ArcSight Use-cases 53 Hình 3.10: Giao diện theo dõi ArcSight Dashboard 54 Hình 3.11: Giám sát bùng nổ WORM mạng 54 Hình 3.12: Giám sát việc phát tán Mã độc hệ thống 55 Hình 3.13: Giao diện quản lý thông báo, cảnh báo an ninh 56 Hình 3.14: Mơ hình triển khai logic giải pháp 57 Hình 3.15: Mẫu cảnh báo tình trạng kết nối cổng mạng hình giám sát 59 Hình 3.16: Mẫu thư điện tử cảnh báo tình trạng kết nối cổng mạng 59 Hình 3.17: Mẫu báo cáo cảnh báo Firewall 60 Hình 3.18: Mẫu báo cáo Vmware Events 61 Hình 3.19: Mẫu cảnh báo Brute Force Login 62 Hình 3.20: Mẫu báo cáo Trend Micro spam rules 63 DANH MỤC BẢNG BIỂU Bảng 2.1: Thông tin cần nắm bắt giám sát TTTHDL Hình 3.7: ArcSight phân tích phát Trojan and Botnet detection - Hình 3.8: ArcSight phân tích phát Trojan and Botnet detection – 52 Hình 3.9: ArcSight Use-cases Mặc định ArcSight hỗ trợ sẵn nhiều Use-case, danh sách tình huống, loại công, loại mối đe dọa cần theo dõi Các Use-case cho phép tùy biến, thay đổi cho phù hợp với hệ thống Việc tùy biến Use-case hay cho phép định nghĩa Usecase việc quan trọng hệ thống SIEM nhà cung cấp định nghĩa Use-case theo quan điểm chung mà khơng phải thực tế từ hệ thống cụ thể Ngoài ra, yêu cầu cần theo dõi tổ chức khác nhau, thiết bị, hệ thống thực thu thập nhật ký khác nhau… thiết hệ thống cần phải linh hoạt việc định nghĩa Use-case ArcSight sử dụng phần mềm Console để quản trị theo dõi, việc vận hành thực linh hoạt Các giao diện theo dõi Dashboard, Active Channel, Filter… hiển thị trực quan Trên giao diện Console người quản trị thực phân tích chuyên sau (drilldown) đâu cần Click chuột Các kết hiển thị cho truy vấn hiển thị TAB khác dạng Firefox 53 Top công thành công Top ngăn chặn tường lửa Top Users login không thành công Các User login không thành công nhiều Danh sách Port sử dụng nhiều Hình 3.10: Giao diện theo dõi ArcSight Dashboard Theo dõi Worm Zone Theo dõi Worm theo Host Trạng thái hoạt động Worm Hình 3.11: Giám sát bùng nổ WORM mạng 54 Theo dõi Malware theo thời gian thực Hình 3.12: Giám sát việc phát tán Mã độc hệ thống Phát xử lý cảnh báo an ninh Việc thực phân tích theo thời gian thực cho phép ArcSight nhanh chóng đưa cảnh báo an ninh kịp thời cho người quản trị Các cảnh báo gửi cho người quản trị thông qua nhiều phương thức như: Console, SNMP, SMTP… loại cảnh báo cho phép định nghĩa xác đối tượng nhận Ví dụ: vấn đề Security liên quan đến hệ điều hành gửi cho phận vận hành server hay vấn đề Security liên quan đến Database gửi đến cho phận vận hành Database ArcSight sử dụng khả leo thang (Escalation) để theo dõi cảnh báo đưa Tùy thuộc vào mức độ quan trọng cảnh báo mà hệ thống đưa khoảng thời gian cần xử lý, khoảng thời gian người nhóm quản trị chưa xử lý, ArcSight gửi email Escalation lên người quản trị có vai trò cao (Manager) để xử lý 55 Cảnh báo khơng diệt malware Thơng tin malware Hình 3.13: Giao diện quản lý thông báo, cảnh báo an ninh Toàn cảnh báo đưa quản lý theo dạng hồ sơ (Case), hồ sơ chứa/bao gồm thơng tin: thơng tin cảnh báo, trạng thái xử lý, báo cáo hay thông tin thu thập người xử lý đính kèm vào, cho phép người xử lý cập nhật bổ sung thơng tin q trình phân tích…Điều cho phép đội ngũ xử lý cảnh báo dễ dàng làm việc theo nhóm với Ngoài ra, việc triển khai hệ thống ArcSight SIEM không làm thay đổi kiến trúc mạng hệ thống Các thiết bị đặt đâu hệ thống mạng máy chủ 56 Hình 3.14: Mơ hình triển khai logic giải pháp Bên cạnh giải pháp ArcSight SIEM, tác giả đề xuất bổ sung giải pháp Backup liệu: Dữ liệu chép vào hệ thống dự phòng thường xuyên, độc lập chống việc hư hỏng có cố ý muốn an toàn tác động có chủ đích từ bên ngồi, bên trong, dẫn đến liệu Hiện có nhiều biện pháp kỹ thuật (phần cứng, phần mềm) ngăn chặn việc chép ngồi mục đích quy định để thâm nhập hệ thống vơ tình hay cố ý - Dùng khóa an tồn cho người sử dụng (ETuken, Tuken Key ), xác thực thơng tin người dùng - Nhóm sách bổ sung: + Kiểm sốt an ninh chặt chẽ địa điểm đặt CSDL khóa, quy định khu vực cấm, hệ thống Camera giám sát ghi nhận, kiểm soát người vào + Quy định chặt chẽ cán tham gia quản trị, khai thác + Đào tạo, tập huấn kỹ năng, kỹ thuật an tồn thơng tin người tham gia hệ thống 57 - Giải cố: Khi có cố cần phân loại ứng phó theo quy định chặt chẽ để giải theo cấp, mức độ khác nhau, xử lý tình tương ứng để đảm bảo an tồn (1) Khoanh vùng, lập khu vực bị cố; (2) Phối hợp với đơn vị, quan có thẩm quyền truy xét kịp thời, tránh xáo trộn; (3) Tập trung giải cố với thời gian nhanh nhất; (4) Dựng lại toàn cố, đánh giá, rút kinh nghiệm đưa vào thành kịch (quy định) để giải nhằm ứng phó kịp thời với cố lặp lại hệ thống hệ thống khác (5) Thường xuyên có trao đổi thông tin tương trợ giúp đỡ quan, đơn vị liên quan để thông tin cho cố đã, xảy 3.2 Xây dựng hệ thống GSANM 1.1.16 3.2.1 Xây dựng thành phần phân tích quản trị tập trung - ArcSight ESM Thành phần phân tích quản trị tập trung xây dựng dựa phiên ảo hóa sản phẩm Arcsight ESM Software 6.9.1c Phần mềm quản trị ArcSight Console 6.9 cài trực tiếp máy quản trị viên 1.1.17 3.2.2 Xây dựng thành phần lưu trữ, phân tích sơ - ArcSight Logger Thành phân lưu trữ Phân tích sơ xây dựng máy chủ ảo với dung lượng lưu trữ lớn, cụ thể sau:  Hệ điều hành: Linux CentOS  Phần mềm: HP ArcSight Logger  Giao diện quản trị: Web (https) 1.1.18 3.2.3 Xây dựng thành phần thu thập thông tin – ArcSight Connector Thành phần gồm agent cài trực tiếp máy chủ dịch vụ máy chủ dịch riêng để thu thập thông tin từ thiết bị mạng, thiết bị bảo mật mà không cài agent Cụ thể sau:  Connector agent cài đặt thu thập thông tin trực tiếp máy chủ Domain Controller, máy chủ Web Security (WebSense)  Connector Server thu thập thông tin từ CoreSwitch, Firewall, Wireless Controller, ESXi Server thông qua dịch vụ mà thiết bị hỗ trợ Connector Server bao gồm nhiều Agent Connector cài đặt riêng biệt tương ứng với thiết bị cần thu thập thông tin 58 1.1.19 3.2.4 Cấu hình tích hợp thành phần 3.3 Một số sách thực giám sát - Giám sát hoạt động core switch  Giám sát hoạt động thiết bị, cảnh báo trạng thái hoạt động switch  Gửi cảnh báo tình trạng kết nối cổng mạng có thay đổi trạng thái tới người quản trị Hình 3.15: Mẫu cảnh báo tình trạng kết nối cổng mạng hình giám sát - Hình 3.16: Mẫu thư điện tử cảnh báo tình trạng kết nối cổng mạng Giám sát hoạt động thiết bị tường lửa 59  Giám sát trạng thái hoạt động tường lửa,cảnh báo thiết bị tường lửa có cố  Giám sát hoạt động, cảnh báo IPS tích hợp tường lửa  Định kỳ tự động tạo báo cáo top 10 địa ip nguồn bị drop, top 10 địa ip đích bị drop, top 10 ip connected tới ip Internet TTTHDL, warning/alert IPS firewall - Hình 3.17: Mẫu báo cáo cảnh báo Firewall Giám sát hoạt động máy chủ ảo hóa (ESXi)  Theo dõi hoạt động máy chủ ảo hóa, cảnh báo tới quản trị máy chủ gặp cố  Định kỳ 24h tự động tạo báo cáo tình trạng hoạt động máy chủ 60 - Hình 3.18: Mẫu báo cáo Vmware Events Giám sát hoạt động máy chủ Domain  Giám sát trạng thái hoạt động máy chủ  Giám sát hoạt động đăng nhập người sử dụng, gửi cảnh báo tới quản trị phát cố dò quét mật (Brute Force Login) với lần nhập sai mật vòng phút 61 - Hình 3.19.: Mẫu cảnh báo Brute Force Login Giám sát hoạt động máy chủ Antivirus, Antispam  Giám sát trạng thái hoạt động máy chủ  Định kỳ 24h tự động tạo báo cáo danh sách máy tính nhiễm mã độc, top 10 địa thư gửi spam bị ngăn chặn 62 - Hình 3.20: Mẫu báo cáo Trend Micro spam rules Giám sát hoạt động thiết bị web filter Websense:  Giám sát hoạt động thiết bị  Định kỳ 24h tự động tạo báo cáo danh sách địa nguồn có truy cập bị block, danh sách địa đích truy cập bị block 63 KẾT LUẬN 4.1 Đánh giá hiệu hệ thống GSANM xây dựng Hệ thống GSANM xây dựng nhằm mục đích hỗ trợ việc giám sát phát sớm nguy cơ, cố gây an toàn cho hệ thống mạng, hỗ trợ điều tra nguồn gốc cơng mạng xảy qua giúp cho người quản trị theo dõi hoạt động hiểu sớm nhận biết nguy rủi ro gây nguy hiểm cho hệ thống mạng phòng Quản lý xuất nhập cảnh CATP Hà Nội Sau triển khai thực tế, hệ thống GSANM phòng Quản lý xuất nhập cảnh CATP Hà Nội giúp người quản trị nhận biết dễ dàng xảy hệ thống mạng trạng thái core switch, thiết bị bảo mật, máy chủ thông qua việc theo dõi thành phần quản trị tập trung báo cáo định kỳ theo lịch Đồng thời, hệ thống GSANM gửi cảnh báo tới người quản trị qua hệ thống thư điện tử phát cố, nguy hệ thống mạng, giúp người quản trị kịp thời đưa biện pháp nâng cấp, khắc phục để đảm bảo hoạt động ổn định cho hệ thống mạng Ngoài ra, với việc thu thập lưu trữ tập trung thông tin với định dạng chung thiết bị lưu trữ nguồn thông tin hỗ trợ đắc lực cho việc điều tra, thu thập chứng hệ thống xảy cố tiền đề giúp cho người quản trị cập nhập, bổ sung sách phù hợp để nâng cao hiệu hoạt động đảm bảo ATTT cho hệ thống mạng 4.2 Những khó khăn, tồn hệ thống GSANM xây dựng Việc triển khai hệ thống phức tạp, đặc biệt việc tích hợp thu thập thơng tin từ nhiều nguồn thiết bị, ứng dụng khác Quy trình vận hành, giám sát đòi hỏi người quản trị phải liên tục theo dõi cập nhập sách cho phù hợp Chưa có chế thực tự động cập nhập sách mẫu từ nguồn cung cấp để hỗ trợ người quản trị dễ dàng cập nhập nâng cao hiệu hoạt động việc giám sát Một số thơng tin thu thập hạn chế, chưa thể đồng với nguồn cung cấp dẫn tới người quản trị cần phải kiểm tra chi tiết thơng tin từ nguồn cung cấp Chưa tích hợp, thu thập thông tin từ số máy chủ ứng dụng hoạt động máy chủ thư điện tử, máy chủ dịch vụ quản lý văn … 4.3 Hướng phát triển giải pháp, mở rộng hoàn thiện hệ thống GSANM Tiếp tục mở rộng nguồn thu thập thông tin từ thiết bị mạng (Wireless Controller, Distribution Switch, Access Switch), thiết bị bảo mật khác (hệ thống DLP, hệ thống 64 quản lý truy cập tập trung …) máy chủ dịch vụ, ứng dụng hoạt động quan Đồng thời mở rộng khả thu thập với giao thức SNMP, netflow … Liên tục cập nhập, bổ sung sách thực giám sát phù hợp, đảm bảo hiệu hoạt động giám sát hệ thống Tích hợp với hệ thống SMS, nâng cao hiêu hoạt động đưa cảnh báo kịp thời Nghiên cứu bổ sung chức tích hợp với thiết bị bảo mật, cho phép tự động thực ngăn chặn truy cập phát cố có tính chất nghiêm trọng 65 TÀI LIỆU THAM KHẢO [1] Luật Nhập cảnh, xuất cảnh, cảnh, cư trú người nước Việt Nam số 47/2014/QH13 ngày 16/06/2014 Quốc hội khóa XIII; [2] Luật An tồn thơng tin mạng số 86/2015/QH13 ngày 19/11/2015 Quốc hội khóa XIII; [3] Anton A Chuvakin and Kevin J Schmidt (2012), Logging and Log Management: The Authoritative Guide to Understanding the Concepts Surrounding Logging and Log Management, Syngress [4] David Miller, Shon Harris, Allen Harper, Stephen VanDyke, Chris Blask (2014), Security Information and Event Management (SIEM) Implementation, Network Pro Library [5] Douglas Mauro, Kevin Schmidt (2005), Essential SNMP¸ O’Reilly Media [6] HP Company (2015), ArcSight Administrator & User Guide [7] Michael S Collins (2014), Network Security Through Data Analysis: Building Situational Awareness, O’Reilly Media [8] Mark Talabis, Robert Mcpherson, I Miyamoto, and Jason Martin (2014), Information Security Analytics: Finding Security Insights, Patterns, and Anomalies in Big Data , Syngress [9] NIST SP 800-137 (2010), Information Security Continuous Monitoring (Ongoing Monitoring in Support of Organizational Risk Management), NIST [10] Trung tâm Ứng cứu cố máy tính Việt Nam VNCert (2015) – Tham luận “CÁC NGUY CƠ TẤN CÔNG GÂY MẤT ATTT HỆ THỐNG THÔNG TIN TRỌNG YẾU VÀ MỘT SỐ GIẢI PHÁP”, VNCert [11] Vũ Quốc Khánh (2015), Giám sát an tồn mạng cho Chính phủ điện tử 66 ... GIA HÀ NỘI KHOA QUẢN TRỊ VÀ KINH DOANH *** *** *** BÙI NGỌC HẠNH NGHIÊN CỨU THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP GIÁM SÁT CHO HỆ THỐNG AN NINH THƠNG TIN CỦA PHỊNG QUẢN LÝ XUẤT NHẬP CẢNH CÔNG AN THÀNH... II: Thiết kế giải pháp GSANM cho hệ thống mạng phòng quản lý xuất nhập cảnh CATP Hà Nội Chương III: Triển khai xây dựng hệ thống GSANM cho hệ thống mạng phòng quản lý xuất nhập cảnh CATP Hà Nội. .. hiểm vào hệ thống Ngồi ra, việc triển khai xây dựng hệ thống giám sát an ninh mạng cho quan, tổ chức phòng Quản lý xuất nhập cảnh CATP Hà Nội tiền đề để xây dựng hệ thống giám sát an ninh mạng cho