Mục tiêu nghiên cứu của luận văn là khảo sát các yêu cầu và giải pháp an toàn thông tin. Để đưa ra giải pháp an toàn thông tin cho Viện KHCN Sáng tạo Việt Nam có khả năng triển khai áp dụng trong thực tế.
HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG NGUYỄN CƠNG TÙNG NGHIÊN CỨU GIẢI PHÁP AN TỒN THƠNG TIN VÀ ỨNG DỤNG TẠI VIỆN KHCN SÁNG TẠO VIỆT NAM Chuyên ngành: Hệ thống thơng tin Mã số: 8.48.01.04 TĨM TẮT LUẬN VĂN THẠC SĨ HÀ NỘI – NĂM 2020 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG Người hướng dẫn khoa học: TS NGUYỄN TẤT THẮNG Phản biện 1: PGS.TS Nguyễn Đức Dũng Phản biện 2: TS Ngô Xuân Bách Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thơng Vào lúc: 20 ngày 09 tháng 01 năm 2021 Có thể tìm hiểu luận văn tại: - Thư viện Học viện Cơng nghệ Bưu Viễn thơng 1 MỞ ĐẦU Lý chọn đề tài Trong năm gần đây, công nghệ thông tin (CNTT) lĩnh vực phát triển nhanh chóng, tồn diện ứng dụng rộng rãi tất lĩnh vực đời sống, xã hội Khi giá trị từ hệ thống CNTT mang lại ngày lớn, nguy bị hacker công ngày cao Nhiều giải pháp bảo đảm an tồn thơng tin cho hệ thống CNTT quan tâm nghiên cứu triển khai Tuy nhiên, thực tế, thường xuyên có hệ thống bị công, bị đánh cắp thông tin, phá hoại gây hậu vô nghiêm trọng nhiều doanh nghiệp, quan nhà nước toàn xã hội Trước thực trạng cấp thiết đó, học viên xin chọn đề tài “Nghiên cứu giải pháp an tồn thơng tin ứng dụng Viện KHCN Sáng tạo Việt Nam” làm đề tài luận văn nhằm nghiên cứu, đưa giải pháp giám sát an tồn thơng tin giai đoạn Tổng quan đề tài nghiên cứu Luận văn nghiên cứu giải pháp giám sát an tồn thơng tin dựa SIEM (Security Information and Event Management) hệ thống thiết kế nhằm thu thập phân tích nhật ký, kiện an tồn thơng tin từ thiết bị đầu cuối lưu trữ tập trung Hệ thống SIEM cho phép phân tích tập trung báo cáo kiện an tồn thơng tin tổ chức, phát thông qua luật tương quan SIEM phục vụ nhiều công việc như: Quản lý tập trung, giám sát an thông tin mạng, cải thiện hiệu phục cố Trong Luận văn tập trung tìm hiểu, phân tích, nghiên cứu chủ đề giám sát an tồn thơng tin Giám sát an tồn thơng tin việc sử dụng hệ thống để liên tục theo dõi số thơng tin, xem xét tình trạng hoạt động thiết bị, dịch vụ hệ thống đó, cảnh báo cho quản trị viên trường hợp mạng khơng hoạt động có cố khác (tắc nghẽn, sập, ), hành vi công (dựa tập luật cấu hình), hành vi bất thường Các kiện diễn thiết bị ghi lại log Nhiệm vụ hệ thống giám sát ATTT sử dụng Event Collector thu thập log từ Log Source (thành phần có log) gửi sở liệu trung tâm Event Processor phân tích kiện gửi báo cho quản trị viên để có hành động ứng phó thích hợp Giải pháp giám sát an tồn thơng tin có khả phân tích, cảnh báo thời gian thực cố, nguy ATTT hệ thống Với giải pháp này, hệ thống quản lý bảo đảm ATTT mức cao Mục tiêu nghiên cứu đề tài Mục tiêu nghiên cứu luận văn khảo sát yêu cầu giải pháp an tồn thơng tin Để đưa giải pháp an tồn thơng tin cho Viện KHCN Sáng tạo Việt Nam có khả triển khai áp dụng thực tế Đối tượng phạm vi nghiên cứu - Đối tượng nghiên cứu: Luận văn nghiên cứu giải pháp an tồn thơng tin vấn đề liên quan tới giải pháp an tồn thơng tin Trong đó, luận văn tập trung vào nghiên cứu giải pháp Splunk việc xây dựng hệ thống giám sát, đảm bảo an tồn thơng tin Cách thức chuẩn hóa kiện an tồn thơng tin đưa cảnh báo - Phạm vi nghiên cứu: Luận văn nghiên cứu cách tổng quan giải pháp an tồn thơng tin; đặc điểm, ưu điểm nhược điểm hệ thống Nghiên cứu giải pháp xây dựng hệ thống; vấn đề an tồn thơng tin Viện KHCN Sáng tạo Việt Nam giải pháp đảm bảo an tồn thơng tin 3 Phương pháp nghiên cứu đề tài - Về mặt lý thuyết: Thu thập, khảo sát, phân tích tài liệu liên quan đến giải pháp tồn thơng tin - Về mặt thực nghiệm: Khảo sát hệ thống CNTT Viện KHCN Sáng tạo Việt Nam ứng dụng giải pháp an toàn thông tin Viện Bố cục luận văn Luận văn trình bày chương: Chương luận văn khảo sát tổng quan tình hình an tồn thơng tin mối đe dọa an tồn thơng tin Chương luận văn tập trung nghiên cứu giải pháp an tồn thơng tin, từ đưa giải pháp an tồn thơng tin Chương luận văn tập trung nghiên cứu hệ thống mạng Viện KHCN Sáng tạo đề xuất ứng dụng giải pháp an tồn thơng tin thơng qua nghiên cứu từ chương cho hệ thống CNTT Viện KHCN Sáng tạo Việt Nam 4 CHƯƠNG TỔNG QUAN VỀ AN TỒN THƠNG TIN 1.1 Tổng quan chung tình hình an tồn thơng tin Ngày Việt Nam, tổ chức, doanh nghiệp xây dựng, vận hành hệ thống mạng riêng Hệ thống mạng giúp gia tăng khả làm việc nhân viên, đơn vị với nhau, gia tăng hiệu suất giúp quan, tổ chức hoạt động cách hiệu Tuy nhiên, vận hành hệ thống mạng, có nhiều vấn đề phát sinh làm ảnh hưởng đến khả hoạt động hệ thống Hệ thống lớn, hoạt động diễn bên hệ thống phức tạp, vấn đề nảy sinh tăng theo Do đó, hệ thống mạng ln cần có hệ thống giám sát an tồn thơng tin bao qt tồn hoạt động, vấn đề, túc trực, quản lý, dễ dàng phát cố xảy bên hệ thống, thơng qua quản trị viên đưa biện pháp ứng phó Từ tình hình trên, việc xây dựng hệ thống giám sát an tồn thơng tin để quản lý hệ thống mạng ngày cảng trở nên cấp thiết hết 1.2 Các mối đe dọa an tồn thơng tin phương thức cơng mạng 1.2.1 Các mối đe dọa an tồn thơng tin - Mối đe dọa khơng có cấu trúc: Là hành vi xâm nhập mạng trái phép cách đơn lẻ, khơng có tổ chức Những cơng sở thích cá nhân, đơi có nhiều cơng có ý đồ xấu để lấy cắp thơng tin có ảnh hưởng nghiêm trọng đến hệ thống chí có đoạn mã độc phá hủy chức mạng nội - Mối đe dọa có cấu trúc: Là cách thức công xâm nhập hệ thống mạng trái phép, có động kỹ thuật cao Kẻ cơng thường có kỹ phát triển ứng dụng sử dụng kỹ thuật phức tạp nhằm xâm nhập vào mục tiêu có chủ đích Các cơng gây hậu nghiêm trọng, gây nên phá hủy cho toàn hệ thống mạng doanh nghiệp tổ chức - Mối đe dọa từ bên ngoài: Là công tạo Hacker khơng có quyền kiểm sốt hệ thống Người dùng bị cơng tồn giới thông qua mạng Internet Những mối đe dọa từ bên thường mối đe dọa nguy hiểm, chủ doanh nghiệp sở hữu mạng LAN thường phải bỏ nhiều tiền thời gian để bảo vệ hệ thống - Mối đe dọa từ bên hệ thống: Là kiểu công thực từ cá nhân tổ chức có số quyền truy cập vào hệ thống mạng nội tổ chức doanh nghiệp Những cách công thường từ bên trong, thực từ vị trí tin cậy mạng nội bộ, khó phịng chống đơi nhân viên truy cập mạng cơng Nhưng có hệ thống giám sát phân tích dễ bắt đối tượng 1.2.2 Những cách thức công hệ thống mạng máy tính - Cách thức lấy cắp thơng tin kiểu công Packet Sniffers - Cách thức lấy cắp mật Password attack - Cách thức công Mail Relay - Cách thức công tầng ứng dụng - Cách thức công Virus phần mềm Trojan Horse 6 1.3 Giới thiệu tổng quan hệ thống SIEM 1.3.1 Tổng quan SIEM SIEM hệ thống giám sát an ninh mạng tân tiến hoạt động cách thu thập, phân tích, đánh giá nhật ký từ thiết bị hệ thống…Từ cho phép cho phân tích lượng lớn liệu để phát công ẩn dấu đằng sau để đơn vị, quan có nhìn tồn cảnh kiện an ninh mạng 1.3.2 Chức SIEM - Quản lý tập trung: SIEM giúp tập hợp liệu thông qua giải pháp nhật ký tập trung Thiết bị đầu cuối hệ thống thường ghi lại truyền liệu nhật ký máy chủ SIEM Máy chủ SIEM nhận nhật ký từ nhiều máy tiến hành thống kê, phân tích tạo báo cáo - Giám sát an toàn mạng: Hệ thống phát cố mà thiết bị thông thường không phát Cùng với cho thấy tương quan thiết bị với - Giúp ích cho việc xử lý cố: SIEM có giao diện đơn giản để xem tất nhật ký từ nhiều thiết bị cách thuận tiện để khắc phục cố cách dễ dàng hiệu 1.3.3 Các thành phần hệ thống Việc xây dựng hệ thống SIEM tiến hành theo nhiều cách, thường gồm thành phần sau - Thu thập nhật ký ATTT: Phần thu thập ATTT gồm giao diện có chức thu thập nhật ký từ thiết bị Sau tập hợp gửi tồn nhật ký thành phần phân tích - Phân tích lưu trữ Log: Log tập trung tiến hành phân tích so sánh Sau thực thuật tốn phân tích hệ thống đưa cảnh báo cần thiết Thậm chí cịn phân tích liệu q khứ - Quản trị tập trung: cung cấp giao diện quản lý tập trung cho toàn hệ thống giám sát an ninh Hệ thống có sẵn hàng ngàn mẫu báo cáo để sử dụng 1.3.4 Kiến trúc, cách thức hoạt động hệ thống SIEM - Thiết bị nguồn kiến trúc SIEM - Bộ phận thu thập log - Bộ phận phân tích chuẩn hóa log - Bộ phận kỹ thuật tương quan kiện - Bộ phận lưu trữ log - Bộ phận giám sát Hình 1.3: Kiến trúc hoạt động SIEM 1.4 Kết luận chung chương Trong chương 1, luận văn nghiên cứu tổng quan chung an ninh mạng, giám sát tập trung yêu cầu giám sát hệ thống mạng, vấn đề liên quan đến hệ thống SIEM Qua ta thấy cấu trúc hoạt động phức tạp có nhiều phận hoạt động chuyên biệt Nhưng tạo sức mạnh tổng hợp phân tích log tốt, linh hoạt, hỗ trợ tối đa cho việc quản trị hệ thống Chương trình bày giải pháp cách thức áp dụng SIEM cách hiệu 8 CHƯƠNG NGHIÊN CỨU GIẢI PHÁP AN TOÀN THƠNG TIN 2.1 Các giải pháp giám sát an tồn thông tin 2.1.1 Giải pháp HP ArcSight ESM Là sản phẩm sản phẩm ArcSight HP, hệ thống hiệu việc quản lý vận hành phân tích log xử lý lượng log lớn đổ hỗ trợ nhiều định dạng lấy log khác Trong hệ thống cho phép phản hồi nhanh chóng nhận dạng nhanh cơng từ bên ngồi hệ thống mạng bên Giải pháp HP ArcSight ESM có ưu điểm phân tích liệu tồn diện; cảnh báo cơng lỗi theo thời gian thực; tìm kiếm tạo báo cáo tổng hợp Nhưng nhược điểm là: hiệu xử lý phụ thuộc vào thiết bị, muốn nâng cấp phải mua thiết bị mới; chi phí đầu tư tốn kém, đắt đỏ 2.1.2 Giải pháp IBM Security Qradar Là giải phép quản lý kiện bảo mật thông tin thiết kế để cung cấp cho nhóm bảo mật khả hiển thị tập trung vào liệu bảo mật toàn doanh nghiệp hiểu biết sâu sắc mối đe dọa ưu tiên cao Hệ thống gồm đặc điểm sau: - Tự động hóa thơng tin bảo mật để nhanh chóng phát mối đe dọa - Phát hoạt động mạng, người dùng ứng dụng bất thường - Quản lý việc tuân thủ với quy tắc, nội dung báo cáo xây dựng trước - Dễ dàng thay đổi, mở rộng quy mô 2.1.3 Giải pháp Mcafee ESM Sản phẩm có tính năng: thu thập ghi số lượng lớn thiết bị tích hợp với danh bạ hoạt động; kiểm soát truy cập tài khoản người dùng dễ dàng giới hạn người dùng có quyền truy cập họ thực cần xem; tính phân tích tương quan nâng cao, tạo mối tương quan nguồn khác tìm yếu tố ngoại lai nhanh ESM hữu ích cho việc theo dõi nhanh chóng, dễ dàng kiện bảo mật vi phạm sách, sản phầm hữu ích nhiên giá thành tương đối cao (đắt gần gấp 10 lần giá sản phẩm SIEM) có điều kiện mua sản phẩm đáng đầu tư 2.1.4 Giải pháp MARS Cisco Giải pháp Cisco cho phép doanh nghiệp tăng tốc tối đa hóa hiệu trì an ninh, tầm nhìn tuân thủ quy định Nhược điểm dòng sản phẩm theo thiết bị phần cứng, không tùy chỉnh cấu hình theo yêu cầu doanh nghiệp mà phải liên lạc với hãng để chỉnh dòng thiết bị cứng 2.1.5 Giải pháp AlienVault OSSIM Là sản phẩm SIEM mã nguồn mở AlienVault OSSIM tích hợp số công cụ bảo mật mạnh mẽ Snort, ntop, OpenVAS,P0f, PADs, arpwatch, OSSEC,Osiris, Nagios, OCS, Kismet 2.1.6 Giải pháp Splunk Splunk hệ thống giám dựa việc phân tích log, thực cơng việc tìm kiếm log, phân tích giám sát lượng liệu lớn log sinh từ dịch vụ chạy, hạ tầng mạng Hệ thống Splunk tạo dựa tảng Lucene MongoDB, ngồi quản lý giao diện web trực quan 10 * Lợi Splunk so với giải pháp SIEM khác - Linh hoạt mềm dẻo sử dụng: Splunk có khả mở rộng linh hoạt từ nguồn liệu, ứng dụng tùy chỉnh sở liệu - Điều tra theo thời gian thực: Splunk cho phép bạn xem thông tin thời gian thực từ an ninh thiết bị mạng, hệ điều hành, sở liệu ứng dụng, thời gian cho phép đội an ninh để nhanh chóng phát hiểu ý nghĩa end-to -end kiện an ninh Với khả phát hành vi bất hợp phát nhỏ nhất, Splunk giúp phát công tinh vi nhằm vào hệ thống cách nhanh chóng hiệu - Liên kết thông tin theo thời gian thực cảnh báo: Tương quan thông tin từ liệu khác cung cấp nhìn sâu sắc thêm bối cảnh Splunk liên kết với tất thông tin liệu từ nguồn hệ thống cách nhanh chóng xác theo thời gian thực - Splunk phần mềm mã nguồn mở, có khơng tính phí nên khơng tốn triển khai - Giải hầu hết toán giám sát hệ thống mạng: giám sát hạ tầng, giám sát dịch vụ, giám sát an ninh, giám sát người dùng Đây đặc điểm bật Splunk so với giải pháp khác 2.2 Lựa chọn giải pháp Splunk 2.2.1 Giới thiệu tổng quan giải pháp Splunk Splunk phần mềm cho phép tìm kiếm duyệt logs liệu thời gian thực Người dùng phát cố ứng dụng nào, máy chủ thiết bị; cảnh báo nguy tiềm ẩn báo cáo hoạt động dịch vụ thành phần khác mạng 11 2.2.2 Tính giải pháp Splunk - Quản lý ứng dụng Splunk: Khắc phục cố vấn đề cách nhanh chóng, giảm chi phí giảm thời gian để điều tra khắc phục cố tới 70% Đồng thời, giám sát toàn môi trường ứng dụng thời gian thực để ngăn chặn vấn đề ảnh hưởng tới người dùng, giữ lại log từ kiện định kỳ để ngăn ngừa mát Cho phép truy vết giám sát hoạt động tồn ứng dụng thơng qua tầng kiến trúc phân tán từ nhiều nguồn liệu Đồng thời phát bất thường vấn đề hoạt động, thời gian đáp ứng chủ động giải chúng trước ảnh hưởng tới người dùng, ứng dụng - Quản lý hoạt động công nghệ thông tin: Splunk cung cấp cách tiếp cận tốt mà không cần phải phân tích cú pháp hay tùy chỉnh Splunk thu thập lập indexes chứa tất liệu tạo hệ thống CNTT (hệ thống mạng, server, OS, ảo hóa, v.v.) Nó hoạt động với liệu mà máy tạo ra, bao gồm log, file cấu hình, số liệu hiệu suất, SNMP trap ứng dụng log tùy chỉnh - An ninh lĩnh vực CNTT: + Quản lý log: Phần mềm Splunk giúp cải thiện vấn đề phân tích liệu log để quản lý tốt Nó tự động index liệu, có cấu trúc hay khơng cấu trúc, cho phép ta nhanh chóng tìm kiếm, báo cáo, chẩn đoán hoạt động vấn đề an ninh cách tốn + Ứng dụng Splunk dành cho an ninh: Với ứng dụng an ninh Splunk ta sử dụng số liệu thống kê liệu để tìm kiếm mối đe dọa tiềm ẩn, giám sát liên tục mối đe dọa bị phát sản phẩm an ninh truyền thống 12 + Tính xem xét lại kiện xảy ra: cần chọn khung thời gian kiện nhiều kiện đại diện cho hoạt động đáng ngờ Splunk tự động hiển thị tóm tắt mơ hình an ninh Với cú click chuột, ta xem tất liệu thô đặt theo thứ tự thời gian, đưa nhìn trực tiếp cho đồng nghiệp tạo tìm kiếm để xem kiện xuất có tiếp tục xuất hay khơng + Phân tích dự đốn: Nhấp vào điểm giải pháp để biết hướng tương lai điểm dự báo giá trị dựa mơ hình liệu Chỉ cần chọn kiểu liệu, đối tượng chứa kiểu liệu đó, kiểu hàm trình diễn, thuộc tính chu kỳ phân tích mà ta muốn tạo Danh sách mối đe dọa: Splunk cung cấp dịch vụ out-ofthe-box hỗ trợ cho 18 mã nguồn mở đe dọa tới liệu nhằm tăng thêm tính bảo mật cho hệ thống 2.2.3 Thành phần Splunk 2.2.3.1 Thành phần thu thập Log Splunk Splunk chia làm thành phần thu thập log: - Universal forwarder streamlined: Nó phiên chuyên dụng Splunk mà chứa thành phần thiết yếu để chuyển liệu từ máy trạm đến máy server - Heavy forwarder: Có kích thước nhỏ Splunk indexer giữ hầu hết tính ngoại trừ việc tìm kiếm kết phân phối - Light forwarder: Bị vơ hiệu hóa hầu hết tính có kích thước nhỏ, chúng chuyển liệu khơng phân tích Từ phiên 4.2 công cụ thay universal forwarder Những loại liệu chuyển liệu thơ, liệu chưa phân tích liệu phân tích Mỗi cơng cụ chuyển tiếp liệu cho phép chuyển loại liệu khác Với universal 13 light forwarder làm việc với liệu thơ liệu chưa phân tích Cịn heavy forwarder làm việc với liệu thô liệu phân tích 2.2.3.2 Thành phần xử lý liệu đầu vào Nhiều nguồn liệu lấy từ file thư mục ta sử dụng chức giám sát file thư mục để lấy liệu mà ta quan tâm Những loại liệu đưa vào Splunk bao gồm: kiện mạng, nguồn liệu từ hệ điều hành windows, nguồn khác Quá trình xử lí kiện bao gồm: - Định dạng kí tự cho liệu đầu vào để phù hợp với định dạng mà Splunk xử lý - Quá trình phân mảnh kiện - Gán nhãn thời gian cho kiện - Trích xuất liệu để tạo trường đánh mục 2.2.3.3 Thành phần đánh mục lưu trữ Với công cụ splunk, việc phải cung cấp liệu, nhận liệu, spluk đánh số làm cho chúng sẵn sàng để tìm kiếm Sau đánh index bắt đầu tìm kiếm liệu, sử dụng để tạo báo cáo, biểu đồ, cảnh báo nhiều công việc khác Những loại liệu mà splunk đánh mục thường loại liệu windows event logs, webserver log, log từ ứng dụng chạy, log từ hệ thống mạng, log giám sát, tin nhắn hàng đợi, tệp tin archive, nguồn hữu ích 2.2.3.4 Thành phần cảnh báo Cảnh báo hành động kích hoạt dựa kết tìm kiếm Khi tạo cảnh báo, cần định nghĩa điều kiện mà kích hoạt cảnh báo Hành động điển hình gửi email dựa 14 kết tìm kiếm Ngồi chọn hành động khác chạy đoạn mã script đưa chúng vào danh sách cảnh báo Với điều kiện cảnh báo đưa chúng vào nhiều lựa chọn khác vừa gửi mail vừa chạy script Để tránh việc gửi cảnh báo thường xuyên, ta giới hạn điều kiện cho cảnh báo Splunk định nghĩa ba loại cảnh báo là: Per result alert: Dựa việc tìm kiếm thời gian thực Điều kiện kích hoạt việc tìm kiếm trả kết Scheduled alert Chạy tìm kiếm theo lịch trình định tạo cảnh báo Ta định nghĩa kết việc tìm kiếm để kích hoạt cảnh báo Rolling-window alert Dựa việc tìm kiếm thời gian thực Điều kiện kích hoạt tập hợp kết phù hợp việc tìm kiếm khung thời gian quy định 2.2.4 Cách thức hoạt động Splunk - Mức thấp kiến trúc Splunk mô tả phương thức nhập liệu khác hỗ trợ Splunk - Trước liệu đến phân loại Splunk, phân tích cú pháp thao tác, có nghĩa làm liệu thực cần - Một liệu lập mục Splunk, tiến hành vào cụ thể để phân tích liệu - Splunk hỗ trợ hai loại triển khai: triển khai độc lập triển khai phân tán Tùy thuộc vào loại triển khai, tìm kiếm tương ứng thực Cơng cụ Splunk có thành phần bổ sung khác quản lý liệu, báo cáo, lên kế hoạch cảnh báo Các khối kiến trúc splunk: Pipeline: Đây trình cấu hình đơn luồng nằm splunk 15 Bộ vi xử lý: Chúng hàm số tái sử dụng cá nhân hoạt động liệu qua đường ống Đường ống trao đổi liệu họ thông qua hàng đợi 2.3 Kết luận chương Trong chương 2, luận văn nghiên cứu giải pháp giám sát an tồn thơng tin cần phải đáp ứng thực Mỗi giải pháp giám sát thành phần định hệ thống mạng Từ thành phần cần giám sát, luận văn đưa giải pháp áp dụng công cụ để giám sát tập trung thực tế Trong chương 3, luận văn ứng dụng giải pháp giám sát an tồn thơng tin Splunk để xây dựng hệ thống giám sát cho hệ thống mạng Viện Khoa học công nghệ sáng tạo Việt Nam 16 CHƯƠNG XÂY DỰNG HỆ THỐNG GIÁM SÁT AN TỒN THƠNG TIN CHO HỆ THỐNG MẠNG VIỆN KHCN SÁNG TẠI VIỆT NAM Chương luận văn nghiên cứu đề xuất số giải pháp an tồn thơng tin cho hệ thống mạng Viện Khoa học Công nghệ Sáng tạo Việt Nam Luận văn thực số thử nghiệm đánh giá hiệu giải pháp an tồn thơng tin Kết thử nghiệm trình bày phần phụ lục 3.1 Khảo sát mạng nội Viện KHCN Sáng tạo Việt Nam 3.1.1 Chức năng, trang thiết bị mơ hình có hệ thống mạng Viện KHCN Sáng tạo Việt Nam Hình 3.1: Mơ hình hoạt động hệ thống mạng Viện KHCN Sáng tạo Việt Nam Hệ thống mạng sử dụng kiến trúc mơ hình mạng Client - Server nhằm chia sẻ liệu từ máy chủ tới máy Với kiến trúc mạng hình tầng, ta đạt tốc độ nhanh có thể, kiểm sốt tốt xảy lỗi mở rộng tùy ý muốn toàn hệ thống 17 Hạ tầng mạng phân cấp: máy tính phịng ban kết nối tới Switch tầng, từ Switch tầng kết nối tới Switch tổng tòa nhà Switch tổng kết nối tới Firewall Internet Hệ thống máy chủ Web, Mail, File kết nối vào Core Switch Hệ thống Core Switch đặt sau Firewall nên an toàn Từ Firewall chia cổng Internet Về trang thiết bị số lượng người sử dụng: - Số lượng phòng ban đơn vị trực thuộc sử dụng máy tính - Tổng số máy tính cho cán nhân viên 125 - Số lượng máy chủ 08 máy đặt tập trung: 02 máy quản lý File Server, 03 máy chủ chạy Website Viện (https://www.victs.vn), Tạp chí điện tử Đồng Hành Việt (donghanhviet.vn) phịng ban, 03 máy chủ chạy ảo hóa đặt dịch vụ: Email, DHCP DNS - Số lượng Firewall là: Server cài dịch vụ Firewall Pfsense có Card mạng - Số lượng Switch layer là: Switch 3750 - Số lượng Switch tòa nhà tầng 21 Access Switch Distribution Swich - Số lượng tổng đài nội dùng IP - Số lượng Camera sử dụng 24 - Số lượng đường truyền Internet: Viettel (wan) Fpt (FTTH) 3.1.2 Yêu cầu sử dụng - Hệ thống phải kết nối Internet - Hệ thống Firewall phải bảo vệ hệ thống máy chủ người dùng 24/7 18 - Các dịch vụ File, Mail, Web phải ổn định để cán nhân viên Viện khách hàng sử dụng Ln ln kiểm sốt số lượng người truy cập dịch vụ - Dữ liệu phòng ban phải tập trung, không phân tán, dễ quản lý, phân quyền phù hợp với chức trách - Khả cung ứng cao, đáp ứng lượng lớn kết nối vào hay mạng mà giữ ổn định - Có khả mở rộng tương lai 3.1.3 Hiện trạng vấn đề liên quan trình vận hành, khai thác mạng máy tính Viện KHCN Sáng tạo Việt Nam - Vào thời gian cao điểm từ 6h30 tới 8h30 sáng 13h00 đến 15h00, số lượng người truy cập máy chủ lớn thời điểm độc giả truy cập đọc tin tức từ báo điện tử Viện quản lý Do không đo lường, kiểm sốt hiệu máy chủ dẫn tới khơng phân luồng kịp thời lưu lượng máy chủ gây chậm nghẽn đông người truy cập thời điểm - Website phần mềm Viện có nhiều liệu quan trọng cần phải có giải pháp bảo mật tối ưu - Không theo dõi kịp thời Firewal Pfsense dẫn tới không kịp chặn điều luồng liệu cần thiết 3.2 Kiến nghị đề xuất giải pháp giám sát Splunk cho mạng máy tính Viện KHCN Sáng tạo Việt Nam Để giám sát tập trung, đồng thời kịp đánh giá trạng thái hoạt động cho hệ thống mạng, tác giả đề xuất giải pháp cài đặt công cụ giám sát tập trung Slpunk để xử lý toán cần phải giám sát Máy chủ cài đặt Slpunk cần xây dựng bên hệ thống máy chủ, cạnh máy chủ dịch vụ khác Web, Mail, File đồng thời giám sát Firewall lưu lượng vào phía người dùng từ phòng ban Làm vừa để bảo vệ máy chủ giám sát có 19 Firewall bảo vệ, vừa thuận tiện cho việc giám sát máy chủ, dịch vụ, quan Hình 3.2: Hệ thống mạng Viện KHCN Sáng tạo Việt Nam 3.3 Cài đặt vận hành hệ thống 3.3.1 Lấy Log từ máy chủ Firewall Pfsense - Sử dụng công cụ Splunk để lấy Log từ máy chủ Pfsense vào để phân tích 3.3.2 Lấy Log từ máy chủ Windows Server - Sử dụng công cụ Splunk để lấy Log từ máy chủ Windows Server vào phân tích 3.3.3 Lấy log từ máy chủ Linux cài đặt Splunk để phân tích - Cấu hình máy chủ Splunk để lấy Log máy chủ Linux đưa phân tích 3.3.4 Lấy Log từ máy chủ Windows 10 người dùng phân tích - Trong phần cài đặt cấu hình để lấy Log từ Windows 10 người dùng để phân tích 20 3.4 Thử nghiệm đánh giá 3.4.1 Nội dung thử nghiệm Luận văn thực thử nghiệm số nội dung sau (1) Cài đặt máy chủ giám sát tập trung Splunk Ta tiến hành cài đặt máy chủ Splunk, nơi thông tin đổ từ máy thu thập, lưu trữ phân tích chúng Ta cần phải đảm bảo đường truyền mạng ổn định, kết nối tới máy giám sát không gặp trục trặc (2) Lấy log từ máy chủ Linux cài đặt Splunk để phân tích Ta tiến hành cấu hình máy chủ Splunk để lấy Log máy chủ Linux đưa phân tích (3) Cài đặt giám sát lấy Log từ máy chủ Firewall Pfsense phân tích Ta cài đặt cấu hình System Logs Pfsense mở cổng để lấy log từ máy chủ Firewall Pfsense để phân tích, từ ta theo dõi hoạt động vào hệ thống mạng (4) Lấy Log từ máy chủ Windows Server Ta tiến hành cài đặt Cài đặt Splunk Forwarder cấu hình sử dụng cơng cụ Splunk để lấy Log từ máy chủ Windows Server vào phân tích (5) Lấy Log từ máy chủ Windows 10 người dùng phân tích Trong phần cài đặt cấu hình để lấy Log từ Windows 10 người dùng để phân tích 3.4.2 Kết thử nghiệm đánh giá Phần thử nghiệm đưa kết trình bày phần phụ lục Luận văn Các kết thử nghiệm khả quan, vận hành tốt 21 ổn định đáp ứng nhu cầu giám sát an tồn thơng tin Các giải pháp thử nghiệm ứng dụng cho mạng nội Viện Khoa học công nghệ sáng tạo Việt Nam (1) Kết cài đặt máy chủ giám sát tập trung Splunk Hình 3.7 Giao diện Slunk sau cài đăt (2) Kết lấy log từ máy chủ Linux (trong lấy máy cài đặt Splunk) Hình 3.12 Giao diện hiển thị thơng tin Splunk (3) Kết cài đặt giám sát lấy Log từ máy chủ Firewall Pfsense Hình 3.23 Tìm kiếm thành công máy chủ Pfsense Splunk 22 (4) Kết lấy Log từ máy chủ Windows Server Hình 3.37 Giao diện hiển thị kết tìm kiếm thành công máy chủ Windows (5) Kết lấy Log từ máy chủ Windows 10 người dùng Hình 3.46 Giao diện hiển thị thông tin error log 3.5 Kết luận chương Chương luận văn khảo sát mạng nội Viện KHCN Sáng tạo Việt Nam, vấn đề nảy sinh trình sử dụng yêu cầu giám sát hệ thống mạng nhằm đáp ứng nhu cầu đào tạo Viện KHCN Sáng tạo Việt Nam Luận văn đề xuất giải pháp giám sát an tồn thơng tin cho hệ thống mạng Viện KHCN Sáng tạo Việt Nam Kết thử nghiệm phù hợp với yêu cầu đề ban đầu 23 KẾT LUẬN Kết dự kiến đạt luận văn: Với mục tiêu nghiên cứu, áp dụng giải pháp giám sát an tồn thơng tin vào hệ thống CNTT Viện KHCN Sáng tạo Việt Nam, luận văn đạt số kết sau đây: - Tổng quan giám sát an toàn thông tin - Yêu cầu giám sát hệ thống an tồn thơng tin - Giải pháp giám sát an tồn thông tin Splunk SIEM - Tăng cường bảo đảm ATTT cho hệ thống CNTT Viện KHCN Sáng tạo Việt Nam Hướng phát triển tiếp theo: Học viên tiếp tục nghiên cứu, hoàn thiện, tối ưu giải pháp để đảm bảo ATTT cho hệ thống CNTT Viện KHCN Sáng tạo Việt Nam mức cao sử dụng công nghệ AI để phát hành vi công ... CHO HỆ THỐNG MẠNG VIỆN KHCN SÁNG TẠI VIỆT NAM Chương luận văn nghiên cứu đề xuất số giải pháp an toàn thông tin cho hệ thống mạng Viện Khoa học Công nghệ Sáng tạo Việt Nam Luận văn thực số thử... liệu liên quan đến giải pháp tồn thơng tin - Về mặt thực nghiệm: Khảo sát hệ thống CNTT Viện KHCN Sáng tạo Việt Nam ứng dụng giải pháp an tồn thơng tin Viện Bố cục luận văn Luận văn trình bày... Chương luận văn tập trung nghiên cứu hệ thống mạng Viện KHCN Sáng tạo đề xuất ứng dụng giải pháp an tồn thơng tin thơng qua nghiên cứu từ chương cho hệ thống CNTT Viện KHCN Sáng tạo Việt Nam 4 CHƯƠNG