Nghiên cứu và triển khai hệ thống giám sát mạng cho bộ y tế

Download
ISSN 2354-0575  
NGHIÊN CỨU VÀ TRIỂN KHAI HỆ THỐNG GIÁM SÁT MẠNG CHO BỘ Y TẾ  
Vũ Xuân Thắng, Trần Đỗ Thu Hà, Đặng Vân Anh  
Trường Đại học Sư phạm Kỹ thuật Hưng Yên  
Ngày tòa soạn nhận được bài báo: 06/03/2018  
Ngày phản biện đánh giá và sửa chữa: 02/05/2018  
Ngày bài báo được chấp nhận đăng: 05/06/2018  
Tóm tắt:  
Bài báo này chúng tôi trình bày quá trình nghiên cứu một số các lỗ hổng bảo tại hệ thống mạng  
trong bộ Y tế. Từ các kết quả nghiên cứu, nhóm báo đề xuất các giải pháp triển khai hệ thống giám sát mạng  
phục vụ cho đảm bảo an toàn hệ thống mạng.  
Từ khoá: Network monitoring, IDS protected, IDS Snort.  
1. Đặt vấn đề  
Giải pháp hệ thống quản trị mạng (Network  
cáo thống kê.  
• Giám sát các chưꢅng trꢐnh phần mềm, dịch  
vụ hoạt động trên hệ thống.  
• Giám sát hiệu năng hoạt động của máy chủ  
Management System) nhằm xây dựng ứng dụng  
giám sát các hệ thống mạng đang được triển khai và  
vận hành, với tiêu chí giám sát toàn diện, linh hoạt  
và thời gian thực hỗ trợ tối ưu cho các nhà vận hành  
và giám sát hệ thống, thông báo kịp thời các vấn đề  
xảy ra trọng mạng để hiệu quả hoạt động là tốt nhất.  
Với nhiều quốc gia đang phát triển - trong  
đꢀ cꢀ Việt Nam – vấn đề trao đꢁi dữ liệu y tꢂ giữa  
các bệnh viện trong nước và với các bệnh viện quốc  
tꢂ là một vấn đề khá mới mꢃ. “Mạng y tꢂ” được  
hiểu là một hệ thống kꢂt nối nhiều thiꢂt bị y tꢂ với  
nhau nhằm mục đích truyền dữ liệu y tꢂ giữa các hệ  
thống trong cꢄng một bệnh viện, giữa các cꢅ sꢆ y tꢂ  
khác nhau, thậm chí giữa các quốc gia trên thꢂ giới.  
Với đặc thꢄ của ngành, môi trường thông tin trong  
ngành y tꢂ là một môi trường phức tạp và đa dạng.  
Ngoài các thông tin hành chính (gꢇm: các văn bản,  
quy chꢂ, các quyꢂt định, thông báo, hướng dꢈn...)  
còn cꢀ các thông tin phục vụ khám chữa bệnh cꢉng  
phải được quản lꢊ như: [1]  
• Thông tin về quản lꢊ hành chính, quản lꢊ  
nhân sự, quản lꢊ đội ngꢉ y bác sꢋ, quản lꢊ vật tư,  
quản lꢊ tài chính...  
• Thông tin bệnh viện: hꢇ sꢅ bệnh án (xꢌt  
nghiệm huyꢂt học, sinh hoá, vi sinh, tꢂ bào...)  
• Thông tin về chꢍn đoán chức nꢎng (Điện  
tim ECG, điện nꢏo EEG, hô hấp...), thông tin về  
hꢐnh ảnh (X-quang, siêu âm, CT, MRI...)  
Để đội ngꢉ làm nhiệm vụ phản ứng với các  
sự cố hệ thống hay các chuyên gia về bảo mật cꢀ thể  
thực hiện các công việc cần cꢀ sự trợ giúp từ các hệ  
thống giám sát mạng. Một giải pháp của hệ thống  
giám sát mạng cần đáp ứng được những tiêu chí và  
cung cấp các chức năng chính sau [4, 5]:  
• Giám sát liên tục và thống nhất: Các vấn  
đề, giám sát tính sẵn sàng và dung lượng tài nguyên  
(Event, performance, topology, inventory…), báo  
cꢅ sꢆ dữ liệu, máy chủ email.  
• Xác định nguꢇn lưu lượng đi ra/vào hệ  
thống, thu thập thông tin cụ thể, chính xác.  
• Thực hiện quản lꢊ và giám sát các hệ thống  
máy chủ ảo hoá.  
• Liên kꢂt sự kiện và phân tích nguꢇn gốc  
lỗi: tự động thu thập các thông tin về sự kiện, phân  
tích lỗi thông qua các sự kiện và cảnh báo từ các  
nguꢇn giám sát.  
• Giải pháp tích hợp: các thành phần của  
giải pháp cꢀ khả năng mꢆ rộng và tích hợp với các  
thành phần khác (reporting, trouble ticket…)  
2. Nội dung cần giám sát đối với hệ thống thông  
tin trong y tế  
2.1. Khái quát tình hình an toàn bảo mật của các  
hệ thống CNTT tại Việt Nam  
Theo báo cáo của các cꢅ quan chức năng,  
tꢐnh hꢐnh an toàn bảo mật mạng của các hệ thống  
công nghệ thông tin tại Việt Nam tiꢂp tục diễn biꢂn  
phức tạp. Báo cáo của hꢏng bảo mật Kaspersky và  
Symantec cho thấy, Việt Nam đứng thứ 3 (3,96%)  
sau Nga (40%) và Ấn Độ (8%) về số dꢄng di động  
bị mꢏ độc tấn công nhiều nhất trên thꢂ giới, thứ 6  
trên thꢂ giới về số lượng địa chỉ IP trong nước được  
dꢄng trong các mạng máy tính ma tấn công nước  
khác; thứ 7 trên thꢂ giới về phát tán tin nhắn rác và  
đứng thứ 12 trên thꢂ giới về các hoạt động tấn công  
mạng (2013) [6]. Trong năm 2012-2013, Bộ Công  
an đꢏ phát hiện gần 6.000 lượt cꢁng thông tin, trang  
tin điện tử của Việt Nam.  
Hiệp hội An toàn thông tin Việt Nam (VNI-  
SA) đꢏ công bố báo cáo Kꢂt quả khảo sát thực trạng  
an toàn thông tin Việt Nam năm 2015 và đưa ra Chỉ  
số An toàn thông tin Việt Nam 2015 - VNISA Index  
Khoa học & Công nghệ - Số 18/Tháng 6 - 2018  
Journal of Science and Technology  
57  
ISSN 2354-0575  
2015. Theo đꢀ, chỉ số trung bꢐnh của Việt Nam là  
Tại các tỉnh: 95,3% Văn phòng Sꢆ cꢀ mạng  
46,5%, tuy ꢆ dưới mức trung bꢐnh và vꢈn còn sự LAN và kꢂt nối được Internet tốc độ cao, 61% cán  
cách biệt với các nước như Hàn Quốc (hꢅn 60%), bộ của Sꢆ Y tꢂ cꢀ hệ thống e-mail riêng, 26% cꢀ hệ  
song so với năm 2014 thꢐ đꢏ cꢀ bước tiꢂn rõ rệt thống bảo mật và 24% cꢀ hệ thống lưu trữ dữ liệu;  
(tăng 7,4%).[2]  
Trong 280 bệnh viện địa phưꢅng được điều tra cꢀ  
Về việc sử dụng các công nghệ, biện pháp 151 (52,9%) bệnh viện tỉnh cꢀ LAN và 81% kꢂt nối  
kỹ thuật để bảo đảm ATTT, các TC/DN thường sử được Internet tốc độ cao, 37,2% bệnh viện huyện cꢀ  
dụng một trong những biện pháp sau đây: hệ thống mạng LAN và 65% kꢂt nối Internet;  
phòng chống tấn công DoS/DDoS; hệ thống phát  
Tại các trạm y tꢂ: số lượng trạm cꢀ máy tính  
hiện xâm nhập (IDS/IPS) trong mạng; tường lửa phục vụ tra cứu thông tin là 8% và đꢏ nối mạng  
(Network Firewall), phần mềm chống virus, lọc nội Internet đạt 0,05%; Đường truyền: Một số ít cꢅ sꢆ  
dung Web; bộ lọc chống thư rác (Anti-Spam), kiểm y tꢂ (chiꢂm 2%) cꢀ đường truyền riêng, trên 70%  
soát truy cập; bảo mật mạng không dây, hệ thống đꢅn vị sử dụng đường truyền ADSL và còn nhiều  
quản lꢊ sự kiện ATTT (Security Incident & Event nꢅi vꢈn truy cập Internet bằng Dial-up; 100% các  
Management - SIEM). Trong các biện pháp trên, trường Đại học, Cao đẳng Y - Dược cꢀ mạng LAN,  
việc sử dụng phần mềm chống virus (Anti-Virus) kꢂt nối Internet và Website;  
được các TC/DN sử dụng nhiều nhất, với 22% các  
TC/DN. [6]  
Trang thông tin điện tử: 16% Sꢆ Y tꢂ cꢀ địa  
chỉ website trên Internet, 27% đꢅn vị trực thuộc Bộ  
Y tꢂ cꢀ trang web. Các cꢅ sꢆ y tꢂ địa phưꢅng kꢂt nối  
Internet ước đạt 30%; gần 80 đꢅn vị trực thuộc các  
sꢆ y tꢂ cꢀ Web- site trên Internet.  
2.2. Hiện trạng việc ứng dụng CNTT trong Y tế  
Trong những năm qua công nghệ thông tin  
trong ngành y tꢂ đꢏ đạt được một số thành quả quan  
trọng như: ứng dụng công nghệ thông tin vào quản 2.2.2. Yêu cầu về đảm bảo an toàn thông tin đối  
lꢊ bệnh viện, các hệ trợ giúp ra quyꢂt định lâm sàng, với dữ liệu Y tế  
khám chữa bệnh từ xa (telemedicine)... Tuy nhiên  
Để đảm bảo an toàn, các hệ thống công nghệ  
việc ứng dụng, nghiên cứu và đào tạo công nghệ thông tin y tꢂ phải được kiểm tra, thử nghiệm trước  
thông tin y tꢂ trong những nꢎm qua vꢈn chưa đáp khi được áp dụng trong bệnh viện và sau khi áp  
ứng được nhu cầu phát triển ngày càng tꢎng của dụng sẽ được đánh giá để đảm bảo an toàn và chất  
công nghệ thông tin y tꢂ ꢆ Việt Nam. Các thành quả lượng trong chăm sꢀc và điều trị người bệnh. Công  
ứng dụng công nghệ thông tin chủ yꢂu tập trung ꢆ nghệ thông tin y tꢂ cꢀ thể cải thiện một cách đáng  
các đꢅn vị tuyꢂn trung ưꢅng, tại các đꢅn vị tuyꢂn kể an toàn người bệnh thông qua khả năng tự động  
dưới việc ứng dụng Công nghệ Thông tin còn rất hꢀa và hỗ trợ sự kꢂt nối trong công việc, giúp truyền  
hạn chꢂ.  
các thông tin về sức khỏe người bệnh một cách dễ  
dàng, liên tục và cung cấp các cꢅ chꢂ an toàn giúp  
giảm nguy cꢅ sai sꢀt.  
2.2.1. Hạ tầng kỹ thuật CNTT trong ngành  
* Tại cơ quan Bộ Y tế  
Tất cả các Vụ, Cục, Văn phòng Bộ, Tꢁng  
Với tầm quan trọng và nhạy cảm của cꢅ sꢆ  
cục đꢏ kꢂt nối mạng nội bộ và kꢂt nối Internet tốc dữ liệu ngành Y tꢂ, cꢉng như để bảo vệ an toàn  
độ cao: đạt 100%; Hệ thống đường truyền Internet cho hạ tầng công nghệ thông tin và các phần mềm  
tốc độ cao: 06 (trong đꢀ 02 là FTTH: 10 MB, 02 là nghiệp vụ của ngành y. Ngày 29/12/2014 Bộ Y tꢂ  
SHDSL 2MB và 4 MB); Tỷ lệ trung bꢐnh máy tính/ ban hành Thông tư 53/2014/TT-BYT về Quy định  
CBCC: 100% (trừ khối hành chính - quản trị - bảo điều kiện hoạt động y tꢂ trên môi trường mạng.  
vệ). Các đꢅn vị được trang bị từ ngân sách nhà nước Trong đꢀ nhấn mạnh: Cꢀ chính sách về an toàn, bảo  
và tài trợ của các dự án trong và ngoài nước; Chưa mật thông tin phꢄ hợp với quy định về an toàn, bảo  
kꢂt nối mạng diện rộng WAN;  
mật hệ thống công nghệ thông tin của Nhà nước và  
Hệ thống website: Bộ Y tꢂ đꢏ đưa vào sử quy chꢂ an toàn bảo mật thông tin của cꢅ quan. Vấn  
dụng cꢁng thông tin điện tử nâng cấp từ trang tin đề an ninh, an toàn mạng trong nội bộ cꢅ quan, đꢅn  
điện tử www.moh.gov.vn.  
* Tại các đơn vị sự nghiệp y tế  
vị ngành cần đảm bảo các vấn đề:  
• Bảo đảm cꢀ biện pháp kỹ thuật cho phꢌp  
Tại Trung ưꢅng, cꢅ sꢆ y tꢂ thuộc Bộ Y tꢂ đꢏ kiểm soát các truy cập đối với hệ thống mạng;  
cꢀ 100% các đꢅn vị trực thuộc Bộ cꢀ mạng LAN • Cꢀ biện pháp phát hiện và phòng chống  
và kꢂt nối Internet tốc độ cao, bꢐnh quân mỗi mạng xâm nhập, phòng chống phát tán mꢏ độc hại cho hệ  
cꢀ trên 110 máy tính, 74% cán bộ y tꢂ sử dụng máy thống;  
tính thông thạo trong công việc, 58% cꢀ hệ thống  
• Cꢀ chính sách cập nhật định kỳ các bản vá  
e-mail riêng và 43% cꢀ hệ thống bảo mật, 53% cꢀ lỗi hệ thống, cập nhật cấu hꢐnh cho các thiꢂt bị;  
hệ thống backup dữ liệu;  
• Cꢀ biện pháp bảo đảm an toàn thông tin  
Journal of Science and Technology  
58  
Khoa học & Công nghệ - Số 18/Tháng 6 - 2018  
ISSN 2354-0575  
cho các máy trạm khi kꢂt nối với môi trường mạng; lꢊ sự cố, tiꢂt kiệm đáng kể thời gian và nguꢇn lực  
• Bảo đảm an toàn, an ninh về mặt vật lꢊ tại cho các nhân viên xử lꢊ sự cố.  
vị trí đặt các hệ thống máy chủ;  
• Các trang thiꢂt bị mạng, an ninh, bảo mật, 2.4. Giải pháp đảm bảo bảo an toàn hệ thống  
phần mềm chống virus, công cụ phân tích....  
mạng cho bộ Y tế  
Trong trường hợp hệ thống gặp sự cố về vấn 2.4.1. Các giải pháp đảm bảo tính bảo mật và  
đề kꢋ thuật hay do điều kiện ngoại cảnh tác động toàn vẹn của thông tin  
như bị hacker tấn công, mꢏ độc lây nhiễm…quản  
trị viên hệ thống cần đưa ra những biện pháp khắc  
Hàm băm mật mã  
Hàm băm là nền tảng cho nhiều ứng dụng  
phục kịp thời và điều tra nguyên nhân, nguꢇn gốc mꢏ hꢀa. Cꢀ nhiều thuật toán để thực hiện hàm băm,  
xảy ra sự cố để cꢀ phưꢅng án triệt để. Thông tư của trong số đꢀ, phưꢅng pháp SHA-1 và MD5 thường  
Bộ Y tꢂ cꢉng quy định các đꢅn vị trong ngành cần được sử dụng khá phꢁ biꢂn từ thập niên 1990 đꢂn  
thiꢂt lập:  
• Quy trꢐnh quản lꢊ sự cố, trong đꢀ phải  
nay [4].  
Hàm băm mật mꢏ phải cꢀ khả năng chống lại  
quy định rõ trách nhiệm của các bộ phận liên quan, các loại tấn công mật mꢏ, tối thiểu phải đảm bảo cꢀ  
trường hợp hạ tầng công nghệ thông tin được thuê 3 tính chất sau:  
ngoài thꢐ đꢅn vị cung cấp dịch vụ phải cung cấp quy  
trꢐnh xử lꢊ sự cố;  
● Kháng tiền ảnh (Pre-image resistance):  
Với một mꢏ băm h bất kỳ, khꢀ tꢐm được một thông  
• Định kỳ rà soát, cập nhật các sự cố và điệp m nào mà h = hash(m).  
phưꢅng án xử lꢊ cho quy trꢐnh quản lꢊ sự cố;  
● Kháng tiền ảnh thứ hai (Second pre-image  
• Áp dụng các giải pháp kỹ thuật để phát resistance): Với một thông điệp m1 bất kỳ, khꢀ tꢐm  
hiện, xử lꢊ kịp thời các cuộc tấn công vào hệ thống được một thông điệp thứ hai m2 sao cho m1 ≠ m2 và  
mạng;  
hash(m1) = hash(m2).  
● Kháng xung đột (Collision resistance):  
• Cꢀ biện pháp phòng chống rủi ro và thảm  
họa công nghệ thông tin.  
Khꢀ tꢐm được một cặp thông điệp m1 và m2 sao cho  
m1 ≠ m2 và hash(m1) = hash(m2).  
Thực hiện:  
Bước 1: Gọi H là trạng thái cꢀ kích thước n  
bit, f là “hàm nꢌn” thực hiện thao tác trộn khối dữ  
liệu với trạng thái hiện hành.  
Bước 2: Khꢆi gán H0 bằng một vector khꢆi  
tạo nào đꢀ.  
Bước 3: Hi = f(Hi-1,Mi) với i = 1, 2, 3, …,s  
Khi đꢀ: Hs chính là thông điệp rút gọn của  
thông điệp M ban đầu.  
2.3. Mục tiêu việc giám sát hệ thống thông tin  
trong Y tế  
* Quản lý tập trung:  
Nhiều tꢁ chức triển khai hệ thống giám sát  
mạng với một mục đích duy nhất: tập hợp các dữ  
liệu thông qua một giải pháp nhật kꢊ tập trung.  
Một ưu điểm khi sử dụng các hệ thống  
giám sát đꢀ là: các hệ thống này đều hỗ trợ sẵn các  
mꢈu báo cáo phꢄ hợp với các chuꢍn quốc tꢂ như  
Health Insurance Portability and Accountability  
Act (HIPAA) cho Y tꢂ, Payment Card Industry Data  
Security Standard (PCI DSS) và Sarbanes-Oxley  
Act (SOX).  
* Giám sát an toàn mạng:  
Hệ thống này cꢀ thể phát hiện ra các sự cố  
mà các thiꢂt bị thông thường không phát hiện được.  
Thứ nhất, rất nhiều thiꢂt bị đầu cuối cꢀ phần mềm  
ghi lại sự kiện an ninh nhưng không tích hợp khả  
năng phát hiện sự cố. Bên cạnh đꢀ còn cho thấy sự  
tưꢅng quan sự kiện giữa các thiꢂt bị. Bằng cách thu  
thập sự kiện của toàn tꢁ chức, hệ thống giám sát cꢀ  
thể thấy được nhiều phần khác nhau của các cuộc  
tấn công thông qua nhiều thiꢂt bị và sau đꢀ tái cấu  
trúc lại chuỗi sự kiện và xác định cuộc tấn công ban  
đầu là gꢐ và nꢀ đꢏ thành công hay chưa.  
Hꢐnh 2.1. Sơ đồ Merkel-Damgard  
Giải thuật mạng neuron nhân tạo một  
đầu vào  
Mạng neuron được đề cập ꢆ đây là mạng  
neuron nhân tạo (Artificial Neural Network) là một  
mô phỏng xử lꢊ thông tin được nghiên cứu ra từ hệ  
thống thần kinh của sinh vật giống như bộ nꢏo để  
xử lꢊ thông tin.  
* Tăng cường khả năng xử lý sự cố  
Một lợi ích khác của các hệ thống giám sát  
trong mạng đꢀ là gia tăng đáng kể hiệu quả việc xử  
Khoa học & Công nghệ - Số 18/Tháng 6 - 2018  
Journal of Science and Technology  
59  
ISSN 2354-0575  
Việc thu thập tự động thông tin từ các tín  
Bước 6: Kꢂt thúc.  
hiệu điều khiển trên mạng thông qua việc theo dõi  
các cꢁng giao tiꢂp, quá trꢐnh giải mꢏ các file Long  
để tập hợp dữ liệu đầu vào:  
Thuật toán Rabin Fingerprint cải tiến  
Thuật toán cải tiꢂn được đề xuất trong hệ  
thống như sau:  
Đầu vào vô hướng p được nhân với trọng  
số w cho wp tạo thành một số hạng gửi đꢂn bộ  
Đầu vào: Tài liệu (trang web công khai)  
Đầu ra: Dấu vân tay tài liệu (các giá trị băm  
cộng (Σ). Một đầu vào khác là 1 được nhân với độ của tài liệu đꢀ)  
chênh b rꢇi chuyển đꢂn bộ cộng. Đầu ra của bộ cộng  
thường được xem như là net-input trꢆ thành đầu vào  
cho hàm truyền f sinh ra đầu ra neuron là:  
a: a = f(wp + b)  
Bias giống trọng số ngoại trừ luôn cꢀ đầu  
vào hằng số là 1. Cꢀ thể bỏ qua bias nꢂu thấy không  
cần thiꢂt.  
Giải thuật mạng neuron nhân tạo nhiều  
đầu vào  
Các đầu vào độc lập p1, p2, p3, ... ,pR được  
gán trọng số bꢆi các thành phần w11, w12,..., w1R của  
ma trận trọng số W.  
Bước 1: Bắt đầu.  
Bước 2: Xử lꢊ văn bản, xoá hꢂt tất cả khoảng  
trắng và các kí tự đặc biệt (như: <, >, %, !, …) từ mꢏ  
HTML (mꢏ trang web) để thu được một khối văn  
bản thuần túy (pure text block).  
Bước 3: Chia văn bản M thành K khối, mỗi  
khối con cꢀ kích thước là n. K = m/n với m là kích  
thước của văn bản M, n là số nguyên dưꢅng cho  
trước là kích thước của mỗi chuỗi con.  
Bước 4: Tính mꢏ băm H(P) cho các chuỗi  
con như sau:  
Khởi tạo:  
ꢑ đây: W = [w11, w12,..., w1R]; p = [p1, p2, p3, ... ,pR]  
Như vậy:  
n = w11p1+w12p2+w13p3+ ...+w1RpR+b = Wp+b (2.1)  
Tr = T[r..r+n-1]  
K=0;  
H(S) = S(n) + 2*S(n-1) + 4*S(n-2) + … + (2n-1)*S(1);  
;
Trong đꢀ ma trận W cho trường hợp 1 neuron  
While (K<m/n)  
{
for (r=K*n; r<=(K*n+n); r++){  
chỉ cꢀ một hàng. Vậy:  
a = f(n) = f(Wp + b).  
(2.2)  
Quy ước chỉ số của các thành phần wij của  
ma trận trọng số như sau: Chỉ số đầu (i) biểu thị  
neuron đích được gán trọng số; chỉ số sau (j) biểu  
thị tín hiệu nguꢇn cung cấp cho neuron. Như vậy wij  
nꢀi lên rằng trọng số này kꢂt nối đꢂn neuron thứ i từ  
tín hiệu nguꢇn thứ j (từ pj → neuron i).  
Hp(Tr)= (Hp(Tr) + T(r)) mod p  
//Tính gt băm cho các chuỗi con, p là nt lớn.  
}
K++;  
}
Bước 5: Lưu lại tất cả các giá trị băm của  
văn bản.  
Thuật toán Rabin Fingerprint  
Thuật toán Rabin Fingerprint là một trong  
nhiều thuật toán Fingerprint thực hiện khꢀa công khai  
sử dụng các đa thức trên một trường giới hạn [10].  
Thuật toán được sử dụng trong hệ thống  
như sau:  
Bước 6: Kꢂt thúc.  
● Đầu vào: Tài liệu (trang web công khai)  
● Đầu ra: Dấu vân tay tài liệu (các giá trị  
băm của tài liệu đꢀ)  
Bước 1: Bắt đầu.  
Bước 2: Xử lꢊ văn bản, xoá hꢂt tất cả khoảng  
trắng và các kí tự đặc biệt (như: <,>, %,!, …).  
Bước 3: Chia khối văn bản đꢏ xử lꢊ đꢀ thành  
các chuỗi con cꢀ độ dài K.  
// Số lượng chuỗi con cꢀ độ dài K và số  
lượng giá trị băm (mꢏ băm) bằng (m-K+1), với m là  
kích thước của tài liệu.  
Hꢐnh 2.2. Minh hoạ cải tiến giải thuật  
Bước 4: Tính toán giá trị băm đối với mỗi  
chuỗi con bằng cách tính H(P) như sau:  
// H(P) là một tuyꢂn tính trong n (n là độ dài  
của P)  
Bước 5: Lưu lại tất cả các giá trị băm của  
văn bản.  
2.4.2. Giám sát hệ thống máy chủ  
Để thực hiện công việc giám sát máy chủ,  
các quản trị viên hệ thống thường sử dụng các phần  
mềm chuyên dụng được cài đặt trên các máy chủ  
để theo dõi và gửi thông báo khi sự cố bất thường  
xảy đꢂn như: chưꢅng trꢐnh ứng dụng hay dịch vụ bị  
Journal of Science and Technology  
60  
Khoa học & Công nghệ - Số 18/Tháng 6 - 2018  
ISSN 2354-0575  
ngưng hoạt động, phần mềm bị lỗi, chỉ số CPU tăng 2.4.4. Giám sát phát hiện xâm nhập trái phép  
quá cao, tỉ lệ sử dụng RAM quá lớn, nhiệt độ của  
máy chủ tăng quá cao… Một số hꢐnh thức giám sát phꢌp vào một hệ thống mạng, cꢀ nhiều giải pháp  
máy chủ phꢁ biꢂn hiện nay như: đang được các tꢁ chức áp dụng triển khai và cho  
Để thực hiện việc giám sát xâm nhập trái  
• Giám sát theo thời gian thực: Hꢐnh thức thấy những hiệu quả cao trong việc tăng cường tính  
này sử dụng các công cụ hiển thị chuỗi liên tục các bảo mật và khả năng ứng phꢀ sự cố của hệ thống.  
thông số, mô tả hệ thống.  
Một hệ thống phát hiện xâm nhập (IDS-Intrusion  
• Giám sát bằng nhật kꢊ: Hꢐnh thức giám sát Detection System) là một thiꢂt bị phần cứng hoặc  
này cung cấp các thông tin tưꢅng tự như giám sát phần mềm theo dõi hệ thống mạng, cꢀ chức năng  
thời gian thực.  
giám sát lưu thông mạng, tự động theo dõi các sự  
Các phân hệ cần được giám sát trên hệ thống kiện xảy ra trên một hệ thống mạng máy tính, phân  
máy chủ bao gꢇm: Bộ vi xử lꢊ, bộ nhớ, việc sử dụng tích để phát hiện ra các vấn đề liên quan đꢂn an  
đꢋa cứng, trạng thái hoạt động của mạng.  
ninh, bảo mật và đưa ra cảnh báo [12]. Một số hệ  
Các thông tin quan trọng mà quản trị viên hệ thống phát hiện xâm nhập còn cꢀ thể ngăn chặn các  
thống cần quan tâm như:  
nỗ lực xâm nhập nhưng điều này là không bắt buộc  
• Xác thực (Authentication): Các bản tin về đối với một hệ thống giám sát. Khác với tường lửa,  
sự kiện đăng nhập, đăng kꢊ.  
IDS không thực hiện các thao tác ngăn chặn truy  
• Phân quyền (Authorization): Thông tin lưu xuất mà chỉ theo dõi các hoạt động trên mạng để tꢐm  
trữ sẽ ghi lại quyền truy cập vào các dịch vụ đặc ra các dấu hiệu của tấn công và cảnh báo.  
quyền hoặc hành động đặc quyền.  
• Trạng thái các tiꢂn trꢐnh: Thực hiện việc  
lưu trữ sự kiện của quá trꢐnh hoạt động của các tiꢂn  
trꢐnh trên một hệ thống.  
2.4.3. Giám sát hệ thống mạng  
Hệ thống giám sát an toàn mạng đꢀng vai trò  
quan trọng, không thể thiꢂu trong hạ tầng công nghệ  
thông tin (CNTT) của các cꢅ quan, đꢅn vị, tꢁ chức.  
Hệ thống này cho phꢌp thu thập, chuꢍn hꢀa, lưu  
trữ và phân tích tưꢅng quan toàn bộ các sự kiện an  
toàn mạng được sinh ra trong hệ thống CNTT của  
tꢁ chức. Ngoài ra, hệ thống giám sát an toàn mạng  
phát hiện kịp thời các tấn công mạng, các điểm yꢂu,  
lỗ hꢁng bảo mật của các thiꢂt bị, ứng dụng và dịch  
vụ trong hệ thống.Để xây dựng giải pháp hợp lꢊ cho  
hệ thống giám sát an toàn mạng, các tꢁ chức, đꢅn  
vị cꢀ thể triển khai theo một trong ba giải pháp sau:  
Hꢐnh 2.4. Vị trí của thết bị IDS trong hệ thống mạng  
Giải pháp quản lꢊ thông tin an ninh.  
Giải pháp quản lꢊ sự kiện an ninh.  
Giải pháp quản lꢊ và phân tích sự kiện an ninh.  
Nhiệm vụ chính của IDS trong mạng là để  
phát hiện các cuộc tấn công cꢉng như cꢀ thể đꢍy  
lꢄi các cuộc tấn công này. Cách thông thường nhất  
để phân loại các hệ thống IDS là dựa vào đặc điểm  
của nguꢇn dữ liệu thu thập được. Trong trường hợp  
này, các hệ thống IDS được chia thành các loại sau:  
• Network-based IDS (NIDS): Sử dụng dữ  
liệu trên toàn bộ lưu thông mạng.  
• Host-based IDS (HIDS): Sử dụng dữ liệu  
kiểm tra từ một máy trạm đꢅn để phát hiện xâm  
nhập.  
2.3.5. Giám sát các phần mềm ứng dụng  
Trong hoạt động tác nghiệp của bất kꢐ tꢁ  
chức nào đều không thể thiꢂu được các chưꢅng  
trꢐnh phần mềm ứng dụng, đây cꢀ thể là những  
phần mềm quản lꢊ, tính toán, lập báo cáo, hay đꢀ  
Hꢐnh 2.3. Giải pháp quản lý và phân tích sự kiện  
an ninh  
Khoa học & Công nghệ - Số 18/Tháng 6 - 2018  
Journal of Science and Technology  
61  
ISSN 2354-0575  
là những phần mềm ứng dụng trên máy chủ hay các email. Những công cụ này cho phꢌp người quản trị  
dịch vụ của hệ thống. Các bản ghi lịch sử hoạt động hệ thống tiꢂp tục xác minh rằng các dịch vụ email  
của các phần mềm này cꢀ thể rất hữu ích để thu vꢈn đang hoạt động và sẵn sàng đáp ứng một cách  
thập, thông tin này cung cấp dữ liệu chuyên sâu về nhanh chꢀng, cꢉng như cꢀ khả năng xác định bất  
hoạt động ứng dụng giữa người dꢄng và hệ thống.  
kỳ vấn đề trước khi chúng ảnh hưꢆng đꢂn người sử  
dụng trên hệ thống [15].  
* Giám sát hoạt động của FTP, SFTP:  
Nhiều tꢁ chức sử dụng FTP, SFTP với chức  
năng để tải lên và tải về các tập tin lưu trữ trên máy  
chủ, vấn đề quan trọng là cần đảm bảo cho dịch  
vụ này hoạt động ꢁn định, sẵn sàng trong mọi thời  
điểm. Bất kỳ thời gian ngừng trệ nào của dịch vụ  
này cꢀ thể dꢈn đꢂn tập tin bị hỏng được tải lên hay  
tải về mà cꢀ thể ảnh hưꢆng đꢂn hiệu suất của người  
dꢄng cuối.  
Bên cạnh đꢀ, một số hệ thống giám sát mạng  
tiên tiꢂn như Monitis [15] còn cꢉng cấp các tính  
năng giám sát nâng cao cho phꢌp giám sát tính sẵn  
sàng và hiệu quả của một quá trꢐnh gửi email đầy  
đủ, để đảm bảo rằng các dịch vụ email gửi đꢂn và  
gửi đi của hệ thống đang làm việc đúng và thao tác  
gửi/nhận kịp thời.  
* Giám sát các phần mềm nghiệp vụ chung:  
Do đặc thꢄ của mỗi ngành nên sẽ cꢀ các phần  
mềm chuyên dụng phục vụ công việc chuyên môn  
riêng. Trong ngành Y tꢂ hiện nay, các phần mềm  
quản lꢊ y bạ, quản lꢊ thꢃ bảo hiểm y tꢂ…đang được  
triển khai sử dụng rộng khắp từ bệnh viện tuyꢂn  
trung ưꢅng xuống địa phưꢅng. Việc vận hành và sử  
dụng các phần mềm đặc thꢄ ngành này thường do  
bộ phận phụ trách về công nghệ thông tin quản lꢊ và  
duy trꢐ, do đꢀ khi hệ thống phần mềm và dịch vụ hỗ  
trợ đi kèm phần mềm gặp trục trặc, thꢐ để khắc phục  
đưa hệ thống trꢆ lại làm việc cần cꢀ sự đánh giá và  
tꢐm ra nguyên nhân…  
Các báo cáo cꢀ thể được nhꢀm lại và hiển  
thị dựa trên khả năng sẵn sàng của hệ thống và hiệu  
năng hoạt động.  
* Giám sát hoạt động của DNS:  
DNS (Domain Name Service) là dịch vụ  
phân giải tên miền được sử dụng để chuyển đꢁi qua  
lại giữa tên miền và địa chỉ IP của máy chủ. Trong  
các đꢅn vị cꢀ duy trꢐ hệ thống máy chủ cục bộ chạy  
trong hệ thống mạng LAN, với số lượng máy trạm  
lớn, thường xuyên truy cập, tưꢅng tác với các máy  
chủ, thꢐ cần thiꢂt cꢀ một hệ thống DNS nội bộ để  
giảm bớt lưu lượng mạng truy cập từ bên ngoài và  
giảm băng thông truy cập cần thiꢂt. Đối với dịch vụ  
DNS, cꢅ sꢆ dữ liệu các bản ghi DNS rất quan trọng,  
giúp máy chủ thực hiện tꢐm kiꢂm và trả lời truy vấn  
3. Kết luận  
Trong thꢂ giới hiện tại, việc thực hiện triển  
một cách nhanh chꢀng, chính xác. Với hệ thống khai một hệ thống giám sát toàn bộ các thiꢂt bị  
giám sát DNS cần cung cấp các thông tin đầy đủ bao mạng là việc cấp thiꢂt cho tất cả các doanh nghiệp,  
gꢇm: thời gian phản hꢇi, kiểu bản ghi, giá trị truy tꢁ chức. Việc triển khai hệ thống giám sát nhằm tối  
vấn, thời gian truy vấn, thời gian tꢐm kiꢂm… [14].  
ưu hꢀa hệ thống mạng, tăng cường an ninh mạng,  
và cꢀ thể giải quyꢂt các sự cố kịp thời. Hàng năm,  
công tác giám sát an ninh mạng cꢀ thêm nhiều hiệu  
quả hꢅn trong việc tꢐm kiꢂm và giảm nhẹ rủi ro an  
ninh. Với việc tập trung vào giám sát các hoạt động  
xảy ra trong hệ thống mạng, tꢁ chức cꢀ thể đạt được  
mục tiêu của mꢐnh mà không ảnh hưꢆng an ninh.  
Việc tăng cường an ninh và bảo mật cho các hệ  
thống đòi hỏi phải cꢀ sự đầu tư hợp lꢊ, được tư vấn  
chính xác để lựa chọn được giải pháp tối ưu nhất,  
vừa tiꢂt kiệm được chi phí đầu tư ban đầu, và vꢈn  
đảm bảo được hiệu quả đề ra.  
* Giám sát dịch vụ email:  
Dịch vụ email nội bộ hiện được nhiều tꢁ  
chức triển khai và duy trꢐ hoạt động do tính linh  
hoạt, bảo mật và nhanh chꢀng, thậm chí ngay cả  
khi không cꢀ truy cập internet thꢐ nhân viên vꢈn cꢀ  
thể trao đꢁi email trong mạng nội bộ mà không bị  
ảnh hưꢆng. Hệ thống giám sát toàn diện sẽ cần phải  
theo dõi các hoạt động của máy chủ email và thực  
hiện ghi lại lịch sử các log xảy ra trên hệ thống. Từ  
đꢀ nꢀ cꢀ thể cung cấp một loạt các công cụ theo dõi  
để kiểm tra tính sẵn sàng và hiệu suất của máy chủ  
Tài liệu tham khảo  
[1]. Nguyễn Thu Trang, Hệ thống thông tin y tꢂ và tꢐnh hꢐnh ứng dụng tại Việt Nam, Luận văn thạc  
sꢋ, 2008, tr. 46-61.  
[2]. Richard Bejtlich, The Practice of Network Security Monitoring. William Pollock, ISBN:  
1-59327-509-9, 2013, pp. 342-357.  
[3]. Phạm Đức Nhꢅn, Xây dựng hệ thống giám sát tập trung trên cꢅ sꢆ SNMP, Luận văn thạc sꢋ kỹ  
thuật, Học viện CN BCVT, 2013. tr. 23-28.  
[4].Chris Fry and Martin Nystrom, Security monitoring. O’Reilly Media, ISBN: 978-0-596-51816-  
Journal of Science and Technology  
62  
Khoa học & Công nghệ - Số 18/Tháng 6 - 2018  
ISSN 2354-0575  
5, 2009, pp. 61-83.  
[5]. Nguyễn Mạnh Hꢄng, Phát hiện và phòng chống xâm nhập trái phꢌp mạng máy tính, Luận văn  
thạc sꢋ, 2013, tr. 40-46.  
[6]. Vikas Mishra , V.K. Vijay, S. Tazi, Intrusion Detection System with Snort in Cloud Computing:  
Advanced IDS. Proceedings of International Conference on ICT for Sustainable Development, Vol  
408 of the series Advances in Intelligent Systems and Computing, 2016, pp.457-465.  
[7]. Joao Afonso, Pedro Veiga, Enhancing DNS security using dynamic firewalling with network  
agents. Computer Science and Information Systems (FedCSIS) 2011 Federated Conference on, pp.  
777-782.  
[8]. P. Tzerefos, C. Smythe, I. Stergiou, and S. Cvetkovic,AComparative Study of Simple MailTransfer  
Protocol (SMTP), Post Office Protocol (POP) and X.400 Electronic Mail Protocols. Proceedings of  
the IEEE 1997 22nd Conference on Local Computer Networks - LCN, pp. 545-554, 199.  
[9]. Slagell A., Yurcik W., Sharing computer network logs for security and privacy: a motivation for  
new methodologies of anonymization. IEEE 1st International Conference on Security and Privacy  
for Emerging Areas in Communication Networks, September 2005, pp. 80-89.  
[10]. Ya-Ting Fan Shiuh-Jeng Wang, Intrusion Investigations with Data-Hiding for Computer  
LogFile Forensics. Proceedings of the IEEE 5th International Conference on Future Information  
Technology, May 2010, pp. 1-6.  
[11]. Jie wang, Xianqiang chen,Application of web usage mining in the struction of distance opening  
education web site, 2008, vol. 4, pp. 157-160.  
[12]. Y. Y. Yao, H. J. Hamilton, Xuewei Wang, PagePrompter, An Intelligent Web Agent Created  
Using Data Mining Techniques. Rough Sets and Current Trends in Computing, 2002, vol. 2475, pp.  
949-.  
[13]. Ouyang Yang, Zhu Miaoliang, Effective E-Learning Environment Personalization using Web  
Usage Mining Technology. In Innovations in E-learning Instruction Technology Assessment and  
Engineering Education, Springer Netherlands:, 2007, pp. 311-315.  
RESEARCH AND DEVELOPMENT OF THE NETWORK MONITORING SYSTEM  
FOR THE MINISTRY OF HEALTH  
Abstract:  
This report presents a process for studying some of the vulnerabilities in the Department of Health  
network. From the results of the research team report, the team proposed solutions to deploy network  
monitoring system to ensure network security.  
Keywords: Network monitoring, IDS protected, IDS Snort.  
.
Khoa học & Công nghệ - Số 18/Tháng 6 - 2018  
Journal of Science and Technology  
63  
pdf 7 trang yennguyen 12/04/2022 7940
Download
Bạn đang xem tài liệu "Nghiên cứu và triển khai hệ thống giám sát mạng cho bộ y tế", để tải tài liệu gốc về máy hãy click vào nút Download ở trên

File đính kèm:

  • pdfnghien_cuu_va_trien_khai_he_thong_giam_sat_mang_cho_bo_y_te.pdf