ĐẠI HỌC QUỐC GIA HÀ NỘI
KHOA QUẢN TRỊ VÀ KINH DOANH
*** *** ***

BÙI NGỌC HẠNH

NGHIÊN CỨU THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP
GIÁM SÁT CHO HỆ THỐNG AN NINH THÔNG TIN
CỦA PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH
CÔNG AN THÀNH PHỐ HÀ NỘI

LUẬN VĂN THẠC SĨ

QUẢN TRỊ AN NINH PHI TRUYỀN THỐNG (MNS)

Hà Nội - 2017


ĐẠI HỌC QUỐC GIA HÀ NỘI
KHOA QUẢN TRỊ VÀ KINH DOANH
*** *** ***

BÙI NGỌC HẠNH

NGHIÊN CỨU THIẾT KẾ VÀ TRIỂN KHAI GIẢI PHÁP
GIÁM SÁT CHO HỆ THỐNG AN NINH THÔNG TIN
CỦA PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH
CÔNG AN THÀNH PHỐ HÀ NỘI

Chuyên ngành: Quản trị an ninh phi truyền thống
Mã số: Chương trình thí điểm

sắc về quản trị an ninh phi truyền thống gắn với bảo vệ an ninh quốc gia và mọi mặt của
đời sống, công tác do thầy cô Khoa Quản trị và Kinh doanh - Đại học Quốc gia Hà Nội
truyền thụ.
Trong lời cảm ơn này, Tôi xin được bày tỏ sự biết ơn và cảm ơn đến các thầy cô của
HSB, đặc biệt Tôi xin gửi tới các thầy: Thượng tướng, TS. Nguyễn Văn Hưởng – Nguyên
Thứ trưởng Bộ Công an; PGS. TS. Hoàng Đình Phi – Chủ nhiệm khoa Quản trị và Kinh
doanh, Đại học quốc gia Hà Nội; Đại tá,PGS. TS. Trần Văn Hòa – Nguyên Phó cục trưởng
Cục C50 Bộ Công an, đã trang bị cho Tôi kiến thức khoa học liên ngành, sâu sắc, giúp Tôi
hoàn thiện kiến thức
Tôi xin tỏ lòng biết ơn chân thành đến: Thiếu tướng, TS. Nguyễn Thế Bình – Phó
Tổng cục trưởng Tổng cục Hậu Cần Kỹ thuật, Bộ Công an, người đã tận tình hướng dẫn và
giúp đỡ tôi trong suốt thời gian học tập, nghiên cứu thực hiện đề tài.
Tôi xin trân trọng cảm ơn Ban Giám đốc, các đơn vị trong Công an thành phố Hà
Nội đã tạo điều kiện, giúp đỡ, hỗ trợ Tôi hoàn thành khóa học và luận văn.
Xin trân trọng cảm ơn.
Hà Nội, ngày 6 tháng 8 năm 2017
Tác giả luận văn

Bùi Ngọc Hạnh

3


MỤC LỤC
10

MỞ ĐẦU
CHƯƠNG 1:

HỆ THỐNG GSANM


18

1.2.1.

Phân tích theo giải pháp công nghệ

18

1.2.2.

Phân tích theo nhà cung cấp

20

1.3.

Phương trình khoa học

24

CHƯƠNG 2:

THIẾT KẾ GIẢI PHÁP GSANM CHO HỆ THỐNG MẠNG
TẠI PHÒNG QUẢN LÝ XUẤT NHẬP CẢNH CATP HÀ NỘI

25

2.1



Khảo sát hệ thống mạng tại Phòng Quản lý xuất nhập cảnh
CATP Hà Nội

31

2.2.1.

Mô hình hệ thống mạng

31

2.2.2.

Hiện trạng hệ thống mạng

32

2.3.

Phân tích, đánh giá các nguy cơ, rủi ro của hệ thống mạng tại
phòng Quản lý xuất nhập cảnh CATP Hà Nội, xác định các thành
phần cần thực hiện giám sát

33

2.3.1.

Phân tích, đánh giá các rủi ro của hệ thống thống mạng tại phòng
Quản lý xuất nhập cảnh CATP Hà Nội

3.1.2.

Đề xuất giải pháp

44

3.2.

Xây dựng hệ thống GSANM

58

4


3.2.1.

Xây dựng thành phần phân tích quản trị tập trung- ArcSight ESM

58

3.2.2.

Xây dựng thành phần lưu trữ, phân tích sơ bộ - ArcSight Logger

58

3.2.3.

Xây dựng thành phần thu thập thông tin – ArcSight Connector


Hướng phát triển giải pháp, mở rộng hoàn thiện hệ thống
GSANM

64

TÀI LIỆU THAM KHẢO

66

5


DANH MỤC TỪ VIẾT TẮT
STT

Thuật Ngữ/Từ Viết Tắt

Giải thích từ ngữ

1

AD

Active Directory (Microsoft)

2

APT


Công an thành phố

8

CGI

Chuẩn kết nối chương trình ứng dụng với
webserver (Common Gateway Interface)

9

CIFS

Common Internet File System

10

CNTT

Công nghệ Thông tin

11

CPU

Bộ xử lý trung tâm (Central Processing Unit)

12

CSDL

ESM

Enterprise Security Management

18

FTP

Giao thức truyền tập tin (File Transfer Protocol)

19

GSANM

Giám sát an ninh mạng

20

GSM

Hệ thống thông tin di động toàn cầu (Global
System for Mobile Communications)

21

GUI

Giao diện người dùng đồ họa (Graphical User
Interface)


26

ID

Định danh (Identifier)

27

IDS

Hệ thống phát hiện xâm nhập (Intrusion
Detection System)

28

IM

Tin nhắn nhanh (Instant Messaging)

29

IMAP

Giao thức truy cập thông điệp Internet (Internet

30

ISO

International Organization for Standardization

(Viện Tiêu chuẩn và Kĩ thuật Quốc gia - Hoa Kỳ)

36

NIST SP

NIST Special Publication

37

POP3

Post Office Protocol 3 (giao thức nhận thư điện
tử)

38

RAID

Redundant Array of Independent Disks

39

SAN

Storage Area Network

40

SCAP

gửi thư điện tử)

45

TTĐT

Thông tin Điện tử

46

TTTHDL

Trung Tâm Tích hợp Dữ liệu

50

VPN

Virtual Private Network (mạng riêng ảo)

51

WAN

Wide area network (mạng diện rộng)

7


DANH MỤC HÌNH VẼ

50

Hình 3.6: ArcSight Identity View

51

Hình 3.7: ArcSight phân tích và phát hiện Trojan and Botnet detection - 1

52

Hình 3.8: ArcSight phân tích và phát hiện Trojan and Botnet detection – 2

52

Hình 3.9: ArcSight Use-cases

53

Hình 3.10: Giao diện theo dõi ArcSight Dashboard

54

Hình 3.11: Giám sát bùng nổ WORM trong mạng

54

Hình 3.12: Giám sát việc phát tán Mã độc trong hệ thống

55


63

8


DANH MỤC BẢNG BIỂU
Bảng 2.1: Thông tin cần nắm bắt khi giám sát một TTTHDL

9


CHƯƠNG MỞ ĐẦU
1. Tính cấp thiết của đề tài
Ngày nay, cùng với sự phát triển của công nghệ thông tin, việc đẩy mạnh ứng dụng
công nghệ thông tin, phát triển hạ tầng hệ thống mạng thông tin điện tử trong mỗi cơ quan,
tổ chức ngày càng tăng cao giúp nâng cao hiệu quả hoạt động mang lại nhiều lợi ích thiết
thực cho cơ quan, tổ chức. Bên cạnh với những lợi ích đạt được, hệ thống mạng thông tin
điện tử trong các cơ quan cũng phải đối đầu với rất nhiều nguy cơ, thách thức mất an toàn
ngày càng tăng cao như các cuộc tấn công mạng ngày càng trở lên tinh vi, phức tạp, sự gia
tăng nhanh chóng của các phần mềm độc hại … gây ảnh hưởng không nhỏ tới tính an toàn,
tính bí mật, tính sẵn sàng của thông tin và thiết bị, tài nguyên, dịch vụ trong hệ thống.
Đồng thời, với xu hướng phát triển công nghệ trong thời gian gần đây, các cuộc tấn
công mạng ngày càng mang động cơ chính trị và kinh tế rõ ràng, các hệ thống thông tin
điện tử (TTĐT) trong các cơ quan tổ chức nhà nước đang trở thành những môi trường với
nhiều nguy cơ mất an toàn thông tin (ATTT). Ngày càng nhiều báo cáo, nghiên cứu cho
thấy xu hướng phát triển của hình thức tấn công APT mà Việt Nam đang là một mục tiêu.
Theo công ty bảo mật FireEye, các cơ quan báo chí, các cơ quan chính phủ Việt Nam, các
ngân hàng … đang là đối tượng tấn công của APT 30, APT 64 trong 10 năm qua với mục
đích lấy cắp dữ liệu nhạy cảm.
Vì vậy, cùng với xu hướng phát triển trên thì việc đảm bảo an toàn, an ninh thông tin

không được xử lý kịp thời... gây ra thiệt hại lớn cho cơ quan, tổ chức.
Đối với riêng hệ thống của phòng Quản lý xuất nhập cảnh CATP Hà Nội có quy mô
hơn 100 máy tính cá nhân và hơn 20 máy chủ dịch vụ trong hệ thống mạng, phòng Quản lý
xuất nhập cảnh CATP Hà Nội bước đầu đã có sự quan tâm nhất định tới vấn đề đảm bảo
ATANTT bằng việc đã đầu tư, triển khai một số biện pháp tăng cường bảo mật cho hệ
thống như các thiết bị tường lửa thế hệ mới (Firewall), các thiết bị IDS/IPS, hệ thống
phòng chống mã độc/thư rác, hệ thống kiểm soát truy cập web… Tuy nhiên, trong thực tế
hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP Hà Nội còn gặp rất nhiều khó
khăn trong việc có thể phát hiện, ngăn chặn và xử lý các sự cố gây mất ATANTT điển hình
như: tình trạng lộ lọt tài liệu, thông tin nhạy cảm; các máy tính bị nhiễm mã độc mặc dù đã
có cảnh báo của phần mềm phòng chống; tình trạng dịch vụ cung cấp trên mạng (thư điện
tử, các dịch vụ công …) còn chưa thực sự ổn định để đáp ứng nhu cầu khai thác của cán bộ
và người dân; việc tra cứu, tổng hợp thông tin về tình trạng hoạt động của hệ thống mạng
để theo dõi là rất khó khăn …
Bởi vậy, cần có một hệ thống cho phép theo dõi, giám sát tình trạng hoạt động và các
nguy cơ gây mất ATANTT trong hệ thống mạng tại phòng Quản lý xuất nhập cảnh CATP
Hà Nội, đó chính là hệ thống giám sát an ninh mạng (GSANM). Hệ thống giám sát an ninh
mạng quản lý và phân tích các sự kiện ATTT, thực hiện thu thập, chuẩn hóa, lưu trữ và
phân tích tương quan toàn bộ các sự kiện ATTT được sinh ra từ các thành phần trong hạ
tầng công nghệ thông tin. Hệ thống giám sát an ninh mạng có thể thực hiện được các
nhiệm vụ sau:

11


 Phát hiện kịp thời các tấn công mạng xuất phát từ Internet cũng như các tấn công
xuất phát trong nội bộ.
 Phát hiện kịp thời các điểm yếu, lỗ hổng bảo mật của các thiết bị, ứng dụng và dịch
vụ trong hệ thống.
 Phát hiện kịp thời sự lây nhiễm mã độc trong hệ thống mạng, các máy tính bị



sát an toàn, an ninh thông tin một cách toàn diện nhất với toàn bộ hệ thống từ con người,
kỹ thuật, quy trình và thủ tục.
6. Phương pháp nghiên cứu
Nghiên cứu những đặc điểm của các hệ thống hệ thống giám sát an ninh mạng nói
dung. Các giải pháp được nghiên cứu, tổng hợp từ nhiều nguồn khác nhau từ đó, tổng hợp
đưa ra giải pháp tổng thể để xây dựng hệ thống giám sát an ninh mạng giúp đảm bảo an
ninh an toàn cho hệ thống mạng phòng quản lý xuất nhập cảnh của Công an thành phố Hà
Nội.
Ngoài ra, thực hiện khảo sát, phân tích hệ thống mạng tại phòng Quản lý xuất nhập
cảnh CATP Hà Nội. Phân tích đánh giá các nguy cơ, rủi ro đối với hệ thống mạng tại
phòng Quản lý xuất nhập cảnh CATP Hà Nội. Xác định các thành phần cần được giám sát
từ đó đưa ra các yêu cầu, tiêu chí để lựa chọn, thiết kết giải pháp giám sát an ninh mạng
phù hợp. Lựa chọn, đề xuất giải pháp, công nghệ giám sát an ninh mạng phù hợp.
7. Cấu trúc luận văn
Chương I: Hệ thống giám sát an ninh mạng (GSANM)
Chương II: Thiết kế giải pháp GSANM cho hệ thống mạng tại phòng quản lý xuất
nhập cảnh CATP Hà Nội
Chương III: Triển khai xây dựng hệ thống GSANM cho hệ thống mạng phòng quản
lý xuất nhập cảnh CATP Hà Nội.

13


CHƯƠNG 1: HỆ THỐNG GIÁM SÁT AN NINH MẠNG (GSANM)
-

Tổng quan lý thuyết, khái niệm cơ bản về hệ thống GSANM.


ta có thể giám sát hệ thống trong thời gian thực thì có thể xác định các vấn đề trước khi
chúng trở nên nguy hiểm hơn. Ví dụ, một máy chủ bị quá tải có thể được thay thế trước khi
nó bị treo. Điều này sẽ làm giảm thiểu các nguy cơ đối với hệ thống và tăng hiệu suất làm
việc của hệ thống. Với một hệ thống GSANM, ta sẽ biết được tình trạng của tất cả các thiết
bị trên mạng mà không cần phải kiểm tra một cách cụ thể từng thiết bị và cũng nhanh
chóng xác định chính xác vấn đề khi cần thiết.

14


1.1.2

1.1.2. Những yếu tố cần thiết cho một hệ thống GSANM
Để hiểu được về hệ thống, cần một giải pháp giám sát để có thể cung cấp các thông

tin quan trọng trong thời gian thực và ở bất cứ đâu cũng như bất cứ thời điểm nào. Đối với
các doanh nghiệp, tổ chức thì cần các giải pháp đơn giản để triển khai, sử dụng. Nếu một tổ
chức yêu cầu tính sẵn sàng cao, thì cần một giải pháp tin cậy đã được triển khai và chứng
minh là hoạt động tốt.
Hệ thống mạng ngày nay có rất nhiều thiết bị trên hệ thống và phải thu thập rất nhiều
thông tin liên quan. Chính vì vậy cần một giải pháp hiển thị hệ thống như bản đồ mạng,
báo cáo dữ liệu, cảnh báo sự cố. Bên cạnh việc xử lý sự cố dễ dàng hơn, điều này sẽ giúp
tận dụng mạng lưới dữ liệu để hiểu được các xu hướng trong việc sử dụng thiết bị, sử dụng
mạng, và dung lượng mạng tổng thể để thiết kế hệ thống mạng lưới hiệu quả.
Theo NIST SP 800-137 [7], các bước trong tiến trình giám sát liên lục gồm:
-

Xác định chiến lược: định nghĩa chiến lược theo chính sách rủi ro của tổ chức,
xây dựng và triển khai các chính sách, phát triển các thủ tục và các mẫu để hỗ
trợ thực hiện chiến lược và chính sách.


Phản ứng với các rủi ro như từ chối, chuyển, hoặc chấp nhận. Cảnh báo là một
trong những bước đầu tiên quan trọng của việc phản ứng. Dựa trên đó, người

15


quản trị hoặc người có trách nhiệm sẽ thực hiện các hành động tiếp theo trực tiếp
tại chỗ hay từ xa như tiếp tục theo dõi, xử lý, thay đổi, xoá ...
-

Xem xét lại và cập nhật chiến lược và chương trình giám sát.

Các bước này cần được lưu ý và triển khai trong các hệ thống GSANM. Tuỳ theo
điều kiện và yêu cầu thực tế mà hệ thống GSANM ở mỗi tổ chức sẽ được hoạch định và
triển khai khác nhau theo các tiêu chí khác nhau.
1.1.3

1.1.3. Công nghệ triển khai hệ thống GSANM
Có nhiều công nghệ được dùng cho các hệ thống GSANM. Tuy nhiên, có thể phân thành

3 nhóm công nghệ cơ bản thường dùng cho các hệ thống các hệ thống GSANM liên tục:
-

Thu thập dữ liệu trực tiếp về tình trạng hoạt động của mạng thông qua các giao
thức như ICMP, SNMP, Syslog, NetFlow, ...

-

Tổng hợp và Phân tích bằng giải pháp SIEM (Quản lý sự kiện và thông tin bảo

ký ATTT đã tập hợp nhằm phát hiện các sự cố, nguy cơ mất ATTT trong hệ
16


thống. Việc phân tích chủ yếu dựa trên các tập luật được định nghĩa nhưng
đồng thời cũng cần có khả năng tùy biến linh động nhằm đưa ra các kết quả
phân tích chính xác nhất.
 Cập nhật các kết quả phân tích, kịp thời đưa ra các cảnh báo về các sự cố,
nguy cơ mất ATTT trong hệ thống cho người quản trị.
-

Thành phần quản trị tập trung:
 Cung cấp giao diện quản trị tập trung của toàn bộ hệ thống GSANM cho
người quản trị.
 Hỗ trợ người quản trị dễ dàng, thuận tiện theo dõi các báo cáo kết quả phân
tích nhật ký ATTT cũng như các sự kiện ATTT xảy ra trong hệ thống.
 Cung cấp các công cụ hỗ trợ người quản trị thực hiện xử lý khi các sự kiện
ATTT xảy ra nhằm hạn chế, giảm thiểu rủi ro, hậu quả mà các sự kiện
ATTT gây ra cho hệ thống.

Giải pháp quản lý sự kiện và an ninh thông tin (SIEM) mang lại một số lợi ích như
sau:
-

Tăng hiệu quả sử dụng các thông tin về sự kiện, log an ninh cho các cán bộ phụ
trách an ninh, vận hành hệ thống: Giải pháp SIEM cho phép thu thập, chuẩn hóa
log từ nhiều nguồn, giao diện quản trị mạnh mẽ, tập trung giúp tăng hiệu quả
việc sử dụng các thông tin về sự kiện, log an ninh phục vụ công tác an ninh và
vận hành hệ thống


Giảm chi phí hoạt động và bảo trì: Có thể quản lý, phân tích log đối với hầu hết
các hệ thống và CSDL từ nhiều nhà cung cấp khác nhau bằng một giải pháp
SIEM duy nhất. Việc này giúp các tổ chức tiết kiệm thời gian, tiền bạc so với
mua và bảo trì nhiều hệ thống giám sát và phân tích khác nhau.

Hình 1.1: Thành phần và chức năng của hệ thống GSANM
1.2. Một số giải pháp công nghệ GSANM nổi bật
1.1.4

1.2.1. Phân tích theo giải pháp công nghệ.

a.

Security information management (SIM): giải pháp quản lý thông tin an ninh.
SIM thực hiện việc thu thập nhật ký (log), lưu trữ, đưa ra báo cáo (reporting) và
cảnh báo. Các nhật ký này chủ yếu là từ: hệ thống máy chủ, các ứng dụng, thiết bị
network và từ các thiết bị chuyên về Security… SIM là giải pháp thực hiện tốt các
công việc như Index dữ liệu, lưu trữ và tạo ra các báo cáo định kỳ để kiểm tra tính
tuân thủ (compliance). Các thành phần chính của SIM bao gồm: thành phần thu
thập nhật ký, thành phần lưu trữ.
-

Ưu điểm:
 Cung cấp giải pháp lưu trữ nhật ký an ninh cho các tổ chức.
 Cho phép lưu trữ, quản lý nhật ký trong thời gian dài và báo cáo định kỳ.
 Triển khai và vận hành đơn giản.

-

Nhược điểm

 Không có khả năng lưu trữ nhật ký trong thời gian dài.
 Vận hành hệ thống phức tạp hơn SIM.

c.

Security information event Management (SIEM) là giải pháp được kết hợp bởi 2
giải pháp SIM và SEM. SIEM là một giải pháp hoàn chính, đầy đủ cho phép các tổ
chức thực hiện việc giám sát các sự kiện ATTT cho một hệ thống. Các thành phần
chính của SIEM bao gồm: thành phần thu thập nhật ký, thành phần phân tích, thành
phần lưu trữ và các module phân tích các mối đe dọa mở rộng.
-

Ưu điểm:
 Cho phép thu thập, chuẩn hóa các sự kiện theo thời gian thực.
 Cung cấp khả năng lưu trữ dài hạn, toàn diện.
 Cho phép phân tích tương quan và đưa ra cảnh báo về các sự cố an ninh
thông tin phức tạp.
 Dễ dàng triển khai và duy trì.

-

Nhược điểm.
 Là hệ thống lớn nên đòi hỏi đội ngũ vận hành phải có trình độ.
 Chi phí cao khi xây dựng hệ thống lớn.

 Dựa trên các phân tích trên và nhu cầu thực tế, người thực hiện đề xuất lựa chọn
công nghệ SIEM vì:
19



cho mỗi trường triển khai rất lớn, yêu cầu mở rộng cao; dòng sản phẩm ArcSight Express
là dạng thiết bị cung cấp giải pháp ESM cho các đối tượng khách hàng vừa, sản phẩm này
cung cấp sẵn các công cụ cho phép giám sát và báo cáo. Dòng sản phẩm thiết bị và phần
mềm ArcSight Logger cung cấp các tính năng thu thập và quản lý dữ liệu nhật ký.
ArcSight Logger có thể triển khai như một giải pháp quản lý nhật ký độc lập hoặc kết hợp
với ESM. HP hiện nay cung cấp các module mở rộng như:
 Application View – cung cấp khả năng giám sát toàn diện các ứng dụng dựa
trên công nghệ HP Fortify.
 HP ArcSight User Behavior Analytics (UBA) – cung cấp khả năng tích hợp
phân tích hành vi của người dùng (Users).
20


 HP DNS Mã độc Analytics (DMA) – cho phép phát hiện các thiết bị
(servers, desktop, monile) bị nhiễm mã độc.
HP đã bổ sung và cải thiện lớn các tính năng trong 2014 như cho phép triển khai
đảm bảo tính sẵn sàng cao cho sản phẩm ArcSight ESM, cập nhật & cải thiện giao diện
Web UI trên ArcSight Logger và ArcSight Express cho phép tối ưu việc giám sát và phân
tích.
Tính đến 2015 ArcSight đã có 12 năm liên tiếp được Gartner đánh giá là sản phẩm
Leader, không có một sản phẩm nào trong Top leader có kết quả tương tự. Cũng theo đánh
giá của Gartner năm 2015 về các tiêu chí chức năng mà hệ thống SIEM cần cung cấp, giải
pháp HP ArcSight được chứng minh là giải pháp phù hợp nhất với việc ArcSight xếp vị trí
thứ #1 hoặc thứ #2 trong 6 trên 8 tiêu chí về chức năng.
Theo đánh giá mới nhất của IDC ArcSight đứng đầu chiếm đến 20% thị phần sản
phẩm SIEM. Hiện nay có khoảng 500 SOCs được xây dựng dựa trên công nghệ HPE
ArcSight, và các nhà quản lý SOC luôn tìm đến ArcSight như một lựa chọn khi xây dựng
SOC.
-


với dạng một thiết bị, một thiết bị ảo hoặc SaaS. Các thành phần trong giải pháp có thể
triển khai dạng all-in-one hoặc mở rộng bằng việc sử dụng các thành phần độc lập với các
tính năng khác nhau, tuy nhiên triển khai dạng all-in-one không sẽ bị giới một số tính năng.
Giải pháp IBM Qradar cho phép thu thập dữ liệu nhật ký, NetFlow data, full packet.
Hiện nay IBM cải thiện một số tính năng như hỗ trợ điều tra sự cố, khả năng lưu
trữ, truy vấn dữ liệu, ngoài ra khả năng phân tích tương quan đối với dữ liệu nhật ký trong
quá khứ cũng đã được hỗ trợ. IBM có kế hoạch bổ sung tính năng xử lý sự cố sự cố theo
workflow trong tương lai.
-

Ưu điểm
 Giải pháp IBM Qradar cho phép cung cấp khả năng quan sát đối với cả dữ
liệu nhật ký và gói tin, các điểm yếu an ninh.
 Sản phẩm được cho là dễ dàng triển khai trong nhiều môi trường khác nhau.
 Qradar cung cấp khả năng phân tích hành vi đối với netflow và log events.

-

Nhược điểm
 Qradar hạn chế trong việc định nghĩa vai trò, khả năng tích hợp với các hệ
thống trong việc thực hiện xử lý theo workflow và không thể so sánh với
các sản phẩm cạnh tranh khác.
 Sản phẩm Qradar Vulnerability Manager cung cấp hạn chế các tính năng,
không ổn định, việc cập nhật tính năng chậm và hỗ trợ delays.
 Qradar hiện tại chỉ cho phép tích hợp với duy nhất sản phẩm Qradar
Vulnerability Manager để bổ sung các thông tin về điểm yếu an ninh trong
khi các sản phẩm cạnh tranh cho phép tích hợp với hầu hết các sản phẩm
quản lý điểm yếu an ninh.
 Dòng sản phẩm All-in-one thực chất không có khả năng thu thập fullpacket, chỉ hỗ trợ thu thập dữ liệu Netflow và log event. Để có thể thu thập
full packet khách hàng cần mua riêng một sản phẩm Qradar flow với chí đắt

 Kết hơp đồng thời phương thức phân tích, điều tra dựa trên các tập luật tính
tương quan với phương thức phân tích dựa trên rủi ro giúp cho quản trị viên
xác định được chính xác các vấn đề bảo mật/sự kiện bảo mật trong hệ thống,
đánh giá chính xác mức độ ảnh hưởng/rủi ro bảo mật của các sự kiện này, từ
đó quan tâm/chú trọng đến các sự kiện an ninh có mức độ rủi ro cao, gây
ảnh hưởng đến các tài nguyên, đối tượng quan trọng trong hệ thống.
 McAfee Advanced Correlation Engine có khả năng xử lý, phân tích thông
tin với hiệu suất cao. Module chuyên dụng để phân tích bảo mật, điều ra các
sự kiện xảy ra trong quá khứ. Đảm bảo tính “play-back” để giúp quản trị
viên khám phá các sự kiện bảo mật, các tấn công mà trước đây chưa xác
định được.
 McAfee Global Threats Intellegent (McAfee GTI) tập hợp một database
gồm các IP/domain thường xuyên phát động tấn công từ chối dịch vụ (DoS,
DDoS), phát tán mã độc, phát tán thư rác, tấn công người dùng… Áp dụng
kết hợp McAfee GTI vào McAfee ESM giúp cho quản trị viên xác định một
cách nhanh chóng các kết nối nghi vấn/tiềm ẩn rủi ro từ hệ thống mạng tổ
chức tới các IP/Domain có mức độ rủi ro cao. Từ đó giúp quản trị viên kịp
thời phát hiện các rủi ro tiềm ẩn đang có, điều tra và đưa ra Phương án xử lý
kịp thời.
23


 Có khả năng tích hợp với nhiều hệ thống bảo mật một cách chặt chẽ để đảm
bảo tính bảo mật cao nhất cho tổ chức:
o

Kết hợp với giải pháp dò quét/quản lý điểm yếu: cho phép tiến hành
khởi tạo dò quét từ giao diện McAfee ESM, cho phép nạp thêm thông
tin kết quả dò quét bảo mật vào thành phần McAfee ESM, xác định và
ưu tiên quản trị bảo mật đối với những tài nguyên cần bảo vệ/giám sát


(M)

(K)

(S)

Trong đó: T – Công nghệ; K – Kiến thức, sự hiểu biết; S – Kỹ năng.
Trong phạm vi luận văn được hiểu: An toàn công nghệ chính là bao gồm phần cứng,
phần mềm, hạ tầng mạng và thiết bị khác; cùng với kiến thức, dựa trên nền tảng khoa học
kỹ thuật và kỹ năng quản lý, khai thác, sử dụng đều cần phải được đảm bảo an toàn.
Tất cả những yếu tố trên phần lớn phụ thuộc vào khả năng và yếu tố con người.

24