Đánh giá và nâng cao chất lượng an toàn thông tin bệnh viện sản nhi tỉnh quảng ngãi

Với sự bùng nổ của cuộc cách mạng Công nghiệp lần thứ 4, thông qua các công nghệ như Internet vạn vật (IoT), trí tuệ nhân tạo (AI), thực tế ảo (VR), tương tác thực tại ảo (AR), mạng xã hội, điện toán đám mây... đang chuyển hóa toàn bộ thế giới thực sang thế giới số 4. Với nhu cầu chuyển đổi số ngành y tế, bắt buộc các cơ quan, tổ chức phải hòa mình vào thế giới số. An toàn và bảo mật thông tin là một trong những vấn đề quan trọng hàng đầu, khi thực hiện kết nối mạng nội bộ của các cơ quan, doanh nghiệp, tổ chức, chính phủ với Internet. Ngày nay, khi thời đại công nghệ ngày càng phát triển, các biện pháp an toàn thông tin cho cá nhân cũng như các mạng nội bộ đã được nghiên cứu và triển khai. Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công. Cụ thể: Trong năm 2022 2, Cục an toán thông tin đã ghi nhận, cảnh báo và hướng dẫn xử lý trung bình hơn 1.000 sự cố tấng công mạng vào các hệ thông thông tin tại Việt Nam. Trong 6 tháng đầu năm 2023 1, Cục an toàn thông tin đã cảnh báo, hướng dẫn xử lý hơn 6.300 cuộc tấn công mạng gây ra sự cố vào các hệ thống thông tin tại Việt Nam. Lỗ hỏng bảo mật là một trong những nguyên nhân hàng đầu gây ra các cuộc tấn công mạng nhắm vào các cơ quan, tổ chức, doanh nghiệp. Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháp tấn công cũng liên tục được hoàn thiện. Điều đó một phần do các nhân viên quản trị hệ thống ngày càng đề cao cảnh giác. Vì vậy việc kết nối mạng nội bộ của cơ quan tổ chức vào mạng Internet mà không có các biện pháp đảm bảo an ninh thì cũng được xem là tự “bắn vào chân mình” . Từ nhu cầu phát triển, đòi hỏi các cơ quan, tổ chức phải hòa mình vào mạng toàn cầu, mạng Internet song vẫn phải đảm bảo an toàn thông tin trong quá trình kết nối. Bảo mật an toàn thông tin tại bệnh viện là một vấn đề quan trọng để đảm bảo rằng thông tin quan trọng về bệnh nhân và hoạt động y tế được bảo vệ khỏi lỗ hổng bảo mật và sự xâm nhập trái phép bao gồm những cuộc tấn công lấy cắp hồ sơ y tế điện tử, dẫn đến lộ, lọt thông tin cá nhân nhạy cảm về sức khỏe và có nguy cơ đe dọa đến tính mạng con người. Lĩnh vực y tế đã phải hứng chịu nhiều cuộc tấn công ransomware, vi phạm dữ liệu và các cuộc tấn công mạng khác, gây ra nhiều tổn thất về kinh tế và phi kinh tế đối với các tổ chức, doanh nghiệp 3.

BÙI HOÀNG ANH

ĐÁNH GIÁ VÀ NÂNG CAO CHẤT LƯỢNG AN TOÀN THÔNG TIN BỆNH VIỆN SẢN - NHI

TỈNH QUẢNG NGÃI

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Đà Nẵng, 2024

BÙI HOÀNG ANH

ĐÁNH GIÁ VÀ NÂNG CAO CHẤT LƯỢNG AN TOÀN THÔNG TIN BỆNH VIỆN SẢN - NHI

TỈNH QUẢNG NGÃI

Chuyên ngành: Khoa học máy tính

Mã số: 8480101

LUẬN VĂN THẠC SĨ KHOA HỌC MÁY TÍNH

Người hướng dẫn khoa học: PGS.TS Nguyễn Gia Như

Đà Nẵng, 2024

LỜI CẢM ƠN

Lời đầu tiên, Tôi xin gởi lời cảm ơn chân thành nhất đến giảng viênhướng dẫn PGS.TS Nguyễn Gia Như đã tận tình hướng dẫn, góp ý và độngviên tôi trong suốt quá trình thực hiện và giúp tôi hoàn thành luận văn đúngthời gian quy định

Tôi xin chân thành cảm ơn các thầy cô giáo là giảng viên trường Khoahọc máy tính nói riêng, trường Đại học Duy Tân nói chung đã truyền đạt cho

em những bài học quy báu để tôi có thể áp dụng vào đề tài và đã tạo mọi điềukiện tốt nhất và giúp đỡ tôi hoàn thành luận văn

Xin chân thành cảm ơn!

LỜI CAM ĐOAN

Tôi xin cam đoan đây là công trình nghiên cứu do tôi thực hiện theo sựhướng dẫn khoa học của PGS.TS Nguyễn Gia Như Các số liệu và kết quảtrình bày trong luận án này là trung thực, chưa được công bố bởi bất kỳ tácgiả nào hay ở bất kỳ công trình nào khác

Tác giả

Bùi Hoàng Anh

LỜI CAM ĐOAN ii

DANH MỤC CÁC HÌNH vi

MỞ ĐẦU 1

1 Lý do chọn đề tài 1

2 Ý nghĩa thực tiễn của đề tài 2

3 Mục đích nghiên cứu 2

4 Đối tượng nghiên cứu 3

5 Phạm vi nghiên cứu 3

6 Bố cục của luận văn 3

Chương 1: TỔNG QUAN VỀ BẢO MẬT HỆ THỐNG MẠNG 4

1.1 Khái niệm bảo mật mạng: 4

1.2 Các đặc trưng của một hệ thống công nghệ thông tin đảm bảo an toàn 5

1.2.1 Tính khả dụng (Availability) 5

1.2.2 Tính bảo mật (Confidentialy): 6

1.2.3 Tính toàn vẹn (Integrity) 6

1.3 Đánh giá sự đe dọa, điểm yếu của hệ thống và các kiểu tấn công 7

1.4 Các biện pháp phát hiện hệ thống bị tấn công 8

Chương 2 ĐÁNH GIÁ CHẤT LƯỢNG BẢO MẬT HỆ THỐNG MẠNG CỦA BỆNH VIỆN SẢN-NHI TỈNH QUẢNG NGÃI 10

2.1 Khảo sát hiện trạng chất lượng hệ thống mạng của Bệnh viện Sản-Nhi tỉnh Quảng Ngãi 10

2.1.1 Hiện trạng CNTT tại Bệnh viện Sản-Nhi tỉnh Quảng Ngãi 10

2.1.2 Về ứng dụng công nghệ thông tin 11

2.1.4 Về đội ngũ cán bộ quản trị hệ thống 14

2.1.5 Một số nguy cơ tiềm ẩn về mất an toàn thông tin trên hệ thống mạng tại Bệnh viện Sản-Nhi tỉnh Quảng Ngãi 16

2.2 Giải pháp mô hình giám sát an toàn thông tin 16

2.3 Nghiên cứu, lựa chọn giải pháp giám sát an toàn thông tin 17

2.3.1 Giới thiệu về Wazuh 18

2.3.2 Các thành phần giải pháp Wazuh 20

2.3.3 Kiến trúc của Wazuh 26

2.3.4 Phương thức liên lạc và luồng dữ liệu 29

2.3.5 Lưu trữ dữ liệu 31

2.3.6 Các usecase sử dụng của Wazuh 32

2.4 So sánh đánh giá giải pháp đề xuất lựa chọn 39

Chương 3: TRIỂN KHAI THỬ NGHIỆM VÀ ĐÁNH GIÁ GIẢI PHÁP GIÁM SÁT AN NINH MẠNG TẠI BỆNH VIỆN SẢN-NHI TỈNH QUẢNG NGÃI 40

3.1 Đề xuất mô hình giám sát an toàn thông tin cho hệ thống mạng tại Bệnh viện Sản-Nhi tỉnh Quảng Ngãi 40

3.1.1 Mục tiêu 40

3.1.2 Yêu cầu 40

3.1.3 Giải pháp về thiết kế mô hình mạng 41

3.2 Triển khai giải pháp mã nguồn mở 42

3.3 Thử nghiệm và đánh giá giải pháp đưa ra 44

3.3.1 Cài đặt và cầu hình 44

3.3.2 Các kịch bản thử nghiệm và đánh giá giải pháp 45

3.3.3 Đánh giá giải pháp đã thực hiện 55

PHỤ LỤC

QUYẾT ĐỊNH GIAO ĐỀ TÀI (Bản sao)

Hình 1.1 Các đặc trung của hệ thống thông tin đảm bảo an toàn 5 Hình 2.1 Sơ đồ hệ thống mạng tại Bệnh viện Sản-Nhi tỉnh Quảng Ngãi 10 Hình 2.2 Thống kê nhu cầu trao đổi thông tin ra mạng bên ngoài 12

MỞ ĐẦU

1 Lý do chọn đề tài

Với sự bùng nổ của cuộc cách mạng Công nghiệp lần thứ 4, thông quacác công nghệ như Internet vạn vật (IoT), trí tuệ nhân tạo (AI), thực tế ảo (VR),tương tác thực tại ảo (AR), mạng xã hội, điện toán đám mây đang chuyển hóatoàn bộ thế giới thực sang thế giới số [4] Với nhu cầu chuyển đổi số ngành y

tế, bắt buộc các cơ quan, tổ chức phải hòa mình vào thế giới số An toàn và bảomật thông tin là một trong những vấn đề quan trọng hàng đầu, khi thực hiện kếtnối mạng nội bộ của các cơ quan, doanh nghiệp, tổ chức, chính phủ vớiInternet Ngày nay, khi thời đại công nghệ ngày càng phát triển, các biện pháp

an toàn thông tin cho cá nhân cũng như các mạng nội bộ đã được nghiên cứu vàtriển khai Tuy nhiên, vẫn thường xuyên có các mạng bị tấn công Cụ thể:

Trong năm 2022 [2], Cục an toán thông tin đã ghi nhận, cảnh báo vàhướng dẫn xử lý trung bình hơn 1.000 sự cố tấng công mạng vào các hệ thôngthông tin tại Việt Nam

Trong 6 tháng đầu năm 2023 [1], Cục an toàn thông tin đã cảnh báo,hướng dẫn xử lý hơn 6.300 cuộc tấn công mạng gây ra sự cố vào các hệ thốngthông tin tại Việt Nam Lỗ hỏng bảo mật là một trong những nguyên nhân hàngđầu gây ra các cuộc tấn công mạng nhắm vào các cơ quan, tổ chức, doanhnghiệp

Không chỉ các vụ tấn công tăng lên nhanh chóng mà các phương pháptấn công cũng liên tục được hoàn thiện Điều đó một phần do các nhân viênquản trị hệ thống ngày càng đề cao cảnh giác Vì vậy việc kết nối mạng nội bộcủa cơ quan tổ chức vào mạng Internet mà không có các biện pháp đảm bảo anninh thì cũng được xem là tự “bắn vào chân mình” Từ nhu cầu phát triển, đòi

hỏi các cơ quan, tổ chức phải hòa mình vào mạng toàn cầu, mạng Internet songvẫn phải đảm bảo an toàn thông tin trong quá trình kết nối

Bảo mật an toàn thông tin tại bệnh viện là một vấn đề quan trọng để đảmbảo rằng thông tin quan trọng về bệnh nhân và hoạt động y tế được bảo vệ khỏi

lỗ hổng bảo mật và sự xâm nhập trái phép bao gồm những cuộc tấn công lấycắp hồ sơ y tế điện tử, dẫn đến lộ, lọt thông tin cá nhân nhạy cảm về sức khỏe

và có nguy cơ đe dọa đến tính mạng con người Lĩnh vực y tế đã phải hứngchịu nhiều cuộc tấn công ransomware, vi phạm dữ liệu và các cuộc tấn côngmạng khác, gây ra nhiều tổn thất về kinh tế và phi kinh tế đối với các tổ chức,doanh nghiệp [3]

Từ những lý do trên, tôi đã quyết định chọn đề tài: “ Đánh giá và nângcao chất lượng bảo mật hệ thống mạng tại Bệnh viện Sản-Nhi tỉnh QuảngNgãi”, với mục đích xây dựng một hệ thống mạng an toàn phục vụ cho Bệnhviện Sản-Nhi tỉnh Quảng Ngãi nhằm nâng cao khả năng bảo vệ bí mật thông tin

và hoạt động y tế của bệnh nhân trên hệ thống mạng, đảm bảo an toàn cho hệthống mạng đề phòng các cuộc tấn công của Bệnh viện Sản-Nhi tỉnh QuảngNgãi

2 Ý nghĩa thực tiễn của đề tài

- Luận văn khảo sát hiện trạng hệ thống mạng tại Bệnh viện Sản-Nhi tỉnhQuảng Ngãi

- Đề xuất giải pháp đảm bảo an toàn cho hệ thông mạng của Bệnh viện

- Triển khai mô hình mạng an toàn cho Bệnh viện Sản-nhi tỉnh QuảngNgãi

3 Mục đích nghiên cứu

- Xây dựng mạng với giải pháp an toàn thông tin cao

- Tích hợp các giải pháp đảm bảo an toàn thông tin vào mô hình mạng tạiđơn vị

- Nghiên cứu giải pháp nâng cao chất lượng hệ thống mạng tại Bệnh việnSản-nhi tỉnh Quảng Ngãi.

4 Đối tượng nghiên cứu

- Nâng cao chất lượng hệ thống mạng tại Bệnh viện Sản-Nhi tỉnh QuảngNgãi

- Đề xuất giải pháp đảm bảo an toàn thông tin cho hệ thống mạng Bệnhviện Sản Nhi QN

5 Phạm vi nghiên cứu

- Triển khai giải pháp đám bảo an toàn hệ thống mạng tại Bệnh viện Nhi tỉnh Quảng Ngãi

Sản-6 Bố cục của luận văn

Ngoài phần mở dầu và kết luận, luận văn có cấu trúc 4 chương

Chương 1: Tổng quan về bảo mật hệ thống mạng; Chương này giới thiệu

một số vấn đề cơ bản về an toàn hệ thống mạng , đồng thời trình bày các mụctiêu và mối đe dọa tấn công thường gặp đối với hệ thống mạng

Chương 2: Đánh giá chất lượng bảo mật hệ thống mạng của Bệnh viện

Sản-Nhi tỉnh Quảng Ngãi; Chương này khảo sát hệ thống mạng tại Bệnh viện,

từ đó phân tích yếu tố ảnh hưởng đến chất lượng bảo mật hệ thống mạng vàđánh giá mức độ đáp ứng yêu cầu bảo mật

Chương 3: Nâng cao chất lượng bảo mật hệ thống mạng của Bệnh viện

Sản-Nhi tỉnh Quảng Ngãi; Chương này dựa vào các phân tích ở chương 2 đưa

ra giải pháp để nâng cao chất lượng bảo mật hệ thống mạng, thực hiện và đánhgiá hiệu quả của giải pháp đó

Chương 1: TỔNG QUAN VỀ BẢO MẬT HỆ THỐNG MẠNG

1.1 Khái niệm bảo mật mạng:

Ngày nay khi Internet ngày càng phổ biển, được sử dụng rộng rãi mụctiêu của việc kết nối mạng là để nhiều người sử dụng, từ những vị trí địa lýkhác nhau có thể sử dụng chung tài nguyên, trao đổi thông tin với nhau Do đặcđiểm nhiều người sử dụng lại phân tán về mặt vật lý nên việc bảo vệ các tàinguyên thông tin trên mạng tránh sự mất mát, xâm phạm là cần thiết và cấpbách Bảo mật mạng có thể hiểu là cách bảo vệ, đảm bảo an toàn cho tất cả cácthành phần mạng bao gồm: dữ liệu, thiết bị, cơ sở hạ tầng mạng và đảm bảomọi tài nguyên mạng được sử dụng tương ứng với một chính sách hoạt độngđược ấn định và với chỉ những người có thẩm quyền tương ứng

Bảo mật mạng là lĩnh vực bao gồm các vấn đề: Xác định chính sách, cáckhả năng nguy cơ xâm phạm mạng, các sự cố rủi ro đối với các thiết bị, dữ liệutrên mạng để có các giải pháp phù hợp đảm bảo an toàn mạng; ánh giá nguy cơtấn công của các hacker đến mạng, sự phát tán virus…

Phải nhận thấy bảo mật mạng là một trong những vấn đề cực kỳ quantrọng trong các hoạt động, giao dịch điện tử và trong việc khai thác sử dụng cáctài nguyên mạng

Một thách thức đối với bảo mật mạng là xác định chính xác cấp độ antoàn cần thiết cho việc điều khiển hệ thống và các thành phần mạng Đánh giácác nguy cơ, các lỗ hổng khiến mạng có thể bị xâm phạm thông qua cách tiếpcận có cấu trúc Xác định những nguy cơ ăn cắp, phá hoại máy tính, thiết bị,nguy cơ virus, sâu gián điệp, nguy cơ xóa, phá hoại cơ sở dữ liệu, ăn cắp mậtkhẩu, … nguy cơ đối với sự hoạt động của hệ thống như nghẽn mạng, nhiễuđiện tử Khi đánh giá được hết những nguy cơ ảnh hưởng tới an ninh mạng thìmới có thể có được những biện pháp tốt nhất để đảm bảo an ninh mạng

Sử dụng hiệu quả các công cụ bảo mật và những biện pháp, chính sách

cụ thể chặt chẽ

Về bản chất có thể phân loại vi phạm thành các vi phạm thụ động và viphạm chủ động Thụ động và chủ động được hiểu theo nghĩa có can thiệp vàonội dung và luồng thông tin có bị trao đổi hay không Vi phạm thụ động chỉnhằm mục đích nắm bắt được thông tin Vi phạm chủ động là thực hiện sự biếnđổi, xóa bỏ hoặc thêm thông tin ngoại lai để làm sai lệch thông tin gốc nhằmmục đích phá hoại Các hoạt động vi phạm thụ động thường khó có thể pháthiện nhưng có thể ngăn chặn hiệu quả Trái lại, vi phạm chủ động rất dễ pháthiện nhưng lại khó ngăn chặn

1.2 Các đặc trưng của một hệ thống công nghệ thông tin đảm bảo an toàn

cần đáp ứng những yêu cầu sau: Nhận biết và phân biệt thực thể, khống chếtiếp cận (bao gồm cả việc khống chế tự tiếp cận và khống chế tiếp cận cưỡngbức), khống chế lưu lượng (chống tắc nghẽn), khống chế chọn đường (cho phépchọn đường nhánh, mạch nối ổn định, tin cậy), giám sát tung tích (tất cả các sựkiện phát sinh trong hệ thống được lưu giữ để phân tích nguyên nhân, kịp thờidùng các biện pháp tương ứng).

1.2.2 Tính bảo mật (Confidentialy):

Tính bảo mật là đặc tính tin tức không bị tiết lộ cho các thực thể hay quátrình không được ủy quyền biết hoặc không để cho đối tượng xấu lợi dụng

Thông tin chỉ cho phép thực thể được ủy quyền sử dụng Kỹ thuật bảo mật

thường là phòng ngừa dò la thu thập, phòng ngừa bức xạ, tăng bảo mật thôngtin (dưới sự khống chế của khóa mã), bảo mật vật lý (sử dụng phương pháp bảomật vật lý để bảo đảm tin tức không bị tiết lộ)

1.2.3 Tính toàn vẹn (Integrity)

Tính toàn vẹn là đặc tính khi thông tin trên mạng chưa được ủy quyền thìkhông thể tiến hành được, tức là thông tin trên mạng khi đang được lưu giữhoặc trong quá trình truyền dẫn đảm bảo không bị xóa bỏ, sửa đổi, giả mạo,làm rối loạn trật tự, phát lại, xen vào một cách ngẫu nhiên hoặc cố ý và những

sự phá hoại khác Những nhân tố chủ yếu ảnh hưởng tới sự toàn vẹn thông tintrên mạng gồm: sự cố thiết bị, sai mã, bị con người tác động, virus máy tính …Một số phương pháp đảm bảo tính toàn vẹn thông tin trên mạng:

Giao thức an toàn có thể kiểm tra thông tin bị sao chép, sửa đổi hay saochép… Nếu phát hiện thì thông tin đó sẽ bị vô hiệu hóa

Phương pháp phát hiện sai và sửa sai Phương pháp sửa sai mã hóa đơngiản nhất và thường dùng là phép kiểm tra chẵn lẻ

Biện pháp kiểm tra mật mã ngăn ngừa hành vi xuyên tạc và cản trởtruyền tin

Chữ ký điện tử: bảo đảm tính xác thực của thông tin.

Yêu cầu cơ quan quản lý hoặc trung gian chứng minh chân thực củathông tin

+ Tính xác thực (Authentification): Kiểm tra tính xác thực của một

thực thể giao tiếp mạng Một thực thể có thể là một người sử dụng, một chươngtrình máy tính, hoặc một thiết bị phần cứng Cơ chế kiểm tra tính xác thực củacác phương thức bảo mật dựa vào 3 mô hình chính sau [1]:

Đối tượng cần kiểm tra cần phải cung cấp những thông tin trước, ví dụnhư password, hoặc mã số thông tin cá nhân PIN

Kiểm tra dựa vào mô hình những thông tin đã có, đối tượng kiểm tracần phải thể hiện những thông tin mà chúng sở hữu, ví dụ như Private Keyhoặc số thẻ tín dụng

Kiểm tra dựa vào mô hình những thông tin xác định tính duy nhất, đốitượng kiểm tra cần phải có những thông tin để định danh tính duy nhất củamình, ví dụ thông qua giọng nói, dấu vân tay, chữ ký…

+ Tính khống chế (Accountlability): Là đặc tính về năng lực khống

chế truyền bá và nội dung vốn có của tin tức trên mạng

+ Tính không thể chối cãi (Nonrepulation): Trong quá trình giao lưu

tin tức trên mạng, xác nhận tính chân thực đồng nhất của những thực thể thamgia, tức là tất cả các thực thể tham gia không thể chối bỏ những thao tác và camkết đã được thực hiện

1.3 Đánh giá sự đe dọa, điểm yếu của hệ thống và các kiểu tấn công

Về cơ bản có 4 mối đe dọa đến vấn đề bảo mật mạng như sau:

- Đe dọa không có cấu trúc (Unstructured threats)

- Đe dọa có cấu trúc (Structured threats)

- Đe dọa từ bên ngoài (External threats)

- Đe dọa từ bên trong (Internal threats)

a) Đe dọa không có cấu trúc

Những mối đe dọa thuộc dạng này được tạo ra bởi những hacker khôngchuyên, họ thật sự không có kinh nghiệm Những người này ham hiểu biết vàmuốn download dữ liệu từ mạng Internet về Họ thật sự bị thúc đẩy khi nhìnthấy những gì mà họ có thể tạo ra

b) Đe dọa có cấu trúc

Hacker tạo ra dạng này tinh tế hơn dạng unstructured rất nhiều Họ có kỹthuật và sự hiểu biết về cấu trúc hệ thống mạng Họ thành thạo trong việc làmthế nào để khai thác những điểm yếu trong mạng Họ tạo ra một hệ thống có

“cấu trúc” về phương pháp xâm nhập xâu vào trong hệ thống mạng

Cả hai dạng có cấu trúc và không có cấu trúc đều thông qua Internet đểthực hiện tấn công mạng

c) Đe dọa từ bên ngoài

Xuất phát từ Internet, những người này tìm thấy lỗ hổng trong hệ thốngmạng từ bên ngoài Khi các đơn vịbắt đầu quảng bá sự có mặt của họ trênInternet thì cũng là lúc hacker rà soát để tìm kiếm điểm yếu, đánh cắp dữ liệu

và phá hủy hệ thống mạng

d) Đe dọa từ bên trong

Mối đe dọa này thực sự rất nguy hiểm bởi vì nó xuất phát từ ngay trongchính nội bộ, điển hình là nhân viên hoặc bản thân những người quản trị Họ cóthể thực hiện việc tấn công một cách nhanh gọn và dễ dàng vì họ am hiểu cấutrúc cũng như biết rõ điểm yếu của hệ thống mạng

1.4 Các biện pháp phát hiện hệ thống bị tấn công

Không có một hệ thống nào có thể đảm bảo an toàn tuyệt đối, mỗi mộtdịch vụ đều có những lỗ hổng bảo mật tiềm tàng Người quản trị hệ thốngkhông những nghiên cứu, xác định các lỗ hổng bảo mật mà còn phải thực hiện

các biện pháp kiểm tra hệ thống có dấu hiệu tấn công hay không Một số biệnpháp cụ thể:

- Kiểm tra các dấu hiệu hệ thống bị tấn công: Hệ thống thường bị treobằng những thông báo lỗi không rõ ràng Khó xác định nguyên nhân do thiếuthông tin liên quan Trước tiên, xác định các nguyên nhân có phải phần cứnghay không, nếu không phải nghĩ đến khả năng máy tính bị tấn công

- Kiểm tra các tài khoản người dùng lạ, nhất là các tài khoản có ID bằngkhông

- Kiểm tra sự xuất hiện của các tập tin lạ Người quản trị hệ thống nên

có thói quen đặt tên tập tin theo mẫu nhất định để dễ dàng phát hiện tập tin lạ

- Kiểm tra thời gian thay đổi trên hệ thống

- Kiểm tra hiệu năng của hệ thống: Sử dụng các tiện ích theo dõi tàinguyên và các tiến trình đang hoạt động trên hệ thống

- Kiểm tra hoạt động của các dịch vụ hệ thống cung cấp

- Kiểm tra truy nhập hệ thống bằng các tài khoản thông thường, đềphòng trường hợp các tài khoản này bị truy nhập trái phép và thay đổi quyềnhạn mà người sử dụng hợp pháp không kiểm soát được

- Kiểm tra các file liên quan đến cấu hình mạng và dịch vụ, bỏ các dịch

Hình 2.1 Sơ đồ hệ thống mạng tại Bệnh viện Sản-Nhi tỉnh Quảng Ngãi

Chương 2 ĐÁNH GIÁ CHẤT LƯỢNG BẢO MẬT HỆ THỐNG MẠNG

CỦA BỆNH VIỆN SẢN-NHI TỈNH QUẢNG NGÃI

2.1 Khảo sát hiện trạng chất lượng hệ thống mạng của Bệnh viện Sản-Nhi tỉnh Quảng Ngãi.

2.1.1 Hiện trạng CNTT tại Bệnh viện Sản-Nhi tỉnh Quảng Ngãi

2.1.1.1 Hiện trạng kết nối

Sơ đồ hoạt động hệ thống mạng hiện tại của Bệnh viện như sau

Qua số liệu khảo sát thực tế tại bệnh viện, hiện trạng hệ thống mạng LAN:

- Hệ thống mạng LAN của Bệnh viện chưa được quy hoạch chia VLAN

- Các thiết bị chuyển mạch trung tâm và phân phối chủ yếu là TPLink nêntính ổn định và hiệu năng không cao

- Dải mạng: 10.10.0.1-10.10.3.254/22

- Hệ thống core Switch hiệu năng thấp và không có chạy HA để dự phòng

- Mạng lõi (Mạng Backbone): Hệ thống mạng core LAN đặt tại Tầng 1 –nhà B Từ nhà B sẽ kết nối cáp đồng 1Gb đến các tòa nhà: A,C,E Các thiết bị

được kết nối cáp đồng (dây cáp mạng cat5e) có tốc độ là 10/100 MbpsEthernet100 tới các thiết bị chuyển mạch (chủ yếu là Tplink cấu hình thấp, hay

bị rớt mạng) Hệ thống máy chủ kết nối 1Gb tới core Switch

- Hệ thống mạng WIFI: Hiện tại tòa nhà đã có hệ thống wifi, tuy nhiênkhông đồng bộ và không quản trị tập trung, cụ thể gồm như sau: 06 TPLink ,

08 Unifi, 01 APTek, 06 Draytek Hệ thống wifi hiện cũng chỉ lắp đặt tại một sốphòng, tòa nhà chính, chưa phủ sóng toàn bệnh viện

- Đường truyền: Bệnh viện sử dụng 3 đường truyền VNPT(100Mbps mỗiđường) trong đó: có 02 đường 100Mb dùng cho hệ thống mạng Internet củaBệnh viện và 01 đường 100Mb dùng cho Tele meeting Viettel

2.1.1.2 Hiện trạng cơ sở hạ thầng công nghệ thông tin

Tại Bệnh viện có 1 phòng máy chủ (nơi tập trung các đầu dây kết nối bằngcáp quang đến các tủ kỹ thuật trong Bệnh viện, các thiết bị mạng như tường lửa, thiết bị định tuyến, thiết bị chuyển mạch lõi, các máy chủ, ) các thiết bị bao gồm cụ thể như sau:

ST

T

2.1.2 Về ứng dụng công nghệ thông tin

Hiện nay, Bệnh viện Sản-Nhi tỉnh Quảng Ngãi triển khai sử dụng thốngnhất các ứng dụng như là: Hệ điều hành tác nghiệp xử lý văn bản; Phần mềm

quản lý bệnh viện, tài liệu tham khảo; phần mềm kế toán, các phần mềm nàycài đặt trên máy chủ đặt tại phòng máy chủ của Bệnh viện.

Ngoài ra, qua khảo sát thực tế có một số ứng dụng trên mạng internetđược các nhân viên của Bệnh viện thường xuyên sử dụng:

1 Thư điện tử (Email) Outlook,…

2 Trình duyệt Web Firefox, Chrome, IE, …

3 Instant message Zalo, skype,…

7 Họp trực tuyến Zoom, Webex, Google Meet,…

Bên cạnh sử dụng các phần mềm ứng dụng nội bộ để phục vụ công việcchuyên môn, nhu cầu truy cập khai thác thông tin trên mạng ngoài (mạng

internet) cũng rất lớn, thể hiện qua thống kê sau đây: (thống kê này không tính thời gian sử dụng vào công tác chuyên môn)

Hình 2.2 Thống kê nhu cầu trao đổi thông tin ra mạng bên ngoài

Nói chung, các phần mềm ứng dụng được dùng thường xuyên, hỗ trợ tốtcho công tác chỉ đạo điều hành của lãnh đạo, công tác chuyên môn của nhânviên nhưng việc mở rộng triển khai các sản phẩm về ứng dụng công nghệ thôngtin vẫn còn nhiều hạn chế, chưa đáp ứng được kịp thời đòi hỏi của công tácchuyên môn Nguyên nhân chính là cán bộ quản trị hệ thống còn yếu và thiếunên rất khó khăn trong công tác quản trị hệ thống, quản trị phần mềm, sao lưu,phục hồi dữ liệu khi có sự cố; tính sẵn sàng và liên tục bị hạn chế do nguồnkinh phí đầu tư dàn trải, không tập trung.

2.1.3 Về công tác giám sát, đảm bảo an ninh, an toàn mạng và bảo mật thông tin.

Hiện nay, hệ thống giám sát an toàn thông tin còn chưa được các cơ quanquan tâm, đầu tư đúng mức về các trang thiết bị bảo mật (tường lửa, hệ thốnggiám sát an ninh mạng) để thực hiện công tác đảm bảo an ninh, an toàn thôngtin Lãnh đạo chưa thực sự coi trọng và nhận thức đầy đủ, tầm quan trong trongcông tác đảm bảo an toàn thông tin do đó nguồn lực đầu tư còn nhiều hạn chế

Sự phát triển của không gian mạng cùng với cách mạng công nghiệp lầnthứ tư đã và đang mang lại những lợi ích vô cùng to lớn trong phát triển kinh tế

- xã hội, cũng như làm thay đổi nhận thức, hành vi và lối sống của con người.Song, bên cạnh những lợi ích mang lại, không gian mạng cũng đặt ra nhiềunguy cơ, thách thức, tác động trực tiếp đến chủ quyền, an ninh quốc gia và trật

tự an toàn xã hội, quyền và lợi ích hợp pháp của các tổ chức, cá nhân Các cuộctấn công mạng với động cơ chính trị vào hệ thống thông tin trọng yếu của cácnước ngày càng gia tăng, gây thiệt hại nghiêm trọng về kinh tế, quốc phòng và

an ninh Tội phạm mạng ngày càng nguy hiểm với nhiều thủ đoạn tinh vi, kỹthuật cao, sử dụng các loại mã độc ứng dụng trí tuệ nhân tạo để tấn công, xâmnhập Không gian mạng đang trở thành môi trường thuận lợi để các cơ quanđặc biệt nước ngoài, cá nhân, tổ chức khủng bố liên lạc, tuyển mộ lực lượng,

gây quỹ, truyền bá tư tưởng chống đối cực đoan, kích động sự hận thù và bạolực.

Nhận thức được vấn đề này, thời gian qua, Lãnh đạo Bệnh viện đã banhành một số quy định, quy chế có liên quan đến quản lý, vận hành và sử dụng

hệ thống mạng, hạ tâng công nghệ thông tin,

Tuy vậy, để đáp ứng nhu cầu hiện tại về an toàn, an ninh mạng chúng tavẫn còn nhiều khó khăn, phức tạp và thách thức phải đối mặt

Hiện nay, tình hình thế giới và khu vực có nhiều diễn biến phức tạp, khólường, toàn cầu hóa, hội nhập quốc tế, cuộc Cách mạng công nghiệp lần thứ tưngày càng được đẩy mạnh, thiết bị IoT kết nối vạn vật có mặt ở khắp mọi nơi,ngõ nghách của cuộc sống Đây là thuật lợi nhưng cũng chính là khó khăn làlàm sao có thể kiểm soát được việc này, tăng cường tối đa việc đảm bảo antoàn, an ninh mạng và bảo mật thông tin Tình hình nói trên đã và đang đặt rayêu cầu ngày càng cao đối với nhiệm vụ nâng cao khả năng thích ứng với sựbiến đổi nhanh chóng của khoa học công nghệ,vừa khai thác hiệu quả màinternet mang lại nhưng cũng đảm bảo an toàn thông tin cho người dùng tạiBệnh viện Sản-Nhi tỉnh Quảng Ngãi

2.1.4 Về đội ngũ cán bộ quản trị hệ thống

- Nguồn nhân lực CNTT của Bệnh viện hiện có 06 người, trong đó:

+ Lãnh đạo CNTT: Tổ trưởng Tổ Công nghệ thông tin

đảm ATTT đối với người dùng của Bệnh viện Bệnh viện thường xuyên traođổi các đơn vị tuyến trên về hệ thống thông tin chuyên ngành.

Đánh giá:

- Cán bộ CNTT Bệnh viện nói chung đã cơ bản thực hiện nhiệm vụ nghiêncứu, tham mưu, đề xuất đáp ứng việc ứng dụng CNTT, triển khai và quản trịcác thiết bị, ứng dụng CNTT theo hướng dẫn của Bệnh viện, tham mưu cholãnh đạo cơ quan triển khai các hệ thống thông tin chuyên ngành, thực hiện vàhướng dẫn người dùng các biện pháp cơ bản về bảo đảm an toàn thông tin, xâydựng các văn bản quy định việc quản lý, sử dụng, cập nhật, khai thác các ứngdụng công nghệ thông tin Tuy nhiên, tổ chức bộ máy và cán bộ CNTT vẫn cónhững hạn chế sau:

- Bệnh viện có 6 cán bộ làm nhiệm vụ hỗ trợ kỹ thuật người dùng, nênkhông bảo đảm được việc triển khai các ứng dụng CNTT và các phương án kỹthuật bảo đảm ATTT cho hệ thống mạng máy tính cũng như không thể khắcphục sự cố kỹ thuật do mã độc, virus gây ra

- Đội ngũ cán bộ công nghệ thông tin ở Bệnh viện chưa được đào tạochuyên sâu về ATTT, một số được bồi dưỡng ngắn hạn và chủ yếu làm theokinh nghiệm, phối hợp với các cơ quan chức năng hoặc các công ty liên quantới ATTT

2.1.5 Một số nguy cơ tiềm ẩn về mất an toàn thông tin trên hệ thống mạng tại Bệnh viện Sản-Nhi tỉnh Quảng Ngãi

Tổng hợp một số nguy cơ phổ biến về mất an toàn thông tin

2.2 Giải pháp mô hình giám sát an toàn thông tin

Giao diện quản trị WUI

Tối ưu chi phí

GIẢI PHÁP

Mô hình giải pháp đối với hệ thống mạng của Bệnh viện

2.3 Nghiên cứu, lựa chọn giải pháp giám sát an toàn thông tin

Để giải quyết được giải pháp nêu trên, Bệnh viện Sản-nhi tỉnh cần xây

dựng một giải pháp tổng thể: tổ chức kết nối tập trung các hạ tầng mạng riêng

lẻ; xây dựng các chính sách an ninh chặt chẽ trên thiết bị tường lửa, thiết bị

chuyển mạch lớp 2; triển khai phần mềm có khả năng thu thập, lưu trữ, và xử lý

các sự kiện (log) của tất cả các thành phần trong hệ thống mạng để phân tích

các sự kiện bất thường, kịp thời gửi thông tin cảnh báo về sự cố đến người quản

trị hệ thống; hỗ trợ, giúp người quản trị hệ thống có thể kịp thời để khắc phục

và xử lý các sự cố liên quan đến ATTT

Ngoài ra, giải pháp này cho phép thu thập, chuẩn hóa, lưu trữ và phân tích

tổng quan toàn bộ các sựu kiện được sinh ra trong toàn hệ thống mạng, phát

hiện kịp thời các điểm yếu, các lỗi phát sinh của các thiết bị, ứng dụng dịch vụ

trong hệ thống

Như vậy, có thể thấy lựa chọn giải pháp xây dựng một hệ thống giám sátATTT dựa trên phần mềm mã nguồn mở, triển khai theo mô hình giám sát an

toàn thông tin tập trung trên toàn hệ thống là hợp lý và giải pháp Wazuh là phùhợp để triển khai vì:

Lý do lựa chọn phần mềm Wazuh

2.3.1 Giới thiệu về Wazuh

Wazuh được xây dựng từ các thành phần : OSSEC HIDS, OpenSCAP và Elastic Stack

Các thành phần trong Wazuh

OSSEC HIDS : host-based Intrusion Detection System (HIDS) đượcdùng cho việc phát hiện xâm nhập, hiển thị và giám sát Nó dựa vào 1 multi-platform agent cho việc đẩy dữ liệu hệ thống (log message, file hash và pháthiện bất thường) tới 1 máy quản lý trung tâm, nơi sẽ phân tích và xử lý, dựatrên các cảnh báo an ninh Các agent truyền event data event data tới máy quản

lý trung tâm thông qua kênh được bảo mật và xác thực OSSEC HIDS cung cấpsyslog server trung tâm và hệ thống giám sát không cần agent, cung cấp việcgiám sát tới các event và thay đổi trên các thiết bị không cài được agent nhưfirewall, switch, router, access point, thiết bị mạng

OpenSCAP OpenSCAP là 1 OVAL (Open Vulnerability AssesmentLanguage) và ECCDF (Extensible Configuration Checklist DescriptionFormat) được dùng để kiểm tra cấu hình hệ thống và phát hiện các ứng dụng dễ

bị tấn công Nó được biết đến như là một công cụ được thiết kế để kiểm tra việctuân thủ an ninh của hệ thống sử dụng các tiêu chuẩn an ninh dùng cho môitrường doanh nghiệp

ELK Stack Sử dụng cho việc thu thập, phân tích, index, store, search và hiểnthị dữ liệu log Kiến trúc tổng quan của ELK stack được thể hiện như hình dưới

Kiến trúc Elastic tack

2.3.2 Các thành phần giải pháp Wazuh

(1)- Wazuh agent

Chạy trên : Windows, Linux, Solaris, BSD hoặc MAC OS Dùng thu thậpcác dạng khác nhau của dữ liệu hệ thống và ứng dụng Dữ liệu được chuyển tớiWazuh server thông qua 1 kênh được mã hóa và xác thực Để thiết lập kênhnày, 1 quá trình đăng ký bao gồm pre-shared key duy nhất được thiết lập

Các agent có thể dùng để giám sát server vật lý, máy ảo, cloud instance(AWS, Azure hoặc Google cloud) Các các cài đặt pre-compile agent có sẵncho các OS : Linux, AIX, Solaris, Windows và Darwin (Mac OS X)

Trên các OS Unix-based, agent chạy trên multiple process, các processnày liên lạc với nhau thông qua local Unix domain socket 1 trong các processnày phụ trách việc liên lạc và gửi dữ liệu tới Wazuh server Trên Windows, chỉ

có 1 agent process chạy trên multiple task sử dụng mutexes

Các agent task hoặc process khác nhau được dùng để giám sát hệ thốngtheo các cách khác nhau (giám sát sự thay đổi về file, đọc log, quét các thay đổi

hệ thống)

Sơ đồ sau thể hiện các internal task và process diễn ra trên các agent level

Tất cả các process agent có mục tiêu và thiết lập khác nhau

Rootcheck : Thực hiện các task liên quan đến phát hiện về Rootkits,

malware và các bất thường của hệ thống Nó chạy 1 số công cụ kiểm tra anninh cơ bản dựa vào các file cấu hình hệ thống

Log Collector: Dùng để đọc và thu thập các log message, bao gồm các

các file flat log như Windows event log và thậm chí là Windows EventChannel Nó cũng được cấu hình để chạy định kỳ và bắt 1 số output của cáccâu lệnh cụ thể

Syscheck : Process này thực hiện file integrity monitoring (FIM) (Giám

sát tính toàn vẹn của file) Nó cũng có thể giám sát registry key trên Windows

Nó sẽ bắt các thay đổi về nội dung file, quyền và các thuộc tính khác, cũng nhưphát hiện việc tạo và xóa file

OpenSCAP : Được dùng để publish OVAL và XCCDF dựa vào các hồ

sơ bảo mật cơ bản, định kỳ quét hệ thống, nó sẽ phát hiện được các ứng dụng

và cấu hình sẽ bị tấn công, không tuân theo các chuẩn được xác định theo CIS(Center of Internet Security)

Agent Daemon : Process nhận dữ liệu được tạo hoặc được thu thập bởi

tất cả các thành phần agent khác Nó nén, mã hóa và phân phối dữ liệu tớiserver thông qua kênh được xác thực Process này chạy trên "chroot"enviroment được cô lập, có nghĩa rằng nó sẽ hạn chế truy cập tới các hệ thốngđược giám sát Điều này cải thiện được an toàn cho agent vì process đó làprocess duy nhất kết nối tới mạng

(2)- Wazuh server

Thành phần server phụ trách việc phân tích dữ liệu nhận từ agent, tạo cácngưỡng cảnh báo khi 1 event ánh xạ với rule (phát hiện xâm nhập, thay đổi file,cấu hình không tương thích với policy, rootfit )

Các thành phần của máy chủ wazuh

Server thông thường chạy các thành phần agent với mục tiêu giám sát chính

nó Một số thành phần server chính là :

 Registration service : Được dùng để register agent mới được việc cung

cấp và phân phối các key xác thực pre-shared, các key này là độc nhất với mỗiagent Process này chạy như 1 network service và hỗ trợ việc xác thực quaTLS/SSL với 1 fixed password

 Remote daemon service : Service này nhận dữ liệu từ agent Nó sử

dụng pre-shared key để xác thực định danh của mỗi agent và mã hóa giao tiếpvới chúng

 Analysis daemon : Process này thực hiện việc phân tích dữ liệu Nó sử

dụng các bộ giải mã để nhận dạng thông tin được xử lý (các Windows event,SSHD logs ) và sau đó giải nén các yếu tố dữ liệu thích hợp từ log message(source ip, event id, user ) Sau đó, bằng cách sử dụng các rule được địnhnghĩa bằng cách pattern đặc biệt trên bộ giải mã, nó sẽ tạo các ngưỡng cảnh báothậm chí ra lệnh để thực hiện các biện pháp đối phó như chặn IP trên firewall

 RESTful API : Cung cấp interface để quản lý và giám sát cấ hình và

trạng thái triển khai của các agent Nó cũng được dùng bởi Wazuh webinterface (Kibana)

Wazuh tích hợp với Elastic stack để cung cấp các log message đã được giải

mã và đánh index bởi Elasticsearch, cũng như là 1 web console real-time choviệc cảnh báo và phân tích log Wazuh web interface (chạy trên Kibana) có thểdùng để quản lý và giám sát hạ tầng Wazuh

Một Elasticsearch index là một tập hợp các document có một chút các đặctrưng tương tự nhau (như các trường chung hoặc các yêu cầu về data retentionđược chia sẻ) Wazuh sử dụng 3 index khác nhau, được tạo hàng ngày và lưutrữ các dạng event khác nhau :

 Wazuh-alert : Index cho các cảnh báo được sinh ra bởi Wazun server

mỗi khi một event ứng với rule tạo ra

 Wazuh-events : Index cho tất cả các event (archive data) được nhận từ

các agent, bất kể có ứng với rule hay không

 Wazuh-monitoring: Index cho dữ liệu liên quan đến trạng thái agent.

Nó được dùng bởi web interface cho việc hiển thị agent đã hoặc đang "Active",

"Disconnect" hoặc "Never connected"

Với các index trên, document là các cảnh báo, archived event hoặc statusevent riêng lẻ

Một Elasticsearcg index được chia tới 1 hoặc nhiều shard, và mỗi shard

có thể có 1 hoặc nhiều replica Mỗi primary và replica shard là 1 Lucene indexđơn lẻ Vì vậy 1 Elasticsearch index được tạo bởi nhiều Lucene index Khi 1tìm kiếm chạy trên 1 Elasticsearch index, search đó được xử lý trên các shardsong song, và kết quả được merge lại Việc chia nhỏ các Elasticsearch tới nhiềushard và replica cũng được dùng với Elasticsearch cluster với mục tiêu là mởrộng việc tìm kiếm và HA Một Elasticsearch cluster single-node thường chỉ có

1 shard mỗi index và không có replica

(3)- Elastic Stack

Wazuh tích hợp với Elastic stack để cung cấp các log message đã đượcgiải mã và đánh index bởi Elasticsearch, cũng như là 1 web console real-timecho việc cảnh báo và phân tích log Wazuh web interface (chạy trên Kibana) cóthể dùng để quản lý và giám sát hạ tầng Wazuh

ELK Stack là tập hợp 3 phần mềm đi chung với nhau, phục vụ cho côngviệc logging Ba phần mềm này lần lượt là :

+ Elasticsearch: Cơ sở dữ liệu để lưu trữ, tìm kiếm và query log.Elasticsearch sử dụng chuẩn RESTful APIs và JSON Một Elasticsearch indexđược chia tới 1 hoặc nhiều shard, và mỗi shard có thể có 1 hoặc nhiều replica.Mỗi primary và replica shard là 1 Lucene index đơn lẻ Vì vậy 1 Elasticsearchindex được tạo bởi nhiều Lucene index Khi 1 tìm kiếm chạy trên 1Elasticsearch index, search đó được xử lý trên các shard song song, và kết quảđược merge lại Việc chia nhỏ các Elasticsearch tới nhiều shard và replica cũngđược dùng với Elasticsearch cluster với mục tiêu là mở rộng việc tìm kiếm và

HA Một Elasticsearch cluster single-node thường chỉ có 1 shard mỗi index vàkhông có replica

+ Logstash: Tiếp nhận log từ nhiều nguồn, sau đó xử lý log và ghi dữliệu vào Elasticsearch Logstash có chức năng phân tích cú pháp của các dòng

dữ liệu Việc phân tích làm cho dữ liệu đầu vào ở một dạng khó đọc, chưa cónhãn thành một dạng dữ liệu có cấu trúc, được gán nhãn Khi cấu hìnhLogstash luôn có 3 phần: Input, Filter, Output Bình thường khi làm việc vớiLogstash, sẽ phải làm việc với Filter nhiều nhất Filter hiện tại sử dụng Grok đểphân tích dữ liệu.

+ Kibana: Giao diện để quản lý, thống kê log Đọc thông tin từElasticsearch Kibana được phát triển riêng cho ứng dụng ELK, thực hiểnchuyển đổi các truy vấn của người dùng thành câu truy vấn mà Elasticsearch cóthể thực hiện được Kết quả hiển thị bằng nhiều cách: theo các dạng biểu đồ

Cơ chế hoạt động của ELK stack :

Hoạt động của ELK stack

Đầu tiên, log sẽ được đưa đến Logstash (Thông qua nhiều con đường, ví

dụ như server gửi UDP request chứa log tới URL của Logstash, hoặc Beat đọcfile log và gửi lên Logstash)

Logstash sẽ đọc những log này, thêm những thông tin như thời gian, IP,parse dữ liệu từ log (server nào, độ nghiêm trọng, nội dung log) ra, sau đó ghixuống database là Elasticsearch Tuy nhiên trong hệ thống mã nguồn mởwazuh logtash được thay thế bằng OSSEC

Khi muốn xem log, người dùng vào URL của Kibana Kibana sẽ đọcthông tin log trong Elasticsearch, hiển thị lên giao diện cho người dùng query

và xử lý

Một Elasticsearch index là một tập hợp các document có một chút các đặctrưng tương tự nhau (như các trường chung hoặc các yêu cầu về data retentionđược chia sẻ) Wazuh sử dụng 3 index khác nhau, được tạo hàng ngày và lưutrữ các dạng event khác nhau :

+ Wazuh-alert : Index cho các cảnh báo được sinh ra bởi Wazuh servermỗi khi một event ứng với rule tạo ra

+ Wazuh-events : Index cho tất cả các event (archive data) được nhận từcác agent, bất kể có ứng với rule hay không

+ Wazuh-monitoring: Index cho dữ liệu liên quan đến trạng thái agent Nóđược dùng bởi web interface cho việc hiển thị agent đã hoặc đang "Active",

"Disconnect" hoặc "Never connected"

Với các index trên, document là các cảnh báo, archived event hoặc statusevent riêng lẻ

2.3.3 Kiến trúc của Wazuh

Mô hình kiến trúc của Wazuh được chia thành 2 dạng :

Các thành phần trong Multi-node deployment

Single-node deployment

Wazuh và Elastic stack chạy với 1 single-node Elasticsearch cluster (sốlượng agent < 50), có thể triển khai trên một single server Ở triển khai này,Logstash sẽ đọc các cảnh báo, event từ Wazuh trực tiếp từ local file system vàđẩy chúng tới local Elasticsearch instance

Các thành phần trong Single-node deployment

Wazuh dựa trên phần mềm agent chạy trên các máy chủ được giám sát đểchuyển tiếp dữ liệu nhật ký đến một máy chủ trung tâm Ngoài ra các thiết bị

không cần cài agent (agentless) như tường lửa, router, switch…cũng được hỗtrợ để gửi nhật ký qua syslog đến máy chủ trung tâm Máy chủ trung tâm giải

mã và phân tích thông tin đến sau đó chuyển kết quả này đến phầnElasticsearch để đánh chỉ mục và lưu trữ

Một cụm Elasticsearch là một tập hợp một hoặc nhiều nút giao tiếp vớinhau để thực hiện các thao tác đọc và ghi trên các chỉ mục Các triển khaiWazuh nhỏ, không yêu cầu xử lý lượng lớn dữ liệu, có thể dễ dàng được xử lýbởi một cụm nút đơn Các cụm nhiều nút được khuyến nghị khi có một sốlượng lớn các điểm cuối được giám sát, khi dự kiến khối lượng lớn dữ liệu hoặckhi yêu cầu tính sẵn sàng cao

Đối với môi trường sản xuất, bạn nên triển khai máy chủ Wazuh vàElasticsearch cho các máy chủ khác nhau Trong trường hợp này, Filebeat được sửdụng để chuyển tiếp an toàn các cảnh báo Wazuh và / hoặc các sự kiện đã lưu trữtới cụm Elasticsearch (một nút hoặc nhiều nút) bằng cách sử dụng mã hóa TLS

Sơ đồ dưới đây đại diện cho một kiến trúc triển khai Wazuh Nó cho thấycác thành phần giải pháp và cách các máy chủ Wazuh và Elasticsearch có thểđược định cấu hình như một cụm, cung cấp khả năng cân bằng tải và tính sẵnsàng cao