Original Title: XÂY DỰNG HỆ THỐNG GIÁM SÁT MẠNG DÀNH CHO BỆNH VIỆN ĐA KHOA CẤP TỈNH VỚI MÃ NGUỒN MỞ
Disclaimer: Summary generated by AI based on the provided document. Please refer to the original paper for full scientific accuracy.

ការស្ថាបនាប្រព័ន្ធត្រួតពិនិត្យបណ្តាញសម្រាប់មន្ទីរពេទ្យទូទៅកម្រិតខេត្តដោយប្រើប្រាស់កូដប្រភពបើកចំហ (Open Source)

ចំណងជើងដើម៖ XÂY DỰNG HỆ THỐNG GIÁM SÁT MẠNG DÀNH CHO BỆNH VIỆN ĐA KHOA CẤP TỈNH VỚI MÃ NGUỒN MỞ

អ្នកនិពន្ធ៖ Nguyễn Anh Tú, TS. Đàm Quang Hồng Hải

ឆ្នាំបោះពុម្ព៖ 2022, Học viện Công nghệ Bưu chính Viễn thông

វិស័យសិក្សា៖ Information Systems

១. សេចក្តីសង្ខេបប្រតិបត្តិ (Executive Summary)

បញ្ហា (The Problem)៖ ឯកសារនេះដោះស្រាយបញ្ហាកង្វះខាតសុវត្ថិភាពបណ្តាញនៅក្នុងមន្ទីរពេទ្យទូទៅកម្រិតខេត្ត (មន្ទីរពេទ្យ Tay Ninh) ដែលកំពុងប្រឈមនឹងការគំរាមកំហែងតាមអ៊ីនធឺណិតកាន់តែខ្លាំង ដោយសារការផ្លាស់ប្តូរប្រព័ន្ធឌីជីថល និងសេវាថែទាំសុខភាពពីចម្ងាយក្នុងអំឡុងពេលជំងឺរាតត្បាត COVID-19។

វិធីសាស្ត្រ (The Methodology)៖ អ្នកនិពន្ធបានធ្វើការវាយតម្លៃជាក់ស្តែងលើរចនាសម្ព័ន្ធបណ្តាញរបស់មន្ទីរពេទ្យ និងបានអនុវត្តប្រព័ន្ធរកឃើញការឈ្លានពានច្រើនស្រទាប់ (Intrusion Detection System - IDS) ដោយប្រើប្រាស់កម្មវិធីកូដប្រភពបើកចំហដើម្បីត្រួតពិនិត្យ រកឃើញ និងផ្តល់ការព្រមានអំពីការវាយប្រហារតាមអ៊ីនធឺណិត។

លទ្ធផលសំខាន់ៗ (The Verdict)៖

២. ការវិភាគលើប្រសិទ្ធភាព និងដែនកំណត់ (Performance & Constraints)

វិធីសាស្ត្រ (Method) គុណសម្បត្តិ (Pros) គុណវិបត្តិ (Cons) លទ្ធផលគន្លឹះ (Key Result)
Single IDS Architecture
ស្ថាបត្យកម្មប្រព័ន្ធ IDS ទោល (Single IDS)		 ងាយស្រួលក្នុងការដំឡើង កំណត់រចនាសម្ព័ន្ធ និងគ្រប់គ្រង។ ស័ក្តិសមសម្រាប់បណ្តាញតូចៗដែលមានចរាចរណ៍ទិន្នន័យតិច និងកម្រិតហានិភ័យទាប។ មិនអាចត្រួតពិនិត្យចរាចរណ៍ខាងក្នុង (Internal traffic) បានគ្រប់ជ្រុងជ្រោយនោះទេ ហើយប្រព័ន្ធទាំងមូលនឹងងាយបរាជ័យប្រសិនបើឧបករណ៍នេះរងការវាយប្រហារ (Single point of failure)។ មិនមានសមត្ថភាពគ្រប់គ្រាន់ក្នុងការរារាំង ឬចាប់យកការវាយប្រហារដែលកើតចេញពីកុំព្យូទ័រខាងក្នុងបណ្តាញ (Internal attacks) ឡើយ។
Multi-layered Distributed IDS (Snort + pfSense + Splunk)
ប្រព័ន្ធ IDS ច្រើនស្រទាប់កូដប្រភពបើកចំហ (វិធីសាស្ត្រស្នើឡើង)		 អាចត្រួតពិនិត្យចរាចរណ៍ទិន្នន័យបានយ៉ាងល្អិតល្អន់តាមតំបន់នីមួយៗ (DMZ, LAN, Remote)។ ផ្តល់ការព្រមានទាន់ពេលវេលាតាមរយៈ Email និងកាត់បន្ថយហានិភ័យនៃការលួចចូលប្រព័ន្ធ។ ទាមទារការកំណត់រចនាសម្ព័ន្ធស្មុគស្មាញ និងធនធានម៉ាស៊ីនមេ (Server resources) បន្ថែមដើម្បីដំណើរការសេនស័រច្រើន និងគ្រប់គ្រងកំណត់ហេតុ (Log management) ឱ្យបានត្រឹមត្រូវ។ ប្រព័ន្ធបានរកឃើញ និងទប់ស្កាត់ការវាយប្រហារដោយជោគជ័យលើគ្រប់សេណារីយ៉ូដែលបានក្លែងធ្វើ (DoS, SSH, XSS) ទាំងពីបណ្តាញខាងក្រៅ និងខាងក្នុង។

ការចំណាយលើធនធាន (Resource Cost)៖ ការដាក់ពង្រាយប្រព័ន្ធនេះពឹងផ្អែកជាចម្បងលើកម្មវិធីកូដប្រភពបើកចំហ (Open-source) ដែលជួយសន្សំសំចៃថវិកាបានយ៉ាងច្រើន ប៉ុន្តែទាមទារហេដ្ឋារចនាសម្ព័ន្ធផ្នែករឹងកម្រិតមធ្យម និងចំណេះដឹងផ្នែកបច្ចេកទេស។

៣. ការពិនិត្យសម្រាប់បរិបទកម្ពុជា/អាស៊ីអាគ្នេយ៍

ភាពលំអៀងនៃទិន្នន័យ (Data Bias)៖

ការស្រាវជ្រាវនេះត្រូវបានអនុវត្តដោយផ្អែកលើហេដ្ឋារចនាសម្ព័ន្ធបណ្តាញរបស់មន្ទីរពេទ្យទូទៅខេត្ត Tay Ninh ប្រទេសវៀតណាម និងធ្វើការវាយតម្លៃលើបរិស្ថានម៉ាស៊ីននិម្មិត (Virtual Environment) ជំនួសឱ្យបណ្តាញពិតទាំងស្រុង។ ទោះបីជាវាមិនមែនជាការដាក់ពង្រាយលើប្រព័ន្ធពិត ១០០% ក៏ដោយ ក៏គំរូនៃរចនាសម្ព័ន្ធបណ្តាញមន្ទីរពេទ្យនេះមានភាពស្រដៀងគ្នាខ្លាំងទៅនឹងមន្ទីរពេទ្យកម្រិតខេត្តនៅប្រទេសកម្ពុជា ដែលធ្វើឱ្យវាមានតម្លៃខ្ពស់ក្នុងការយកមកសិក្សាអនុវត្ត។

លទ្ធភាពនៃការអនុវត្ត (Applicability)៖

វិធីសាស្ត្រនៃការប្រើប្រាស់កម្មវិធីកូដប្រភពបើកចំហនេះ គឺស័ក្តិសមបំផុតសម្រាប់ស្ថាប័ននានានៅប្រទេសកម្ពុជា ដែលមានកញ្ចប់ថវិកាមានកំណត់ ប៉ុន្តែត្រូវការប្រព័ន្ធសុវត្ថិភាពបណ្តាញដែលអាចពឹងផ្អែកបាន។

ជារួម ដំណោះស្រាយប្រព័ន្ធត្រួតពិនិត្យបណ្តាញកូដប្រភពបើកចំហនេះ ផ្តល់នូវតុល្យភាពដ៏ល្អប្រសើររវាងការចំណាយទាប និងប្រសិទ្ធភាពខ្ពស់ ដែលជាជំហានដ៏ចាំបាច់មួយសម្រាប់ស្ថាប័នកម្ពុជាក្នុងការធ្វើឱ្យប្រសើរឡើងនូវប្រព័ន្ធការពារទិន្នន័យរបស់ខ្លួន។

៤. ផែនការសកម្មភាពសម្រាប់និស្សិត (Actionable Roadmap)

ដើម្បីអនុវត្តតាមការសិក្សានេះ និស្សិតគួរអនុវត្តតាមជំហានខាងក្រោម៖

  1. រៀបចំបរិស្ថានសាកល្បង និងស្ថាបត្យកម្មបណ្តាញ: ប្រើប្រាស់កម្មវិធីដូចជា VMware ឬ VirtualBox ដើម្បីបង្កើតម៉ាស៊ីននិម្មិតសម្រាប់តំណាងឱ្យតំបន់បណ្តាញផ្សេងៗ (DMZ, LAN, External)។ រៀបចំម៉ាស៊ីនមេសម្រាប់ប្រតិបត្តិការ pfSense ដែលដើរតួជា Router និង Firewall ស្នូល។
  2. ដំឡើង និងកំណត់រចនាសម្ព័ន្ធប្រព័ន្ធ Snort IDS: ដំណើរការការដំឡើងកញ្ចប់កម្មវិធី Snort នៅលើម៉ាស៊ីនមេ pfSense។ កំណត់រចនាសម្ព័ន្ធបែងចែកចំណុចប្រទាក់បណ្តាញ (Network Interfaces) ឱ្យដាច់ពីគ្នាដើម្បីត្រួតពិនិត្យចរាចរណ៍ដែលចេញចូលរវាងតំបន់ WAN ទៅកាន់តំបន់ម៉ាស៊ីនមេខាងក្នុង (DMZ) និងបណ្តាញកុំព្យូទ័របុគ្គលិក (LAN)។
  3. សរសេរច្បាប់សុវត្ថិភាព (Custom Snort Rules): អនុវត្តការសរសេរច្បាប់ (Rules) ផ្ទាល់ខ្លួននៅក្នុង Snort ដើម្បីចាប់យកសកម្មភាពគួរឱ្យសង្ស័យ។ ឧទាហរណ៍៖ សរសេរច្បាប់ដើម្បីចាប់យកការវាយប្រហារតាមរយៈ XSS លើគេហទំព័រ ឬកំណត់បរិមាណកញ្ចប់ទិន្នន័យដើម្បីស្វែងរកការវាយប្រហារប្រភេទ DoS (Denial of Service) ក៏ដូចជាការដាក់កម្រិតការប៉ុនប៉ងចូលប្រព័ន្ធតាមរយៈ SSH
  4. រួមបញ្ចូលប្រព័ន្ធគ្រប់គ្រងកំណត់ហេតុ (Splunk Integration): ដំឡើងម៉ាស៊ីនមេ Splunk Server ហើយកំណត់រចនាសម្ព័ន្ធឱ្យ Snort/pfSense បញ្ជូនកំណត់ហេតុព្រមាន (Alert logs) ទៅកាន់វា។ បង្កើតផ្ទាំងគ្រប់គ្រង (Dashboards) នៅក្នុង Splunk ដើម្បីមើលឃើញទិន្នន័យចរាចរណ៍បណ្តាញជាក់ស្តែង និងកំណត់ឱ្យមានការផ្ញើអ៊ីមែលព្រមានដោយស្វ័យប្រវត្តិនៅពេលមានការវាយប្រហារ។
  5. ក្លែងធ្វើការវាយប្រហារដើម្បីវាយតម្លៃប្រព័ន្ធ (Penetration Testing): ប្រើប្រាស់ម៉ាស៊ីនប្រតិបត្តិការ Kali LinuxParrot OS ដើម្បីវាយប្រហារសាកល្បង។ ប្រើប្រាស់ឧបករណ៍ Hping3 សម្រាប់វាយប្រហារ DoS និង Putty សម្រាប់សាកល្បងលួចចូលតាម SSH។ បន្ទាប់មក ពិនិត្យមើលថាតើប្រព័ន្ធ Snort និង Splunk បានកត់ត្រា និងផ្ញើអ៊ីមែលព្រមានដូចការរំពឹងទុកដែរឬទេ។

៥. វាក្យសព្ទបច្ចេកទេស (Technical Glossary)

ពាក្យបច្ចេកទេស ការពន្យល់ជាខេមរភាសា (Khmer Explanation) និយមន័យសាមញ្ញ (Simple Definition)
Intrusion Detection System (IDS) ជាប្រព័ន្ធត្រួតពិនិត្យ និងវិភាគចរាចរណ៍បណ្តាញដើម្បីស្វែងរកសកម្មភាពគួរឱ្យសង្ស័យ ហានិភ័យ ឬការវាយប្រហារ ហើយផ្តល់ការព្រមាន (Alert) ដល់អ្នកគ្រប់គ្រងបណ្តាញ។ ដូចជាកាមេរ៉ាសុវត្ថិភាពរួមជាមួយអ្នកយាមដែលចាំឃ្លាំមើល និងស្រែកប្រាប់ភ្លាមៗនៅពេលមានចោរលួចចូលក្នុងអគារ។
Intrusion Prevention System (IPS) ជាប្រព័ន្ធសុវត្ថិភាពបណ្តាញដែលមិនត្រឹមតែអាចរកឃើញការវាយប្រហារដូច IDS ប៉ុណ្ណោះទេ ថែមទាំងមានសមត្ថភាពទប់ស្កាត់ និងកាត់ផ្តាច់សកម្មភាពគ្រោះថ្នាក់ទាំងនោះដោយស្វ័យប្រវត្តិភ្លាមៗ។ ដូចជាសន្តិសុខដែលមានសិទ្ធិចាប់ និងបណ្តេញជនសង្ស័យចេញពីអគារភ្លាមៗ មិនត្រឹមតែឈរមើល និងស្រែកប្រាប់នោះទេ។
Demilitarized Zone (DMZ) ជាតំបន់បណ្តាញកម្រិតមធ្យមដែលបំបែកបណ្តាញខាងក្នុង (LAN) ដែលមានសុវត្ថិភាពខ្ពស់ ពីបណ្តាញខាងក្រៅ (Internet) ដែលគ្មានសុវត្ថិភាព ដោយអនុញ្ញាតឱ្យសាធារណជនចូលប្រើប្រាស់ត្រឹមតែម៉ាស៊ីនមេ (Servers) មួយចំនួនប៉ុណ្ណោះ។ ដូចជាបន្ទប់ទទួលភ្ញៀវនៅខាងមុខក្រុមហ៊ុន ដែលភ្ញៀវអាចចូលមកបាន ប៉ុន្តែពួកគេមិនអាចចូលទៅកាន់បន្ទប់ធ្វើការផ្ទៃក្នុងរបស់បុគ្គលិកបានឡើយ។
Denial of Service (DoS) ជាទម្រង់នៃការវាយប្រហារតាមអ៊ីនធឺណិតដែលព្យាយាមធ្វើឱ្យម៉ាស៊ីនមេ ឬបណ្តាញគាំង ដោយបញ្ជូនសំណើ (Requests) និងទិន្នន័យច្រើនលើសលប់រហូតដល់ប្រព័ន្ធមិនអាចដំណើរការបានសម្រាប់អ្នកប្រើប្រាស់ស្របច្បាប់។ ដូចជាការបញ្ជូនមនុស្សរាប់ពាន់នាក់ឱ្យទៅឈរតម្រង់ជួរមុខហាងក្នុងពេលតែមួយ ដើម្បីរារាំងអតិថិជនពិតប្រាកដមិនអាចចូលទិញអីវ៉ាន់បាន។
Cross-Site Scripting (XSS) ជាប្រភេទនៃការវាយប្រហារដោយការបញ្ចូលកូដមេរោគ (Malicious scripts) ទៅក្នុងគេហទំព័រដែលមនុស្សទូទៅអាចចូលប្រើប្រាស់ ដើម្បីលួចយកព័ត៌មាន ឬគ្រប់គ្រងគណនីរបស់អ្នកប្រើប្រាស់ផ្សេងទៀតដែលចូលមកកាន់គេហទំព័រនោះ។ ដូចជាការលួចបិទក្រដាសប្រកាសក្លែងក្លាយនៅលើក្តារព័ត៌មានផ្លូវការរបស់សាលា ដើម្បីបោកប្រាស់សិស្សផ្សេងទៀតឱ្យធ្វើតាម។
Snort Rules ជាសំណុំនៃលក្ខខណ្ឌ និងលក្ខណៈវិនិច្ឆ័យ (Signatures) ដែលប្រព័ន្ធ Snort ប្រើប្រាស់ដើម្បីប្រៀបធៀបជាមួយនឹងកញ្ចប់ទិន្នន័យ (Packets) នីមួយៗក្នុងការសម្រេចចិត្តថាវាជាចរាចរណ៍ធម្មតា ឬជាការវាយប្រហារ។ ដូចជាសៀវភៅបញ្ជីវ័យមុខសញ្ញាចោរ ដែលប៉ូលីសប្រើសម្រាប់ផ្ទៀងផ្ទាត់ជាមួយមនុស្សដែលដើរឆ្លងកាត់ដើម្បីចាប់ខ្លួន។
Packet Decoder ជាផ្នែកមួយនៃប្រព័ន្ធទប់ស្កាត់ការឈ្លានពាន ដែលមានតួនាទីចាប់យក និងបំប្លែងកញ្ចប់ទិន្នន័យឆៅ (Raw packets) ដែលធ្វើដំណើរលើបណ្តាញ ឱ្យទៅជាទម្រង់ដែលអាចអាន និងវិភាគបន្តបាន។ ដូចជាអ្នកបកប្រែភាសាដែលស្តាប់សារកូដសម្ងាត់សញ្ញាម៉ក (Morse Code) ហើយបកប្រែវាជាអក្សរធម្មតាដើម្បីឱ្យអ្នកស៊ើបអង្កេតអាចអានយល់បាន។
Log Files ជាកំណត់ត្រាប្រព័ន្ធដែលកត់ត្រារាល់សកម្មភាព ដំណើរការ និងព្រឹត្តិការណ៍ដែលកើតឡើងនៅលើម៉ាស៊ីនមេ ឬឧបករណ៍បណ្តាញ ដើម្បីប្រើប្រាស់ក្នុងការតាមដាន វិភាគ និងស្វែងរកមូលហេតុនៅពេលមានបញ្ហា។ ដូចជាសៀវភៅកំណត់ហេតុរបស់សន្តិសុខ ដែលកត់ត្រាឈ្មោះ និងម៉ោងចេញចូលរបស់មនុស្សគ្រប់គ្នាប្រចាំថ្ងៃ។

៦. ប្រធានបទពាក់ព័ន្ធ (Further Reading)

អត្ថបទដែលបានបោះពុម្ពនៅលើ KhmerResearch ដែលទាក់ទងនឹងប្រធានបទនេះ៖

ប្រធានបទ និងសំណួរស្រាវជ្រាវដែលទាក់ទងនឹងឯកសារនេះ ដែលអ្នកអាចស្វែងរកបន្ថែម៖