1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
NGUYỄN XUÂN KHÁNH GIẢI PHÁP AN NINH BẢO MẬT MẠNG TRUYỀN
SỐ LIỆU CHUYÊN DÙNG VÀ ỨNG DỤNG CHO VÙNG
TÂY NGUYÊN

Chuyên ngành: Kỹ Thuật Viên Thông
Mã số: 60.52.02.08
TÓM TẮT LUẬN VĂN THẠC SĨ

HÀ NỘI – 2014
2

liệu không chỉ đòi hỏi phải bảo mật với các ứng dụng khác
nhau, mà còn đòi hỏi bảo mật với chính các ứng dụng
trong nội bộ hệ thống.
Thực tế hiện nay, khu vực Tây Nguyên gồm 5 tỉnh
Gia Lai, Kon Tum, Lâm Đồng, Đắk Lắk, Đắk Nông với
rất đông dân tộc ít người đang sinh sống như Ba Na, Gia
Rai, Ê Đê, Cơ Ho, Mạ, Xơ Đăng, Mơ nông, Tây
Nguyên được xác định có nhiều bất ổn về an ninh, chính
trị mà điển hình là các phần tử cực đoan theo Fulro với
tuyên bố thành lập nhà nước “Cộng hòa Đêga” năm 2001,
cũng như vụ gây rối chính trị trên quy mô lớn với gần 10
nghìn người tham gia đồng loạt ở các tỉnh Đắk Lắk, Gia
Lai, Đắk Nông tháng 4 năm 2004. Trước tình hình này,
Đảng, Nhà nước đã rất quan tâm tới ổn định an ninh, chính
trị, trật tự xã hội ở khu vực Tây Nguyên. Đặc biệt với
mạng truyền số liệu chuyên dùng của vùng Tây Nguyên
yêu cầu phải được bảo đảm an ninh, an toàn trong truyền
4

tải thông tin, dữ liệu của các cơ quan quản lý nhà nước của
các tỉnh vùng Tây Nguyên.
Cho nên, nội dung của đề tài đặt vấn đề nghiên cứu,
đề xuất giải pháp an ninh bảo mật trên toàn trình từ đầu
cuối tới đầu cuối, bao gồm cả lớp mạng, lớp cơ sở dữ liệu
và lớp đầu cuối người sử dụng và ứng dụng cho vùng Tây
Nguyên. Các giải pháp an ninh, bảo mật này kết hợp cùng
với các giải pháp về hạ tầng kỹ thuật mạng sẽ hình thành
nên hệ thống cơ sở hạ tầng công nghệ thông tin - truyền
thông toàn diện bảo đảm đủ điều kiện phục vụ cho công
tác quản lý nhà nước của vùng Tây Nguyên.


6

CHƯƠNG I
GIẢI PHÁP KỸ THUẬT CÔNG NGHỆ AN NINH
BẢO MẬT MẠNG THÔNG TIN

Chương I nêu lên tình hình chung về an ninh bảo mật
cũng như tình hình triển khai các hệ thống an ninh bảo
mật ở các cơ quan nhà nước hiện nay. Tổng quan về các
kỹ thuật cơ bản đã và đang được áp dụng vẫn chưa giải
quyết triệt để được vấn đề an ninh, luôn có sự nhìn nhận
về các vấn đề an ninh thỏa đáng và cấp thiết để đề xuất
giải pháp thích hợp, nhất là đối với mạng TSLCD của
Đảng và Nhà nước triển khai.
I.1. Tổng quan về an ninh bảo mật
Có nhiều nguyên nhân dẫn đến việc các hệ thống
mạng bị tấn công nhiều hơn, trong số những nguyên nhân
chính có thể kể đến là các lỗ hổng trong hệ điều hành,
trong các ứng dụng thương mại điện tử, và những nguyên
nhân xuất phát từ sự mất cảnh giác của người dùng, chủ ý
của kẻ phá hoại…, tạo nên những nguy cơ mất an toàn
thông tin. Cũng cần lưu ý rằng những nguy cơ mất an toàn
mạng không chỉ do tấn công từ bên ngoài mà một phần lớn
lại chính là từ nội bộ: nhân viên bất mãn, sai sót của người
sử dụng, ý thức bảo mật kém,…
7

I.1.1.


I.2.2.1.

Giải pháp tường lửa
I.2.2.2.

Giải pháp phát hiện, ngăn chặn tấn công
(IPS/ IDS)
I.2.2.3.

Giải pháp xác thực sử dụng máy chủ
AAA
I.2.2.4.

Giải pháp thiết lập kết nối an toàn và mã
hóa dữ liệu
I.2.2.5.

Giải pháp phòng chống virus và mã độc
I.2.2.6.

Giải pháp quản lý hệ thống kết nối và an
ninh mạng
I.2.2.7.

Giải pháp phân quyền quản trị
I.2.2.8.

Quản trị đơn giản cho những công việc
phức tạp
I.2.2.9.

nhiều dịch vụ như: Truyền hình hội nghị; quản lý và điều
hành qua văn bản điện tử; thư điện tử; truy cập Internet tốc
độ cao; cho thuê chỗ đặt máy chủ (Hosting); kết nối mạng
riêng ảo; truy nhập từ xa (Remote Access IP VPN); truyền
hình Internet chất lượng cao (IPTV)…
10

II.1.1. Hiện trạng hạ tầng mạng thông tin truyền
thông chung của 5 tỉnh vùng Tây Nguyên
 Về thiết bị kết nối
 Về công nghệ
 Về kết nối mạng
II.1.2. Đánh giá hiện trạng mạng thông tin truyền
thông kết nối trong phạm vi nội bộ 5 tỉnh vùng Tây
Nguyên
II.2. Thu thập tổng hợp thực trạng và yêu cầu an
ninh, bảo mật mạng TSLCD vùng Tây Nguyên
II.2.1. Thực trạng an ninh, bảo mật mạng TSLCD
vùng Tây Nguyên
II.2.2. Đánh giá năng lực hệ thống bảo mật hiện tại
của mạng TSLCD vùng Tây Nguyên
- Hiện tại, mạng TSLCD chỉ tập trung bảo mật tại
cổng Gateway Internet sử dụng cặp Firewall trên Core
Switch và thiết bị phát hiện tấn công (IDS). Tuy nhiên,
năng lực của thiết bị IDS chỉ đáp ứng 500Mbps không đủ
đáp ứng tốc độ kết nối Internet tại trung tâm Vùng, trong
thời gian tới sẽ nâng cấp lên 2.5Gbps)
- Các máy chủ ứng dụng cung cấp dịch vụ như
website, email mới chỉ có bảo vệ thông qua năng lực xử lý
của bộ định tuyến và như vậy rõ ràng là chưa đủ. Các máy


Trang bị mới giải pháp tường lửa thế hệ mới Next
Generation Firewall (bao gồm: Firewall, Application
Firewall, IPS, Anti-Bot, ) để đáp ứng yêu cầu về mức độ
an ninh tại cổng kết nối Internet cũng như tốc độ xử lý tại
các cổng Internet này
Thiết bị Firewall hiện có được điều chuyển để bảo vệ
các vị trí khác như Trung tâm dữ liệu. Bổ sung giải pháp
kiểm soát và lọc nội dung web, loại bỏ virus và mã độc
hại qua việc truy cập Web
II.3.2.2. Giải pháp an ninh mạng, tăng cường
cho Trung tâm dữ liệu
- Sử dụng Firewall hiện có để bảo vệ riêng cho Trung
tâm dữ liệu
- Bổ sung giải pháp IPS chuyên dụng để tăng cường
bảo vệ cho Trung tâm dữ liệu.
II.3.2.3. Giải pháp giám sát an ninh mạng tập
trung
- Bổ sung hệ thống thu thập log và các sự kiện trên
hệ thống mạng
- Phân tích, nhận dạng và cảnh báo sớm các nguy cơ
và sự cố an toàn mạng.
- Phản ứng nhanh với các sự cố an ninh mạng ở một
số bộ phận quan trọng
II.4. Kết luận chương

13

CHƯƠNG III
GIẢI PHÁP AN NINH BẢO MẬT MẠNG TRUYỀN

III.2.1.3. Bảo vệ mạng lưới MPLS
III.2.1.4. Bảo vệ chống lại sự giả mạo
III.2.2. Xây dựng giải pháp giám sát an ninh tập
trung Vùng – Tỉnh – Huyện
III.2.2.1. Giải pháp hệ thống giám sát an ninh
tập trung phạm vi Vùng
- Thiết bị an ninh mạng: FW, IPS/IDS, hệ thống chống virus, …
- Thiết bị mạng: chuyển mạch, bộ định tuyên
- Hệ thống máy chủ
- Các ứng dụng, phần mềm
- Các cảnh báo của các tổ chức nghiên cứu trong và ngoài nước.
- Thu thập, lưu trữ các sự kiện, log của hệ thống mạng cho mục đích tìm
kiếm, thống kê, nghiên cứu và phân tích các sự cố an ninh mạng sau này.
- Phân tích, nhận dạng và cảnh báo sớm các nguy cơ và sự cố an toàn
mạng.
- Hỗ trợ các bộ phận liên quan: bảo mật, mạng phản ứng nhanh với các sự
cố an ninh mạng
15

III.2.2.2. Giải pháp hệ thống giám sát an ninh
tập trung phạm vi Tỉnh
III.2.2.3. Giải pháp hệ thống giám sát an ninh
tập trung phạm vi Huyện
III.2.3. Giải pháp ứng dụng mật mã trên đường
truyền điểm – điểm
Đối với các hệ thống truyền thông tin nộ bộ tỉnh hay
nội vùng, việc bảo đảm bí mật là yếu tố quan trọng.
Thông tin truyền đi cần được mã hóa và phải đáp ứng
được hai yêu cầu: Toàn vẹn dữ liệu và Truyền khóa bí
mật.

wifi tại đầu cuối mạng TSLCD của các tỉnh thuộc
vùng Tây Nguyên
III.3.2.1. Yêu cầu đề xuất
III.3.2.2. Giải pháp hệ thống
III.3.2.3. Đánh giá sau khi tích hợp hệ thống
III.4. Kết luận chương
17

KẾT LUẬN VÀ KIẾN NGHỊ

Sự phát triển bùng nổ của công nghệ và mức độ
phức tạp ngày càng tăng có thể dẫn đến khả năng
không kiểm soát nổi hệ thống mạng TSLCD, làm tăng
số điểm yếu và nguy cơ mất an toàn của toàn hệ
thống. An ninh bảo mật là một khái niệm rất rộng và
được xác định theo từng môi trường cụ thể. Không có
một mô hình chính xác nào phù hợp cho tất cả các hệ
thống, mà để đảm bảo an toàn bảo mật phải kết hợp cả
công nghệ và chính sách. Bên cạnh các giải pháp công
nghệ ở trên, cần triển khai các giải pháp về chính sách.
Đó là: Xây dựng hành lang pháp lý đối với các hoạt
động trên hệ thống, bao gồm các quy chế, chính sách,
các tiêu chuẩn về an toàn bảo mật thông tin; Xây
dựng một cơ chế quản lý tài nguyên hệ thống và các
nguy cơ tương ứng đối với các tài nguyên đó; Xây
dựng cơ chế quản lý và kiểm soát an toàn thông tin,
kiểm soát và phân quyền truy cập đồng bộ với quy
trình quản trị hệ thống và ứng dụng các phần mềm
quản lý chính sách.
Ngoài ra, an toàn bảo mật là một quá trình,