ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƯỜNG ĐẠI HỌC CÔNG NGHỆ NGHIÊN CỨU GIẢI PHÁP AN TOÀN THÔNG TIN CHO
CỔNG GIAO TIẾP ĐIỆN TỬ HÀ NỘI

LUẬN VĂN THẠC SĨ

Học viên: Đào Ngọc Phong
Lớp: K11T2 Hà Nội - 2007
1.2.2.8 Nguy cơ về an toàn vật lý 47
Chương 2. GIẢI PHÁP NÂNG CAO KHẢ NĂNG ATTT CỦA HÀ NỘI PORTAL 48
2.1 GIẢI PHÁP AN NINH CHO HỆ THỐNG HÀ NỘI PORTAL 48
2.1.1 Thực hiện mã hóa đường truyền 50
2.1.2 Phòng chống Virus 50
2.1.3 Cài đặt Firewall và hệ thống IDS 51
2.1.4 Cài đặt hệ thống quét lỗ hổng bảo mật và kiểm tra lỗi trong các website 51
2.1.5 Giải pháp sao lưu và phục hồi dữ liệu 52
2.1.6 Thiết lập chính sách sử dụng và quản lý hệ thống 52
2.1.7 Giải pháp về an toàn hệ thống điện, thiên tai 52
2.2 MÔ HÌNH GIẢI PHÁP MẠNG CHO HÀ NỘI PORTAL 53
2.2.1 Phân chia các khu vực mạng 53
2.2.2 Bảo mật qua các thiết bị phần cứng 59
Chương 3. THỬ NGHIỆM CÔNG NGHỆ SSL TRONG VIỆC ĐẢM BẢO ATTT
TRÊN ĐƯỜNG TRUYỀN 61 2
3.1 GIAO THỨC SSL 61
3.1.1 Giới thiệu về SSL 61
Các phiên bản 62
3.1.2 Các khả năng của SSL 63
3.1.3 Các giao thức trong SSL 65
3.1.3.1 Giao thức bản ghi (Record Protocol) 65
3.1.3.2 .Giao thức bắt tay (Handshake Protocol) 71
3.1.4 Các giai đoạn thực hiện giao thức 75
3.1.5 Một số chú ý khi sử dụng SSL. 94
3.2 ƯU ĐIỂM VÀ HẠN CHẾ CỦA SSL 98
3.2.1 Ưu điểm của SSL 98
3.2.2 Hạn chế của SSL 99

1.1.1.1 Mục tiêu của Cổng giao tiếp điện tử Hà Nội
Mục tiêu của Cổng giao tiếp điện tử thành phố Hà Nội là môi trường giao tiếp
điện tử thu hút được hầu hết các tổ chức, đơn vị, cá nhân tham gia trên cơ sở cung
cấp đầy đủ các dịch vụ và các tiện ích trực tuyến, phát triển và tương tác hài hòa với
các hệ thống trên mạng đang tồn tại, tích hợp các hệ thống đó để trở thành hệ thống
“Một cửa” của Hà Nội. Bao gồm:
Giới thiệu các thông tin về Thành phố Hà nội trong mọi lĩnh vực. Hình thành một
CSDL các thông tin cơ bản về mọi phương diện đời sống văn hóa, xã hội, các hoạt
động kinh tế của Thành phố.
Cho phép các đơn vị tham gia Hanoi Portal gồm : Văn phòng UBNDTP Hà nội,
Sở Nội Vụ, Viện Nghiên cứu Phát triển Kinh tế Xã hội, Sở Kế hoạch và Đầu tư, Sở
Khoa học, Công nghệ, Sở Giáo dục và Đào tạo, Sở Du lịch, Sở Xây dựng, Sở Tư
pháp, Sở Quy hoạch Kiến trúc, Sở Địa chính – Nhà đất, Quận Hoàn Kiếm, và các sở
ban ngành, quận huyện khác của thành phố.
Hướng dẫn, giải quyết các công việc của dân liên quan đến các qui trình giải
quyết công việc hành chính (hành chính công) qua mạng.
Xây dựng trang thông tin điện tử phục vụ các yêu cầu về thông tin cho cán bộ,
chuyên viên trong nội bộ Uỷ ban, kết hợp với các phần mềm ứng dụng quản lý, xử lý
sẵn có để giải quyết công việc của dân và đưa ra các thông tin phục vụ Lãnh đạo
thành phố.
5

1.1.1.3 Các chức năng ứng dụng và dịch vụ
Phần dịch vụ của Hanoi Portal tạo ra một môi trường, công cụ có khả năng tương
tác, trao đổi thông tin giữa người dân và cơ quan hành chính, các đơn vị liên quan;
giữa Lãnh đạo, Chuyên viên với công tác quản lý, chuyên môn. Khi sử dụng phần
này, mọi người có thể yêu cầu thông tin, xử lý công việc của mình trên máy tính. Vì
có rất nhiều đối tượng sử dụng khác nhau nên hệ thống cần thêm rất nhiều tính năng
mà một Website thông thường không đáp ứng được. Dưới đây mô tả chi tiết yêu cầu
về chức năng của các nhóm ứng dụng và dịch vụ.
 Các chức năng của phần mềm khung portal:
- Các chức năng thông thường của một website: hiển thị, cập nhật thông tin,
quản lý kênh thông tin, biên tập, phê duyệt thông tin, quản trị hệ thống, dữ
liệu, giao tiếp trả lời hỏi dáp…
- Tính năng cá nhân hóa. Do các đối tượng sử dụng khác nhau sẽ có những nhu
cầu về thông tin, dịch vụ khác nhau mà Cổng giao tiếp điện tử Hà nội lại phục
vụ rất nhiều đối tượng sử dụng khác nhau nên tính năng này là bắt buộc đối
với Hà nội Portal.
- Khả năng đăng nhập một lần mà có thể sử dụng tất cả các dịch vụ trên Portal.
- Chức năng quản trị nội dung và phân loại bao gồm quản lý loại ứng dụng, môi
trường chạy ứng dụng, quyền hạn của người dùng với ứng dụng, công cụ để
tích hợp ứng dụng vào Hà Nội Portal.
- Đảm bảo hạ tầng sẵn sàng cho việc tích hợp các dịch vụ trực tuyến lên mạng
(cấp phép đăng ký kinh doanh, cấp phép đầu tư, xây dựng…).
- Khả năng tích hợp ứng dụng nhiều mức, đảm bảo thích ứng với nhiều loại
nguồn tin.
- Chức năng tìm kiếm đa dạng, nhiều mức phù hợp với nhiều nhu cầu và khả
năng sử dụng.
- Hệ thống quản trị, phân quyền người dùng, và các chức năng, đặc tính khác

đúng người có chức năng trả lời. Theo dõi kết quả và trả kết quả về.
 Chức năng tùy chọn giao diện và cá nhân hóa:
- Đối tượng sử dụng: Tất cả người dùng đã có tài khoản tại Hanoi Portal.
- Chức năng: Quản lý hệ thống các thành phần của giao diện; Tạo giao diện
ngầm định; Tổ chức các thành phần của giao diện; Quản lý nội dung theo cá
nhân; Quản lý các chức năng theo cá nhân; Soạn giao diện: Người dùng Portal
có thể tự tạo giao diện riêng; Chèn thêm kênh vào giao diện: Cho phép thêm
kênh thông tin đã xác thực vào giao diện; Di chuyển kênh tới vị trí khác; Loại
bỏ kênh khỏi giao diện. 8
 Chức năng công bố kênh thông tin/ dịch vụ:
- Đối tượng sử dụng: Tất cả các người dùng cuối đã đăng ký tài khoản và được
cấp quyền công bố kênh thông tin/ dịch vụ tại Portal.
- Chức năng: Chọn kiểu kênh; Quản lý kênh, quản lý đăng ký kênh; Tạo lập các
tham số chung như tên kênh, tiêu đề kênh; Tạo lập các tham số xác thực kênh;
Xác lập các thuộc tính khác của kênh thông tin; Chọn nhóm người dùng kênh.
 Chức năng quản trị kênh:
- Đối tượng sử dụng: Người quản trị Portal và người được cấp quyền công bố
kênh
- Chức năng: Tạo kênh (một số loại kênh như Inlineframe, RSS… để phù hợp
với nhiều loại ứng dụng); Xác thực kênh; Loại bỏ kênh; Sửa nội dung kênh;
Quản trị kênh, phân loại kênh, trao đổi nội dung giữa các kênh.
 Chức năng đăng nhập một cửa:
- Đối tượng sử dụng: Tất cả các người dùng cuối đã được đăng ký và có tài
khoản.
- Chức năng: Cho phép người dùng chỉ cần đăng nhập một lần, nhưng có thể sử
dụng tất cả các dịch vụ, kênh và các ứng dụng, được công bố trên Portal, đảm
bảo trong suốt với người dùng cuối. Hệ thống phải đảm bảo mức phân quyền

của portal, trên Internet…), đáp ứng được nhiều nhu cầu và khả năng sử dụng.
- Tìm kiếm có phân loại tốt, kết quả được tổ chức tốt dễ xem.
 Các chức năng khác:
- Dịch vụ mail.
- Dịch vụ forum, chat, calendar…
10
1.1.2 Công nghệ xây dựng Cổng giao tiếp điện tử Hà Nội
1.1.2.1 Công nghệ Portal
Công nghệ Portal phát triển sau thời kỳ web khoảng 7-8 năm, như một tất yếu
xuất phát từ nhu cầu thực tế. Portal là một bước tiến hóa của website truyền thống.
Nó ra đời để giải quyết những vấn đề mà website truyền thống gặp phải:
- Là "siêu web site“, gọi tắt là Portal, đối với người dùng vẫn chỉ là sử dụng trang
web thông qua trình duyệt (tức là web browser), nhưng đằng sau đó là sự thay đổi
thuật ngữ và quan niệm mới về triết lý phục vụ, thay cho cách hiểu “tuyên truyền”
thông qua web site như trước đây.
- Là điểm đích qui tụ hầu hết các thông tin và dịch vụ cho người dùng cần, là
điểm đích đến thực sự. Thông tin và dịch vụ được phân loại nhằm thuận tiện cho tìm
kiếm và hạn chế vùi lấp các thông tin.

hoặc vận hành một dịch vụ qua Internet tại bất kỳ lúc nào và tại bất cứ đâu. Đối với
các chức năng “phía ngoài”, người duyệt web có thể tra cứu và sử dụng dịch vụ theo
quyền hạn được cấp.
Do vậy portal rõ ràng là mô hình phù hợp cho các hệ thống thông tin phục vụ cả
quản lý điều hành và dịch vụ công. Khi so sánh với web site thông thường, dù được
xây dựng bằng chương trình ứng dụng web, web site chủ yếu làm tốt về các chức
năng “phía ngoài”, mà không giải quyết được các chức năng “phía trong”, nhất là khi
các giao tiếp bên trong tăng lên qua việc tích hợp các ứng dụng mới.
Cung cấp môi trường cộng tác (collaborative) thông qua việc quản lý và khai thác
thống nhất toàn diện các dịch vụ cơ bản như: Forum, Mail, Calendar, Task
Management, Report Systems, Conferences, Discussion Groups, News Groups, v.v
Các dịch vụ này là một phần của kho tài nguyên dịch vụ trên portal để người dùng
lựa chọn. Việc quản lý người dùng được thực hiện một lần và thống nhất trên tất cả
các ứng dụng dịch vụ của portal.
Tóm lại, triết lý của portal là “siêu web site” để phục vụ tốt hơn thông qua quan
hệ bình đẳng và tình cảm gắn bó với “siêu web site”, là định hướng phục vụ (user-
centric), khác với sự phát triển tự nhiên của web site truyền thống là định hướng trình
bày thông tin (data-centric). 12
1.1.2.2 Công nghệ lựa chọn phần mềm lõi
Với những yêu cầu đặt ra đối với Cổng giao tiếp điện tử Hà nội công nghệ
Website thông thường đã trở nên lỗi thời và không thể đáp ứng được các đòi hỏi đặt
13
- Jetspeed:
Là Portal Framework được phát triển bởi tổ chức Apache được phát triển dựa
trên công nghệ Java và XML. Jetspeed bắt đầu phát triển từ năm 1999 và đã
thu được một số thành công. Tuy nhiên JetSpeed có một số yếu điểm như cơ
chế phân quyền phức tạp, cơ chế xây dựng ứng dụng phức tạp. Đối với phiên
bản 2.0 Jetspeed cũng đã có một số cải thiện tuy nhiên phiên bản này ra đời
tương đối muộn và đến nay (2006) vẫn chưa thực sự hoàn thiện.
- StringBean Portal :
StringBean Portal là Framework được phát triển dựa trên nền tảng công nghệ
Java. StringBean đáp ứng tốt những yêu cầu đối với những website vừa và
nhỏ, tuy nhiên đối với những Website lớn với số lượng tích hợp lớn thì
StringBean không thực sự đáp ứng tốt.

Với những đánh giá ở trên, có thể thấy uPortal là Framework có tính năng nổi trội
và các tính năng này đảm bảo sẽ đáp ứng được nhu cầu là một phần mềm nền tảng
cho hệ thống Cổng giao tiếp điện tử Hà nội.
Chính vì những điểm nổi trội như vậy, uPortal đã được lựa chọn để tiếp tục phát
triển trở thành phần mềm lõi cho hệ thống Cổng giao tiếp điện tử thành phố Hà nội.
Tuy nhiên uPortal bản thân nó chưa đủ để có thể làm phần mềm lõi của hệ thống
Cổng giao tiếp điện tử mà cần có những đầu tư phát triển thêm.
uPortal là một trong những hệ thống Portal mã nguồn mở được xây dựng sớm
nhất và được ứng dụng nhiều nhất trong thực tiễn. Đặc điểm nổi bật của uPortal là
cung cấp một hệ engine hoạt động một cách cực kỳ hiệu quả và mềm dẻo cho việc
“lắp ráp” (tích hợp) các ứng dụng. Với uPortal từ một tập hợp các tài nguyên hệ
thống người dùng có thể hòa trộn các tài nguyên này, để tạo ra một ứng dụng đầy đủ
và đáp ứng tốt nhất nhu cầu của mình.
Phần mềm mã nguồn mở được lựa chọn là uPortal như một mẫu mực về các lợi

qua RSS hoặc Inline Frame).
- Hỗ trợ kết nối tới nhiều hệ thống quản trị CSDL khác nhau (PostgresSQL,
MySql, SQL Server, Oracle, DB2). 15
1.1.2.3 Kiến trúc của Hà Nội Portal
Mô hình kiến trúc tổng thể
Hệ thống uPortal được thiết kế theo mô hình 3 lớp có sự tách biệt rõ ràng giữa các
tầng :
- Tầng trình diễn
- Tầng Business Logic
- Tầng Database Hình vẽ: Mô hình kiến trúc hệ thống uPortal với CSDL MySQL
16
Tầng trình diễn (Presentation)
Tầng trình diễn được thực hiện dựa trên công nghệ XML/XSL. Dữ liệu của từng
kênh thông tin được lưu trữ dưới dạng dữ liệu XML. Dữ liệu XML này sẽ kết hợp
với một StyleSheet nào đó sau đó trả thông tin được sinh ra từ sự kết hợp này về phía

XSLT 17
Tầng CSDL
Ở tầng truy xuất CSDL, uPortal cung cấp dịch vụ cho phép kết nối tới nhiều loại
CSDL khác nhau như :
- SQL Server
- PostgresQL
- Oracle
- DB2
- MySQL
- HSQL

Việc lựa chọn CSDL được thực hiện thông qua việc định nghĩa trong file
rdbm.properties. Khi khởi động Portal sẽ đọc file này và tạo kết nối với CSDL đươc
lựa chọn. Ngoài hệ quản trị CSDL người dùng còn phải lựa chọn các tham số khác
như : Driver dùng để kết nối tới CSDL, tên CSDL, máy chủ CSDL, username và
password để đăng nhập CSDL.

Database Manager
Oracle
SQL
Server
MySQL
RDBM Properties
Business Layer
Mô hình kết nối database
JDBC
Driver

 IOS IP software.
 16 port Asynchronous Module (56K (V.90) support for analog modems)
 16 – MB Flash, 32 MB SDRAM
 Octal cable with male DB25 connector.
3/. Router
o 10/100 Ethernet Router w/2 WIC Slots, 1 Network Module Slot.
o Cisco IOS IP software 12.x
o WIC-1T= 1-Port Serial WAN Interface Card, V.35 cable
4/. Modem
o Số lượng: 16
o External modem, V90, 56K
19
5/. Modem Leaseline ( 64K-2M)
o Số lượng: 02
o Sản phẩm: LG BB HD-HE.
6/. Bộ lƣu điện sủ dụng cho các máy trạm
o Số lượng: 25
o Cấu hình: 1000VA/670W
7/. Bộ lƣu điện sủ dụng cho các máy chủ
o Số lượng: 6
o Cấu hình: 3000VA/2250W; Input voltage adjustable range for main operations
168 - 302 V ; Nominal output voltage: 230 V ; Typical recharge time: 3.hrs;
Input frequency 50/60 Hz +/- 3 Hz (auto sensing)
8/. Console switch
o Số lượng: 04
o Cấu hình:
 8-Port KVM switch; 19" Rack-mount Design

 5 Hard disk bays, 5 PCI slots
 Dual Power Supply
 15‟‟ Digital Monitor
 DLT Tape Driver 40/80GB
 Rackmount server

11/. Các thiết bị khác:
o Tủ Rack 19‟: số lượng 04 chiếc
o DLT tape 40/80GB: số lượng 20 chiếc
o Thiết bị chống sét đường truyền(PNET1): số lượng 20 chiếc
o AMP UTP CAT 5 UTP 4 Pairs CMR Solid (305 m): số lượng 1000m
o AMP Patch Panel: số lượng 2 chiếc
o RJ 45 Connector: 150 chiếc
o AMP Outlet 2-port ( Socket+Jack 2-port+faceplate 2-port): 15 chiếc

21

1.1.3.2 Hiện trạng đường truyền.
Bé phËn “mét cöa”
Bé phËn “mét cöa”
Workstation
Workstation
Workstation
Workstation
Workstation
Workstation
Workstation
Workstation
BRAS
ADSL
ADSL
ADSL
ADSL
Firewall
ADSL/SHDSL
Bé phËn “mét cöa”
Bé phËn “mét cöa”
HN Portal
Network
Nhµ cung cÊp dÞch vô23
1.2. HIỆN TRẠNG KHẢ NĂNG ATTT TRÊN HÀ NỘI PORTAL
1.2.1 Hiện trạng bảo đảm ATTT trên Hà Nội Portal.
1.2.1.1 Hiện trạng bảo đảm ATTT cho phần mềm của Hà Nội Portal.

LDAP định nghĩa việc định dạng các thông điệp (mesage) tương tác giữa LDAP
client và LDAP server. Những yêu cầu từ LDAP client tới LDAP server là tìm kiếm,
cập nhật, vv. Việc chuyền dữ liệu này thông qua giao thức TCP/IP. Và mã hóa theo
kiêu SSL (Security Socket Layer).

2/. Những mô hình cơ bản của LDAP.
LDAP có thể được hiểu biết hơn qua việc xem xét 4 mô hình cơ bản sau.
- Infomation : Mô tả cấu trúc của thông tin lưu trữ trong một thư mục LDAP.
- Naming : Mô tả cách thông tin trong thư mục LDAP được tổ chức và nhận biết.
- Functional : Mô tả điều mà hành động có thể thực hiện trên thông tin lưu trũ trong
thư mục LDAP.
- Security : Mô tả cách thông tin trong thư mục LDAP được bảo vệ thông qua việc
có hay không cho phép truy cập.
LDAP với Portal
Trong Portal, LDAP server là nơi lưu trữ những thông tin về người dùng/nhóm
người dùng, những thông tin về chương trình ứng dụng, dịch vụ, vv. Những thông tin
này được lưu trữ dưới dạng “mục” (entry). LDAP server dùng để giải quyết vấn đề
an ninh, bao gồm: Authentication và Authorization.
- Authentication : xác thực quyền truy nhập hệ thống thông qua lưu trữ thông tin
xác thực (profile) của người dùng và nhóm người dùng.

Directory

LDAP
Client

LDAP
Server
TCP/IP