ỦY BAN NHÂN DÂN
TỈNH THỪA THIÊN HUẾ
Số: /2012/QĐ-UBND
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập – Tự do – Hạnh phúc
Thừa Thiên Huế, ngày tháng năm 2012
QUYẾT ĐỊNH
Về việc ban hành “Quy định áp dụng mô hình mẫu về mạng nội bộ, mạng diện
rộng cấp Sở, huyện và xã trên địa bàn tỉnh Thừa Thiên Huế”

UỶ BAN NHÂN DÂN TỈNH
Căn cứ Luật Tổ chức Hội đồng Nhân dân và Uỷ ban Nhân dân ngày 26
tháng 11 năm 2003;
Căn cứ Luật Công nghệ thông tin ngày 29 tháng 6 năm 2006;
Căn cứ Nghị định số 64/2007/NĐ-CP ngày 10 tháng 4 năm 2007 của Chính
phủ về Ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước;
Căn cứ Quyết định số 43/2010/QĐ-UBND ngày 28 tháng 10 năm 2010 về việc
ban hành Quy chế vận hành, khai thác và quản lý mạng tin học diện rộng tỉnh Thừa
Thiên Huế;
Xét đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số
……./TTr-STTTT ngày tháng năm 2012,

QUYẾT ĐỊNH:
Điều 1. Ban hành kèm theo Quyết định này “Quy định áp dụng mô hình mẫu
về mạng nội bộ, mạng diện rộng cấp Sở, huyện và xã trên địa bàn tỉnh Thừa Thiên
Huế”.
Điều 2. Quyết định này có hiệu lực từ ngày ….. tháng ….. năm 2012 và
thay thế Quyết định số 2428/QĐ-UBND ngày 17/11/2011 của UBND tỉnh về
việc “Quy định áp dụng mô hình mẫu về mạng nội bộ, mạng diện rộng cấp Sở,
huyện và xã trên địa bàn tỉnh Thừa Thiên Huế”.
Điều 3. Chánh Văn phòng UBND tỉnh, Giám đốc Sở Thông tin và Truyền

thông, Thủ trưởng các cơ quan chuyên môn thuộc UBND tỉnh và UBND các
huyện, thị xã Hương Thuỷ, thành phố Huế chịu trách nhiệm thi hành Quyết định
này./.
Nơi nhận: TM.ỦY BAN NHÂN DÂN
- Như Điều 3; CHỦ TỊCH
- Bộ Thông tin và Truyền thông;
- Cục Kiểm tra VBQLPL (Bộ Tư pháp);
- TVTU, TT HĐND tỉnh;
- CT và các PCT UBND tỉnh;
- Trung tâm Công báo;
- VP: CVP, PCVP ĐN Trân;
- Lưu: VT, CN (2).
ỦY BAN NHÂN DÂN
TỈNH THỪA THIÊN HUẾ
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
QUY ĐỊNH
Áp dụng mô hình mẫu về mạng nội bộ, mạng diện rộng cấp Sở, huyện và xã
trên địa bàn tỉnh Thừa Thiên Huế.
(Ban hành kèm theo Quyết định số /2012/QĐ-UBND ngày / /2012
của UBND tỉnh Thừa Thiên Huế)
Chương I
QUY ĐỊNH CHUNG
Điều 1. Phạm vi điều chỉnh
Quy định này quy định việc áp dụng thống nhất mô hình về mạng nội bộ
(LAN), mạng diện rộng (WAN) trong hoạt động ứng dụng công nghệ thông tin
của cơ quan nhà nước.
Điều 2. Phạm vi áp dụng
1. Quy định này được áp dụng đối với các cơ quan chuyên môn thuộc UBND
tỉnh; UBND các cấp; các cơ quan, đoàn thể, tổ chức chính trị - xã hội; các đơn vị sự

nghiệp sử dụng ngân sách nhà nước trên địa bàn tỉnh (sau đây gọi là đơn vị).
2. Khuyến khích các cơ quan, tổ chức, doanh nghiệp, cá nhân trên địa bàn
tỉnh áp dụng thống nhất mô hình về mạng nội bộ (LAN), mạng diện rộng (WAN)
trong hoạt động ứng dụng công nghệ thông tin của đơn vị mình để tiến tới thống
nhất trong kết nối, giao tiếp trên phạm vi địa bàn tỉnh.
Điều 3. Giải thích từ ngữ
1. Mạng nội bộ ảo (Virtual Local Area Network) là một kỹ thuật cho phép
tạo lập các mạng nội bộ (LAN) độc lập một cách logic trên cùng một kiến trúc hạ
tầng vật lý. Việc tạo lập nhiều mạng nội bộ ảo trong cùng một mạng cục bộ (giữa
các phòng trong một cơ quan, giữa các cục trong một công ty,...) giúp tạo thuận
lợi cho việc quản lý một mạng cục bộ rộng lớn.
2. Mạng riêng ảo (Virtual Private Network - VPN) là một mạng riêng sử
dụng hệ thống mạng công cộng (thường là Internet) để kết nối các địa điểm hoặc
người sử dụng từ xa với một mạng LAN ở trụ sở trung tâm.
3. Điểm truy cập thiết bị không dây (Access Point) là thiết bị cầu nối, để
kết nối mạng có dây và không dây lại với nhau.
4. Thiết bị định tuyến (Router) là một thiết bị cho phép gửi các gói dữ liệu
dọc theo mạng.
2
Chương II
MÔ HÌNH MẪU VỀ MẠNG NỘI BỘ
Điều 4. Mô hình mạng áp dụng cho các đơn vị
1. Mô hình mạng nội bộ áp dụng cho các đơn vị chỉ có trụ sở chính.
Hệ thống mạng nội bộ của các đơn vị phải được thiết kế thành một thể
thống nhất, cùng kết hợp và hỗ trợ, tương tác hoạt động với nhau. Mô hình mạng
tại các đơn vị phải được đảm bảo đầy đủ chia thành ba vùng như sau:
a) Vùng ngoài (Public Zone): là vùng Internet và các máy trạm nằm trong
mạng diện rộng của tỉnh.
b) Vùng DMZ (DMZ - DeMilitarized Zone): là lớp cung cấp các dịch vụ
chung cho mạng diện rộng của tỉnh và mạng bên trong của Ủy ban nhân dân tỉnh.

Vùng DMZ chứa các thành phần mà người sử dụng từ xa qua mạng diện rộng có
thể truy cập được thông tin. Các thiết bị tại vùng này bao gồm các thiết bị mạng
phục vụ cho vùng, các máy chủ ứng dụng.
c) Vùng làm việc (Working Zone) là vùng mạng cục bộ của cơ quan và
nơi bố trí các mạng nội bộ ảo trực thuộc mạng nội bộ của đơn vị. Các mạng nội
bộ ảo này có thể kết nối với nhau thông qua lớp trung gian hoặc kết nối trực tiếp
với nhau.
d) Sơ đồ mô hình mẫu hệ thống mạng nội bộ ở Phụ lục 2.
2. Mô hình mạng nội bộ áp dụng cho các đơn vị có các cơ quan trực thuộc
nằm ngoài trụ sở chính.
a) Mô hình mạng áp dụng cho đơn vị ở trụ sở chính, các cơ quan trực thuộc
nằm ngoài trụ sở chính áp dụng theo khoản 1, Điều này.
b) Tại các cơ quan trực thuộc không cần thiết phải được trang bị máy chủ.
Các đơn vị trực thuộc phải thiết lập kết nối mạng riêng ảo (VPN) vào hệ thống
mạng WAN của tỉnh nhằm khai thác, trao đổi thông tin từ đơn vị chính và đơn vị
trực thuộc.
c) Sơ đồ mô hình mẫu hệ thống mạng nội bộ ở Phụ lục 3.
3. Yêu cầu về hoạt động và cấu hình mạng nội bộ.
a) Các thiết bị mạng, máy chủ, được đặt riêng biệt trong phòng máy chủ để
đảm bảo tính an toàn, bảo mật và tập trung, tạo thuận lợi cho việc quản trị hệ
thống. Máy chủ phải được đặt trong vùng DMZ của bức tường lửa. Thiết bị
chuyển mạch lớp 3 (switch layer 3) đóng vai trò trung tâm kết nối của hệ thống
mạng, thiết bị chuyển mạch lớp 3 được đặt tại phòng máy chủ kết nối các thiết bị
chuyển mạch lớp 2 đặt tại mỗi tầng của đơn vị tạo thành hệ thống mạng nội bộ
tổng thể.
b) Mạng nội bộ tại các đơn vị phải được cấu hình thiết lập chia thành các
mạng nội bộ ảo nhằm nâng cao tính bảo mật cho hệ thống mạng nội bộ, tiết kiệm
3
được băng thông của mạng, tăng cường tính linh động cho hệ thống mạng và
giúp cho việc quản trị hệ thống mạng hiệu quả hơn.

c) Khuyến khích các đơn vị xây dựng giải pháp mạng nội bộ kết hợp với
mạng không dây trong đơn vị. Hệ thống mạng không dây phải đáp ứng theo
chuẩn N, với tốc độ 100Mb/giây (Mbps) và được bảo mật truy cập theo chuẩn
bảo mật mạng không dây an toàn nhất hiện nay là WPA2. Tùy thuộc vào diện
tích và nhu cầu sử dụng mạng không dây của từng đơn vị mà vị trí và số lượng
lắp đặt điểm truy cập (Access Point) có thể khác nhau.
d) Các hệ thống mạng tại các đơn vị phải được xây dựng theo mô hình
miền (Domain) nhằm mục đích quản lý hệ thống chặt chẽ, an toàn và bảo mật.
Điều 5. Yêu cầu chung về trang thiết bị và hạ tầng đối với mạng nội bộ.
1. Đường truyền Internet: là nền tảng xây dựng kết nối mạng riêng ảo
(VPN) vào mạng diện rộng của tỉnh. Yêu cầu phải có băng thông đảm bảo, ổn
định và bảo mật cao, hỗ trợ kỹ thuật tốt. Tốc độ download tối thiểu 1.536Kb trên
giây (Kbps), tốc độ upload 512Kb trên giây (Kbps).
2. Phòng đặt máy chủ: là nơi dùng để đặt máy chủ và các thiết bị mạng của
đơn vị, thuận lợi cho việc quản trị hệ thống và bảo vệ các thiết bị mạng. Phòng
máy tách riêng, biệt lập, bộ phận chuyên trách hay cán bộ chuyên trách công
nghệ thông tin trực tiếp quản lý và theo dõi việc vào, ra phòng máy. Phòng máy
phải đảm bảo khô, thoáng, nguồn điện cung cấp đảm bảo tính ổn định cao. Trang
bị máy lạnh bên trong phòng máy và vận hành máy lạnh liên tục.
3. Máy chủ: dùng để triển khai các phần mềm dùng chung, cơ sở dữ liệu
của tỉnh sẽ triển khai và các cơ sở dữ liệu có tính chất quan trọng cần được bảo vệ
an toàn. Máy chủ chỉ dùng để cài các phần mềm dùng chung, các cơ sở dữ liệu cần
thiết và các phần mềm chống virus, ngoài ra không được cài thêm bất cứ phần
mềm nào khác. Máy chủ phải được hoạt động 24/24 giờ trong ngày và 7/7 ngày
trong tuần, chỉ tắt trong trường hợp bất khả kháng hoặc có yêu cầu của UBND
tỉnh. Cấu hình máy chủ phải đủ mạnh để đáp ứng công việc (cấu hình tối thiểu của
máy chủ ở Phụ lục 1).
4. Tủ đặt máy chủ: dùng để lắp đặt các thiết bị vào trong tủ mạng thành
một hệ thống gọn gàng hoàn chỉnh cũng như giảm thiểu tác động của môi trường
từ bên ngoài lên thiết bị. Yêu cầu tủ mạng phải đảm bảo các thông số cơ bản:

Chiều rộng 60cm (19 inch), có chiều cao từ 100cm (20U) đến 135cm (27U),
chiều sâu 100cm để phù hợp với nhu cầu của mỗi đơn vị, đảm bảo đủ không gian
cho toàn bộ thiết bị hiện tại và khả năng mở rộng sau này.
5. Thiết bị chống sét: được thiết kế để chống lại các xung đột biến hay
xung sét trên đường truyền tín hiệu, bảo vệ các thiết bị mạng an toàn khi có sự
cố xảy ra. Thiết bị chống sét phải được lắp đặt dễ dàng, bảo vệ thiết bị được
nhiều lần và chống lại các xung đột biến; có khả năng chống lại những xung điện
tức thời. Đảm bảo ít nhất 02 thiết bị: một cho một đường tín hiệu Internet và một
đường của mạng nội bộ (LAN).
4
6. Thiết bị chuyển mạch (Switch): cung cấp các chức năng quản trị cao
cấp nhằm tăng cường độ an toàn và bảo mật cho hệ thống mạng, không cho phép
người dùng thông thường thay đổi cấu hình mạng cũng như quản lý chặt chẽ
từng kết nối vào switch. Ngoài ra thiết bị chuyển mạch còn cung cấp khả năng từ
chối các kết nối không mong muốn hay trái phép vào hệ thống trên từng cổng,
quy định địa chỉ IP cho từng cổng và khống chế số lượng kết nối vào hệ thống
mạng nội bộ thông qua thiết bị chuyển mạch. Thiết bị chuyển mạch phải có hiệu
suất cao, hỗ trợ chuyển mạch tốc độ 10/100/1000 Base-T, hỗ trợ mạng nội bộ ảo
(VLAN - Vitual Local Area Network), phải có ít nhất 01 thiết bị chuyển mạch có
hỗ trợ định tuyến IP (IP Routing) cho mỗi mạng nội bộ; được hỗ trợ chức năng
điều khiển truy cập (Access Control List), hỗ trợ chức năng xác thực thiết bị và
người sử dụng (User & Device Authentication) và chức năng bảo mật quản trị
mạng (Network Administration Security).
7. Bảng cắm đấu nối tập trung (Patch Panel): dùng để tập trung các kết nối
đến các ổ cắm mạng (Outlet) hay thiết bị mạng của các phòng ban hoặc các tầng
và cung cấp lại các ổ cắm mạng thuận tiện cho việc kết nối đến các thiết bị mạng
trong tủ mạng.
8. Bức tường lửa (Firewall): làm nhiệm vụ ngăn chặn các truy cập trái
phép từ mạng nội bộ của đơn vị ra Internet và ngược lại và kết nối mạng riêng ảo
(VPN). Bức tường lửa phải đảm bảo các yêu cầu sau:

a) Khả năng xử lý được số lượng kết nối đồng thời cao và chịu được thông
lượng cao.
b) Được hỗ trợ các công nghệ mạng riêng ảo thông dụng và có phần cứng
mã hóa tích hợp để tăng tốc độ mã hóa dữ liệu.
c) Phải cung cấp đầy đủ các cơ chế bảo mật cơ bản như NAT, PAT, quản
lý luồng dữ liệu ra, vào và có khả năng bảo vệ hệ thống trước các loại tấn công
từ chối dịch vụ (DoS).
9. Thiết bị lưu điện (UPS online): được sử dụng để giảm thiểu các rủi ro,
nguy hiểm do điện gây ra đối với các thiết bị mạng. Thiết bị lưu điện phải được
đảm bảo các yêu cầu sau:
a) Hỗ trợ tự động bật tắt các tiến trình của máy chủ khi có sự cố về điện
xảy ra, nâng cao tính tự động hóa trong việc quản trị hệ thống.
b) Phải cung cấp đủ công suất cho toàn bộ thiết bị trong tủ đặt máy chủ.
c) Thiết bị lưu điện phải hỗ trợ các chuẩn kết nối cơ bản như Serial hay
Ethernet; cung cấp khả năng quản lý từ xa có thể lập trình bật, tắt máy chủ theo
thời gian định trước.
d) Thiết bị lưu điện phải có phần mềm điều khiển thông minh cho phép
máy chủ phân biệt và xử lý các tình huống liên quan đến nguồn điện cung cấp,
đặt lịch hoạt động.
10. Hệ điều hành máy chủ: được thiết kế để hỗ trợ các tính năng đa nhiệm
và đa xử lý để máy chủ có thể đáp ứng một khối lượng lớn các yêu cầu từ các
5