1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG




Nguyễn Văn Mạnh


NGHIÊN CỨU CÔNG NGHỆ VÀ GIẢI PHÁP BẢO MẬT
CHO CHÍNH PHỦ ĐIỆN TỬ TẠI TỈNH BẮC NINH

Chuyên ngành: Hệ thống thông tin
Mã số: 60.48.01.04

TÓM TẮT LUẬN VĂN THẠC SĨ


HÀ NỘI - 2013
2


Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG



Người hướng dẫn khoa học: Tiến sĩ Nguyễn Trung Kiên

Phản biện 1:…………………………………………….


Phản biện 2:…………………………………………….




Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ
tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc:……giờ…….ngày… tháng……năm ……



Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông


1

MỞ ĐẦU

Chính phủ điện tử (CPĐT) đã và đang được triển
khai và bước đầu đã mang lại nhiều lợi ích cho người dân
và doanh nghiệp thông qua các ứng dụng chính phủ điện tử,
nhưng việc đảm bảo an ninh, an toàn cho các ứng dụng đó
cũng là một vấn đề cấp thiết đặt ra đối với các nhà quản lý,
việc triển khai các ứng dụng chính phủ điện tử càng đảm

bảo nhanh gọn, chính xác và đơn giản hóa cho người dân,
doanh nghiệp bao nhiêu thì việc đảm bảo an ninh, an toàn
thông tin, cơ sở dữ liệu trọng các hệ thống chính phủ điện
tử lại càng khó khăn, phức tạp bấy nhiêu.

Từ những yêu cầu thực tế trên, em chọn đề tài
“Nghiên cứu công nghệ và giải pháp bảo mật cho Chính
phủ điện tử tại Tỉnh Bắc Ninh”. Nội dung luận văn bao
gồm 3 chương:
Chương 1: Tìm hiểu tổng quan về Chính phủ điện
tử.
Chương 2: Nghiên cứu về các nguy cơ và giải pháp
bảo mật cho các ứng dụng CPĐT.
Chương 3: Nghiên cứu, đề xuất giải pháp bảo mật
cho CPĐT tại tỉnh Bắc Ninh.
Trong quá trình hoàn thành luận văn học viên đã
nhận được sự giúp đỡ tận tình của thầy hướng dẫn
TS. Nguyễn Trung Kiên, cùng sự giúp đỡ của các thầy cô
giáo trong Học viện Bưu chính viễn thông và các bạn bè,
đồng nghiệp. Học viên rất mong nhận được sự đóng góp để
bản thân tự hoàn thiện mình hơn nhằm góp phần hoàn
thành tốt công việc thường xuyên tại đơn vị.


2

Chương 1: TÌM HIỂU TỔNG QUAN VỀ
CHÍNH PHỦ ĐIỆN TỬ

1.1- Tìm hiểu về Chính phủ điện tử.

1.1.1- Khái niệm Chính phủ điện tử (e-
Goverment):
Hiện nay có nhiều cách hiểu, cách diễn đạt khác
nhau về chính phủ điện tử, nhưng chính phủ điện tử được
hiểu theo cách đơn giản là Chính phủ ứng dụng công nghệ
thông tin và truyền thông để nâng cao năng lực quản lý,
điều hành của Chính phủ, cung cấp thông tin và các dịch vụ
hành chính công trực tuyến nhằm phục vụ người dân và
doanh nghiệp cũng như các tổ chức xã hội tốt hơn, đồng
thời tạo điều kiện để người dân phát huy quyền làm chủ của
mình.
1.1.2- Vai trò của quản lý Chính phủ điện tử:
Chính phủ có thể nâng cao năng lực quản lý và đảm
bảo cho các chương trình và dự án về CPĐT được thực thi
một cách hiệu quả. Các nhân tố then chốt của CPĐT có thể
bao gồm: Quản lý chính sách, quản lý mua sắm, kiến trúc
và quản lý Công nghệ thông tin, cải cách hành chính, cải
cách lập pháp.
1.1.3- Ứng dụng công nghệ thông tin và cải
cách thủ tục hành chính:
1.1.3.1- Ứng dụng công nghệ thông tin:
Chương trình quốc gia về ứng dụng CNTT trong
hoạt động của cơ quan nhà nước của Chính phủ đã chỉ rõ:
hướng tới mục tiêu phát triển CPĐT; ứng dụng rộng rãi
công nghệ thông tin trong hoạt động cơ quan nhà nước;
cung cấp thông tin, dịch vụ công trực tuyến mức độ cao,
trên diện rộng phục vụ người dân cũng như doanh nghiệp
3

trên cơ sở phát triển hạ tầng thông tin hiện đại và rộng

khắp.
1.1.3.2- Cải cách thủ tục hành chính công:
Bên cạnh những thành công đạt được, hiện nay, Việt
Nam vẫn tồn tại tình trạng quản lý chồng chéo, thủ tục
hành chính phức tạp… Do đó, để ứng dụng công nghệ
thông tin, xây dựng CPĐT có hiệu quả thì phải tối ưu hóa
được thủ tục hành chính, việc ứng dụng công nghệ thông
tin và cải cách thủ tục hành chính cần phải được tiến hành
một cách song song.
1.2- Mô hình triển khai CPĐT ở Việt Nam hiện
nay.
1.2.1- Lộ trình xây dựng CPĐT.
Để xây dựng thành công CPĐT ta cần có lộ trình
thực hiện các công việc sau: Các chiến lược thực thi cụ thể
đối với CPĐT; Các chương trình dự án; Các sáng kiến về
mô hình điều phối CPĐT đối với các dịch vụ điện tử tích
hợp, các ứng dụng chung cho khu vực nông thôn; Các
chương trình và dự án giúp tăng cường năng lực và nhận
thức về CPĐT; Kế hoạch theo giai đoạn.
1.2.1.1- Các chiến lược tạo tiền đề và thực thi
CPĐT.
Trước khi triển khai xây dựng CPĐT, chúng ta cần
có các chiến lược cụ thể để tạo tiền đề thuận lợi cho việc
thực thi CPĐT sau này như: Phát triển nền tảng của CPĐT,
xây dựng năng lực về CPĐT, phát triển các dịch vụ trực
tuyến và các ứng dụng ICT, cải thiện cơ sở hạ tầng công
nghệ thông tin, tăng cường nhận thức về CPĐT.
1.2.1.2- Những nhân tố đảm bảo thành công cho
các kế hoạch CPĐT:
Cần có sự lãnh đạo vững vàng ở các cấp nhằm hỗ

trợ cho lộ trình thực thi CPĐT, có sự hợp tác chéo giữa các
4

cơ quan nhà nước để triển khai các chương trình có hiệu
quả, đồng bộ. Sự chỉ đạo và hỗ trợ đối với các cơ quan
chức năng có liên quan đến việc thực hiện lộ trình, có sự
chia sẻ các kinh nghiệm thực tiễn của các đơn vị.
1.2.2- Mô hình triển khai CPĐT ở Việt Nam.
Bốn mô hình cung cấp các cơ hội khác nhau đối với
các dịch vụ CPĐT là: Chính phủ với doanh nghiệp (G2B),
Chính phủ với Người dân (G2C), Chính phủ với Chính phủ
(G2G) và Chính phủ với cán bộ công chức (G2E).
Với mục tiêu: Xây dựng, phát triển các dịch vụ điện
tử tích hợp cho công dân và doanh nghiệp; Phát triển các
ứng dụng dùng chung cho điều hành và hợp tác của các cơ
quan nhà nước; Nghiên cứu về bộ tích hợp dữ liệu và mô
hình chia sẻ bộ tích hợp dữ liệu; Các dự án thí điểm về hỗ
trợ công chức thực hiện nhiệm vụ.

1.3- Phân tích vai trò của bảo mật đối với
CPĐT:
1.3.1- Hiện trạng bảo mật trong hệ thống
CPĐT của nước ta hiện nay.
- Khối các cơ quan bộ, ngành Trung ương: tỷ lệ máy
tính được kết nối Internet là 93,6% trong đó có đến 92,8%
tỷ lệ máy tính được trang bị công cụ bảo đảm an toàn và tỷ
lệ mạng LAN được trang bị hệ thống an toàn (Firewall,
SAN/NAT) là 84,7%.
- Khối các tỉnh thành phố trực thuộc trung ương:
Công tác đảm bảo an toàn, an ninh thông tin đã được các

địa phương chú ý, tỷ lệ địa phương trang bị phần mềm diệt
virus cho máy tính và hệ thống an toàn dữ liệu cho mạng có
tăng tuy nhiên việc nhận thức và đầu tư cho việc đảm bảo
an toàn thông tin vẫn còn hạn chế: tỷ lệ trung bình máy tính
được trang bị công cụ đảm bảo an toàn đạt 73,5%; tỷ lệ
trung bình mạng LAN được trang bị công cụ bảo đảm an
5

toàn, an ninh thông tin (Firewall, SAN/NAS, ) vẫn còn
thấp, mới chỉ đạt 37,6%.
1.3.2- Hiện trạng mất an toàn, an ninh thông
tin trong hệ thống CPĐT hiện nay
Hiện nay, hệ thống CPĐT đã và đang được đầu tư
nhiều cả về hạ tầng và ứng dụng, để đánh giá được hết vai
trò, tầm quan trọng của bảo mật đối với CPĐT, trước hết
chúng ta cần nhận định rõ các nguy cơ, hiện tượng gây ra
mất an toàn, an ninh thông tin cho hệ thống CPĐT như sau:
- Thông tin, dữ liệu trong hệ thống bị lộ lọt, truy
nhập, lấy cắp, nghe lén và sử dụng trái phép.
- Thông tin, dữ liệu trong hệ thống bị thay thế hoặc
sửa đổi làm sai lệch nội dung.
- Thông tin, dữ liệu không mong muốn bị tán phát
hoặc hệ thống bị tấn công, không thể kiểm soát.
- Thông tin, dữ liệu không đảm bảo tính thời gian
thực, hệ thống hay bị sự cố, ngưng trệ, hỏng hóc.
Mức độ rủi ro mà ở đó người sử dụng và các nhà
cung cấp dịch vụ Internet có thể bị tấn công; tập chung vào
các hình thức chính sau: Các cuộc tấn công mạng nở rộ; ăn
cắp tài khoản; chuyển tiền, rửa tiền; lừa đảo trực tuyến
bằng email (kể cả email tiếng việt); phát tán nhiều thư rác

và tấn công botnet.
1.3.3- Tính cấp thiết việc bảo mật cho CPĐT.
Việc đảm bảo bảo mật cho hệ thống CPĐT là một
việc làm thường xuyên và liên tục, nó đòi hỏi phải kết hợp
cả về công nghệ, giải pháp và cơ chế chính sách… Để đạt
được điều đó, chúng ta cần thực hiện một số công việc cụ
thể sau: Bảo đảm an toàn mạng và hạ tầng thông tin cho dữ
liệu và ứng dụng công nghệ thông tin, phát triển nguồn
nhân lực và nâng cao nhận thức về an toàn thông tin, môi
trường pháp lý về an toàn thông tin.
6

Hệ thống các chính sách về an toàn thông tin cần
được triển khai có hiệu lực dựa trên một hệ thống tiêu chí
đánh giá mức độ đảm bảo an toàn thông tin và mức độ tội
phạm về an toàn thông tin.

1.4- Kết luận chương:
Các ứng dụng CPĐT là kênh giao tiếp giữa người
dân và Chính phủ cũng như kênh điều hành giữa các cơ
quan quản lý các cấp nên việc đảm bảo bảo mật cho các
thông tin này là rất quan trọng. Mô hình triển khai CPĐT ở
Việt Nam hiện nay vẫn đang trong quá trình xác lập và do
sự hình thành qua nhiều bước, nhiều giai đoạn trên cơ sở
nhiều giải pháp khác nhau nên hiện vẫn tồn tại nhiều nguy
cơ gây mất an toàn.


Chương 2: NGHIÊN CỨU VỀ CÁC NGUY
CƠ VÀ GIẢI PHÁP BẢO MẬT

CHO CÁC ỨNG DỤNG CPĐT.

2.1- Phân tích mô hình CPĐT dưới góc độ đối
tượng của bảo mật:
Có ba nhiệm vụ chính tương ứng với ba mô hình
chính của chính phủ: Đổi mới dịch vụ cho người dân
(G2C); đổi mới dịch vụ cho doanh nghiệp - kinh doanh
(G2B) và đổi mới cách thức làm việc của chính phủ (G2G).
2.1.1- Mô hình Chính phủ với người dân
(G2C).
Hệ thống CPĐT có thể cung cấp cho người dân các
dịch vụ sau: Xử lý và phát hành một loạt các giấy phép và
chứng chỉ; Thông tin luật pháp và hành chính; Các dịch vụ
trả tiền, bao gồm hoàn thuế và các khoản phúc lợi xã hội;
7

Cơ hội tham gia vào các cơ quan chính phủ thông qua việc
yêu cầu và bỏ phiếu điện tử.
2.1.2- Mô hình Chính phủ với doanh nghiệp -
kinh doanh (G2B).
Dịch vụ điện tử G2B hiệu quả cần có các ứng dụng
ICT sau:
- Hệ thống thủ tục điện tử hợp nhất như hệ thống thủ
tục hành chính một cửa bao gồm tất cả các quy trình liên
quan đến thủ tục hành chính.
- Một hệ thống hải quan điện tử có thể sắp xếp hợp
lý hoá hệ thống quản lý hải quan trong ngành công nghiệp
xuất nhập khẩu và hình thành một hành lang chống buôn
lậu hiệu quả. Thương mại điên tử để hỗ trợ việc mua bán
hành hoá và dịch vụ trực tuyến.

2.1.3- Mô hình Chính phủ với Chính phủ
(G2G).
Ứng dụng G2G điện tử có mục đích cải tổ cách thức
hoạt động nội bộ của chính phủ nhằm tăng cường hiệu quả
các việc:
- Những hệ thống báo cáo của chính quyền trung
ương và địa phương được kết nối, mang lại sự chính xác.
- Tạo ra việc chia sẻ thông tin giữa các cơ quan
chính phủ theo cách thức chia sẻ dữ liệu cơ sở.
- Tạo ra việc chia sẻ sáng kiến và nguồn lực giữa các
cơ quan chính phủ.
- Cộng tác trong việc đưa ra quyết định là khả thi
thông qua hội nghị truyền hình.
2.2- Phân tích các nguy cơ bảo mật các ứng
dụng CPĐT.
2.2.1- Các nhóm nguy cơ chính.
2.2.1.1- Các nguy cơ đánh cắp thông tin.
8

Hệ thống CPĐT luôn là mục tiêu để các hacker tấn
công nhằm lấy cắp dữ liệu. Có rất nhiều hình thức tấn công
mà các đối tượng hacker có thể lợi dụng để đánh cắp dữ
liệu như: chiếm quyền điều khiển, tấn công website, cài
virus, Trojan…
2.2.1.2- Các nguy cơ về sửa đổi thông tin.
Đôi khi, hacker tấn công vào hệ thống CSDL của
các cơ quan Chính phủ không phải để đánh cắp hay phá
hủy mà đơn giản chỉ là để thay thế, sửa đổi nội dung trong
đó. Những thông tin dữ liệu bị thay thế, sửa đổi làm sai
lệnh nội dung ban đầu. Ngoài ra, chúng còn có thể lấy cắp

những dữ liệu quan trọng, bí mật nhà nước khi mà không
có biện pháp bảo vệ cơ sở dữ liệu hợp lý.
2.2.1.3- Các nguy cơ về từ chối dịch vụ.
Tấn công từ chối dịch vụ DoS (Denial of Service) là
một kiểu tấn công làm cho một hệ thống không thể sử
dụng, hoặc làm chậm đi một cách đáng kể bằng cách làm
quá tải tài nguyên của hệ thống. Đối với hệ thống CPĐT,
tấn công từ chối dịch vụ sẽ gây khó khăn không chỉ cho các
cơ quan Chính phủ mà cả đối với người dân, doanh nghiệp,
nó làm cho mọi hoạt động của các phía liên quan bị ảnh
hưởng, gây thiệt hại nặng về kinh tế, chính trị, ảnh hưởng
uy tín của cơ quan Chính phủ.
2.2.1.4- Các nguy cơ về phá hủy thông tin.
Các cơ quan Chính phủ, các tổ chức, đơn vị thường
mắc sai lầm khi không dành đủ thời gian, nguồn lực cũng
như kinh phí để đánh giá tác động của sự ngừng trệ đối với
dịch vụ và hệ thống thông tin của họ, hậu quả do dữ liệu bị
phá hủy đó là: thiệt hại về kinh tế do hệ thống bị ngừng trệ,
ảnh hưởng về chính trị, ảnh hưởng tới các chính xách kinh
tế - xã hội khi hệ thống CSDL của các đơn vị bị phá hủy.
9

2.2.2- Rủi ro và quản lý rủi ro:
Việc đảm bảo cho một hệ thống CNTT hoạt động ổn
định và đảm bảo an toàn bảo mật là một vấn đề quan trọng,
nhưng việc các sự cố về hạ tầng, CSDL,… trong hệ thống
CNTT có thể xẩy ra bất cứ khi nào, với bất kỳ hệ thống
nào. Do đó ngoài việc đảm bảo an toàn bảo mật đối với một
hệ thống CNTT đặc biệt là hệ thống CPĐT chúng ta còn
cần phải có các giải pháp, phương án đảm bảo khi xẩy ra sự

cố việc khắc phục, hạn chế thiệt hại về kinh tế và đảm bảo
thời gian khắc phục nhanh, tối ưu nhất cũng là một vấn đề
quan trọng và không thể bỏ qua.
2.2.3- Vấn đề con người trong bảo mật thông
tin.
Con người luôn là trung tâm của tất cả các hệ thống
bảo mật, bởi vì tất cả các cơ chế, các kỹ thuật được áp dụng
để bảo đảm an toàn hệ thống đều có thể dễ dàng bị vô hiệu
hoá bởi con người trong chính hệ thống đó. Để đảm bảo
mức độ an toàn, bảo mật cao cho các hệ thống CPĐT cần
xem xét, điều chỉnh thêm các quy định về các mặt sau: Các
chính sách và quy định về việc sử dụng khai thác tài
nguyên trên hệ thống mạng CPĐT hầu như chưa có; Các
quy định về việc sử dụng dịch vụ; Các quy định về việc
đưa máy tính vào hệ thống mạng; Các quy định chính sách
đối với các cán bộ, đơn vị; Các quy định đối với người
dùng cuối; Các quy định quản lý thiết bị…
2.2.4- Các dạng nguy cơ an ninh đối với các
mô hình CPĐT:
2.2.4.1- Nguy cơ trong mô hình Chính phủ với
người dân (G2C).
Hệ thống CPĐT cung cấp đầy đủ cho người dân các
dịch vụ sẽ phát sinh một số yếu tố về bảo mật sau:
10

- Tấn công truy cập Dos, gây tắc nghẽn hệ thống
mạng, người dân không thể truy cập và sử dụng được các
dịch vụ cần thiết, dẫn tới công việc, hệ thống bị ảnh hưởng.
- Hacker sửa đổi nội dung các thông tin, các mẫu tờ
khai mà Chính phủ cần cung cấp cho người dân.

2.2.4.2- Nguy cơ trong mô hình Chính phủ với
doanh nghiệp - kinh doanh (G2B).
Kẻ xấu lợi dụng, tấn công làm ngưng trệ sự hoạt
động của các dịch vụ cung cấp cho doanh nghiệp, doanh
nghiệp không truy cập, sử dụng được các dịch vụ trực
tuyến. Sửa đổi các thông tin, kết quả bỏ thầu, dả dạng các
dịch vụ của CPĐT để lấy cắp thông tin doanh nghiệp, gây
thiết hại về kinh tế và làm ảnh hưởng đến uy tín của các cơ
quan Chính phủ.
2.2.4.3- Nguy cơ trong mô hình Chính phủ với
Chính phủ (G2G).
Trong mô hình G2G vấn đề bảo mật chủ yếu liên
quan tới bên trong hệ thống cũng như con người của các cơ
quan Chính phủ, các nguy cơ chính là: Người sử dụng để
lộ, mất thông tin, để lộ thông tin truy cập vào hệ thống.
Trình độ quản trị hệ thống máy chủ, thiết bị mạng của cán
bộ CNTT yếu dẫn tới kẻ sấu lợi dụng, truy cập trái phép
vào hệ thống đánh cắp thông tin, phá hủy và sửa đổi thông
tin, cơ sở dữ liệu.
2.3- Tìm hiểu các giải pháp bảo mật CPĐT:
2.3.1- Các nhóm giải pháp chung tương ứng
với các nguy cơ.
Bảng dưới đây sẽ đưa ra mối quan hệ giữa các biện
pháp an ninh và nguy cơ an ninh, quan hệ này có thể áp
dụng cho mỗi khía cạnh an ninh. Phần giao giữa lớp an
ninh với mặt phẳng an ninh thể hiện một khía cạnh an ninh,
11

tại đó các biện pháp an ninh được áp dụng để chống lại các
nguy cơ an ninh.

Chữ “Y” trong mỗi ô của bảng thể hiện việc nguy cơ
an ninh ở cột tương ứng sẽ bị chặn bởi biện pháp an ninh
tại hạ tầng tương ứng. Đây là một bảng rất quan trọng, dựa
vào đó ta có thể tìm ra các loại giải pháp có thể đối với một
loại nguy cơ.

Bảng 2.2:Mối quan hệ giữa các nguy cơ và giải pháp an ninh

2.3.2- Giải pháp về công nghệ, hạ tầng kỹ
thuật.
2.3.2.1- Điều khiển truy nhập.
Giải pháp này nhằm hạn chế và điều khiển các truy
cập từ ngoài vào các phần tử trong hệ thống mạng như: các
thiết bị mạng, các dịch vụ và các ứng dụng. Một số lựa
12

chọn để thực hiện giải pháp này là: Sử dụng hệ thống
Router, Firewall, Switch.
2.3.2.2- Đảm bảo an toàn trong quá trình truyền
dữ liệu.
Một lựa chọn phù hợp cho giải pháp này là sử dụng
VPN và chứng thực 2 nhân tố cho người dùng. Với những
ứng dụng nội bộ hoặc công tác quản trị trong hệ thống
CPĐT hiện nay, giải pháp bảo mật tốt nhất để đảm bảo an
toàn trong quá trình truyền dữ liệu là sử dụng VPN và
chứng thực 2 nhân tố. Hệ thống VPN cho phép bảo mật
truyền tin. Hệ thống chứng thực 2 nhân tố cho phép bảo vệ
mật khẩu truy cập. Tại lớp mạng nội bộ UBND tỉnh cần
triển khai tập trung VPN song song với hệ thống chứng
thực RSA Secure ID đảm nhận việc chứng thực 2 nhân tố.

2.3.2.3- Đảm bảo tính khả dụng.
Việc đảm bảo cho người sử dụng trong hệ thống
CPĐT luôn có thể sử dụng các dịch vụ và các ứng dụng
một cách an toàn, hợp lệ là vấn đề cốt lõi. Giải pháp hữu
hiệu để thực hiện biện pháp này là chúng ta cần sử dụng
một hệ thống phát hiện / ngăn chặn truy cập trái phép
(IDS/IPS) hay sử dụng cơ chế dự phòng (Reduntdance).
IDS/IPS có vai trò dò tìm lỗ hổng để xác định các dấu hiệu
tấn công vào các thiết bị mạng và các nguồn tài nguyên
khác từ đó đưa ra các biện pháp ngăn chặn kịp thời.
2.3.2.4- Xây dựng hệ thống dự phòng và khắc
phục thảm họa.
Để gia tăng dự phòng cho hệ thống mạng cũng như
phục vụ tốt điều hành lãnh đạo của cơ quan Chính phủ, Hệ
thống mạng CPĐT cần phải tính đến có một hệ thống dự
phòng và các giải pháp khắc phục sau thảm họa một cách
hữu hiệu nhất. Giải pháp tốt nhất là xây dựng hệ thống máy
chủ lưu trữ sao lưu dữ liệu tại Trung tâm dữ liệu.
13

2.3.2.5- Giải pháp phân lớp tại Trung tâm DL
Theo mô hình thiết kế trung tâm dữ liệu thường
được chia thành 4 lớp:
- Vùng Font-End: gồm các máy chủ Web, DNS,…
- Vùng Application: là nơi đặt các Server để thực
hiện các ứng dụng chính của Trung tâm dữ liệu.
- Vùng Back-End: gồm các máy chủ MailBox, File
Server, Backup Server, máy chủ DataBase …
- Vùng lưu trữ Storage: gồm hệ thống SAN switch.
Tại các lớp được thiết lập Firewall, hệ thống IPS và

chống DDoS theo mô hình sau:

Hình 2. 4: Mô hình các lớp trong bảo mật Trung tâm dữ liệu
2.3.2- Giải pháp về Cơ sở dữ liệu.
2.3.2.1- Giải pháp đảm bảo toàn vẹn dữ liệu
- Sử dụng chữ ký số: Việc sử dụng chữ ký số, xác
thực điện tử trong hệ thống CPĐT nhằm đảm bảo an toàn
bảo mật cho các giao dịch là vấn đề quan trọng , cấp thiết.
- Sử dụng phần mềm chống virus: Việc xây dựng
một hệ thống diệt virus tập trung cho toàn bộ hệ thống
mạng LAN trong các cơ quan nhà nước sẽ đem lại hiệu quả
14

cao trong việc đảm bảo an toàn, toàn vẹn cơ sở dữ liệu, góp
phần đảm bảo an toàn, an ninh thông tin trong hệ thống
mạng CPĐT.
2.3.2.2- Giải pháp bảo mật dữ liệu.
Phương pháp này nhằm đảm bảo bí mật cho người
gửi cũng như người nhận CSDL, tránh được những rủi do
không đáng có của bên thứ 3 gây ra. Mã hóa là một cách để
giữ cho dữ liệu an toàn, cho dù chúng ta truyền nó qua
Internet, sao lưu lên máy chủ hoặc lưu trên máy tính xách
tay của mình. Một số phương pháp mã hóa đề xuất sử
dụng: Áp dụng cơ chế mật khẩu một lần, mã hóa dữ liệu
cho người dùng trên nền web.
2.3.3- Giải pháp về con người, cơ chế chính
sách.
2.3.3.1- Chính sách bảo mật người dùng:
Trong môi trường mạng CPĐT, một số chính sách
về bảo mật thông tin sau đây cần quan tâm: Các yêu cầu

quản lý tập trung; quản lý truy cập người dùng; trách nhiệm
người dùng; giám sát mạng; kiểm soát truy cập ứng dụng;
theo dõi truy cập và sử dụng hệ thống; kết nối từ xa và làm
việc qua mạng.
2.3.3.2- Các chính sách.
- Chính sách bảo mật nhân sự
- Chính sách về quản lý thiết bị
- Chính sách về quản lý truy cập
- Chính sách bảo mật tài liệu.
2.4- Tìm hiểu một số giải pháp bảo mật cho
các ứng dụng CPĐT của các hãng cung cấp.
2.4.1- Giải pháp của Hãng Cisco.
Cisco Systems Việt Nam đã giới thiệu Hệ thống điện
toán hợp nhất Cisco phục vụ cho CPĐT, đó là giải pháp
bảo mật hội tụ. Giải pháp này được thiết kế để giúp các
15

trung tâm dữ liệu chống lại các mối đe dọa mà họ phải đối
mặt khi chuyển sang môi trường hợp nhất và ảo hóa, cho
phép các cơ quan Chính phủ tận dụng lợi thế của mô hình
mới dựa trên đám mây.
2.4.2- Giải pháp của HP.
Nhằm giới thiệu những giải pháp tiên tiến nhất cho
Chính phủ điện tử, HP đã chia sẻ chiến lược CNTT dành
cho Chính phủ điện tử với mong muốn giúp các cơ quan
Chính phủ xây dựng và phát triển một chiến lược điện toán
đám mây, nhằm cung cấp sự bảo mật, công nghệ, quy trình
và quản trị tổ chức một cách mạnh mẽ trong việc cung cấp
và nâng cao các dịch vụ cho công dân. HP đã giới thiệu giải
pháp Hạ tầng hội tụ - giải pháp đầu tiên của ngành có sự

kết hợp giữa đám mây tư, đám mây thuê ngoài quản lý và
đám mây công cộng với CNTT truyền thống, nhằm cung
cấp sự truy cập không giới hạn đến hạ tầng cơ sở, các ứng
dụng và thông tin mọi nơi mọi lúc.
2.5- Kết luận chương:
Chương 2 đã phân tích các mô hình CPĐT dưới góc
độ của bảo mật, từ đó rút ra được các dạng nguy cơ về bảo
mật đối với từng mô hình CPĐT. Căn cứ vào các nhóm
nguy cơ chung, các dạng nguy cơ đối với từng mô hình ta
đưa ra được các giải pháp về bảo mật cho các ứng dụng
CPĐT và cả các chính sách, cơ chế để đảm bảo triển khai
các ứng dụng chính phủ điện tử một cách hiệu quả, an toàn
và tiện lợi nhất đối với cả người dân, doanh nghiệp, các cơ
quan quản lý.


16

Chương 3: NGHIÊN CỨU, ĐỀ XUẤT GIẢI
PHÁP BẢO MẬT CHO CPĐT TẠI TỈNH
BẮC NINH.

Chương này sẽ mô tả hiện trạng ứng dụng CPĐT ở
Tỉnh Bắc Ninh từ đó căn cứ vào các phân tích nhận định về
các nguy cơ và các giải pháp đối với các nguy cơ ở chương
2, học viên sẽ phân tích các điểm yếu về bảo mật đối với hệ
thống CPĐT tại tỉnh Bắc Ninh và từ đó đưa ra đề xuất các
giải pháp để đảm bảo an toàn bảo mật cho hệ thống này.

3.1- Hiện trạng triển khai CPĐT tại Tỉnh Bắc

Ninh:
Toàn tỉnh Bắc Ninh hiện 100% các cơ quan, đơn vị
có mạng nội bộ (LAN), trong đó có 16 cơ quan, đơn vị khối
Đảng với 352 cán bộ, công chức với 300 máy tính làm việc
(đạt 85,2% số cán bộ công chức có máy tính sử dụng), và
20 Sở, ban ngành, UBND các huyện thị xã, thành phố với
khoảng 1944 cán bộ công chức, số máy tính trạm khoảng
1540 máy (đạt 97,2% số cán bộ, công chức có máy tính sử
dụng), 99% máy tính có kết nối Internet. Đối với ngành
Giáo dục 100% các trường THPT, 92% các trường THCS,
90% các trường Tiểu học được kết nối với Internet. Hệ
thống mạng truyền dẫn được kết nối đến 100% các xã và
80% các thôn trên địa bàn toàn tỉnh.
3.1.1- Hạ tầng mạng, truyền dẫn.
Hiện tại, hệ thống mạng tại UBND tỉnh Bắc Ninh
tồn tại 03 hệ thống mạng hoạt động độc lập với nhau về
chức năng và cấu trúc vật lý, bao gồm:
- Hệ thống mạng LAN nội bộ (có truy cập Internet).
- Hệ thống mạng kết nối với hệ thống CPNet của
Văn phòng Chính phủ.
17

- Hệ thống mạng Hội nghị truyền hình.
3.1.1.1- Hệ thống mạng LAN nội bộ tại UBND
tỉnh:

Hình 3. 1: Sơ đồ mạng LAN tại Trung tâm THDL Tỉnh Bắc
Ninh
Các đơn vị trong nội bộ Thành phố Bắc Ninh kết nối
vào hệ thống mạng TSLCD bằng đường cáp quang, thông

qua 1 thiết bị Switch CE500G từ trụ sở đơn vị kết nối tới
thiết bị Switch Cisco 7600 đặt tại Công ty viễn thông tỉnh.
Với các đơn vị Huyện, Thị xã trong tỉnh kết nối ra mạng
TSLCD bằng đường cáp quang, thông qua Switch CE
500G từ trụ sở đơn vị vào hệ thống mạng MAN của viễn
thông tỉnh rồi đi tới thiết bị Switch Cisco 7600 tại công ty
viễn thông tỉnh.
Trong hệ thống mạng nội bộ tại UBND tỉnh, mọi kết
nối của hệ thống máy chủ, người sử dụng của các phòng,
ban trong UBND tỉnh thông qua thiết bị Switch 2960 theo
mô hình phẳng một lớp, không phân chia VLAN cho các
đơn vị sử dụng. Hiện tại hệ thống địa chỉ IP của tỉnh Bắc
Ninh sử dụng theo mô hình phẳng không chia thành các
VLAN cấu hình IP tĩnh trên từng máy do không sử dụng
DHCP server.
18

3.1.1.2- Hệ thống mạng kết nối với hệ thống
CPNet của Chính phủ.
Hệ thống mạng kết nối sử dụng các phần mềm dùng
chung do Chính phủ triển khai tại đầu nút UBND tỉnh Bắc
Ninh kết nối với Trung tâm THDL Văn phòng Chính phủ
thông qua thiết bị SW CE500 và sử dụng địa chỉ IP được
quy hoạch của Bưu điện Trung ương.
3.1.1.3- Hệ thống mạng Hội nghị truyền hình.
Hệ thống mạng hội nghị truyền hình tại UBND tỉnh
Bắc Ninh bao gồm 2 hệ thống độc lập riêng biệt là:
- Hệ thống Hội nghị truyền hình kết nối với Chính
phủ: Đây là hệ thống hội nghị truyền hình phục vụ các cuộc
hội nghị giữa các cơ quan TW với Tỉnh Bắc Ninh, sử dụng

đường truyền TSLCD do Bưu điện Trung ương cung cấp.
- Hệ thống Hội nghị truyền hình nội bộ tỉnh Bắc
Ninh: Đây là hệ thống phục vụ các cuộc hội nghị của
UBND tỉnh với UBND các huyện, thị xã. Sử dụng hệ thống
đường TSLCD do Công ty viễn thông Bắc Ninh cung cấp.
3.1.2- Các ứng dụng, dịch vụ đang triển khai.
3.1.2.1- Ứng dụng phục vụ trong cơ quan nhà
nước:
Hệ thống các ứng dụng phục vụ trong cơ quan nhà
nước tại tỉnh Bắc Ninh đang triển khai, hoạt động bao gồm:
Hệ thống Quản lý văn bản và điều hành; Hệ thống thư điện
tử công vụ; Phần mềm quản lý Hộ tịch
3.1.2.2- Ứng dụng phục vụ cho người dân,
doanh nghiệp.
Việc triển khai các ứng dụng phục vụ người dân,
doanh nghiệp luôn đi đối với các ứng dụng phục vụ trong
các cơ quan, đơn vị thông qua các ứng dụng: Hệ thống
Cổng thông tin điện tử của tỉnh (Portal), các Website của
các Sở, ban, ngành, UBND các huyện thị xã, thành phố
19

nhằm cung cấp các dịch vụ công trực tuyến tới người dân,
doanh nghiệp gồm: cấp phép xây dựng, giải quyết khiếu nại
tố cáo và cấp giấy phép hành nghề y dược tư nhân.
3.1.3- Mô hình quản lý.
Cơ quan tham mưu trực tiếp cho UBND tỉnh về định
hướng đầu tư, phát triển CNTT ở Tỉnh là BCD CNTT tỉnh,
cơ quan quản lý nhà nước về CNTT – TT là Sở Thông tin
truyền thông.


3.1.4- Phân tích các điểm yếu về bảo mật đối
với hiện trạng CPĐT của tỉnh Bắc Ninh.
Dựa trên việc phân tích các nguy cơ về an toàn bảo
mật và những đánh giá hiện trạng hệ thống CPĐT tại tỉnh
Bắc Ninh ở phần trên, ta rút ra được những điểm yếu về
bảo mật trong hệ thống CPĐT tại tỉnh Bắc Ninh như sau:
3.1.4.1- Điểm yếu về quy hoạch, thiết kế hạ tầng
mạng.
- Chưa tối ưu việc phân chia các vùng mạng trong hệ
thống, việc quy hoạch, thiết kế hệ thống mạng tại Trung
tâm THDL chưa hợp lý, khoa học; việc quy hoạch địa chỉ
IP chưa hợp lý.
- Hệ thống mạng truy cập Internet chung với hệ
thống mạng nội bộ lên khả năng đảm bảo an toàn, bảo mật
cho CSDL và người dùng nội bộ không cao.
- Chưa xây dựng hệ thống diệt virus tập chung.
3.1.4.2- Điểm yếu về CSDL.
- Các dịch vụ hiện tại trong hệ thống mạng chưa
nhiều nhưng đối với các dịch vụ đang có nhìn chung chưa
có các biện pháp an ninh và an toàn, bảo mật đối với từng
dịch vụ.
20

- Chưa đưa vào sử dụng hệ thống chữ ký số dẫn tới
nguy cơ mất an toàn, toàn vẹn CSDL khi giao dịch, gửi
nhận tài liệu, văn bản.
- Các hệ thống chống DDoS, Spam, virus, tường lửa
chưa được triển khai để đảm bảo an toàn cho người dùng
và hệ thống.
- Chưa có giải pháp Backup tập chung cho CSDL

khi có sự cố xẩy ra.
3.1.4.3- Về mặt chính sách quy định.
Về cơ bản, Tỉnh Bắc Ninh đã ban hành các quy định
về việc sử dụng và khai thác tài nguyên, tài liệu, sử dụng hệ
thống mail công vụ. Tuy nhiên, để đảm bảo mức độ an
toàn, bảo mật cao cho các hệ thống CNTT của Tỉnh và các
đơn vị, cần xem xét, điều chỉnh thêm các quy định trên về
các mặt sau: Các chính sách và quy định về việc sử dụng
khai thác tài nguyên trên hệ thống mạng chuyên dùng; Quy
định về việc sử dụng dịch vụ; Quy định chính sách đối với
các cán bộ, đơn vị; Quy định quản lý trang thiết bị
3.1.4.4- Về mặt con người, đối tượng khai thác.
Trong lĩnh an toàn, bảo mật thông tin, ngoài vấn đề
thiết bị, hạ tầng công nghệ thì vấn đề con người cũng rất
quan trọng, nó ảnh hưởng trực tiếp đến việc một hệ thống
có an toàn hay không khi mà hệ thống trang thiết bị, công
nghệ đã đảm bảo.
Nhìn chung, hệ thống cán bộ chuyên trách CNTT
còn thiếu về số lượng và hạn chế về chuyên môn, nhất là
lĩnh vực bảo mật. Người dùng trong hệ thống chưa có nhận
thức đúng về các nguy cơ đối với an ninh mạng, cách sử
mật khẩu an toàn, các thiết bị lưu trữ di động.
21

3.2- Đề xuất giải pháp bảo mật cho hệ thống
CPĐT tại Tỉnh Bắc Ninh.
Từ những phân tích, đánh giá những điểm yếu về
bảo mật trong hệ thống CPĐT tại tỉnh Bắc Ninh ở trên, căn
cứ vào các nguy cơ, giải pháp đảm bảo an toàn bảo mật cho
một hệ thống sẽ đưa ra được các giải pháp cụ thể, chi tiết

về các mặt cho một hệ thống CNTT. Đối với hệ thống
CPĐT tại tỉnh Bắc Ninh, việc đảm bảo an ninh bảo mật cần
phải thực hiện một cách tổng thể, toàn diện trên mọi mặt về
hạ tầng công nghệ, các chính sách và quản lý giám sát.
Việc đưa ra các giải pháp đảm bảo an toàn bảo mật cho hệ
thống CPĐT của tỉnh, đáp ứng các yêu cầu bảo mật chung
cho hệ thống nó còn phải đáp ứng được các tiêu chuẩn,
chính sách về an toàn bảo mật riêng cho từng ứng dụng,
dịch vụ của Chính phủ, các Bộ, Ban ngành dọc ở Trung
ương. Do đó những giải pháp đưa ra dưới đây chỉ mang
tính chất đề xuất áp dụng dựa trên hiện trạng thực tế của địa
phương và hiện trạng triển khai các phần mềm dùng chung
của các cơ quan Chính phủ nhằm hướng tới một hệ thống
CPĐT của tỉnh Bắc Ninh đảm bảo an toàn bảo mật, hệ
thống các dịch vụ hoạt động có hiệu quả tiến tới phục vụ
đội ngũ cán bộ công chức, người dân và doanh nghiệp ngày
một tốt hơn.
3.2.1- Giải pháp về hạ tầng công nghệ.
3.2.1.1- Đề xuất thiết kế mô hình hạ tầng mạng.
Để đảm bảo nhu cầu cung cấp dịch vụ và mức độ an
toàn, bảo mật, tôi đề xuất thiết kế lại hạ tầng hệ thống mạng
của UBND tỉnh Bắc Ninh bao gồm các phân lớp như sau:

22


Lớp biên (Gateway): Đây là Gateway cho các lưu
lượng vào/ra của hệ thống mạng của UBND tỉnh. Khối này
cung cấp hai loại dịch vụ là kết nối Internet và kết nối tới
mạng truyền số liệu chuyên dụng tới Trung ương và các

đầu mối Sở, các huyện, đơn vị trực thuộc.
23

Lớp lõi (Core): Lớp lõi đóng vai trò chuyển mạch
trung tâm cho toàn bộ lưu lượng trao đổi nội bộ và ra bên
ngoài của các máy trạm trong UBND tỉnh.
Lớp truyền tải (Distribution): Lớp truyền tải là lớp
kết nối giữa lớp lõi tới lớp truy nhập và hệ thống máy chủ,
cung cấp cổng truy nhập (Access) cho người sử dụng, làm
nhiệm vụ tập trung lưu lượng từ lớp truy nhập đưa lên lõi,
yêu cầu hiệu năng cao và khả năng sẵn sàng cao.
Lớp truy nhập (Access): Lớp truy nhập cung cấp
thuần tuý hệ thống chuyển mạch lớp 2, được bố trí tại trụ
sở UBND tỉnh. Các nhóm người sử dụng trong mạng nội
bộ sẽ được phân chia dựa theo cấu hình các VLAN, việc
trao đổi giữa các VLAN này sẽ do lớp truyền tải và lớp lõi
đảm nhiệm.
Lớp quản lý (Management): Lớp quản lý thực hiện
quản lý toàn bộ thiết bị mạng, có thể quản lý theo đường
Console, Telnet, SMNP.
Lớp bảo mật (Security): Để đảm bảo độ an toàn dữ
liệu cao nhất, tất cả các lớp đều có tính năng bảo mật cao
cung cấp tất cả các phương án can thiệp quản lý từ lớp 2
đến lớp 7 cho các lưu lượng trao đổi trong và ngoài hệ
thống, bao gồm: Firewall, VPN, IPS/IDS, DDoS detector,
máy chủ anti-virus, Proxy…
3.2.1.2- Xây dựng hệ thống lưu trữ, sao lưu dữ
liệu cho Trung tâm Dữ liệu:
Xây dựng hệ thống lưu trữ Storage tại trung tâm dữ
liệu UBND tỉnh nhằm mục đích lưu trữ toàn bộ CSDL của

Trung tâm và của các Sở, huyện trong toàn bộ hệ thống. Hệ
thống lưu trữ sử dụng công nghệ lưu trữ SAN với các thành
phần chính sau:
- 01 hệ thống lưu trữ SAN có kiến trúc Fiber Chanel
có hiệu năng lớn, độ sẵn sàng và khả năng mở rộng cao.