1

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG



NGUYỄN XUÂN KHÁNH


GIẢI PHÁP AN NINH BẢO MẬT MẠNG TRUYỀN
SỐ LIỆU CHUYÊN DÙNG VÀ ỨNG DỤNG CHO VÙNG
TÂY NGUYÊN

Chuyên ngành: Kỹ Thuật Viên Thông
Mã số: 60.52.02.08



TÓM TẮT LUẬN VĂN THẠC SĨ




HÀ NỘI – 2014
2

3



MỞ ĐẦU

Trong lĩnh vực công nghệ thông tin - truyền thông
nói chung và trong lĩnh vực truyền số liệu nói riêng, vấn
đề an ninh, bảo mật cho thông tin, dữ liệu là rất quan trọng
bởi tầm quan trọng của nội dung thông tin, dữ liệu. Các dữ

liệu không chỉ đòi hỏi phải bảo mật với các ứng dụng khác
nhau, mà còn đòi hỏi bảo mật với chính các ứng dụng
trong nội bộ hệ thống.
Thực tế hiện nay, khu vực Tây Nguyên gồm 5 tỉnh
Gia Lai, Kon Tum, Lâm Đồng, Đắk Lắk, Đắk Nông với
rất đông dân tộc ít người đang sinh sống như Ba Na, Gia
Rai, Ê Đê, Cơ Ho, Mạ, Xơ Đăng, Mơ nông, Tây
Nguyên được xác định có nhiều bất ổn về an ninh, chính
trị mà điển hình là các phần tử cực đoan theo Fulro với
tuyên bố thành lập nhà nước “Cộng hòa Đêga” năm 2001,
cũng như vụ gây rối chính trị trên quy mô lớn với gần 10
nghìn người tham gia đồng loạt ở các tỉnh Đắk Lắk, Gia
Lai, Đắk Nông tháng 4 năm 2004. Trước tình hình này,
Đảng, Nhà nước đã rất quan tâm tới ổn định an ninh, chính
trị, trật tự xã hội ở khu vực Tây Nguyên. Đặc biệt với
mạng truyền số liệu chuyên dùng của vùng Tây Nguyên
yêu cầu phải được bảo đảm an ninh, an toàn trong truyền
4

tải thông tin, dữ liệu của các cơ quan quản lý nhà nước của
các tỉnh vùng Tây Nguyên.
Cho nên, nội dung của đề tài đặt vấn đề nghiên cứu,
đề xuất giải pháp an ninh bảo mật trên toàn trình từ đầu
cuối tới đầu cuối, bao gồm cả lớp mạng, lớp cơ sở dữ liệu
và lớp đầu cuối người sử dụng và ứng dụng cho vùng Tây
Nguyên. Các giải pháp an ninh, bảo mật này kết hợp cùng
với các giải pháp về hạ tầng kỹ thuật mạng sẽ hình thành
nên hệ thống cơ sở hạ tầng công nghệ thông tin - truyền
thông toàn diện bảo đảm đủ điều kiện phục vụ cho công
tác quản lý nhà nước của vùng Tây Nguyên.

Luận văn: “Giải pháp an ninh bảo mật mạng
truyền số liệu chuyên dùng và ứng dụng cho vùng Tây
Nguyên” đưa ra đánh giá và giải pháp an ninh tổng thể,
mạng thông tin truyền thông nói chung và mạng truyền số
liệu chuyên dùng vùng Tây Nguyên nói riêng mặc dù đã
được chú trọng bảo đảm an ninh, bảo mật. Tuy nhiên, điều
này mới được thực hiện ở lớp mạng và lớp truyền tải. Còn
lớp ứng dụng và nhất là lớp đầu cuối người sử dụng thì
gần như chưa được quan tâm bảo đảm an ninh, an toàn.
Cho nên nguy cơ mất an ninh, an toàn và bảo mật trên
mạng là rất lớn. Vì vậy, vấn đề nghiên cứu đặt ra đó là
nghiên cứu toàn diện giải pháp an ninh, bảo mật cho các
lớp mạng, lớp truyền tải và lớp ứng dụng, lớp đầu cuối
người dùng. Có như vậy mới bảo đảm đáp ứng yêu cầu an
5

ninh, bảo mật cho nội dung thông tin dữ liệu truyền trên
mạng đã thu thập, phân tích thực trạng hạ tầng thông tin
truyền thông của vùng Tây Nguyên (gồm 5 tỉnh: Lâm
Đồng, Gia Lai, Kom Tum, Đắk Lắk, Đắk Nông),
nghiên cứu lựa chọn công nghệ cho hạ tầng mạng thông
tin truyền thông, qua đó đề xuất giải pháp tổ chức và
kiểm soát lưu lượng mạng thông tin truyền thông vùng
Tây Nguyên nói riêng và mạng đường trục nói chung.








6

CHƯƠNG I
GIẢI PHÁP KỸ THUẬT CÔNG NGHỆ AN NINH
BẢO MẬT MẠNG THÔNG TIN

Chương I nêu lên tình hình chung về an ninh bảo mật
cũng như tình hình triển khai các hệ thống an ninh bảo
mật ở các cơ quan nhà nước hiện nay. Tổng quan về các
kỹ thuật cơ bản đã và đang được áp dụng vẫn chưa giải
quyết triệt để được vấn đề an ninh, luôn có sự nhìn nhận
về các vấn đề an ninh thỏa đáng và cấp thiết để đề xuất
giải pháp thích hợp, nhất là đối với mạng TSLCD của
Đảng và Nhà nước triển khai.
I.1. Tổng quan về an ninh bảo mật
Có nhiều nguyên nhân dẫn đến việc các hệ thống
mạng bị tấn công nhiều hơn, trong số những nguyên nhân
chính có thể kể đến là các lỗ hổng trong hệ điều hành,
trong các ứng dụng thương mại điện tử, và những nguyên
nhân xuất phát từ sự mất cảnh giác của người dùng, chủ ý
của kẻ phá hoại…, tạo nên những nguy cơ mất an toàn
thông tin. Cũng cần lưu ý rằng những nguy cơ mất an toàn
mạng không chỉ do tấn công từ bên ngoài mà một phần lớn
lại chính là từ nội bộ: nhân viên bất mãn, sai sót của người
sử dụng, ý thức bảo mật kém,…
7

I.1.1.


Tình hình an ninh, bảo mật mạng tại Việt Nam
I.1.2.

Tình hình triển khai bảo đảm an toàn, an ninh
mạng tại Việt Nam
 Môi trường pháp lý về ATTT
 Tình hình triển khai ATTT số
 Về quản lý ATTT
I.2.

Giải pháp kỹ thuật - công nghệ an ninh, bảo mật
I.2.1.

Phương pháp chung ngăn chặn các kiểu tấn
công
Công tác bảo mật thường được bắt đầu bằng những
cách thiết lập ngay trên hệ thống, cũng như chính sách
của công ty:
 Đối với các tài khoản trên hệ thống:
 Đối với nơi lưu trữ:
 Đối với hệ thống:
I.2.2.

Một số giải pháp an ninh mạng
Đây là các giải pháp đã, đang và sẽ triển khai trong
diện rộng mạng thông tin truyền thông nói chung. Các
giải pháp khi kết hợp với nhau sẽ mang tính bảo mật cho
toàn hệ thống cao hơn.
8


I.2.2.1.

Giải pháp tường lửa
I.2.2.2.

Giải pháp phát hiện, ngăn chặn tấn công
(IPS/ IDS)
I.2.2.3.

Giải pháp xác thực sử dụng máy chủ
AAA
I.2.2.4.

Giải pháp thiết lập kết nối an toàn và mã
hóa dữ liệu
I.2.2.5.

Giải pháp phòng chống virus và mã độc
I.2.2.6.

Giải pháp quản lý hệ thống kết nối và an
ninh mạng
I.2.2.7.

Giải pháp phân quyền quản trị
I.2.2.8.

Quản trị đơn giản cho những công việc
phức tạp
I.2.2.9.


Giải pháp rà quét khắc phục lỗ hổng an
ninh, bảo mật hệ thống
I.3. Kết luận chương



9

CHƯƠNG II
THỰC TRẠNG AN NINH BẢO MẬT MẠNG
TRUYỀN SỐ LIỆU CHUYÊN DÙNG
VÙNG TÂY NGUYÊN

Chương II đã nêu lên cấu hình mạng TSLCD của Vùng
Tây Nguyên, từ đó phân tích các vấn đề an toàn mạng có
ảnh hưởng trực tiếp tới mạng TSLCD của vùng Tây
Nguyên. Các giải pháp cơ bản được đưa là cơ sở để giải
quyết cụ thể các vấn đề bảo đảm an toàn mạng sẽ được
thảo luận ở chương sau.
II.1. Kiến trúc mạng truyền số liệu chuyên dùng vùng
Tây Nguyên
Mạng TSLCD là mạng truyền dẫn tốc độ cao với
công nghệ hiện đại, sử dụng phương thức chuyển
mạch nhãn đa giao thức (IP/MPLS). Kết nối mạng tại tất
cả các điểm đều sử dụng cáp quang tốc độ 100/1000 Mbps
hoặc cáp đồng; các kết nối đều đảm bảo tính dùng riêng,
an ninh và an toàn bảo mật, tính dự phòng cao, cho phép
hoạt động thông suốt 24 giờ / 7 ngày. Trên cơ sở hạ tầng
mạng tiên tiến và đồng bộ, mạng TSLCD đáp ứng tốt rất

nhiều dịch vụ như: Truyền hình hội nghị; quản lý và điều
hành qua văn bản điện tử; thư điện tử; truy cập Internet tốc
độ cao; cho thuê chỗ đặt máy chủ (Hosting); kết nối mạng
riêng ảo; truy nhập từ xa (Remote Access IP VPN); truyền
hình Internet chất lượng cao (IPTV)…
10

II.1.1. Hiện trạng hạ tầng mạng thông tin truyền
thông chung của 5 tỉnh vùng Tây Nguyên
 Về thiết bị kết nối
 Về công nghệ
 Về kết nối mạng
II.1.2. Đánh giá hiện trạng mạng thông tin truyền
thông kết nối trong phạm vi nội bộ 5 tỉnh vùng Tây
Nguyên
II.2. Thu thập tổng hợp thực trạng và yêu cầu an
ninh, bảo mật mạng TSLCD vùng Tây Nguyên
II.2.1. Thực trạng an ninh, bảo mật mạng TSLCD
vùng Tây Nguyên
II.2.2. Đánh giá năng lực hệ thống bảo mật hiện tại
của mạng TSLCD vùng Tây Nguyên
- Hiện tại, mạng TSLCD chỉ tập trung bảo mật tại
cổng Gateway Internet sử dụng cặp Firewall trên Core
Switch và thiết bị phát hiện tấn công (IDS). Tuy nhiên,
năng lực của thiết bị IDS chỉ đáp ứng 500Mbps không đủ
đáp ứng tốc độ kết nối Internet tại trung tâm Vùng, trong
thời gian tới sẽ nâng cấp lên 2.5Gbps)
- Các máy chủ ứng dụng cung cấp dịch vụ như
website, email mới chỉ có bảo vệ thông qua năng lực xử lý
của bộ định tuyến và như vậy rõ ràng là chưa đủ. Các máy

chủ ứng dụng phải có 1 hệ thống bảo vệ riêng, chuyên
dụng để chống các tấn công mức ứng dụng như thiết bị
11

bảo mật website, chặn lọc virus/spam tấn công vào hệ
thống email…
- Nguy cơ tấn công giữa nội bộ các khách hàng mạng
TSLCD là rất cao do hiện tại chưa có thiết bị để ngăn chặn
các tấn công này. Điều này đặc biệt quan trọng do đặc thù
khách hàng là các cơ quan Đảng, Nhà nước đều rất quan
tâm đến vấn đề bảo mật.
II.3. Các vấn đề về an ninh bảo mật mạng TSLCD
vùng Tây Nguyên
II.3.1. Một số vấn đề về an ninh an toàn cho mạng
TSLCD vùng Tây Nguyên
II.3.1.1. Các vấn đề an ninh chung đối với mạng
TSLCD vùng Tây Nguyên
Ngoài việc tồn tại các vấn đề về an ninh đối với
mạng TSLCD, thì mạng TSLCD triển khai cho vùng
Tây Nguyên còn phải giải quyết các vấn đề an ninh
bảo mật tại đầu cuối, nơi mà các thế lực phản động,
thù địch có thể dễ dàng tân công vào nhất, và xác
xuất tấn công tại đầu cuối là cao nhất
II.3.1.2. Vấn đề an ninh cho mạng LAN không
dây kết nối tại đầu cuối
II.3.2. Các giải pháp cơ bản tăng cường an ninh bảo
mật mạng TSLCD
II.3.2.1. Giải pháp an ninh mạng bảo vệ hệ thống
tại cổng kết nối Internet
12


Trang bị mới giải pháp tường lửa thế hệ mới Next
Generation Firewall (bao gồm: Firewall, Application
Firewall, IPS, Anti-Bot, ) để đáp ứng yêu cầu về mức độ
an ninh tại cổng kết nối Internet cũng như tốc độ xử lý tại
các cổng Internet này
Thiết bị Firewall hiện có được điều chuyển để bảo vệ
các vị trí khác như Trung tâm dữ liệu. Bổ sung giải pháp
kiểm soát và lọc nội dung web, loại bỏ virus và mã độc
hại qua việc truy cập Web
II.3.2.2. Giải pháp an ninh mạng, tăng cường
cho Trung tâm dữ liệu
- Sử dụng Firewall hiện có để bảo vệ riêng cho Trung
tâm dữ liệu
- Bổ sung giải pháp IPS chuyên dụng để tăng cường
bảo vệ cho Trung tâm dữ liệu.
II.3.2.3. Giải pháp giám sát an ninh mạng tập
trung
- Bổ sung hệ thống thu thập log và các sự kiện trên
hệ thống mạng
- Phân tích, nhận dạng và cảnh báo sớm các nguy cơ
và sự cố an toàn mạng.
- Phản ứng nhanh với các sự cố an ninh mạng ở một
số bộ phận quan trọng
II.4. Kết luận chương

13

CHƯƠNG III
GIẢI PHÁP AN NINH BẢO MẬT MẠNG TRUYỀN

SỐ LIỆU CHUYÊN DÙNG
VÙNG TÂY NGUYÊN

Chương III đưa ra các giải pháp xuyên suốt từ an
ninh bảo mật cho cơ sở dữ liệu và ứng dụng ở mạng lõi,
bảo mật trên đường truyền kết nối phân cấp từ Vùng -
Tỉnh - Huyện, và các biện pháp kỹ thuật hỗ trợ người dùng
đầu cuối nâng cao tính bảo mật chống thất thoát dữ liệu.
Mạng TSLCD ứng dụng cho Vùng Tây Nguyên được cấu
hình cơ bản ổn định về truyền tải và an ninh mạng
III.1. Giải pháp an ninh, bảo mật cho lớp mạng lõi và
ứng dụng
Cơ sở dữ liệu (CSDL) chạy cho hệ thống mạng lõi
của mạng TSLCD vùng Tây Nguyên sử dụng cấu trúc
SQL để truy vấn, các máy chủ SQL được đặt tại Trung
tâm Vùng. Bản thân SQL được thiết kế với các tính
năng an ninh bảo mật cao, vì thế cần tận dụng triệt để
màng an ninh của chính dịch vụ sử dụng
III.1.1. An ninh bảo mật cho hệ Cơ sở dữ liệu
III.1.2. Bảo mật ứng dụng lọc nội dung Web
III.2. Giải pháp an ninh, bảo mật lớp mạng truyền tải
của vùng Tây Nguyên
14

III.2.1. An ninh, bảo mật trong mạng VPN – MPLS
Các tính năng bảo mật nổi bật của MPLS VPN thường
được chú ý là: tách biệt các VPN, chống lại các cuộc tấn
công từ bên ngoài, bảo vệ chống sự giả mạo
III.2.1.1. Tách biệt các VPN
III.2.1.2. Chống lại các tấn công

III.2.1.3. Bảo vệ mạng lưới MPLS
III.2.1.4. Bảo vệ chống lại sự giả mạo
III.2.2. Xây dựng giải pháp giám sát an ninh tập
trung Vùng – Tỉnh – Huyện
III.2.2.1. Giải pháp hệ thống giám sát an ninh
tập trung phạm vi Vùng
- Thiết bị an ninh mạng: FW, IPS/IDS, hệ thống chống virus, …
- Thiết bị mạng: chuyển mạch, bộ định tuyên
- Hệ thống máy chủ
- Các ứng dụng, phần mềm
- Các cảnh báo của các tổ chức nghiên cứu trong và ngoài nước.
- Thu thập, lưu trữ các sự kiện, log của hệ thống mạng cho mục đích tìm
kiếm, thống kê, nghiên cứu và phân tích các sự cố an ninh mạng sau này.
- Phân tích, nhận dạng và cảnh báo sớm các nguy cơ và sự cố an toàn
mạng.
- Hỗ trợ các bộ phận liên quan: bảo mật, mạng phản ứng nhanh với các sự
cố an ninh mạng
15

III.2.2.2. Giải pháp hệ thống giám sát an ninh
tập trung phạm vi Tỉnh
III.2.2.3. Giải pháp hệ thống giám sát an ninh
tập trung phạm vi Huyện
III.2.3. Giải pháp ứng dụng mật mã trên đường
truyền điểm – điểm
Đối với các hệ thống truyền thông tin nộ bộ tỉnh hay
nội vùng, việc bảo đảm bí mật là yếu tố quan trọng.
Thông tin truyền đi cần được mã hóa và phải đáp ứng
được hai yêu cầu: Toàn vẹn dữ liệu và Truyền khóa bí
mật.

III.3. Giải pháp an ninh, bảo mật lớp đầu cuối
người dùng ứng dụng cho vùng Tây Nguyên
III.3.1. Giải pháp giám sát kết nối tại đầu cuối
trong nội bộ mạng TSLCD
Các nguy cơ trong chính hệ thống mạng TSLCD là yếu
tố ảnh hưởng gần nhất tới an minh bảo mật dữ liệu. Việc
kết nối đầu cuối trong mạng TSLCD trước nay chưa được
thực hiện tiếp cận rà soát xử lý triệt để. Các biện pháp từ
ý thức của cán bộ sử dụng tới các công cụ phần cứng và
phần mềm hỗ trợ. Ngoài các vấn đề liên quan tới ý thức
của cán bộ sử dụng (chỉ có thể thông qua văn bản, các đợt
tập huấn nghiệp vụ, ), các kỹ sư thiết kế hệ thống đưa ra
các công cụ hỗ trợ khác. Khi việc tích hợp phần mềm
trong các phần cứng và bán các sản phẩm ra ngoài thị
16

trường, các đơn vị sử dụng có thể lựa chọn nhiều giải
pháp của các hãng khác nhau. Nhưng việc đưa thêm phần
cứng vào hệ thống (khi mà trước đó đã có nhiều thành
phần phần cứng được chèn vào trong từng phân đoạn của
mạng) gây nhiều rắc rối cho việc vận hành giám sát. Đối
với mạng nội bộ mở rộng thì sử dụng phần mềm để thực
hiện giám sát, phát hiện, ngăn ngừa các mối nguy hiểm là
phương án khả thi, trong khi việc cấu hình phần mềm
trên một thiết bị phần cứng (máy chủ) bất kì đã đặt trong
hệ thống là khá dễ dàng
III.3.1.1. Yêu cầu đề xuất
III.3.1.2. Giải pháp hệ thống
III.3.1.3. Đánh giá sau khi tích hợp hệ thống
III.3.2. Đề xuất giải pháp an ninh bảo mật truy cập

wifi tại đầu cuối mạng TSLCD của các tỉnh thuộc
vùng Tây Nguyên
III.3.2.1. Yêu cầu đề xuất
III.3.2.2. Giải pháp hệ thống
III.3.2.3. Đánh giá sau khi tích hợp hệ thống
III.4. Kết luận chương
17

KẾT LUẬN VÀ KIẾN NGHỊ

Sự phát triển bùng nổ của công nghệ và mức độ
phức tạp ngày càng tăng có thể dẫn đến khả năng
không kiểm soát nổi hệ thống mạng TSLCD, làm tăng
số điểm yếu và nguy cơ mất an toàn của toàn hệ
thống. An ninh bảo mật là một khái niệm rất rộng và
được xác định theo từng môi trường cụ thể. Không có
một mô hình chính xác nào phù hợp cho tất cả các hệ
thống, mà để đảm bảo an toàn bảo mật phải kết hợp cả
công nghệ và chính sách. Bên cạnh các giải pháp công
nghệ ở trên, cần triển khai các giải pháp về chính sách.
Đó là: Xây dựng hành lang pháp lý đối với các hoạt
động trên hệ thống, bao gồm các quy chế, chính sách,
các tiêu chuẩn về an toàn bảo mật thông tin; Xây
dựng một cơ chế quản lý tài nguyên hệ thống và các
nguy cơ tương ứng đối với các tài nguyên đó; Xây
dựng cơ chế quản lý và kiểm soát an toàn thông tin,
kiểm soát và phân quyền truy cập đồng bộ với quy
trình quản trị hệ thống và ứng dụng các phần mềm
quản lý chính sách.
Ngoài ra, an toàn bảo mật là một quá trình,

không có kết thúc, nó không phải là một vấn đề có thể
18

giải quyết một lần. Do vậy, cần triển khai một chiến
lược đảm bảo an toàn, bảo mật tổng thể, bảo vệ theo
chiều sâu. Đó là sự kết hợp của nhiều thành phần bảo
mật khác nhau.
Mạng TSLCD được triển khai trên cả nước
nói chung và triển khai vùng Tây Nguyên nói riêng,
sẽ luôn có thay đổi về cấu hình mạng để phù hợp với
tình hình thực tế qua các giải đoạn phát triển, chính
vì thế các gải pháp kỹ thuật về an ninh bảo mật cũng
phải thường xuyên cập nhật, triển khai dựa trên sự
thay đổi cấu hình mạng và yêu cầu cụ thể cho từng
thành phần mạng.