0

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

ĐẶNG THỊ THÙY TRANG

NGHIÊN CỨU ĐỀ XUẤT GIẢI PHÁP TRUY CẬP INTERNET AN
TOÀN CHO MẠNG NỘI BỘ TRONG CÁC CƠ QUAN NHÀ NƢỚC

LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

Hà Nội – 2014


1

ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ

ĐẶNG THỊ THÙY TRANG

NGHIÊN CỨU ĐỀ XUẤT GIẢI PHÁP TRUY CẬP INTERNET AN
TOÀN CHO MẠNG NỘI BỘ TRONG CÁC CƠ QUAN NHÀ NƢỚC

Ngành: Công nghệ thông tin
Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số:

LUẬN VĂN THẠC SĨ CƠNG NGHỆ THÔNG TIN

NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. LÊ QUANG MINH

Hà Nội - 2014


2

LỜI CAM ĐOAN
Tôi xin cam đoan luận văn với đề tài: “Nghiên cứu đề xuất giải pháp truy cập
Internet an toàn cho mạng nội bộ trong các cơ quan nhà nước” hồn tồn là kết quả
nghiên cứu của chính bản thân tôi và chưa được công bố trong bất cứ một cơng trình
nghiên cứu nào của người khác. Trong q trình thực hiện luận văn, tơi đã thực hiện
nghiêm túc các quy tắc đạo đức nghiên cứu; các kết quả trình bày trong luận văn là sản
phẩm nghiên cứu, khảo sát của riêng cá nhân tôi; tất cả các tài liệu tham khảo sử dụng
trong luận văn đều được trích dẫn tường minh, theo đúng quy định.
Tơi xin hồn tồn chịu trách nhiệm về tính trung thực của số liệu và các nội
dung khác trong luận văn của mình./.
Hà Nội, ngày 10 tháng 06 năm 2014
Tên tác giả

Đặng Thị Thùy Trang


3

MỤC LỤC
LỜI CAM ĐOAN ..........................................................................................................2
MỤC LỤC ...................................................................................................................... 3
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT ..................................................6
DANH MỤC CÁC BẢNG............................................................................................. 7

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ ......................................................................8
MỞ ĐẦU ......................................................................................................................... 9
Chƣơng 1: TỔNG QUAN VỀ VẤN ĐỀ BẢO VỆ AN TOÀN AN NINH DỮ LIỆU
TRONG MẠNG LAN VÀ KẾT NỐI INTERNET TẠI VIỆT NAM .................... 11
1.1.Trọng tâm ứng dụng CNTT 2011-2015 ............................................................... 11
1.2.Yêu cầu thực tiễn về bảo vệ an toàn an ninh mạng LAN và kết nối Internet tại
Việt Nam ....................................................................................................................... 11
1.2.1.Hiện trạng kỹ thuật và công nghệ trong các mạng LAN phổ biến hiện nay ....11
1.2.1.1.Mạng LAN kết nối Internet ................................................................................11
1.2.1.2.Các loại người sử dụng và phân quyền truy cập...............................................12
1.2.2.Yêu cầu thực tế ....................................................................................................13
1.2.3.Vấn đề thực tiễn ...................................................................................................13
1.2.4.Các quy định của các cơ quan nhà nước ........................................................... 14
1.3.Xác định vấn đề bảo vệ an toàn an ninh dữ liệu trong mạng LAN và kết nối
Internet tại Việt Nam ..................................................................................................14
1.3.1.Vấn đề an toàn an ninh mạng là vấn đề của toàn cầu ......................................14
1.3.2.Vấn đề trọng tâm về an toàn an ninh mạng ....................................................... 15
1.3.2.1.Thất thốt thơng tin: Wikileak ...........................................................................15
1.3.2.2.Mã độc lây lan như bom nổ chậm .....................................................................15
1.3.3.Tình hình tại Việt Nam ....................................................................................... 15
1.3.4.Nguyên nhân........................................................................................................16
1.3.4.1.Năng lực kỹ thuật............................................................................................... 16
1.3.4.2.Đầu tư thiếu đồng bộ ......................................................................................... 16
1.3.4.3.Việt Nam là một điểm ưa thích của hacker quốc tế...........................................16
1.3.4.4.Thiếu cơng nghệ phù hợp với hồn cảnh Việt Nam ..........................................17
Chƣơng 2: NGHIÊN CỨU CƠNG NGHỆ ẢO HĨA ĐỂ ĐẢM BẢO AN TỒN
THƠNG TIN ..............................................................................................................18
2.1. Giới thiệu về ảo hóa .............................................................................................. 18
2.1.1. Ảo hóa và những vấn đề liên quan ....................................................................18
2.1.1.1. Ảo hóa là gì? ....................................................................................................18

2.1.1.2. Lợi ích của ảo hóa ............................................................................................ 19
2.1.1.3. Q trình phát triển và các xu thế hiện nay trên thế giới ................................ 20
2.1.2. Phân loại ảo hóa .................................................................................................21
2.1.2.1. Network Virtualization (Ảo hóa hệ thống mạng) .............................................21


4
2.1.2.2. Storage Virtualization (Ảo hóa hệ thống lưu trữ) ............................................23
2.1.2.3. Application Virtualization (Ảo hóa ứng dụng) .................................................25
2.1.2.4. Server Virtualization (Ảo hóa hệ thống máy chủ) ............................................27
2.2. Các cơng nghệ hỗ trợ ảo hóa ...............................................................................29
2.2.1. Cơng nghệ máy ảo .............................................................................................. 29
2.2.2. Công nghệ Raid ..................................................................................................30
2.2.2.1. Khái niệm Raid .................................................................................................30
2.2.2.2. Lịch sử ra đời và phát triển của Raid............................................................... 31
2.2.2.3. Các chuẩn Raid ................................................................................................ 31
2.2.2.4. Các loại Raid ....................................................................................................32
2.2.3. Công nghệ lưu trữ mạng Sans ...........................................................................35
2.2.4. Công nghệ High Availability ..............................................................................35
2.2.4.1. Yêu cầu của Vmware High Availability ........................................................... 36
2.2.4.2. Ưu điểm của High Availability .........................................................................36
2.2.4.3. Hạn chế của High Availability .........................................................................37
2.3. Công nghệ ảo hóa ứng dụng đảm bảo sử dụng an tồn thơng tin và tiện lợi
trong mạng LAN ..........................................................................................................37
2.3.1. Ảo hóa ứng dụng..................................................................................................37
2.3.2. Lợi ích ảo hóa ứng dụng...................................................................................... 38
2.3.3. Ảo hóa ứng dụng trong mơ hình Thin Client Architecture..................................37
Chƣơng 3: TÌM HIỂU CƠNG NGHỆ THIN CLIENT VÀ GIAO THỨC
REMOTE DESKTOP PROTOCOL .........................................................................38
3.1. Giới thiệu về thin clients ..................................................................................... 40

3.1.1. Khái niệm thin clients......................................................................................... 40
3.1.2. Đặc điểm của thin client ..................................................................................... 40
3.1.3. Tiêu chuẩn cho các kiến trúc thin client ........................................................... 40
3.1.3.1. Tổng quan về kiến trúc thin client ....................................................................42
3.1.3.2. Ứng dụng kiến trúc thin client ..........................................................................43
3.1.3.3. Thin client .........................................................................................................44
3.1.3.4. Fat server ..........................................................................................................45
3.2. Các công nghệ thin client ..................................................................................... 46
3.2.1. Các cơng nghệ trình diễn phân tán ...................................................................47
3.2.1.1. Kiến trúc tính tốn độc lập (ICA) .....................................................................47
3.2.1.2. Giao thức RDP (Remote Desktop Protocol) .................................................... 49
3.2.1.3. X Windows ........................................................................................................50
3.2.1.4. Tổng kết các cơng nghệ trình diễn phân tán .................................................... 51
3.2.2. Các cơng nghệ trình diễn từ xa..........................................................................53
3.2.2.1. Các cơng nghệ dựa trên trình duyệt (browser) ................................................53
3.2.2.2. Khung làm việc thin-client của IBM (TCF-Thin-Client Framework) ..............54
3.2.2.3. Tổng kết các cơng nghệ trình diễn từ xa .......................................................... 56


5
3.3. Giao thức hiển thị từ xa Remote Desktop Protocol (RDP) ............................... 57
3.3.1. Giới thiệu Remote Desktop Protocol (RDP) ...................................................... 57
3.3.2. Cơ chế làm việc của giao thức RDP ..................................................................57
3.3.2.1. Connection Initiation ........................................................................................ 57
3.3.2.2. Basic Settings Exchange ...................................................................................58
3.3.2.3. Channel Connection ......................................................................................... 59
3.3.2.4. RDP Sercurity Commencement ........................................................................59
3.3.2.5. Secury Settings Exchange .................................................................................59
3.3.2.6. Licensing ...........................................................................................................59
3.3.2.7. Capabilities Negotiation ...................................................................................60

3.3.2.8. Connection Finalization ...................................................................................60
Chƣơng 4: MÔ HÌNH MẠNG LAN TRONG GIẢI PHÁP V-AZUR BẢO VỆ AN
NINH DỮ LIỆU CHO MẠNG NỘI BỘ KHI TRUY CẬP INTERNET VÀ LÀM
VIỆC TỪ XA QUA INTERNET ................................................................................61
4.1.Phân chia mạng nội bộ và bài toán truy cập Internet, làm việc từ xa an toàn 61
4.1.1. Phân chia mạng nội bộ ........................................................................................ 61
4.1.2. Bài toán truy cập Internet và làm việc từ xa an toàn ..........................................62
4.2. Nhƣợc điểm và các vấn đề của các giải pháp hiện có ........................................62
4.2.1.Nhược điểm của các giải phảp hiện có ................................................................ 62
4.2.2. Các vấn đề với RDP và VDI ................................................................................62
4.3. Giải pháp V-Azur bảo vệ an ninh dữ liệu cho mạng nội bộ khi truy cập
Internet và làm việc từ xa qua Internet .....................................................................63
4.3.1. Mơ hình kiến trúc hệ thống mạng LAN trong giải pháp V-Azur..................... 63
4.3.2. Mô tả giải pháp công nghệ VCM12 sử dụng trong V-Azur ............................. 64
4.3.2.1. Bản chất kỹ thuật của giảp pháp ......................................................................64
4.3.2.2. Truy cập Internet an toàn .................................................................................65
4.3.2.3. Làm việc từ xa an toàn .................................................................................... 67
4.3.2.4. Yêu cầu kỹ thuật................................................................................................ 68
4.4. Đánh giá cơng nghệ VCM12 ................................................................................69
4.4.1. Tính mới, ưu việt và tiên tiến về công nghệ ......................................................... 69
4.4.2. So sánh với trình độ cơng nghệ hiện có tại Việt Nam và trên thế giới................69
4.4.3. Khả năng triển khai và tính phù hợp của giải pháp với thị trường trong nước..70
4.4. Đề xuất giải pháp chính sách và khuyến nghị.................................................... 70
4.4.1. Nâng cao nhận thức............................................................................................. 70
4.4.2. Bảo vệ nhiều lớp ..................................................................................................70
4.4.3. Kết luận & kiến nghị............................................................................................ 71
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN CỦA ĐỀ TÀI .........................................72
DANH MỤC CƠNG TRÌNH KHOA HỌC CỦA TÁC GIẢ LIÊN QUAN ĐẾN
LUẬN VĂN ..................................................................................................................73
TÀI LIỆU THAM KHẢO........................................................................................... 74



6

DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT
Từ viết tắt
AD
GUI
ICA
IP
LAN
LDAP
MPLs
NAS
OSI
RAID
RDP
SAN
TCF
TCO
TCP
VDI
VMM
VPN
VRF
VT

Từ gốc
Active Directory
Graphical User Interface

Independent Computing Architecture
Internet Protocol
Local Area Network
Lightweight
Directory
Access
Protocol
Multiprotocol Label Switching
Network Attached Storage
Open Systems Interconnection

Nghĩa tiếng việt
Dịch vụ thư mục
Giao diện người dùng đồ họa
Kiến trúc tính tốn độc lập
Giao thức mạng
Mạng cục bộ
Giao thức ứng dụng truy cập các
cấu trúc thư mục
Chuyển mạch nhãn đa giao thức
Mạng lưu trữ đính kèm
Mơ hình tham chiếu kết nối các
hệ thống mở
Redundent Array of Independent Sự tận dụng các phần dư trong
Disks
các ổ cứng độc lập
Remote Desktop Protocol
Giao thức làm việc từ xa
Storage Area Network
Mạng lưới khu vực lưu trữ

Thin- Client Framework
Khung làm việc thin-client
Total Cost of Ownership
Tổng chi phí sở hữu
Transsmission Control Protocol
Giao thức điều khiển truyền vận
Virtual Desktop Infrastructure
Ảo hóa hạ tầng máy tính
Virtual Machine Monitor
Lớp nền tảng ảo hóa
Virtual Private Network
Mạng riêng ảo
Virtual Routing and Forwarding
Bảng định tuyến ảo
Virtualization Technology
Cơng nghệ ảo hóa


7

DANH MỤC CÁC BẢNG
Bảng 3.1: Các phạm trù ứng dụng .................................................................................44
Bảng 3.2: Các cấu hình phần cứng của thin client ........................................................ 44
Bảng 3.3: Operating System Footprint ..........................................................................45
Bảng 3.4: Tài nguyên phần cứng cho hai loại kịch bản ................................................45
Bảng 3.5: Tổng kết các cơng nghệ trình diễn phân tán .................................................51
Bảng 3.6: Browser clients footprints .............................................................................54
Bảng 3.7: Tổng kết cơng nghệ trình diễn từ xa ............................................................. 56



8

DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ
Hình 1.1: Các thành phần chính của mạng LAN .......................................................... 12
Hình 1.2: Các loại người sử dụng trong mạng LAN hiện nay ......................................12
Hình 2.1: Một server vật lý trong hệ thống ảo hóa........................................................ 18
Hình 2.2: Ảo hóa lớp mạng ........................................................................................... 22
Hình 2.3: Kiến trúc ảo hóa mạng của Cisco ..................................................................23
Hình 2.4: Áo hóa hệ thống lưu trữ.................................................................................24
Hình 2.5: Host-based Storage Virtualization.................................................................24
Hình 2.6: Storage-device based Storage Virtualization ................................................25
Hình 2.7: Network-based Storage Virtualization .......................................................... 25
Hình 2.8: Mơ hình Application Streaming của Citrix ...................................................26
Hình 2.9: Kiến trúc Host-based ..................................................................................... 28
Hình 2.10: Kiến trúc Hypervisor-based.........................................................................29
Hình 2.11: Sơ đồ truy cập tài nguyên phần cứng của máy ảo. ......................................30
Hình 2.12. Sơ đồ hoạt động của chuẩn Striping ............................................................ 32
Hình 2.13: Sơ đồ hoạt động của chuẩn Duplexing ........................................................ 32
Hình 2.14: Sơ đồ hoạt động của Raid level 0 ................................................................ 33
Hình 2.15: Sơ đồ hoạt động của Raid 1 .........................................................................33
Hình 2.16: Sơ đồ hoạt động của Raid 5 .........................................................................34
Hình 2.17: Sơ đồ hoạt động của Raid 1-0 .....................................................................34
Hình 2.18: Sơ đồ lưu trữ San ......................................................................................... 35
Hình 2.19: Sơ đồ hoạt động của Vmware High Availability ........................................36
Hình 2.20: Cơng nghệ ảo hóa ứng dụng ........................................................................37
Hình 2.21: Ảo hóa ứng dụng trong mơ hình Thin Client Architecture ......................... 39
Hình 3.2: Kiến trúc thin client. ...................................................................................... 42
Hình 3.3: Mơ hình ba thành phần của thin client .......................................................... 47
Hình 3.4: Kiến trúc trình diễn phân tán .........................................................................47
Hình 3.5: Thơng tin giữa ICA client và server .............................................................. 48

Hình 3.6: Giao thức ICA và tầng giao vận ....................................................................49
Hình 3.7: Sơ đồ kiến trúc X Window ............................................................................51
Hình 3.8: Kiến trúc TCF ................................................................................................ 55
Hình 3.9: Giao thức Remote Desktop ...........................................................................57
Hình 4.1: Mơ hình phân chia mạng nội bộ ....................................................................61
Hình 4.2: Tổ chức mạng LAN trong giải pháp V-Azur ................................................63
Hình 4.3: Giải pháp VCM12 được bố trí trong mạng LAN ..........................................65
Hình 4.4: Triển khai chức năng Truy cập Internet an tồn ...........................................65
Hình 4.5: Mơ hình giải hệ thống giải pháp VPN........................................................... 67
Hình 4.6: Mơ hình bảo vệ nhiều lớp ..............................................................................71


9

MỞ ĐẦU
Hiện nay, các vấn đề an ninh mạng hay chống tin tặc là những vấn đề đang
được sự quan tâm chú ý của nhiều cơ quan, tổ chức và cả cộng đồng, đặc biệt với các
đơn vị yêu cầu bảo mật tuyệt đối. Theo một đánh giá gần đây, các Website và mạng
nội bộ Việt Nam đang có mức độ mất an toàn cao. Việt Nam đang là một trong 3 quốc
gia dễ bị tổn thương nhất về an ninh mạng. Theo báo cáo năm 2011 của Bộ Công an,
tình hình an ninh mạng của Việt Nam đã trở nên rất nghiêm trọng, đặc biệt tại các cơ
quan trong hệ thống chính trị, các ngân hàng và các tổng công ty lớn.
Từ năm 2004, Bộ trưởng Bộ Công an, đã có Quyết định số 71/2004/QĐ-BCA
[1], quy định về bảo đảm an toàn an ninh mạng liên quan đến sử dụng và quản lý
Internet có giải pháp nghiêm cấm hành vi “Lưu giữ trên máy tính kết nối Internet tin,
tài liệu, số liệu thuộc bí mật nhà nước”. Biện pháp này được giải thích theo nhiều cách
sai lệch như “cấm tuyệt đối sử dụng Internet”, “mỗi cán bộ công chức phải được trang
bị 2 máy tính” hoặc “máy tính có tài liệu bí mật khơng được nối mạng”,…
Có hai nhu cầu ngày càng tăng trong các cơ quan nhà nước và trong các doanh
nghiệp là truy cập Internet và làm việc từ xa. Việc cấm tuyệt đối sử dụng Internet là đi

ngược lại với chủ trương ứng dụng CNTT để hiện đại hóa đất nước. Hiện nay, các cán
bộ, cơng chức đã có thói quen tải về các tài liệu quy phạm pháp luật, biểu mẫu từ các
website do chính Chính phủ cung cấp để giúp cho việc soạn thảo văn bản và công tác
nghiệp vụ. Việc đọc tin tức, trau dồi kiến thức sử dụng tài nguyên trên mạng đã trở
thành một thói quen và là phương tiện làm việc hữu hiệu không thể thiếu đối với cán
bộ. Mọi biện pháp ngăn cấm đều dẫn tới các biện pháp “vượt rào” tự phát, làm tình
hình càng thêm phức tạp. Bên cạnh đó, các cán bộ lãnh đạo đi cơng tác xa hoặc làm
việc ở nhà cũng có nhu cầu truy cập vào mạng nội bộ để xử lý công văn, đơn thư và
đọc hồ sơ tài liệu.
Việc sử dụng 2 máy tính, hoặc khơng cho nối mạng khơng hề làm tăng tính an
tồn. Do nhu cầu cơng việc, cán bộ công chức thường sử dụng thiết bị lưu trữ theo
cổng USB, thiết bị truy cập 3G,… hoặc chuyển hoàn tồn sang dùng máy tính cá nhân
riêng và đưa tài nguyên, tài liệu, số liệu bí mật sao chép lung tung làm phá vỡ mọi quy
định và chính sách bảo mật nội bộ đã có. Bảo mật là vấn đề của con người. Nếu khơng
có nhận thức phù hợp, cùng với các biện pháp kỹ thuật làm công việc trở nên tiện lợi
và một chính sách rõ ràng, dễ thực hiện, các biện pháp thuần túy hành chính sẽ vơ ích,
gây cản trở tiến bộ và gây lãng phí của cải của Nhà nước mà tình hình giữ bảo mật an
ninh sẽ ngày càng khó kiểm sốt.
Xuất phát từ nhu cầu thực tiễn, với đề tài: “Nghiên cứu đề xuất giải pháp truy
cập Internet an toàn cho mạng nội bộ trong các cơ quan nhà nước”, luận văn đi sâu
nghiên cứu tìm hiểu: Tình hình bảo vệ an tồn an ninh dữ liệu trong mạng LAN và kết
nối Internet tại Việt Nam, xây dựng bộ kiến trúc an toàn an ninh thông tin phù hợp với
điều kiện hiện nay của Việt Nam; Nghiên cứu cơng nghệ ảo hóa để đảm bảo an toàn


10
thơng tin, ảo hóa ứng dụng đảm bảo sử dụng an tồn thơng tin và tiện lợi trong mạng
LAN; Tìm hiểu công nghệ thin clients và các giao thức thin clients: Remote Desktop
Protocol (RDP), Independent Computing Architecture (ICA) Protocol,…; Nghiên cứu
các giải pháp sử dụng Thin Clients cũng như RDP; Từ đó so sánh, đánh giá các giải

pháp này với bộ giải pháp V-Azur bảo vệ an ninh dữ liệu cho mạng nội bộ khi truy cập
Internet và làm việc từ xa qua Internet. Ý tưởng của sản phẩm V-Azur dựa trên nền
giải pháp VCM12 [12] xuất phát từ mục đích có được giải pháp đơn giản, ít tốn kém
đồng thời giải quyết được hầu hết vấn đề đã nêu, vừa đem lại tiện lợi tối đa cho người
dùng. Sản phẩm sẽ là giải pháp hữu hiệu để giảm thiểu rủi ro về an ninh mạng và sẽ
tiếp tục được nâng cấp và giải quyết các thách thức mới do thực tế đề ra.
Luận văn gồm 4 chương và phần kết luận, hướng phát triển của đề tài:
Chương 1: Tổng quan về vấn đề bảo vệ an toàn an ninh trong mạng LAN và
truy cập Internet tại Việt Nam (1.1.Trọng tâm ứng dụng CNTT 2011-2015; 1.2.Yêu
cầu thực tiễn về bảo vệ an toàn an ninh trong mạng LAN và truy cập Internet tại Việt
Nam; 1.3.Xác định vấn đề về bảo vệ an toàn an ninh dữ liệu trong mạng LAN và truy
cập Internet tại Việt Nam)
Chương 2: Nghiên cứu công nghệ ảo hóa để đảm bảo an tồn thơng tin
(2.1.Giới thiệu về ảo hóa; 2.2.Các cơng nghệ hỗ trợ ảo hóa ; 2.3.Cơng nghệ ảo hóa
ứng dụng đảm bảo sử dụng an tồn thơng tin và tiện lợi trong mạng LAN)
Chương 3: Tìm hiểu cơng nghệ Thin client và giao thức Remote Desktop
Protocol (3.1.Giới thiệu về thin clients; 3.2.Các công nghệ thin clients; 3.3. Giao thức
làm việc từ xa an tồn Remote Desktop Protocol (RDP))
Chương 4: Mơ hình mạng LAN trong giải phảp V-Azur bảo vệ an ninh dữ liệu
cho mạng nội bộ khi truy cập Internet và làm việc từ xa qua Internet (4.1. Phân chia
mạng nội bộ và bài toán truy cập Internet, làm việc từ xa an toàn; 4.2. Nhược điểm và
các vấn đề của các giải pháp hiện có; 4.3. Giải pháp V-Azur bảo vệ an toàn an ninh
dữ liệu cho mạng nội bộ khi truy cập Internet và làm việc từ xa qua Internet; 4.4.
Đánh giá cơng nghệ VCM12; 4.5. Đề xuất giải pháp chính sách và khuyến nghị)
Luận văn trình bày những nội dung cơ bản, những nội dung được đề cập sâu
hơn là cơ sở cho giải pháp ứng dụng V-AZUR. Giải pháp có ý nghĩa thiết thực trong
việc đảm bảo an tồn an ninh cho hệ thống mạng cơ quan, doanh nghiệp.
Mặc dù có nhiều cố gắng nhưng do năng lực và thời gian hạn chế, luận văn
không tránh khỏi những thiếu sót, mong Thầy, Cơ và đồng nghiệp đóng góp ý kiến xây
dựng.

Xin chân thành cảm ơn!
Đặng Thị Thùy Trang


11

Chƣơng 1: TỔNG QUAN VỀ VẤN ĐỀ BẢO VỆ AN TOÀN AN NINH DỮ
LIỆU TRONG MẠNG LAN VÀ KẾT NỐI INTERNET TẠI VIỆT NAM
1.1.Trọng tâm ứng dụng CNTT 2011-2015
Căn cứ Quyết định số 1605/QĐ-TTg ngày 27 tháng 8 năm 2010 của Thủ tướng
Chính phủ phê duyệt Chương trình quốc gia về ứng dụng CNTT trong hoạt động của
cơ quan nhà nước giai đoạn 2011-2015; Trọng tâm ứng dụng CNTT giai đoạn 2011 –
2015: Quản lý hành chính, cơ sở dữ liệu quốc gia, an toàn an ninh mạng.
Quản lý hành chính: Quản lý văn bản tích hợp trong tồn quốc tới cơ quan
nhà nước các cấp, bảo đảm an toàn, an ninh, tính pháp lý của văn bản trao đổi; Thư
điện tử quốc gia; Giao ban điện tử đa phương tiện giữa Thủ tướng Chính phủ với các
Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố
trực thuộc Trung ương; Chỉ đạo, điều hành của Chính phủ trên Mạng truyền số liệu
chuyên dùng của các cơ quan Đảng, Nhà nước; Quản lý, theo dõi chương trình cơng
tác của Chính phủ; Mạng thơng tin điện tử phục vụ trao đổi thông tin giữa Văn phịng
Chính phủ, Văn phịng Trung ương Đảng, Văn phịng Quốc hội, Văn phịng Chủ tịch
nước; Cổng thơng tin điện tử Chỉnh phủ; Tài chính tích hợp, Giám sát thị trường tài
chính; Nộp tờ khai thuế qua mạng Internet; Triển khai thủ tục hải quan điện tử; Ứng
dụng thương mại điện tử trong mua sắm Chính phủ; Quản lý thơng tin đầu tư nước
ngoài….
Các cơ sở dữ liệu quốc gia: Thủ tục hành chính trên Internet; Cán bộ, cơng
chức, viên chức; Kinh tế công nghiệp và thương mại; Tài nguyên và môi trường; Biên
giới lãnh thổ; Các dự án đầu tư; Doanh nghiệp; Dân cư; Tài chính
An tồn an ninh mạng: Các hệ thống cơ sở dữ liệu và quản lý hành chính đều
cần được bảo vệ an tồn.

1.2.u cầu thực tiễn về bảo vệ an toàn an ninh mạng LAN và kết nối Internet tại
Việt Nam
1.2.1.Hiện trạng kỹ thuật và công nghệ trong các mạng LAN phổ biến hiện nay
1.2.1.1.Mạng LAN kết nối Internet
Ngày nay, các thành phần chủ yếu của một mạng LAN có kết nối Internet có
thể mơ tả sơ bộ như theo sơ đồ Hình 1.1. Các máy trạm, máy chủ, cơ sở dữ liệu, máy
in thường được đặt sau tường lửa (giải pháp mềm như ISA hoặc giải pháp cứng như
Cisco ASA hoặc cả hai).
Để an toàn, điểm truy cập Wifi phải đặt trước tường lửa ngay sau modem.
Mạng lớn có nhiều máy có thể phải dùng thiết bị switch.


12

`

Modem
ADSL hoặc Cáp quang

FIREWALL
ISA

Switch
Windows Server

Wifi
Access Point

Application Server


Database

Hình 1.1: Các thành phần chính của mạng LAN
1.2.1.2.Các loại người sử dụng và phân quyền truy cập
Sơ đồ Hình 1.2 là sơ đồ khá phổ biến về người sử dụng trong mạng LAN hiện
nay. Người sử dụng mạng LAN có thể sử dụng các máy trạm gồm:
P1: Máy trạm có quyền truy cập vào các tài nguyên cần bảo mật, có các tài liệu
bí mật. Các máy này nếu có thể kết nối thẳng với Internet như trên sơ đồ cho dù thông
qua tường lửa cũng là vi phạm Quyết định 71/2004/QĐ-BCA của Bộ Cơng an.
P2: Máy trạm chỉ có quyền truy cập vào các tài nguyên thường, các tài liệu
công khai. Chú ý một số mạng, tùy theo nhu cầu công việc, có thể khơng cần phải có
máy P2.

Máy chủ
ứng dụng

`
P1

`
Tường lửa
P2

MÁY LÀM VIỆC
TỪ XA

Hình 1.2: Các loại ngƣời sử dụng trong mạng LAN hiện nay


13

Ứng dụng chủ yếu hiện nay cần bảo mật là các ứng dụng hỗ trợ tác nghiệp (theo
mơ hình Client-Server chạy trên nền Desktop hoặc theo mơ hình Web-based). Trong
cả hai trường hợp, các tài liệu được lưu trữ trên “Máy chủ ứng dụng”. Các lỗ hổng an
ninh cần xử lý của mơ hình này là:
- Cần phải ngăn chặn kết nối trực tiếp của P1 vào Internet để đảm bảo các
máy tính chứa tài liệu mật khơng thể kết nối được với Internet. Người dùng
hiện nay thường gửi tài liệu qua các hệ thống Email miễn phí khó kiểm
sốt, qua các chương trình chat, qua các chương trình chia sẻ file ngang
hàng (P2P),… hoặc tải về P1 các mã độc do vơ tình hay hữu ý.
- Với nhận thức và kiến thức hiện nay của người dùng, việc truy cập từ P2
vào P1 để lấy tài nguyên hoặc cài mã độc hết sức dễ dàng. Nhóm người sử
dụng P2 thường có nhận thức trách nhiệm thấp hơn về bảo mật và dễ dàng
để thất thốt, ngồi ra tin tặc có thể lợi dụng sơ hở này để truy cập P1 từ
máy P2. Như vậy, về mặt kỹ thuật, không có sự khác biệt giữa P1 và P2.
- Hiện nay việc phân quyền hoàn toàn dựa vào quyền truy cập được quy định
trên máy chủ ứng dụng. Tuy nhiên, người sử dụng có thể giả mạo các máy
con để hợp thức hóa việc truy cập tài nguyên trên máy chủ; các tài nguyên
và tài liệu trên máy chủ ứng dụng có thể truy cập trực tiếp được cũng khá
nhiều và ở dạng chưa mã hóa. Bên cạnh đó quyền truy cập cũng khơng có
chính sách phân quyền cẩn thận và không được theo dõi ghi nhật ký thường
xuyên để truy vết.
Có thể thấy, sơ đồ này hiện nay khá phổ biến và đã bộc lộ nhiểu điểm yếu cần
cấp tốc khắc phục.
1.2.2.Yêu cầu thực tế
Với sự phát triển ngày càng rộng khắp của CNTT, mạng LAN đang ngày càng
phổ biến ở các cơ quan thuộc hệ thống chính trị và các doanh nghiệp ở Việt Nam.
Trong lúc đó:
(i) Sử dụng Internet đã trở thành một thói quen, u cầu cơng việc không thể
thiếu đối với cơ quan nhà nước và doanh nghiệp.
(ii) Làm việc từ xa sẽ trở nên quan trọng đối với lãnh đạo, nhân viên đi công tác

hoặc làm việc ở nhà. Hay do họp hành quá nhiều trong giờ hành chính khơng có thời
gian xử lý cơng văn.
(iii) Một số bộ, địa phương có hệ thống ứng dụng tập trung, cần được sử dụng
từ xa cho các đơn vị trực thuộc không cùng địa bàn.
Các nhu cầu này đã đề ra những thách thức to lớn và phải có những giải pháp
cấp bách để bảo đảm an ninh thông tin và dữ liệu.
1.2.3.Vấn đề thực tiễn
Như đã phân tích các lỗ hổng an ninh ở mục 1.2.1.2 thì các vấn đề thực tiễn đặt
ra đối với hệ thống mạng nội bộ trong các cơ quan nhà nước hiện nay như sau:


14
a. Người dùng ở trong mạng nội bộ có thể gửi các tệp tin, dữ liệu ra ngoài qua
đường Internet. Vơ tình hay cố ý.
b. Người dùng làm việc từ xa sử dụng VPN, có thể tải về các tệp tin, dữ liệu có
thể bị phát tán.
c. Mã độc có thể nhiễm vào mạng nội bộ, phá hoại hoặc đánh cắp dữ liệu.
d. Internet mở ra các lỗ hổng đối với mạng LAN có kết nối Internet.
1.2.4.Các quy định của các cơ quan nhà nước
Gần đây đã có những cuộc tấn cơng lớn và tồn diện của tin tặc trong nước và
nước ngoài vào các mạng LAN và cổng điện tử của các cơ quan và doanh nghiệp Việt
Nam nhằm tới các mục tiêu:
- Chiếm quyền kiểm soát hệ thống quản trị nội dung (CMS), để thay thế nội
dung của các trang điện tử bằng các nội dung phản tuyên truyền.
- Truy cập trái phép và cài mã độc lên các máy tính có tài liệu và thơng tin cần
bảo mật. Các mã độc này sẽ định kỳ được kích hoạt và chuyển tải các thơng
tin q ra ngồi.
- Lợi dụng sự bất cẩn của người sử dụng và sự thiếu cẩn trọng trong công tác
quản lý để giả mạo quyền sử dụng, xâm nhập hệ thống và gửi ra ngoài các tài
nguyên cần bảo vệ theo đường Internet, email sử dụng các ứng dụng thông

dụng như HTTP, TELNET, FTP, SMNP,…
Trước tình hình đó, nhà nước ta đã có một số quy định nhằm đảm bảo an tồn
an ninh thơng tin cho mạng nội bộ của các cơ quan nhà nước cụ thể như sau:
a. Quy định về sử dụng Internet của Bộ Công An (QĐ 71/2004/QĐ-BCA)
nghiêm cấm các máy tính có tài liệu dữ liệu bí mật kết nối Internet.
b. Quyết định của Bộ trưởng Bộ Tài chính (2615/QĐ-BTC) các máy tính trong
ngành tài chính có các tài liệu quan trọng không được mở trang tin và ứng dụng
Internet ngay trên máy.
c. Vấn đề: Bảo mật là vấn đề của con người. Nếu khơng có nhận thức phù hợp,
cùng với các biện pháp kỹ thuật làm công việc trở nên tiện lợi và một chính sách rõ
ràng, dễ thực hiện, các biện pháp thuần túy hành chính sẽ vơ ích, gây cản trở tiến bộ và
gây lãng phí của cải của nhà nước mà tình hình giữ bảo mật an ninh sẽ ngày càng khó
kiểm sốt. Do đó, cần có cơng nghệ phù hợp.
1.3.Xác định vấn đề bảo vệ an toàn an ninh dữ liệu trong mạng LAN và kết nối
Internet tại Việt Nam
1.3.1.Vấn đề an toàn an ninh mạng là vấn đề của tồn cầu
Cuộc cách mạng cơng nghệ thơng tin (CNTT) nói chung và Internet nói riêng
đã tác động mạnh mẽ, tạo ra bước đột phá trong tiến trình phát triển kinh tế, văn hóa,
xã hội, mở ra một kỷ nguyên mới cho xã hội loại người.
Đồng thời, CNTT cũng đã trở thành phương tiện nguy hiểm để các thế lực thù
địch và bọn tội phạm lợi dụng vào mục đích phá hoại, gây thiệt hại lớn về kinh tế - xã
hội và an ninh của nhiều quốc gia, tổ chức quốc tế. Theo thống kê của các cơ quan an


15
ninh mạng quốc tế, trong năm 2012, thiệt hại về kinh tế do tội phạm mạng gây ra đã
lên đến 388 tỷ USD, cao hơn nhiều so với năm 2011 là 114 tỷ USD. Đặc biệt số vụ tấn
công mạng vào các hệ thống cơ sở hạ tầng trọng yếu của nhiều quốc gia ngày càng gia
tăng và các thiết bị kết nối Internet truyền thống, các thiết bị dân dụng, như tivi thông
minh, máy in, hệ thống phần mềm điều khiển trên xe ôtô… cũng trở thành mục tiêu

của các cuộc tấn công mạng.
Bên cạnh các yếu tố đe dọa an ninh truyền thống, nguy cơ chiến tranh mạng
đang trở nên hiện hữu. Không phải ngẫu nhiên, Eugene Kaspersky, đồng sáng lập và là
Giám đốc điều hành của hãng bảo mật Kaspersky Lab đã đánh giá: những năm 90 của
thế kỷ 20 là thập kỷ của những kẻ phá hoại trên mạng; những năm đầu thế kỷ 21 là
thập kỷ của tội phạm mạng và giờ đây là kỷ nguyên mới của chiến tranh không gian ảo
và khủng bố không gian mạng. Chiến lược không gian mạng quốc tế của Mỹ - quốc
gia hàng đầu về CNTT cũng xác định tấn công mạng là một trong những mối đe dọa
lớn nhất đối với lợi ích an ninh quốc gia của nước này.
Như vậy, Internet ra đời là nguồn gốc dẫn đến hiểm họa chiến tranh mạng
(Cyber War) và thách thức tội phạm mạng (Cyber Crime) cho tất cả các quốc gia trên
toàn thế giới.
1.3.2.Vấn đề trọng tâm về an tồn an ninh mạng
1.3.2.1.Thất thốt thơng tin: Wikileak
WikiLeaks vụ nổi tiếng vì đã đưa ra hàng loạt các tài liệu mật của Bộ Quốc
phòng và Bộ Ngoại giao Mỹ liên quan tới hàng loạt các quốc gia trên thế giới. Vụ rò rỉ
hàng trăm ngàn tài liệu về cuộc chiến ở Afganistan trên WikiLeaks có thể gây thương
vong cho cuộc sống của nhiều binh sĩ Mỹ, các đối tác nước ngoài trong liên minh với
Mỹ, cho những người dân Afganistan làm việc quân đội Mỹ, Bộ trưởng Quốc phòng
Mỹ Gates và Tư lệnh Liên quân Mỹ Đô đốc Mullen khẳng định.
WikiLeaks đã tung ra gần 400.000 tài liệu không phổ biến của quân đội Mỹ có
liên quan tới chiến tranh Irap, thách thức những cảnh báo từ chính phủ Mỹ rằng việc
hé lộ các tài liệu có thể đặt những người sống vào rủi ro.
1.3.2.2.Mã độc lây lan như bom nổ chậm
Hình thức lây nhiễm và phát tán mã độc qua: thư điện tử, USB, website, tải
phần mềm lậu, hội thoại trực tuyến, mạng xã hội, qua việc cài đặt trực tiếp… Việc cài
đặt mã độc vào máy nạn nhân khơng chỉ có khả năng ăn cắp thơng tin mật khẩu, mã
bảo mật thẻ tín dụng, dữ liệu trên máy tính, ghi âm nghe lén thơng tin, chụp ảnh từ
màn hình, quy phim từ màn hình mà cịn có thể tiếp tục sử dụng máy nạn nhân để làm
bàn đạp tấn cơng các máy tính khác.

1.3.3.Tình hình tại Việt Nam
Đối với Việt Nam, hệ thống mạng thông tin quốc gia, nhất là hệ thống mạng
thông tin của các cơ quan, tổ chức quan trọng vẫn sẽ là mục tiêu tấn cơng xâm nhập
của tin tặc nước ngồi; nguy cơ mất an ninh, an tồn thơng tin, lộ, lọt bí mật nhà nước
sẽ ngày càng nghiêm trọng nếu khơng có giải pháp phòng, chống hữu hiệu:


16
 Báo cáo về tính an tồn của các mạng LAN và website của Việt Nam của
một tổ chức quốc tế Việt Nam đang là một trong 3 nước yếu nhất.
 Báo cáo của Bộ Công An: Hơn 90% các mạng nội bộ của các cơ quan Đảng,
Chính phủ và các ngân hàng bị xâm nhập, lấy dữ liệu
Trước tình hình đó, Cơng tác đảm bảo an ninh, an tồn mạng thơng tin quốc gia,
phịng, chống vi phạm và tội phạm mạng là cuộc đấu tranh của toàn dân dưới sự lãnh
đạo của Đảng, là một bộ phận trọng yếu của cuộc đấu tranh bảo vệ an ninh quốc gia,
giữ gìn trật tự, an tồn xã hội; là trách nhiệm của cả hệ thống chính trị và tồn dân, của
các cấp, các ngành, trong đó lực lượng Cơng an giữ vai trò lòng cốt.
1.3.4.Nguyên nhân
1.3.4.1.Năng lực kỹ thuật
Thực trạng an tồn thơng tin tại Việt Nam đang tiềm ẩn nhiều nguy cơ. An ninh
mạng vẫn chưa thực sự được quan tâm tại các cơ quan, doanh nghiệp. Theo nhận định
của các chuyên gia Công ty Bkav, hầu hết cơ quan doanh nghiệp của Việt Nam chưa
bố trí được nhân sự phụ trách an ninh mạng hoặc năng lực và nhận thức của đội ngũ
này chưa tương xứng với tình hình thực tế. Đó là ngun nhân chính.
1.3.4.2.Đầu tư thiếu đồng bộ
Việt Nam hiện nay gặp rất nhiều thách thức, trước tiên là các cuộc tấn cơng sẽ
gia tăng và tính chất ngày càng tinh vi. Đối với các tổ chức, hiện nay các hệ thống của
họ gần như chưa được quan tâm đầy đủ dưới khía cạnh bảo mật. Kinh phí để đầu tư
trong các cơ quan nhà nước bị hạn chế. Đây là một mâu thuẫn, khi họ vẫn muốn bảo
vệ hệ thống của mình nhưng chưa đầu tư được.

1.3.4.3.Việt Nam là một điểm ưa thích của hacker quốc tế
Các cuộc tấn công của tin tặc ngày càng tăng mạnh và việc bảo mật yếu kém
của các cơ quan, tổ chức, doanh nghiệp đã biến không gian mạng của Việt Nam trở
thành nơi ưa thích của giới tin tặc quốc tế. Đã xuất hiện các cuộc tấn công và các hệ
thống thông tin của các cơ quan tổ chức.
Trong 6 tháng đầu năm 2011, có hàng trăm website bị các hacker nước ngồi
tấn cơng, chiếm quyền điều khiển, thay đổi giao tiện trong đó có các website của Bộ
Nơng nghiệp, Bộ Ngoại giao, …
Tháng 10 năm 2011, có hơn 150 website bị tấn cơng do một nhóm hacker Thổ
Nhĩ Kỳ thực hiện. Cùng với một số máy chủ tại TP. Hồ Chí Minh của các cơng ty
cung cấp các dịch vụ hosting, domain khá nổi tiếng.
Khơng chỉ có website doanh nghiệp, ngày 8/11/2011, hacker đã tấn công và
chiếm quyền trang web của Sở Văn hóa - Thể thao và Du lịch tỉnh của Nam Định và
để lại một trang trắng với dịng chữ “Đừng hỏi vì sao bị hack mà hãy hỏi thành phố
bạn đã ra quyết định gì”
Ngay cả, website của trung tâm an ninh mạng BKAV cũng bị hacker tấn cơng
vào hơm 6/2/2012 và nhóm hacker Anonymous đã chỉ ra nhiều lỗi bảo mật của
website này. Mẫu số chung của việc tin tặc có thể tấn cơng hàng nghìn website là sự


17
yếu kém trong quản trị web và không thường xuyên phát hiện và khắc phục các lỗ
hổng an tồn thơng tin, ít quan tâm đến các cảnh bảo an ninh của các cơ quan, tổ chức
có chức năng đảm bảo an ninh an tồn thơng tin quốc gia.
1.3.4.4.Thiếu cơng nghệ phù hợp với hoàn cảnh Việt Nam
Hiện nay, nguy cơ mất an tồn, bảo mật thơng tin trong các cơ quan Đảng và
Nhà nước khá cao. Theo khảo sát của VNCERT năm 2012, 54% cơ quan Đảng và Nhà
nước không ghi nhận hành vi tấn công. Điều này đồng nghĩa với việc quá nửa website
ở Việt Nam dù “xây nhà” đã trang bị “khóa” song kẻ trộm vẫn đột nhập mà chủ nhà
khơng hay biết. Bên cạnh đó, có 64% cơ quan nhà nước không ước lượng được tổn

thất tài chính khi bị tấn cơng.
Trong khi đó, nguy cơ tấn công xuất phát rất đa dạng, qua các website, hệ thống
thư điện tử, tấn công DDOS và qua thiết bị USB. Trước tình trạng đó, Ban Cơ yếu
Chính phủ đã nghiên cứu và triển khai các sản phẩm bảo mật như: thiết bị nhớ an toàn
(USB an toàn), hệ thống cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính
phủ, mơ hình hệ thống CA quốc gia, hệ thống giám sát an ninh mạng (GSANM)…
Tuy nhiên, với một hạ tầng rộng lớn, việc triển khai các sản phẩm trên chưa đủ và cịn
khá nhiều khó khăn.
Thêm vào đó, một số chuyên gia an ninh mạng cho rằng: tất cả các vụ tấn cơng
do cố tình hay hữu ý đều nhằm vào hệ điều hành Microsoft Window (đặc biệt chú ý tới
việc tấn công mạng từ Trung Quốc và bê bối từ vụ PRISM của cơ quan NSA-Hoa Kỳ),
trong khi đó Việt Nam chưa có khả năng chế ngự các mối đe dọa không gian mạng do
nhà nước, quốc gia đứng đằng sau. Windows là phần mềm nguồn đóng, sở hữu độc
quyền là mối đe dọa của an ninh quốc gia. Cần loại bỏ và thay vào đó là sử dụng phần
mềm nguồn mở (PMNM) nhằm đảm bảo an tồn, an ninh thơng tin mạng cho quốc
gia. Và câu hỏi đặt ra: Phần mềm nguồn mở sẽ đảm bảo an tồn, an ninh thơng tin
mạng?
Tóm lại, an tồn an ninh thông tin là một thách thức không chỉ đối với nước ta
mà cịn là bài học tồn cầu. Hơn nữa, Việt Nam là một trong những điểm ưa thích của
hacker quốc tế. Ở nước ta tình hình mất an tồn thơng tin xuất phát từ sự yếu kém của
nguồn nhân lực, các giải pháp đầu tư cơ sở hạ tầng thiếu đồng bộ, thiếu cơng nghệ phù
hợp với hồn cảnh trong nước. Các giải pháp đảm bảo an ninh, an tồn thơng tin chỉ
mang tính đối phó, gây lãng phí ngân sách. Vì thế, giải pháp tối ưu trước hết là đào tạo
nguồn nhân lực có trình độ và tập trung đầu tư nghiên cứu phát triển sản phẩm ứng
dụng phù hợp, kiến trúc an ninh, an tồn thơng tin cần chuẩn công nghiệp mặc định tại
Việt Nam. Cần có những chính sách, hành lang pháp lý minh bạch, khuyến khích
doanh nghiệp, cơ quan nghiên cứu phát triển cơng nghệ và sản phẩm; tránh trao độc
quyền cho một số cơ quan khơng có năng lực. Đồng thời, khơng nên có quan điểm bài
xích các sản phẩm nước ngồi một cách cực đoan.



18

Chƣơng 2: NGHIÊN CỨU CƠNG NGHỆ ẢO HĨA ĐỂ ĐẢM BẢO AN
TỒN THƠNG TIN
2.1. Giới thiệu về ảo hóa
2.1.1. Ảo hóa và những vấn đề liên quan
2.1.1.1. Ảo hóa là gì?
Ảo hóa là một cơng nghệ được ra đời nhằm khai thác triệt để khả năng làm việc
của các phần cứng trong một hệ thống máy chủ. Nó hoạt động như một tầng trung gian
giữa hệ thống phần cứng máy tính và phần mềm chạy trên nó. Ý tưởng của cơng nghệ
ảo hóa máy chủ là từ một máy vật lý đơn lẻ có thể tạo thành nhiều máy ảo độc lập. Ảo
hóa cho phép tạo nhiều máy ảo trên một máy chủ vật lý, mỗi một máy ảo cũng được
cấp phát tài nguyên phần cứng như máy thật gồm có RAM, CPU, card mạng, ổ cứng,
các tài nguyên khác và hệ điều hành riêng. Khi chạy ứng dụng, người sử dụng khơng
nhận biết được ứng dụng đó chạy trên lớp phần cứng ảo.

Hình 2.1: Một server vật lý trong hệ thống ảo hóa
Các bộ xử lý của hệ thống máy tính lớn được thiết kế hỗ trợ cơng nghệ ảo hóa
và cho phép chuyển các lệnh hoặc tiến trình nhạy cảm của các máy ảo có thể ảnh
hưởng trực tiếp đến tài nguyên hệ thống cho hệ điều hành chủ xử lý, sau đó lớp ảo hóa
sẽ mơ phỏng kết quả để trả về cho máy ảo. Tuy nhiên, không phải tất cả bộ xử lý đều
hỗ trợ ảo hóa. Các bộ xử lý cũ trên máy để bàn đều khơng có hỗ trợ chức năng này.
Ngày nay hai nhà sản xuất bộ xử lý lớn trên thế giới là Intel và AMD đều cố gắng tích
hợp cơng nghệ ảo hóa vào trong các sản phẩm của họ. Các bộ xử lý có ứng dụng ảo
hóa thường là Intel VT (Virtualization Technology) hoặc AMD Pacifica.
Sử dụng công nghệ ảo hóa đem đến cho người dùng sự tiện ích. Việc có thể
chạy nhiều hệ điều hành đồng thời trên cùng một máy tính thuận tiện cho việc học tập



19
nghiên cứu và đánh giá một sản phẩm hệ điều hành hay một phần mềm tiện ích nào
đó. Nhưng khơng ngừng lại ở đó, những khả năng và lợi ích của ảo hóa cịn hơn thế và
nơi gặt hái được nhiều thành công và tạo nên thương hiệu của công nghệ ảo hóa đó
chính là mơi trường hệ thống máy chủ ứng dụng và hệ thống mạng.
Ảo hóa máy chủ thực sự không được quan tâm cho đến những năm gần đây. Do
cịn nhiều vấn đề về cơng nghệ và người dùng chưa thực sự quan tâm tới lợi ích và cịn
thiếu đội ngũ am hiểu về cơng nghệ này nên việc áp dụng nó vào hệ thống là rất dè
dặt. Nhưng khi đối mặt với thực trạng khủng hoảng của nền kinh tế tồn cầu thì bất kỳ
một doanh nghiệp nào cũng chủ tâm để tìm một giải pháp tiết kiệm hơn. Đây cũng là
lúc cơng nghệ ảo hóa tìm được chỗ đứng vững chắc cho mình trong lĩnh vực cơng
nghệ thơng tin trên thế giới.
Hiện nay có nhiều nhà cung cấp các sản phẩm máy chủ và phần mềm đều chú
tâm đầu tư nghiên cứu và phát triển công nghệ này như là HP, IBM, Microsoft và
Vmware. Nhiều dạng ảo hóa được đưa ra và có thể chia thành hai dạng chính là ảo hóa
cứng và ảo hóa mềm. Từ hai dạng này sau này mới phát triển thành nhiều loại ảo hóa
có chức năng và cấu trúc khác nhau như VMM-Hypervisor, VMM, Hybrid…
Ảo hóa cứng được gọi là phân thân máy chủ. Dạng ảo hóa này cho phéo tạo
nhiều máy ảo trên một máy chủ vật lý. Mỗi máy ảo chạy hệ điều hành riêng và được
cấp phát tài nguyên phần cứng như số xung nhịp CPU, ổ cứng và bộ nhớ… Các tài
nguyên của máy chủ có thể được cấp phát động một cách linh động tùy theo nhu cầu
của từng máy ảo. Giải pháp này cho phép hợp nhất các hệ thống máy chủ cồng kềnh
thành một máy chủ duy nhất và các máy chủ trước đây bây giờ đóng vai trị là máy ảo
ứng dụng chạy trên nó.
Ảo hóa mềm cịn gọi là phân thân hệ điều hành. Nó thực ra chỉ là sao chép bản
sao của một hệ điều hành chính làm nhiều hệ điều hành con và cho phép các máy ảo
ứng dụng có thể chạy trên nó. Như vậy, nếu hệ điều hành chủ là Linux thì các ảo hóa
này sẽ cho phép tạo thêm nhiều bản Linux làm việc trên cùng máy. Cách này có ưu
điểm là chỉ cần một bản quyền cho một hệ điều hành và có thể sử dụng cho các máy ảo
còn lại. Nhược điểm của nó là khơng thể sử dụng nhiều hệ điều hành khác nhau trên

cùng một máy chủ.
2.1.1.2. Lợi ích của ảo hóa
Thơng thường việc đầu tư cho một trung tâm cơng nghệ thơng tin là rất tốn
kém. Chi phí đầu tư mua các máy chủ cấu hình mạnh và các phần mềm bản quyền là
rất đắt đỏ. Trong thời buổi kinh tế khó khăn hiện nay doanh nghiệp nào cũng muốn cắt
giảm và hạn chế tối đa các chi phí khơng cần thiết mà vẫn đáp ứng được năng suất và
tính ổn định của hệ thống. Do đó, việc ứng ảo hóa trở thành nhu cầu cần thiết của bất
kỳ doanh nghiệp lớn hay nhỏ. Vì thay vì mua mười máy chủ cho mười ứng dụng thì
cần mua một hoặc hai máy chủ có hỗ trợ ảo hóa thì vẫn có thể chạy tốt mười ứng dụng
trên. Điều này cho ta thấy sự khác biệt giữa hệ thống ảo hóa và khơng ảo hóa. Bên
cạnh đó việc ứng dụng ảo hóa cịn đem lại những lợi ích sau đây.


20
Quản lý đơn giản: khi triển khai hệ thống ảo hóa thì số lượng máy chủ vật lý
giảm đi đáng kể và khi đó việc theo dõi và giám sát hệ thống rất dễ dàng và hầu như
được thực hiện bởi công cụ phần mềm quản trị tập trung từ xa do nhà cung cấp phần
mềm ảo hóa hỗ trợ. Nhà quản trị dễ dàng theo dõi tình trạng của các máy ảo và của cả
hệ thống. Nếu máy chủ bị trục trặc thì có thể chuyển máy ảo từ máy chủ này sang máy
chủ khác, có thể nâng cấp phần cứng bằng cách gắn thêm RAM, ổ cứng một cách
nhanh chóng và đơn giản.
Triển khai nhanh: khi triển khai hệ thống thì khơng cần nhất thiết phải cài đặt
tồn bộ máy ảo trên hệ thống vì mỗi máy ảo chỉ là một tập tin được cài trên một phân
vùng trên ổ cứng nên chúng ta có thể tận dụng điều này để giảm thiểu thời gian cài đặt
bằng cách sao chép các tập tin này và cấu hình lại cho đúng với yêu cầu của máy ảo
đang sử dụng. Với cách làm này sẽ giảm thời gian cài đặt từng máy ảo và vận dụng tối
đa tài nguyên nhàn rỗi của tất cả các máy chủ vật lý. Vì thực tế hiện nay tại trung tâm
dữ liệu có nhiều máy chủ không khai thác hết tài nguyên phần cứng của hệ thống.
Phục hồi và lưu trữ hệ thống nhanh chóng: Vì máy ảo chỉ là một tập tin trên ổ
đĩa nên việc sao lưu rất đơn giản là sao chép lại các tập tin này. Và khi một máy ảo

gặp sự cố và hỏng hóc do một lỗi hệ điều hành nào đó thì việc phục hồi đơn giản là
chép đè tập tin đã được sao chép lên tập tin cũ và hệ thống có thể hoạt động bình
thường lại ngay như lúc chưa bị lỗi. Thời gian để phục hồi hệ thống là rất ít. Nếu được
đầu tư thêm một số máy chủ khác thì ta có thể cấu hình tính năng High Availability
cho các máy chủ ảo hóa này. Khi đó một máy ảo hay một máy chủ bị sự cố thì tất cả
các máy ảo sẽ được di chuyển nóng đến máy chủ khác và có thể hoạt động lại ngay tức
thì.
Cân bằng tải và phân phối tài nguyên linh hoạt: Với các công cụ quản lý từ xa
các máy chủ và máy ảo ta sẽ thấy được tình trạng của tồn bộ hệ thống từ đó có chính
sách nâng cấp CPU, RAM, ổ cứng cho máy chủ hoặc máy ảo đó hoặc di chuyển máy
ảo đang quá tải đó sang máy chủ vật lý có cấu hình mạnh hơn, có nhiều tài ngun cịn
trống hơn để hoạt động.
Tiết kiệm: cơng nghệ ảo hóa giúp các doanh nghiệp có thể tiết kiệm được một
chi phí lớn đó là điện năng chiếu sáng và hệ thống làm mát. Ảo hóa cho phép gom
nhiều máy chủ vào một máy chủ vật lý nên chỉ tốn kém chi phí điện tiêu thụ, làm mát
và chiếu sáng cho một vài máy chủ thơi. Bên cạnh đó thì diện tích sử dụng để đặt máy
chủ cũng được thu hẹp lại, hệ thống dây cáp nối cũng ít đi.
2.1.1.3. Q trình phát triển và các xu thế hiện nay trên thế giới
Ảo hóa có nguồn gốc từ việc phân chia ổ đĩa, chúng phân chia một máy chủ
thực thành nhiều máy chủ con. Một khi máy chủ thực chia, mỗi máy chủ con có thể
chạy một hệ điều hành và các ứng dụng độc lập.
Tiên phong cho cơng nghệ ảo hóa này là từ hãng IBM với hệ thống máy ảo
VM/370 nổi tiếng được công bố vào năm 1972. Đến năm 1999 Vmware giới thiệu sản
phẩm vmware workstation. Sản phẩm này ban đầu được thiết kế để hỗ trợ việc phát


21
triển và kiểm tra phần mềm và đã trở nên phổ biến nhờ khả năng tạo những máy tính
ảo chạy đồng thời nhiều hệ điều hành khác nhau trên cùng một máy tính thực. Khác
với chế độ khởi động kép là những máy tính được nhiều hệ điều hành và có thể chọn

lúc khởi động nhưng mỗi lúc chỉ làm việc được với 1 hệ điều hành.
Vmware, được EMC (hãng chuyên về lĩnh vực lưu trữ) mua lại vào tháng 12
năm 2003, đã mở rộng tầm hoạt động từ máy tính để bàn (desktop) đến máy chủ
(server) và hiện hãng vẫn giữ vai trị thống lĩnh thị trường ảo hóa.
Ngày nay xu hướng ảo hóa máy chủ đã trở thành xu hướng chung của hầu hết
các doanh nghiệp trên toàn thế giới. Những khó khăn trong thời kỳ khủng hoảng khiến
cho các doanh nghiệp phải tìm mọi cách để giảm thiểu chi phí. Ảo hóa được coi là một
cơng nghệ giúp các doanh nghiệp cắt giảm chi tiêu hiệu quả với khả năng tận dụng tối
đa năng suất của các thiết bị phần cứng. Việc áp dụng công nghệ ảo hóa máy chủ
nhằm tiết kiệm khơng gian sử dụng, nguồn điện và giải pháp tỏa nhiệt trong trung tâm
dữ liệu. Ngoài ra việc giảm thời gian thiết lập máy chủ, kiểm tra phần mềm trước khi
đưa vào hoạt động cũng là một trong những mục đích chính khi ảo hóa máy chủ. Công
nghệ mới này sẽ tạo ra những điều mới mẻ trong tư duy của các nhà quản lý cơng nghệ
thơng tin về tài ngun máy tính. Khi việc quản lí các máy riêng lẻ trở nên dễ dàng
hơn, trọng tâm của CNTT có thể chuyển từ cơng nghệ sang dịch vụ. Hiện nay, các “đại
gia” trong giới công nghệ như Microsoft, Oracle, Sun… đều nhập cuộc chơi ảo hóa
nhằm giành thị phần lớn trong lĩnh vực này với “gã khổng lồ” VMWare. Do đó, trên
thị trường có rất nhiều sản phẩm để các doanh nghiệp có thể lựa chọn và ứng dụng.
2.1.2. Phân loại ảo hóa
2.1.2.1. Network Virtualization (Ảo hóa hệ thống mạng)
2.1.2.1.1. Khái niệm
Chúng ta thường hay nghĩ tới các mạng LAN ảo (VLAN) khi nghe nói về ảo
hóa mạng lưới. Nhưng đây chỉ là một khía cạnh trong lĩnh vực này. Thật ra ảo hóa
mạng phức tạp hơn, và các kỹ thuật về ảo hóa trên hệ thống mạng vẫn đang được phát
triển và hoàn thiện hơn.
Ảo hóa mạng, hình dung một cách đơn giản là gom các dịch vụ, các ứng dụng
dựa trên nền người dùng/máy chủ, đưa chúng lên hệ thống mạng. Sau đó, các ứng
dụng, dịch vụ này sẽ được gán và cung cấp vào các kênh phù hợp theo nhu cầu, hay
ứng dụng cụ thể được đối tượng nào đó yêu cầu để sử dụng (Assign for request).
2.1.2.1.2. Mơ hình hoạt động

Có nhiều phương pháp để thực hiện việc ảo hóa hệ thống mạng. Các phương
pháp này tùy thuộc vào các thiết bị hỗ trợ, tức là các nhà sản xuất thiết bị đó, ngồi ra
cịn phụ thuộc vào hạ tầng mạng sẵn có, cũng như nhà cung cấp dịch vụ mạng (ISP).
Dưới đây là mơ hình hoạt động của một vài phương pháp vẫn đang được nghiên cứu
cũng như đã được triển khai bởi Cisco.
 Ảo hóa lớp mạng (Virtualized overlay network)


22
Trong mơ hình này, nhiều hệ thống mạng ảo sẽ cùng tồn tại trên một lớp nền tài
nguyên dùng chung. Các tài nguyên đó bao gồm các thiết bị mạng như Router, Switch,
các dây truyền dẫn, NIC (network interface card). Việc thiết lập nhiều hệ thống mạng
ảo này sẽ cho phép sự trao đổi thông suốt giữa các hệ thống mạng khác nhau, sử dụng
các giao thức và phương tiện truyền tải khác nhau, ví dụ như mạng Internet, hệ thống
PSTN, hệ thống Voip. Điều này làm tăng tính linh động trong hệ thống mạng, giúp
doanh nghiệp – người dùng thốt khỏi sự trói buộc của thiết bị - hạ tầng vật lý.

Hình 2.2: Ảo hóa lớp mạng
Chú thích:
 Substrate link: Các liên kết vật lý nền tảng.
 Sustrate router: Các router vật lý
 Virtual link và Substrate router là các thiết bị và liên kết được ảo hóa.
 Mơ hình ảo hóa của Cisco
Một giải pháp về ảo hóa hệ thống mạng được Cisco đưa ra, đó là phân mơ hình
ảo hóa ra làm 3 khu vực, với các chức năng chuyên biệt. Mỗi khu vực sẽ có các liên
kết với các khu vực khác để cung cấp các giải pháp đến tay người dùng 1 cách thông
suốt. Cụ thể như sau:
- Khu vực quản lý truy nhập (Access Control): Có nhiệm vụ chứng thực người
dùng muốn đăng nhập để sử dụng tài nguyên hệ thống, qua đó sẽ ngăn chặn
các truy xuất không hợp lệ của người dùng; ngồi ra khu vực này cịn kiểm

tra, xác nhận và chứng thực việc truy xuất của người dùng trong vào các
vùng hoạt động (như là VLan, Access list).


23
- Khu vực đường dẫn (Path Isolation): Nhiệm vụ của khu vực này là duy trì
liên lạc thơng qua hạ tầng cấu trúc Layer 3 (tầng Network trong mơ hình
OSI); vận chuyển liên lạc giữa các vùng khác nhau trong hệ thống. Trong các
vùng này sử dụng giao thức khác nhau, như MPLs (Multiprotocol Label
Switching) và VRF (Virtual Routing and Forwarding), do đó cần một cầu nối
để liên lạc giữa chúng. Ngồi ra, khu vực này có nhiệm vụ liên kết (maping)
giữa các đường truyền dẫn với các vùng hoạt động ở hai khu vực cạnh nó là
Access Control và Services Edge.
- Khu vực liên kết với dịch vụ (Services Edge): Tại đây sẽ áp dụng những
chính sách phân quyền, cũng như bảo mật ứng với từng vùng hoạt động cụ
thể; đồng thời qua đó cung cấp quyền truy cập đến dịch vụ cho người dùng.
Các dịch vụ có thể ở dạng chia sẻ hay phân tán, tùy thuộc vào môi trường
phát triển ứng dụng và yêu cầu của người dùng.

Hình 2.3: Kiến trúc ảo hóa mạng của Cisco
2.1.2.2. Storage Virtualization (Ảo hóa hệ thống lưu trữ)
2.1.2.2.1. Khái niệm
Ngày nay, nhu cầu lưu trữ dữ liệu của người dùng, doanh nghiệp ngày càng
tăng lên. Và hiển nhiên khi nhu cầu ấy tăng lên, chúng ta cần một số lượng đĩa cứng
tăng tương ứng, cùng với sự phát triển dung lượng của các đĩa. Do đó, vấn đề bị phát
sinh khi chúng ta có quá nhiều thiết bị lưu trữ vật lý cần được quản lý. Mặc dù có
nhiều phương pháp được đề xuất để phục vụ cho việc quản lý này như RAID (Ghép
nhiều đĩa cứng vật lý thành 1 đĩa cứng, qua đó gia tăng tốc độ đọc ghi và có khả năng
chịu lỗi cao), NAS (Network-attached storage), và SAN (Storage-area networks), việc
quản lý vẫn rất khó khăn và độ phức tạp cao.



24
Do đó, khái niệm ảo hóa hệ thống lưu trữ (Storage virtualization) ra đời. Ảo hóa
hệ thống lưu trữ, về cơ bản là sự mô phỏng, giả lập việc lưu trữ từ các thiết bị lưu trữ
vật lý. Các thiết bị này có thể là băng từ, ổ cứng hay kết hợp cả 2 loại.

Hình 2.4: Áo hóa hệ thống lƣu trữ
Ảo hóa hệ thống lưu trữ mang lại các ích lợi như việc tăng tốc khả năng truy
xuất dữ liệu, do việc trải rộng và phân chia các tác vụ đọc/viết trong mạng lưu trữ.
Ngồi ra, việc mơ phỏng các thiết bị lưu trữ vật lý cho phép tiết kiệm thời gian hơn
thay vì phải định vị xem máy chủ nào hoạt động trên ổ cứng nào để truy xuất.
2.1.2.2.2. Mơ hình hoạt động
Ảo hóa hệ thống lưu trữ có thể được tổ chức theo ba dạng sau đây:
 Host-based
Server

Lớp ảo hóa
Driver của
thiết bị
Ổ đĩa vật lý

Hình 2.5: Host-based Storage Virtualization
Trong mơ hình này, ngăn cách giữa lớp ảo hóa và ổ đĩa vật lý là driver điều
khiển của các ổ đĩa. Phần mềm ảo hóa sẽ truy xuất tài nguyên (các ổ cứng vật lý)
thông qua sự điều khiển và truy xuất của lớp Driver này.
 Storage-device-based