TRUNG TÂM TÍCH HỢP DỮ LIỆU

TỔNG CÔNG TY KHOÁNG SẢN VÀ

THƯƠNG MẠI HÀ TĨNH

Hà nội, 10/2005
 MỤC LỤC

1. ĐẶT VẤN ĐỀ 3
Sự cần thiết: 3

Mục tiêu và Phạm vi chung: 3

Yêu cầu thiết kế 4

2. GIẢI PHÁP 5
Sơ đồ tổng thể 5

Hạ tầng mạng 6
Mạng LAN 6
Wireless Lan 8
Kêt nối WAN 10

Các dịch vụ cơ bản cho người sử dụng 12

Truy cập Internet 12
Dịch vụ Web 13
Dịch vụ truyền File (FTP) 13
Dịch vụ chia sẻ file/print 14

Các dịch vụ hệ thống 14

An toàn và Bảo mật thông tin 14

Hệ thống phòng chống virus, spyware, adware 15
Hệ thống Proxy/Firewall – Microsoft ISA server 16
Xây dựng và Duy trì chính sách an ninh mạng 16
Sao lưu dữ liệu 19

Hạ tầng An toàn điện 19

Phần cứng và Phần mềm 19

3. DỰ TRÙ KINH PHÍ 23

4. KẾ HOẠCH TRIỂN KHAI 24

5. ĐÁNH GIÁ HIỆU QUẢ 25

6. KẾT LUẬN 25
 Dự án Trung tâm tích hợp dữ liệu

ĐẶT VẤN ĐỀ
Sự cần thiết:
Ngày nay, với sự phát triển như vũ bão của Công nghệ thông tin (CNTT), tính
năng của các thiết bị tin học và các ứng dụng được tăng lên rất nhiều trong khi
đó chi phí lại liên tục giảm. Ứng dụng CNTT trở thành biện pháp hữu hiệu để
tăng hiệu quả công việc, khả năng quản lý; chuẩn bị cho Tổng công ty sẵn
sàng hội nhập, cạnh tranh trong thời gian sắp tới.
Hệ thống thông tin của Tổng công ty gồm nhiều tầng khác nhau, mỗi tầng có
chức năng nhất định. Trung tâm tích hợp dữ liệu bao gồm mạng LAN, các
máy chủ, .v.v là nền tảng để phát triển các ứng dụng nghiệp vụ khác như MIS,
ERP.
Hiện nay, mạng LAN tại Tổng công ty có một số hạn chế sau:
 Mạng ngang hàng: các máy có vai trò như nhau trên mạng. Mô hình
mạng này đơn giản nhưng khó quản trị và phát triển sau này.
 Chưa có các cơ chế kiểm soát an ninh mạng:
 Truy cập Internet không có bảo vệ: các máy nối trực tiếp với Internet
qua đường ADSL.
 Không có máy chủ quản lý người sử dụng
 Chưa có giải pháp đồng bộ để phòng ngừa virus cũng như spyware và
adware
Vì vậy, việc ứng dụng tin học gặp một số hạn chế sau:
 Khó ngăn chặn được virus: có thể dẫn tới mất dữ liệu, hỏng máy; hiện
tượng thường thấy là sau một thời gian các máy trở nên chậm do có nhiều
chương trình được cài tự động từ Internet.
 Chia sẻ dữ liệu khó khăn: dữ liệu nằm rải rác tại các máy một cách
trùng lặp
 Chưa có chính sách an ninh mạng: quy định những thông tin nào nằm
ở đâu, ai có quyền truy cập, .v.v.
Trung tâm tích hợp dữ liệu sẽ giải quyết các vấn đề trên một cách đồng bộ
bằng việc quy hoạch lại hạ tầng mạng và các dịch vụ cần thiết để tạo ra môi
trường an ninh, chia sẻ tài nguyên một cách dễ dàng.
Tóm lại, việc xây dựng Trung tâm tích hợp dữ liệu tốt, hoạt động ổn định, tính
bảo mật cao, có khả năng mở rộng là rất quan trọng, có ý nghĩa quyết định của
việc ứng dụng tin học tại Tổng công ty.
Mục tiêu và Phạm vi chung:
Xây dựng hạ tầng bao gồm máy chủ, các thiết bị mạng và đường truyền để
cung cấp các dịch cơ bản cho người sử dụng như chia sẻ file, máy in, Web,
.v.v và triển khai các ứng dụng mức trên như ERP (hệ thống quản trị doanh
nghiệp), MIS (hệ thống thông tin quản trị), .v.v.

3
 Dự án Trung tâm tích hợp dữ liệu

Giai đoạn 1, dự án triển khai tại văn phòng Tổng công ty; trong tương lai sẽ
kết nối với các đơn vị thành viên.

Mục tiêu cụ thể:

 Hoàn chỉnh hệ thống mạng LAN đảm bảo kết nối thông suốt.
 Cung cấp các dịch vụ cơ bản như: chia sẻ file, máy in, .v.v
 Xây dựng website nội bộ phục giúp đơn giản hóa truy cập thông tin chung
 Xây dựng hệ thống an ninh, an toàn dữ liệu, hệ thống bảo mật
 Xây dựng phương án kết nối Internet (kết nối từ máy đơn lẻ, không kết nối
vào mạng LAN)
 Trang bị các máy chủ, thiết bị mạng, .v.v.
 Thành lập đội ngũ cán bộ quản trị mạng đáp ứng tốt nhiệm vụ.
 Đào tạo cho cán bộ lãnh đạo, quản lý, nhân viên tại Văn Phòng nhằm nâng
cao trình độ hiểu biết về CNTT phục vụ công tác quản lý, truy nhập thông
tin. Đào tạo cán bộ quản trị mạng
Yêu cầu thiết kế
Trung tâm tích hợp dữ liệu cần đáp ứng các yêu cầu sau:
 Ổn định (reliable) và Tính sẵn sàng cao (availabilty): Hệ thống phải
chạy ổn định, sẵn sàng đáp ứng yêu cầu của người sử dụng. Đây là một
trong yếu tố then chốt quyết định sự thành công của dự án.
 Khả năng mở rộng (scalable): Trong tương lai, các đơn vị thành viên sẽ
được kết nối với hệ thống này tạo thành mạng thống nhất.
 An toàn và Bảo mật (Security): Chỉ có người có quyền mới được truy
cập và sử dụng dịch vụ của hệ thống.

4
 Dự án Trung tâm tích hợp dữ liệu

GIẢI PHÁP
Sơ đồ tổng thể

5
 Dự án Trung tâm tích hợp dữ liệu

Trung tâm tích hợp dữ liệu gồm các thành phần sau:
 Máy chủ: Các máy chủ để chạy các dịch vụ mạng cơ bản, máy chủ
web, cơ sở dữ liệu.
 Mạng LAN (Local Area Network): Mạng nội bộ kết nối các máy trạm
và máy chủ; môi trường truyền thông.
 Các dịch vụ hệ thống: sử dụng để quản lý quyền truy cập, quản lý
người sử dụng; cung cấp các dịch vụ hạ tầng như dịch vụ gán địa chỉ IP tự
động (DHCP – Dynamic Host Control Protocol); .v.v.
 Các dịch vụ khác cho người sử dụng như dịch vụ chia sẻ file, máy
in, .v.v
Hạ tầng mạng
Hạ tầng mạng gồm các thiết bị mạng, đường truyền và phần mềm để tạo ra
môi trường truyền thông giữa các máy trạm, máy chủ, .v.v.
Hạ tầng mạng bao gồm:
 Mạng LAN (Local Area Network): Kết nối không dây (wifi) và có dây
 Chuẩn có dây Fast Ethernet: cho phép tốc độ tối đa 100Mbps
 Chuẩn không dây 802.1: cho phép kết nối với tốc độ tới 54Mbps
 Mạng WAN (Wide Area Network): Mạng diện rộng, kết nối với
Internet
Mạng LAN
Mạng LAN là hạ tầng truyền thông phục vụ kết nối giữa các thiết bị trong Văn
phòng Tổng công ty.
Công nghệ thông dụng hiện nay là:
Kết nối vật lý mạng LAN cần các thành phần sau:
 Switch: Thực hiện chức năng chuyển mạch
 Cable: Truyền tín hiệu tuân theo chuẩn
 Các phụ kiện: Bao gồm Outlet, RJ45, Crossconnect, Ống gen, tủ
mạng,..
Việc xây dựng các nút mạng mới và đồng thời tiến hành song song với quy
hoạch lại hệ thống cáp mạng sao cho đảm bảo tính năng kỹ thuật và mỹ thuật.
Hệ thống mạng mới sẽ tận dụng các thiết bị của hệ thống mạng cũ và ghép nối
lại để tạo thành một hệ thống cáp mạng LAN hoàn chỉnh qua việc đi dây và
bó lại dây bảo vệ bằng các ống bảo vệ(ống ghen).
Sơ đồ mô phỏng, áp dụng toàn hệ thống:
 Phương pháp thường được ứng dụng với các tầng hoặc các phòng ở
tương đối xa trung tâm thiết bị, có nhu cầu tăng trưởng các trạm làm việc
trên mạng.

6
 Dự án Trung tâm tích hợp dữ liệu

 Khả năng mở rộng và khả năng dự phòng của phương pháp này cao:
Bản than trong hệ thống cáp đã có đôi dây dự phòng trong trường hợp sử
dụng hết các cặp dây. Khi thực hiện thiết kế và lắp đặt ta phải tính toán
thêm nhu cầu phát triển của hệ thống. Nếu có nhu cầu phát triển chỉ cần
thực hiện việc kéo đường cáp từ các Cross-connect tới các máy trạm tương
ứng, không cần đi đường cáp từ bộ kết nối trung tâm.
 Việc triển khai và thi công rất thuận tiện do không phải đi nhiều đường
dây đơn từ bộ kết nối trung tâm tới các node

pc
1 8
2
pc 4 5 6
7
3
SERVER
1 - Patch cord
2 - Information Outlet
3 - UTP Cat 5 4 pair cable
4 - Cross - connect
5 - UTP Cat 5 25 pair cable
6 - Cat 5 Patch Panel
7 - Hub/Switch
8 - Equipment Cabinet

Mô phỏng phương án đi cáp mạng Cat5 UTP 4 pair

Phương án này được mô phỏng như sau:

7
 Dự án Trung tâm tích hợp dữ liệu

Equiment cabinet

Patch pannel

Hub

Wireless Lan
Mạng wireless LAN là mạng LAN không dây sử dụng sóng radio để làm tín
hiệu mạng. Mạng LAN không dây bao gồm các các thiết bị sau:
 Access Point: Điểm truy cập
 Kết nối không dây phục vụ các máy có trang bị card wireless; các máy
tính xách tay đời mới đã có sẵn tính năng này.
Sơ đồ mô tả mạng không dây:

8
 Dự án Trung tâm tích hợp dữ liệu

Mạng LAN không dây sử dụng chuẩn IEEE 802.11. Trên thế giới hiện nay
đang có các chuẩn:

Trong đó, chuẩn 802.11n đang trong quá trình hoàn thiện. Giải pháp đề xuất
sử dụng chuẩn 802.11g vì chuẩn này đảm bảo tốc độ tương đối cao 54Mb/s và
được sử dụng phổ biến nhất hiện nay.
Mạng LAN Không dây mang lại rất nhiều tiện ích cho người sử dụng, đặc biệt
đối với người sử dụng Laptop. Sau đây là một số lợi điểm chính.
 Triển khai mạng wireless LAN không cần phải lắp đặt dây dẫn; nhờ
vậy làm giảm thời gian và chi phí triển khai và bảo trì.
 Các thiết bị Wi-Fi hiện nay rất phổ biến do nhiều hãng sản xuất và chi
phí thấp.

9
 Dự án Trung tâm tích hợp dữ liệu

 Dữ liệu giữa access point và network interface được mã hóa ở nhiều

cấp độ, đảm bảo an ninh cho việc trao đổi thông tin.
Kêt nối WAN
Mạng WAN là mạng diện rộng bao gồm các mạng con nằm ở xa nhau và
thường được kết nối với nhau qua các dịch vụ của nhà cung cấp.
Hiện nay, tại Việt nam các dịch vụ WAN thông dụng là X.25, Frame Relay,
ADSL, .v.v. Trong giai đoạn 1 của dự án, hạ tầng mạng mới được triển khai tại
Văn phòng của Tổng công ty; vì vậy, chưa có nhu cầu kết nối WAN (ngoại trừ
kết nối với Internet). Trong giai đoạn 2 của Dự án, hạ tầng mạng được mở
rộng để kết nối các đơn vị thành viên với Trung tâm tích hợp dữ liệu của Tổng
công ty. Mạng viễn thông của Việt nam luôn được đầu tư và nâng cấp; ngoài
ra công nghệ phát triển không ngừng, và cho ra đời các công nghệ mới ngày
càng đơn giản và thuận tiện cho người sử dụng. Vì vậy, trước mắt Tổng công
ty sử dụng kết nối WAN duy nhất là kết nối Internet.

Truy cập Internet

Để kết nối Internet có 3 phương án:
 Sử dụng Dialup: mỗi máy muốn kết nối với Internet cần được trang
bị Modem và đường điện thoại. Tốc độ kết nối lý thuyết tối đa là 56kbps
(sử dụng giao thức V.92); tuy nhiên trong thực tế tốc độ thấp hơn nhiều do
độ nhiễu của tín hiệu, .v.v. Đây là loại hình kết nối rẻ, phù hợp cho Lãnh
đạo Tổng công ty khi đi công tác xa, những nơi không có kết nối Internet
băng rộng.
 Sử dụng dịch vụ ADSL (Asymmetric Digital Subscriber Line): cho
phép truyền dữ liệu qua đường điện thoại thông thường. Đây là dịch vụ
truy cập Internet tốc độ cao, chi phí thấp.
 Sử dụng đường Leased Line: Tổng công ty có thể thuê đường kết nối
trực tiếp với Internet. Dịch vụ này có nhiều ưu điểm: kết nối có độ ổn định
và sẵn sàng hơn kết nói ADSL; được cung cấp địa chỉ IP tĩnh trên Internet.
Như vậy, Tổng công ty có thể cung cấp các dịch vụ (website, email,
ecommerce, B2B, B2C.v.v) tại chính Văn phòng Tổng công ty mà không
cần phải qua nhà cung cấp dịch vụ nào.
Trong giai đoạn 1, giải pháp đề suất Giải tần sử dụng của công nghệ ADSL do
chi phí thấp và nhu cầu chưa cao. Trong giai đoạn 2, để chủ động triển khai
các dịch vụ trên mạng Internet, Tổng công ty nên thuê riêng đường Internet
Leased Line.
Các thiết bị cần thiết để tạo kết nối Internet:
 ADSL Modem
 Kết nối ADSL: thuê của nhà cung cấp dịch vụ (VDC, Viettel)
Mô hình kết nối ADSL:

10
 Dự án Trung tâm tích hợp dữ liệu

 Truyền tín hiệu điện thoại : 0 – 4khz

 Tải dữ liệu lên : 25,875 kHz – 138kHz
 Tải dữ liệu về : 138 kHz – 1104kHz

Truy cập từ xa qua VPN (Virtual Private Network)

VPN là công nghệ cho phép sử dụng môi trường mạng công cộng (Internet) để
tạo mang riêng ảo. Tất cả các gói dữ liệu truyền qua mạng Internet đều được
mã hóa bằng công nghệ Public và Private Key.
Dịch vụ này cho phép lãnh đạo của Tổng công ty từ bất cứ đâu có kết nối
Internet (tại Hà nội, Tp Hồ Chí Mình, thậm chí tại nước ngoài) có thể truy cập

11
 Dự án Trung tâm tích hợp dữ liệu

vào mạng nội bộ để gửi/nhận thông tin, theo dõi/chỉ đạo công việc như đang
ngồi tại văn phòng của Tổng công ty.
Với việc phổ biến dịch vụ Internet và ADSL tại Việt nam, dịch vụ này trở nên
rất hữu dụng, đơn giản và chi phí thấp.

Sơ đồ sau mô tả mô hình hoạt động của VPN:

Các dịch vụ cơ bản cho người sử dụng

Truy cập Internet
Dịch vụ này cho phép người sử dụng truy cập một cách an toàn và nhanh
chóng:
 Máy chủ ISA ( Internet Security Acceleration Server) kiểm soát các truy
cập vào ra Internet; ngăn chặn các truy cập trái phép.
 Máy chủ ISA có tính năng lưu lại các trang web (caching) để phục vụ các
truy cập lần sau được nhanh hơn.
Hiện nay, các máy trạm truy cập Internet một cách trực tiếp, không có cơ chế
kiểm soát. Máy chủ ISA cho phép đặt các chính sách an ninh (ví dụ: ngăn truy
cập vào các website và lọc nội dung) và ngăn chặn các tấn công từ bên ngoài.

12
 Dự án Trung tâm tích hợp dữ liệu

Dịch vụ Web
Nếu như Internet được coi là thành tựu vĩ đại nhất của ngành khoa học công
nghệ thông tin cho tới nay, thì cũng có thể coi Web là sản phẩm công nghệ
sáng tạo nhất trong các dịch vụ Internet.
Web cho phép thực hiện các liên kết giữa các trang web với nhau hoặc thực
hiện việc liên kết với bất kỳ file dạng text, Graphics, binary files, multimedia
files hay bất kỳ một tài nguyên Intranet nào thậm chí có thể kết nối ra cả các
tài nguyên Internet khác.
Xét về mặt quảng bá thông tin Web là một trong các công nghệ hàng đầu.Dịch
vụ tra cứu điện tử:
 Dịch vụ truy nhập tra cứu thông tin bên ngoài: Dịch vụ cung cấp
cho các cán bộ lãnh đạo có nhu cầu tra cứu, tham khảo các nguồn thông
tin bên ngoài, các nguồn thông tin của mạng CPNET, các thông tin trên
Internet. Tất cả các truy nhập đều được quản lý tuân theo các chính sách.
 Dịch vụ tra cứu thông tin của Văn phòng: Bao gồm các thông tin
giới thiệu hoặc các thông tin tra cứu cho người sử dụng. Tra cứu thông tin
qua Web/FTP có thể thực hiện trực tiếp qua mạng nội bộ của các trụ sở
hoặc truy nhập từ xa qua mạng diện rộng, CPNET, Internet hoặc Dial-up
trực tiếp.
 Quản lý công văn chính sách của Tổng công ty
 Thông báo chung cho toàn tổng công ty
 Hiện tại vẫn sử dụng dich vụ Web Server(WWW) trong ứng dụng
Microsoft Internet Information Server (ứng dụng hệ thống được kèm theo
hệ điều hành MS Window NT 2000) ở Văn phòng.

Dịch vụ truyền File (FTP)

Dịch vụ FTP cung cấp khả năng trao đổi file hiệu quả (sử dụng giao thức FTP:
File Transfer Protocol) gữa các máy tính - với tính chất nổi bật:
 Nếu máy trạm chỉ tải file về (download) từ máy chủ FTP: Máy chủ
FTP KHÔNG yêu cầu máy trạm phải đăng nhập (login) tới máy chủ.
 Máy chủ FTP chỉ yêu cầu máy trạm đăng nhập (login với tài khoản,
mật khẩu phù hợp), nếu máy trạm có nhu cầu tải file lên (upload) máy chủ.
Thông thường, hệ thống thư mục, hệ thống file trên một máy chủ FTP đã
được gán quyền sao cho: khi máy trạm truy nhập máy chủ FTP với mong
muốn tải file lên, máy trạm sẽ chỉ được phép ghi/chép file có trong thư
mục riêng tương ứng với tài khoản mà máy trạm đã sử dụng để đăng nhập.
(Lưu ý: khi có quyền ghi/chép file trong thư mục riêng -> cũng có nghĩa
có thể xoá file khỏi thư mục riêng).
 Dịch vụ truyền file hiện tại đã được sử dụng khá hiệu quả với việc
định hướng phân cấp rõ ràng như mô hình.

13
 Dự án Trung tâm tích hợp dữ liệu

 Tuy nhiên, khi thực hiện thành công hệ thống thư điện tử thì có thể
loại trừ được phần lớn nhu cầu sử dụng dạng thức này do sử dụng hệ
thống thư điện tử tiện dụng và dễ dùng hơn nhiều. Về mặt truyền thông thì
hệ thống thư điện tử cũng tối ưu hơn nhiều.
 Hiện tại việc truyền file vẫn được dùng ở các ứng dụng đạt hiệu quả
tốt trong một số trường hợp. Ứng dụng này vẫn cần duy trì trong các ứng
dụng nghiệp vụ không dùng đến Email và Web khi truyền theo đường cơ
yếu.
Dịch vụ chia sẻ file/print
Dịch vụ sử dụng trên mạng nội bộ, cho phép quản lý việc lưu trữ và chia sẻ
các tài nguyên trên mạng hệ thống file, hệ thống máy in.
Người sử dụng được cấp và phân phối quyền sử dụng các tài nguyên này theo
các qui định và nhu cầu sử dụng do người quản trị hệ thống đặt ra.
Các dịch vụ hệ thống
Đây là các dịch vụ không phục vụ trực tiếp người sử dụng cuối, nhưng chúgn
rất cần thiết cho hệ thống, các chương trình, .v.v hoạt động. Sau đây là các
dịch vụ hệ thống cơ bản:
 DNS – Domain Name Service (DNS): Dịch vụ sử dụng để hệ thống
phân giải giữa tên thân thiện với người sử dụng như (www.yahoo.com) và
địa chỉ IP (Internet Protocol Address)
 DHCP – Dynamic Host Cotrol Protocol: Dịch vụ gán địa chỉ IP tự
động. Giảm thời gian quản trị, đơn giản hóa việc đặt IP cho các máy trạm
và thiết bị trên mạng.
An toàn và Bảo mật thông tin
Nhu cầu ứng dụng CNTT hỗ trợ công tác quản lý và điều hành ngày càng cao,
vấn đề An toàn và Bảo mật thông tin trở nên rất cần thiết và cần được quan
tâm đúng mức.
Việc xây dựng hệ thống an ninh mạng boa gồm các bước sau:
 Xác định các tài nguyên thông tin cần bảo vệ
 Xác định các nguy cơ về mất an toàn thông tin
 Nghiên cứu và ứng dụng các công nghệ về an ninh để xây dựng hệ
thống kỹ thuật về anh ninh một cách đồng bộ
 Xây dựng các chính sách, thủ tục để theo dõi việc thực hiện và cập
nhật các chính sách về an toàn và bỏa mật thông tin.
Xây dựng các hệ thống bảo mật dữ liệu gồm nhiều lớp đảm bảo:
 Hệ thống firewall và Proxy: để quản lý truy cập Internet, ngăn chặn các
đợt tấn công, tuy cập trái phép.
 Hệ thống phòng chống Virus, Spyware, Adware: các hệ thống này
phải đủ mạnh; hỗ trợ khả năng tích hợp tìm diệt Virus trong các ứng dụng

14
 Dự án Trung tâm tích hợp dữ liệu

mạng, Email, Office....Chống virus và cập nhật thường xuyên (UpDate)

phần mềm chống virus trên mạng.
 Bảo mật ở mức ứng dụng: Các phần mềm xây dựng có chức năng
bảo mật dữ liệu dưới dạng mã hóa riêng.
 Xây dựng và Duy trì các chính sách bảo mật: tổ chức mạng, kiểm
soát truy nhập, xác thực mạng, xác thực ứng dụng.
 Sao lưu dữ liệu: Sao lưu định kỳ các dữ liệu quan trọng sang máy chủ
khác và ra ổ đĩa DVD.
Hệ thống phòng chống virus, spyware, adware
Virus là một chương trình hoặc một đoạn code có khả năng “lây nhiễm” một
hay nhiều chương trình bằng cách tạo ra bản sao của chính nó. Khi chương
trình gốc chạy, virus nằm trong chương trình đó cũng được chạy theo và tạo ra
những kết quả không mong muốn và thường gây các tác hại khác nhau như
xóa dữ liệu, làm treo hệ thống, .v.v.
Spyware là những chương trình được tạo ra nhằm can thiệp và chiếm một
phần quyền điều khiển của máy tính mà người sử dụng không nhận thấy.
Giống như kẻ gián điệp, chương trình spyware theo dõi và ăn cắp thông tin về
người sử dụng và gửi ra bên ngoài. Khác với virus, chương trình spyware
không tự nhân bản.
Adware là những chương trình chứa thông tin quảng cáo và tự được kích hoạt
mặc dù người sử dụng không yêu cầu. Các chương trình Adware thường là là
các pup-up window hay xuất hiện trên thanh công cụ.
Virus, spyware và adware có thể lây nhiễm qua nhiều đường khác nhau:
 Qua truy cập Internet: Người sử dụng có thể download file chứa virus,
spyware và adware
 Qua email: trong file chứa virus, spyware và adware
 Qua file đưa vào Tổng công ty từ đĩa mềm, USB Driver, .v.v.
Virus, spyware và adware đều gây ra những vấn đề an ninh nghiêm trọng (làm
mất, hỏng, phát tán dữ liệu) và làm giảm hiệu quả công việc. Vì vậy Tổng
công ty cần có giải pháp hữu hiệu để phòng và chống chúng.
Giải pháp đề xuất:
 Sử dụng Proxy/Firewall: là thành phần nằm giữa Internet và người sử
dụng để quản lý việc truy cập Internet.
 Sử dụng phần mềm phòng chống virus
Cho doanh nghiệp lớn, giải pháp được sử dụng phổ biến và có uy tín hiện nay
là Norton Antivirus Coporation Edition.
Giải pháp này có các ưu điểm sau:
 Phòng chống virus trên cả mạng qua các đường (email, http, ftp, .v.v)
 Cho phép theo dõi, quản trị từ một một màn điều khiển (console)

15
 Dự án Trung tâm tích hợp dữ liệu

 Phòng chống sypware và adware (các chương trình dán điệp và quảng
cáo bị lây nhiễm khi truy cập các site trên Internet)
 Hoạt động theo chế độ tức thời (real-time); tự động phát hiện và xóa
các virus, spyware và adware
Ngoài các tính năng trên, giải pháp này còn cho phép:
 Đặt lịch tìm diệt theo chế độ đặt ra.
 Cảnh báo được số lượng virus đã được tìm diệt.
 Ghi lại hệ thống file nào đã bị nhiễm và đã bị diệt.
 Cảnh báo loại virus nào đã hoạt động và đã bị diệt.
Hệ thống Proxy/Firewall – Microsoft ISA server
Các tính năng bảo mật chính của MS ISA server:
 Firewall nhiều tầng: cho phép lọc các gói thông tin được đi qua mạng;
đóng và mở cổng (port) một cách tự động/mềm dẻo
 Điều khiển ứng dụng một cách thông minh: ISA cho phép lọc các
traffic liên quan tới các protocol tại tầng ứng dụng như HTP, FTP, .v.v một
cách thông minh. Điều nay làm tăng tính an toàn của mạng;
 Bảo vệ các tấn công từ bên ngoài: Bảo vệ các webserver, không cho
phép bên ngoài truy cập vào các máy khác trên mạng.
 Phát hiện và Ngăn chặn sự xâm nhập: Phát hiện, cảnh bảo và tiến hành
các hành động để ngăn chặn sự xâm nhập (ví dụ: such as port scanning,
WinNuke, or ping of death)

Xây dựng và Duy trì chính sách an ninh mạng

i) Chính sách bảo mật thông tin

Mục đích
Chính sách bảo mật thông tin giúp cho các cán bộ trong cơ quan thuộc các xác
định thông tin nào cần phải được giữ bí mật đối với những cán bộ không
thuộc cơ quan về những thông tin không được sự uỷ quyền của lãnh đạo.

16
 Dự án Trung tâm tích hợp dữ liệu

Đồng thời các cán bộ xác định được quyền để truy nhập vào những thông tin
mà mình có thể khai thác hoặc trao đổi với bên ngoài.
Phạm vi thông tin
Thông tin trong cơ quan được phân thành 3 nhóm chính:
 Thông tin thông thường.
 Thông tin mật.
 Thông tin tuyệt mật
Chính sách
Tuỳ theo mức độ quan trọng của từng loại thông tin mà cần phải có chính sách
bảo mật riêng. Có một số chính sách được đưa ra như sau:
 Đánh dấu các thông tin thuộc quyền sở hữu của người sử dụng nào đó,
hoặc thông tin thuộc phòng ban nào đó.
 Đặt mật khẩu cho những thông tin thuộc phòng ban nào để những cán
bộ thuộc phòng ban đó mới có thể truy nhập vào.
 Phân quyền truy nhập cho từng đối tượng cán bộ nhằm tránh truy nhập
trái phép.
 Trong quá trình lưu trữ thông tin tránh tình trạng để bị lộ thông tin ra
ngoài phòng ban của mình hoặc ra môi trường bên ngoài đối với những
thông tin mật và tuyệt mật.
 Sử dụng những phương án mã hoá thông tin trong khi truyền những
thông tin mật và tuyệt mật.
 Xác định thông tin thuộc loại mức độ nào mới có quyền gửi ra ngoài
hoặc phải có sự cho phép của cán bộ lãnh đạo của mình.
 Xác định loại thông tin nào được huỷ trong quá trình sử dụng. Đối với
những thông tin chung thì khi huỷ cần phải thông qua lãnh đạo của mình.
 Đối với những cán bộ sử dụng máy tính riêng khi không sử
dụng(như :đi ra ngoài, ...) phải có một chính sách bảo mật như: đặt mật
khẩu cho máy tính, đặt mật khẩu cho những File dữ liệu mật và tuyệt mật.
 Đối với những cán bộ vi phạm về các điều luật đã quy định trong quá
trình sử dụng thông tin cần phải có những biên pháp kỹ luật như: cảnh cáo,
truy tố, hoặc cao hơn nữa là sa thải....

ii) Chính sách sử dụng thông tin

Mục đích
Chính sách sử dụng thông tin giúp cho cán bộ trong cơ quan sử dụng đúng với
thông tin trong hệ thống nhằm khai thác hiệu quả thông tin sẵn có. Đồng thời
tránh việc phá hoại hệ thống thông tin vô tình hoặc cố ý. Bên cạnh đó giúp
cho cán bộ sử dụng hiệu quả hệ thống thiết bị, phầm mềm, hệ điều hành,
phương tiện lưu trữ, tài khoản truy nhập mạng, các dịch vụ mạng hiệu quả và
an toàn hơn.
Chính sách

17
 Dự án Trung tâm tích hợp dữ liệu

 Hướng dẫn cán bộ nhân viên trong cơ quan sử dụng những thông tin
nào là cần thiết cho đúng mục đích. Do đó cần thực hiện như sau:
 Cán bộ quản trị hệ thống tạo ra các mức riêng cho cán bộ thuộc cơ
quan để các cán bộ đó sử dụng hiệu quả những thông tin riêng và
thông tin chung của từng cấp huyện, tỉnh.
 Đào tạo cán bộ thuộc các ban sử dụng đúng thông tin. Nếu những cán
bộ nào không hiểu hoặc chưa sử dụng được các ứng dụng thì yêu cầu
cần phải đào tạo lại và quản lý những cán bộ đó.
 Đối với những cán bộ được phân quyền là cán bộ quản trị hệ thống yêu
cầu phải có nhiệm vụ giám sát những cán bộ nào truy nhập trái phép
vào những thông tin không được phân quyền.
 Hướng dẫn cụ thể cho những cán bộ nên truy nhập vào những loại
thông tin nào để phù hợp với khả năng khai thác của họ.
 Các thiết bị riêng như: máy tính cá nhân, các dữ liệu riêng cần phải có
chính sách đặt password và thường xuyên thay đổi password theo định
kỳ quy định từng phòng ban.
 Cung cấp thông tin như: địa chỉ cán bộ, đường dẫn thư mục của những
thông tin cần thiết hàng ngày cho cán bộ.

iii) Chính sách kiểm tra

Mục đích
Mục đích của chính sách kiểm tra là cung cấp quyền cho các thành viên trong
nhóm chịu trách nhiệm về bảo mật hệ thống thông tin của cơ quan được phép
thực hiện kiểm tra an ninh thông tin trên bất kỳ hệ thống thông tin nào trong
cơ quan. Đồng thời đảm bảo cho hệ thống thông tin hoạt động với độ sẵn sàng
cao, ngăn chặn các sự cố thường xảy ra trong hệ thống phần cứng cũng như
các mất mát những nguồn thông tin mật và tuyệt mật.
Chính sách
Khi được yêu cầu, và để phục vụ mục đích thực hiện kiểm tra, mọi quyền truy
nhập sẽ được cung cấp cho các thành viên của nhóm chịu trách nhiệm an ninh
hệ thống thông tin của từng trụ sở riêng.
 Kiểm tra mức truy nhập người sử dụng hoặc mức hệ thống tới bất kỳ
thiết bị tính toán hay truyền thông nào.
 Kiểm tra và giám sát hệ thống thông tin, ghi nhật ký trên hệ thống
thông tin để khắc phục những sự cố không mong muốn.
 Đưa ra phương án kiểm tra định kỳ về trình độ sử dụng thống phần
cứng và việc ứng dụng các phần mềm ứng dụng.
 Kiểm tra, đo đạc hệ thống bảo vệ mạng.
Thường xuyên kiểm tra thông tin trên hệ thống có bị truy nhập trái phép hay
không và đưa ra phương án để bảo vệ như: thay đổi lại mật khẩu, lưu trữ ở
những nơi có độ an toàn và bảo mật cao.

18
 Dự án Trung tâm tích hợp dữ liệu

Sao lưu dữ liệu

Để đảm bảo cho việc an toàn dữ liệu trong hệ thống thông tin phương án sao
lưu dữ liệu sẽ đảm bảo các tính năng sau:
 Độ an toàn dữ liệu trong hệ thống thông tin cao.
 Tính sẵn sàng của hệ thống cao.
 Dữ liệu được ghi ra một thiết bị khác đảm bảo độ an toàn cao.
 Sao lưu phải đảm bảo tính năng thực thi cao, tính an toàn cao và chi
phí thấp.
 Khả năng sao lưu nhanh, không ảnh hưởng tới môi trường mạng.
 Có khả năng mở rộng sao lưu sang máy chủ và máy trạm khác.
Phương án sao lưu:
 Sử dụng Backup Server để sao lưu các file và CSDL trên mạng
 Định kỳ sao lưu sang đĩa DVD ổ đĩa quang cho phép lưu tới 4,7GB.
Hạ tầng An toàn điện
Để đảm bảo an toàn cho toàn bộ hệ thống, vấn đề đặt ra là phải có phương án
đảm bảo an toàn nguồn điện của toàn mạng, do đó yêu cầu đặt ra của hệ thống
như sau:
 Hệ thống mạng LAN tại trung tâm yêu cầu sử dụng các bộ lưu điện.
Cụ thể:
- 05 UPS 2KVA on-line cho máy chủ
- 01 UPS 1KVA off-line cho các thiết bị mạng
- Có thể sử dụng dòng UPS Powerware cho UPS on-line và Santak cho UPS
off-line
o Hệ thống cáp điện an toàn và đủ mạnh cho phòng đặt máy chủ,
có đường cáp điện dự phòng (tách biệt với điện cho điều hoà).
o Hệ thống máy chủ có UPS đủ công suất và thời gian lưu điện.
o Có hệ thống chống sét và chống các loại xung trên mạng như
sau:
 Chống sét cho đường leased line
 Chống sét cho phòng máy chủ.
 Có hệ thống đảm bảo môi trường về nhiệt độ, độ ẩm, chống cháy, nổ.
Phần cứng và Phần mềm
Trung tâm Tích hợp mạng gồm các nhóm thiết bị sau:
 Máy chủ: nơi chạy các ứng dụng, xử lý dữ liệu
 Mạng: ADSL Modem, đường truyền
 Khác: UPS
STT Mục Đơn vị SL Nội dung Chức năng
I Phần cứng 0 0 0

19
 Dự án Trung tâm tích hợp dữ liệu

STT Mục Đơn vị SL Nội dung Chức năng

I.1 Máy chủ 0 0 0
1 Active cái 1 IBM Xseries 346 Chạy các dịch vụ sau:
Directory P/N 8840-11A, Form - Active Directory
Server factor Rack 2U - DHCP (Dynamic Host
CPU: XEON 3.0Ghz - Control Protocol)
800Mhz, Upgrade 2CPU, - DNS (Domain Name
Caches 1MB L2 System)
SCSI Controler Dual Ultra - File Sharing (dịch vụ chia
320 SCSI, Disk Bays sẻ file)
(total\avail) 8\6 - Printer Sharing (dịch vụ
Memory 1024GB DDR chia sẻ Máy in)
PC3200 ECC/ 16Gb Yêu cầu cần cấu hình mạnh:
Video Ram 16Mb, HDD - 01 CPU
36.4GB HS Ultra - RAID 5.0
2 Email và cái 1 IBM Xseries 346 Cung cấp 2 dịch vụ:
Web Server P/N 8840-11A, Form - Email nội bộ
factor Rack 2U - Web
CPU: XEON 3.0Ghz - Yêu cầu cấu hình tương đối
800Mhz, Upgrade 2CPU, mạnh:
Caches 1MB L2 - 02 CPU
SCSI Controler Dual Ultra
320 SCSI, Disk Bays
(total\avail) 8\6
Memory 1024GB DDR
PC3200 ECC/ 16Gb
Video Ram 16Mb, HDD
36.4GB HS Ultra
3 Database cái 1 IBM Xseries 346 Chạy dịch vụ quản lý CSDL
Server P/N 8840-11A, Form Microsoft SQL để quản lý
factor Rack 2U dữ liệu cho các dịch vụ như
CPU: XEON 3.0Ghz - Quản lý Nhân sự, Tiền
800Mhz, Upgrade 2CPU, lương, ERP, .v.v
Caches 1MB L2 Cấu hình cần tương đối
SCSI Controler Dual Ultra mạnh:
320 SCSI, Disk Bays - 02 CPU
(total\avail) 8\6 - RAID 5
Memory 1024GB DDR
PC3200 ECC/ 16Gb
Video Ram 16Mb, HDD
36.4GB HS Ultra
4 Backup cái 1 IBM Xseries 346 Backup cho các máy chủ
Server P/N 8840-11A, Form trên
factor Rack 2U Yêu cầu:
CPU: XEON 3.0Ghz - - Dung lượng ổ cứng lớn
800Mhz, Upgrade 2CPU,
Caches 1MB L2
SCSI Controler Dual Ultra
320 SCSI, Disk Bays
(total\avail) 8\6
Memory 1024GB DDR
PC3200 ECC/ 16Gb
Video Ram 16Mb, HDD
36.4GB HS Ultra
0 0 0 0 0 0

20
 Dự án Trung tâm tích hợp dữ liệu

STT Mục Đơn vị SL Nội dung Chức năng

I.2 Các thiết bị 0 0 0 0
khác (mạng
+ ups + .v.v)
1 Tủ Rack cho cái 2 - 19 inchs - 02 Rack cho máy chủ
máy chủ - 42U - 01 cho máy chủ Rack
- Rack 42U đáp ứng cho 02 mount case máy chủ nằm
máy chủ tại công ty ngang
- 04 quạt làm mát, 6 ổ - 01 cho máy chủ Rack
nguồn cung cấp điện mount case máy chủ đứng
(Tower)
2 Tủ Rack cho cái 1 - 19 inchs - Phục vụ cho các thiết bị
các thiết bị - 42U mạng: Router, Switch,
mạng - Compaq RACK 19 inchs, KVM.
42U đáp ứng cho các thiết
bị mạng tại TCT
- 02 cửa, 01 trước bằng
mica, 01 sau làm bằng lưới
3 Switch cái 2 Cisco Catalyst 2950T 0
phục vụ cho máy chủ và hệ
thống LAN tại TCT kết nối
tới
4 Firewall cái 1 Cisco PIX 515E-UR Bundle - Bảo mật hệ thống mạng
(Chassis, Unrestricted SW, 2 - Cisco System
FE, VAC+)
5 Internet ISA cái 1 Celestix MSA 2000: ISA 0
Server Server, 512MB Ram, 80 GB
HDD, 2x100/1000 Erthernet
Ports
6 ADSL cái 2 Linksys Voice IP, kết nối 2 - Gọi điện thoại quốc tế qua
Modem cổng qua tổng đài, 2 cổng VoiceIP
LAN lấy tín hiệu Internet - Gọi điện thoại quốc tế qua
ADSL hệ thống thẻ
- Gọi trực tiếp từ máy điện
thoại bàn nhằm đảm bảo
giao diện thói quen của
người sử dụng
7 UPS cái 5 5KVA Online 0
8 Cable hộp 2 1 hộp dài 300m 0
9 RJ45 hộp 5 1 hộp 100 cái 0
10 Các thiết bị bộ 1 -Ống ghen, hộp nối, .v.v 0
khác
0 0 0 0 0 0
0 Tổng (I) = 0 0 0 0
(I.1 + I.2)
0 0 0 0 0 0
II Phần mềm 0 0 0 0
1 Windows bản 1 Microsoft Windows 20003 0
Server Server
2 SQL Server bản 1 Microsoft SQL Server - Cho 20 người dùng
Enterprrise - Phiên bản Enterprise

21
 Dự án Trung tâm tích hợp dữ liệu

STT Mục Đơn vị SL Nội dung Chức năng

4 Phần mềm user 50 Gồm các tính năng:- IWSS - Giá license cho 1 năm-
Security HTTP/FTP - IMSS- OSCE- Scan tại trung tâm máy chủ-
(Netsuite) Firewall- SMLN Suite- SP Giá tạm thời tính cho 50
người dùng- Phí cập nhật
hàng năm là 20%

5 Intranet bản 1 - Module Quản lý tài liệu - Hệ thống này có tính năng
website - Module Thông báo CMS (Content Management
- Module Admin System)

22
 Dự án Trung tâm tích hợp dữ liệu

DỰ TRÙ KINH PHÍ

Xem các bảng kèm theo:

23
 Dự án Trung tâm tích hợp dữ liệu

KẾ HOẠCH TRIỂN KHAI

24
 Dự án Trung tâm tích hợp dữ liệu

ĐÁNH GIÁ HIỆU QUẢ

Triển khai Trung tâm tích hợp dữ liệu mang lại các lợi ích sau:
 Tổng công ty sẽ có nền tảng vững chắc gồm hệ thống mạng, các máy
chủ có năng lực xử lý lớn để triển khai các ứng dụng lớp trên.
 Chia sẻ dữ liệu dễ dàng qua dịch vụ chia sẻ file, máy in và website nội
bộ - nơi tập trung các thông tin của Tổng công ty một cách thống nhất và
dễ truy cập.
 Tăng tính bảo mật của hệ thống bằng việc kiểm soát truy cập Internet
của nhân viên, ngăn chặn các tấn công trái phép, ngăn chặn xâm nhập và
phát tán virus, các chương trình spyware, adware.
 Nâng cao trình độ tin học của các bộ công nhân viên.

KẾT LUẬN
Việc xây dựng Trung tâm tích hợp dữ liệu sẽ mang lại nhiều hiệu quả thiết
thực. Để hệ thống hoạt động hiệu quả, Tổng công ty nên chú ý tới vấn đề nhân
lực:
 thành lập ban triển khai dự án để triển khai dự án
 thành lập Phòng tin học chịu trách nhiệm vận hành hệ thống
 tiến hành các khóa đào tạo thường xuyên để nâng cao trình độ tin học
của nhân viên và cán bộ quản trị mạng.

25