Data Center

1. THÀNH ỦY ĐÀ NẴNG
TRƯỜNG CHÍNH TRỊ THÀNH PHỐ ĐÀ NẴNG
Tiểu luận tốt nghiệp
Đề tài: “ GIẢI PHÁP NÂNG CAO AN TOÀN, AN NINH
THÔNG TIN TẠI TRUNG TÂM DỮ LIỆU
THÀNH PHỐ ĐÀ NẴNG”

Giáo viên hướng dẫn: Học viên:
TS. Nguyễn Linh Phan Hữu Can – TP5/13
Đà Nẵng, tháng 4 năm 2014

2. ---- Trang 2 ----
MỤC LỤC
LỜI MỞ ĐẦU...............................................................................................3
Chương 1 TỔNG QUAN ..............................................................................5
1.1. Những vấn đề về Trung tâm dữ liệu......................................................... 5
1.2. Vấn đề an ninh, an toàn thông tin đối với Trung tâm dữ liệu ..................... 5
1.2.1. Nguy cơ đe dọa an ninh, an toàn thông tin.............................................. 5
1.2.2. Một số khái niệm về bảo mật hệ thống .................................................. 6
1.2.3. Giải pháp nâng cao an toàn, an ninh thông tin......................................... 7
Chương 2......................................................................................................8
TÌM HIỂU VỀ TRUNG TÂM DỮ LIỆU THÀNH PHỐ ĐÀ NẴNG...........8
2.1. Hạ tầng kỹ thuật của Trung tâm dữ liệu Đà Nẵng ..................................... 9
2.2. Hạ tầng an ninh thông tin của Trung tâm dữ liệu ..................................... 13
Chương 3....................................................................................................16
GIẢI PHÁP NÂNG CAO AN TOÀN, AN NINH THÔNG TIN TẠI
TRUNG TÂM DỮ LIỆU THÀNH PHỐ ĐÀ NẴNG..................................16
3.1. Giải pháp bổ sung thiết bị an ninh thông tin ............................................ 16
3.1.1. Một số tồn tại trong mô hình mạng tại Trung tâm dữ liệu:..................... 16
3.1.2. Đề xuất giải pháp nâng cao bảo mật cho Module Internet...................... 18
3.1.3. Đề xuất giải pháp nâng cao bảo mật cho Module Data Center: .............. 21
3.2. Gải pháp về cơ chế chính sách, nguồn nhân lực:...................................... 23
3.2.1. Về cơ chế, chính sách:......................................................................... 23
3.2.2. Về nguồn nhân lực:............................................................................. 23
3.2.3. Về hợp tác trong và ngoài nước .......................................................... 24
KẾT LUẬN.................................................................................................25

3. ---- Trang 3 ----
LỜI MỞ ĐẦU
Hội nghị lần thứ tư Ban Chấp hành Trung ương Đảng khóa XI đã ra Nghị
quyết số 13/NQ/TW ngày 16/01/2012 về “Xây dựng hệ thống kết cấu hạ tầng
đồng bộ nhằm đưa nước ta cơ bản trở thành nước công nghiệp theo hướng hiện
đại vào năm 2020”. Để thực hiện hiệu quả Nghị quyết của Trung ương, Thành
ủy Đà Nẵng đã xây dựng chương trình hành động thực hiện Nghị quyết
13/NQ/TW ngày với nhiều nội dung thiết thực, trong đó mục tiêu phát triển hạ
tầng thông tin và truyền thông đồng bộ, hiện đại, tiên tiến là một trong những
mục tiêu quan trọng mà thành phố ưu tiên thực hiện để hướng đến xây dựng
Chính quyền điện tử.
Những năm qua, trong lộ trình tiến đến mục tiêu trên, thành phố đã triển
khai xây dựng Mạng đô thị (MAN) tốc độ cao, băng thông rộng để kết nối toàn
bộ các cơ quan trực thuộc Thành ủy, HĐND, UBND thành phố... đến các xã,
phường; thiết lập Trung tâm dữ liệu (DC) bằng công nghệ hiện đại và có tính
mở để đáp ứng nhu cầu kết nối các cơ sở chuyên ngành và dữ liệu chung của
thành phố với mạng cơ sở dữ liệu quốc gia. Xây dựng và mở rộng Mạng Internet
không dây (WIFI) công cộng với công nghệ tiên tiến, tính ổn định cao, chất
lượng dịch vụ tốt, bảo đảm yêu cầu cung cấp dịch vụ công qua mạng đến với
người dân trở nên hết sức thuận lợi, mọi lúc, mọi nơi.
Mạng đô thị, Trung tâm dữ liệu và Mạng Internet không dây Đà Nẵng đã
được khánh thành và đi vào từ tháng 8/2013, với nền tảng hạ tầng CNTT hiện
đại, tiên tiến, đáp ứng yêu cầu triển khai chính quyền điện tử tại thành phố Đà
Nẵng, góp phần hoàn thiện hạ tầng kinh tế - kỹ thuật để hướng đến mục tiêu xây
dựng thành phố Đà Nẵng trở thành một thành phố “hấp dẫn và đáng sống”, theo
tinh thần nghị quyết Đại hội Đại biểu lần thứ XX Đảng bộ TP Đà Nẵng.
Vì vậy, cần phải có một đề tài nghiên cứu nhằm đề ra các giải pháp nâng
cao công tác an toàn, an ninh cho hệ thống thông tin của thành phố, đặc biệt là
thông tin dữ liệu đặt tại Trung tâm dữ liệu thành phố.
Sau khi được cơ quan cử đi học và được các thầy cô Trường Chính trị
Thành phố Đà Nẵng trang bị các kiến thức về quản lý Nhà nước, với mong
muốn góp một phần bé nhỏ công sức của mình vào công cuộc phát triển chung
của Thành phố trong lĩnh vực CNTT, em đã xây dựng đề tài cho tiểu luận cuối
khóa là: “ Giải pháp nâng An toàn, an ninh thông tin tại Trung tâm dữ liệu thành
phố Đà Nẵng”. Đề tài gồm các nội dung:
Chương 1. Tổng quan
Chương 2. Tìm hiểu về Trung tâm dữ liệu Thành phố Đà Nẵng
Chương 3. Giải pháp nâng cao hiệu quả công tác An toàn, an ninh thông
tin tại Trung tâm dữ liệu thành phố Đà Nẵng.

4. ---- Trang 4 ----
Đề tài được hoàn thành, nhờ sự hướng dẫn tận tình của Thầy hiệu trưởng
Trường Chính trị - Tiến sĩ Nguyễn Linh.
Em xin chân thành cảm ơn thầy Nguyễn Linh và các thầy cô giáo, các
anh chị học viên lớp Quản lý Nhà nước – khóa 5 đã hỗ trợ trong quá trình học
tập cũng như làm tiểu luận này.
Chân thành cảm ơn.
Đà Nẵng, ngày … tháng 4 năm 2014
Phan Hữu Can

5. ---- Trang 5 ----
Chương 1 TỔNG QUAN
1.1. Những vấn đề về Trung tâm dữ liệu
Khái niệm về Trung tâm dữ liệu:
Trung tâm dữ liệu (TTDL)là một hạ tầng tập trung nhiều thành phần tài
nguyên mật độ cao (hardware, software…) làm chức năng lưu trữ, xử lý toàn bộ
dữ liệu hệ thống với khả năng sẵn sàng và độ ổn định cao. Các hệ thống hạ tầng
của trung tâm dữ liệu đều được dự phòng để đảm bảo sự hoạt động ổn định của
hệ thống máy chủ bao gồm: Hệ thống mạng, hệ thống nguồn, hệ thống làm mát,
hệ thống báo cháy báo khói, hệ thống quản lý vào ra, hệ thống Rack và CCTV…
Lịch sử ra đời và phát triển của Trung tâm dữ liệu:
Trung tâm dữ liệu có nguồn gốc từ các phòng máy tính lớn, thời kỳ đầu
của ngành công nghiệp máy tính. Hệ thống máy tính thời kỳ này rất phức tạp, để
vận hành và duy trì phải đòi hỏi một môi trường đặc biệt và rất nhiều loại cáp
kết nối theo nhiều phương thức đặc biệt. Ngoài ra, một hệ thống máy tính lớn
đòi hỏi rất nhiều năng lượng và được làm lạnh để tránh quá nóng.
Trước sự bùng nổ của ngành công nghiệp máy vi tính và đặc biệt là trong
những năm 1980, máy tính bắt đầu được triển khai ở khắp mọi nơi. Tuy nhiên,
khi các hoạt động công nghệ thông tin (CNTT) bắt đầu phát triển phức tạp, các
công ty phát triển ý thức về sự cần thiết để kiểm soát nguồn lực. Với sự ra đời
của máy tính client-server, trong những năm 1990, máy vi tính (bây giờ gọi là
máy chủ) bắt đầu thay thế các loại máy tính cũ. Sự sẵn có của thiết bị mạng , kết
hợp với các tiêu chuẩn mới của cáp mạng, làm cho nó có thể thiết kế phân tầng
để đặt các máy chủ trong một căn phòng đặc biệt trong các Công ty. Việc sử
dụng thuật ngữ "trung tâm dữ liệu", cũng như để áp dụng cho phòng máy tính
thiết kế đặc biệt, bắt đầu được công nhận phổ biến về thời gian này.
Trung tâm dữ liệu tại Việt Nam và tại Đà Nẵng:
Tại Việt Nam các Trung tâm dữ liệu được xây dựng và phát triển mạnh
mẽ trong thời gian 6 năm gần đây. Trung tâm dữ liệu của Thành phố Đà Nẵng
đặt tại Công viên Phần mềm Đà Nẵng số 02 Quang Trung. Trung tâm dữ liệu Đà
Nẵng được xây dựng theo các tiêu chuẩn quốc tế của TIA như TIA942,
ANSI/TIA/EIA-568-B.1, ANSI/TIA/EIA-568-B.2, ANSI/TIA/EIA-J-STD-067,
ASHRAE, IEEE STD 1100-1999, và tiêu chuẩn của Bộ Thông tin và Truyền
thông về Trung tâm dữ liệu; đồng thời tuân theo các tiêu chuẩn nghiêm ngặt về
xây dựng, điện, điều hòa chính xác, sàn nâng, các hệ thống phòng cháy chữa
cháy, camera an ninh, … đảm bảo các thiết bị luôn được hoạt động trong môi
trường tiêu chuẩn, ổn định với độ dự phòng cao.
1.2. Vấn đề an ninh, an toàn thông tin đối với Trung tâm dữ liệu
1.2.1. Nguy cơ đe dọa an ninh, an toàn thông tin
Nguy cơ mất an toàn thông tin do nhiều nguyên nhân, đối tượng tấn công
đa dạng… Thiệt hại từ những vụ tấn công mạng là rất lớn, đặc biệt là những

6. ---- Trang 6 ----
thông tin thuộc lĩnh vực an ninh, quốc phòng... Do đó, việc xây dựng hàng rào
kỹ thuật để ngăn chặn những truy cập trái phép trở thành nhu cầu cấp bách trong
các hoạt động truyền thông.
Theo số liệu thống kê, Việt Nam đứng thứ 2 trong khu vực Đông Nam á
về các hoạt động tấn công mạng. Thực tế, nguy cơ mất an ninh an toàn mạng
máy tính còn có thể phát sinh ngay từ bên trong. Nguy cơ mất an ninh từ bên
trong xảy ra thường lớn hơn nhiều, nguyên nhân chính là do người sử dụng có
quyền truy nhập hệ thống nắm được điểm yếu của hệ thống hay vô tình tạo cơ
hội cho những đối tượng khác xâm nhập hệ thống.
Tóm lại, phát triển không ngừng của lĩnh vực công nghệ thông tin đã tạo
điều kiện thuận lợi cho đời sống xã hội, bên cạnh những thuận lợi, cũng có nhiều
khó khăn để tìm ra giải pháp bảo mật thông tin dữ liệu.
1.2.2. Một số khái niệm về An ninh thông tin
a. Đối tượng tấn công mạng:
Là đối tượng sử dụng kỹ thuật về mạng để dò tìm các lỗ hổng bảo mật
trên hệ thống để thực hiện xâm nhập và chiếm đoạt thông tin bất hợp pháp. Các
đối tượng tấn công mạng:
- Hacker: Xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ
phá mật khẩu hoặc khai thác các điểm yếu của hệ thống.
- Masquerader: Giả mạo thông tin, địa chỉ IP, tên miền, định danh người
dùng…
- Eavesdropping: Là đối tượng nghe trộm thông tin trên mạng để lấy cắp
thông tin.
b. Các lỗ hổng trong bảo mật:
Là những điểm yếu trên hệ thống mà dựa vào đó đối tượng tấn công có
thể xâm nhập trái phép vào hệ thống. Thông thường các loại lỗ hổng được phân
làm ba loại như sau:
- Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp
pháp vào hệ thống, có thể phá huỷ toàn bộ hệ thống. Lỗ hổng này thường có ở
những hệ thống được quản trị yếu, không kiểm soát được cấu hình mạng máy
tính.
- Lỗ hổng loại B: Lỗ hổng cho phép người sử dụng có thêm các quyền
trên hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến lộ lọt thông tin.
- Lỗ hổng loại C: Cho phép thực hiện hình thức tấn công theo kiểu DoS
(Denial of Services-Từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ,
ngưng trệ gián đoạn hệ thống, nhưng không phá hỏng dữ liệu hoặc đoạt được
quyền truy cập hệ thống.
c. Các hình thức tấn công mạng phổ biến:

7. ---- Trang 7 ----
- Scanner: Là một chương trình tự động rà soát và phát hiện những điểm
yếu về bảo mật trên một trạm làm việc ở xa.
- Password Cracker: Là một chương trình có khả năng giải mã mật khẩu
đã được mã hoá hoặc vô hiệu hoá chức năng bảo vệ mật khẩu của một hệ thống.
- Sniffer: Là các công cụ bắt các thông tin trao đổi trên mạng máy tính.
- Trojans: Là một chương trình thực hiện không hợp lệ được cài đặt trên
một hệ thống.
d. Chính sách bảo mật:
Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham
gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng.
1.2.3. Giải pháp nâng cao an toàn, an ninh thông tin
Việc đảm bảo an ninh an toàn cho Trung tâm dữ liệu có ba giải pháp chủ
yếu sau:
- Giải pháp về phần cứng.
- Giải pháp về phần mềm.
- Giải pháp về con người.
Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý như các hệ
thống máy chuyên dụng, thiết lập trong mô hình mạng... Giải pháp phần cứng
thông thường đi kèm là hệ thống phần mềm điều khiển tương ứng.
Giải pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần
cứng. Như các giải pháp: xác thực, mã hoá dữ liệu, mạng riêng ảo, hệ thống
tường lửa...
Đảm bảo an ninh, an toàn thông tin phụ thuộc nhiều vào yếu tố con người,
do vậy cần phải đẩy mạnh công tác đào tạo, chế tài để định hướng người sử
dụng trong khai thác, sử dụng thông tin.

8. ---- Trang 8 ----
Chương 2
TÌM HIỂU VỀ TRUNG TÂM DỮ LIỆU THÀNH PHỐ ĐÀ NẴNG
Trung tâm dữ liệu thành phố Đà Nẵng được xây dựng theo quyết định số
5180/QĐ-UBND ngày 28/6/2012 của UBND thành phố Đà Nẵng và được khánh
thành đưa vào sử dụng từ tháng 8 năm 2013. Trung tâm dữ liệu hiện được đặt tại
tầng 19, tòa số 02 Quang Trung thuộc Công viên phần mềm Đà Nẵng.
Trung tâm dữ liệu Đà Nẵng được xây dựng theo các tiêu chuẩn quốc tế,
với hạ tầng kỹ thuật hiện đại. Đây là Bộ não của toàn bộ hệ thống CNTT, là
trung tâm tính toán, lưu trữ phục vụ cho các cơ quan tại Thành Phố Đà Nẵng.
Nền tảng để triển khai các ứng dụng của Chính Quyền Điện Tử của Thành phố
trên nền điện toán đám mây. Trung tâm dữ liệu trở thành một thành phần quan
trọng trong hệ thống Egovernment trong việc chuyển tải thông tin tới người dân
nhanh hơn, an toàn hơn, tiết kiệm hơn, giảm thiểu chi phí quản lý và điều hành
cho các đơn vị. Là điểm trung gian giữa khối doanh nghiệp và chính phủ, cho
phép các doanh nghiệp/tổ chức lưu trữ và triển khai các ứng dụng trên một hạ
tầng chung nhằm đơn giản việc quản trị và tối ưu hóa được tài nguyên sử dụng.
Bên cạnh đó, trung tâm dữ liệu cũng tạo điều kiện thuận lợi nhất cho việc triển
khai hạ tầng, dịch vụ, ứng dụng như: Kho dữ liệu tập trung, Lưu trữ an toàn,
triển khai dịch vụ trực tuyến, cổng thông tin điện tử cho người dân.
Hình 1. Mô hình bố trí các khối chức năng tạiTTDL Thànhphố Đà Nẵng
Với mô hình như trên, Trung tâm dữu liẹu Đà Nẵng được phân chia thành
8 khu vực với các chức năng khác nhau:

9. ---- Trang 9 ----
1. Entrance Room: là nơi tập trung toàn bộ các kết nối từ nhà cung cấp
dịch vụ, đối tác. Tại đây được thiết kế đặt các Open RACK chủ yếu thực hiện
đấu nối thiết bị.
2. MAN Room: Phòng Metropolitan Area Network (MAN) là nơi phục vụ
riêng các kết nối từ MAN vào trung tâm dữ liệu. Toàn bộ các thao tác trong hệ
thống mạng MAN không ảnh hưởng tới các kết nối tại Trung tâm dữ liệu.
3. Server Room : Đây là nơi chứa toàn bộ hệ thống Server được đầu tư
trong giai đoạn này. Tổng dung lượng cho phép chứa tối thiểu 20 tủ RACK và 5
tủ Open RACK.
4. UPS Room: là nơi chứa hệ thống tủ UPScung cấp điện dự phòng cho
Trung tâm dữ liệu
5. CRAC Room: là nơi chứa hệ thống Điều hòa chính xác cho toàn bộ
trung tâm dữ liệu, cho phép đặt tối đa 6 điều hòa.
6. Staging Room: là phòng có chức năng kiểm nghiệm những thiết bị mới,
các dịch vụ mới trước khi đưa vào sử dụng tại trung tâm dữ liệu.
. NOC Room: là phòng giám sát, điều khiển mọi hoạt động tại Trung tâm
dữ liệu.
2.1. Hạ tầng kỹ thuật của Trung tâm dữ liệu Đà Nẵng
Trung tâm dữ liệu đặt tại Công viên Phần mềm Đà Nẵng được xây dựng
theo các tiêu chuẩn quốc tế của TIA như TIA942, ANSI/TIA/EIA-568-B.1,
ANSI/TIA/EIA-568-B.2, ANSI/TIA/EIA-J-STD-067, ASHRAE, IEEE STD
1100-1999, và tiêu chuẩn của Bộ Thông tin và Truyền thông về Trung tâm dữ
liệu; đồng thời tuân theo các tiêu chuẩn nghiêm ngặt về xây dựng, điện, điều hòa
chính xác, sàn nâng, các hệ thống phòng cháy chữa cháy, camera an ninh, hệ
thống Công nghệ thông tin … đảm bảo các thiết bị luôn được hoạt động trong
môi trường tiêu chuẩn, ổn định với độ dự phòng cao.
Hạ tầng kỹ thuật của Trung tâm dữ liệu bao gồm:
- Hạ tầng truyền dẫn nội bộ mạng và năng lực đường truyền Internet
- Hệ thống nguồn điện, máy phát, UPS: cung cấp điện dự phòng đảm bảo
hệ thống hoạt động liên tục thông suốt.
- Hệ thống điều hòa chính xác: Giữ nhiệt độ bên trong Trung tâm dữ liệu
luôn đạt 23 độ C và độ ẩm là 45 phần trăm.
- Hệ thống kiểm soát truy cập: giám sát mọi hoạt động xảy ra tại Trung
tâm dữu liệu.
- Hệ thống máy chủ
- Hệ thống lưu trữ: Sử dụng hệ thống lưu trữ chuyên dụng, bảo đảm dữ
liệu được lưu trữ dự phòng

10. ---- Trang 10 ----
Hình 2: Hạ tầng truyền dẫn của Trung tâm dữ liệu Đà Nẵng
Hệ thống nguồn điện, máy phát, UPS, và điều hòa:
Hệ thống điện, máy phát, và UPS đạt các tiêu chuẩn quốc tế về DC, bảo
đảm độ ổn cho việc cấp điện và đảm bảo tải trong Trung tâm dữ liệu.
Để duy trì chất lượng và độ sẵn sàng của các nguồn cung cấp năng lượng,
điện áp đầu vào được cung cấp bởi 2 nguồn là điện lưới và máy phát, được duy
trì với +/- 5% so với điện áp đánh giá và tần số sẽ không biến động nhiều hơn
+/- 1Hz. UPS đảm bảo hệ thống trong vòng 15 phút hoạt động đủ tải và công
suất đạt 80%, thời gian đó cũng đủ đảm bảo an toàn tuyệt đối hệ thống đối với
các sự cố về điện.
Hệ thống điều hòa chính xác được thiết kế dự phòng năng lực và khả năng
mở rộng cao để phù hợp với sự tăng trưởng thiết bị CNTT. Tổng công suất của
hệ thống điều hòa lên đến 144.8 kW với cơ chế dự phòng 1+1 đảm bảo môi
trường ổn định cho các thiết bị hoạt động.
Hệ thống kiểm soát truy cập và giám sát:
Hệ thống kiểm soát truy cập được thực hiện thông qua cơ chế nhận dạng
vân tay. Các camera giám sát được lắp đặt với độ phân giải cao, khả năng zoom
lên đến 27X giám sát toàn bộ hoạt động của DC. Ngoài ra còn có các hệ thống
giám sát, cảnh báo nhiệt độ, mức rò rỉ nước, và các KVM (Keyboard Video
Mouse) để truy cập đến các máy chủ.

11. ---- Trang 11 ----
Đường truyền Internet:
Hệ thống đường truyền Internet với băng thông lớn, với khả năng mở
rộng dung lượng linh hoạt lên đến hàng GB đường truyền trong nước và hàng
trăm MB quốc tế ...
Các đường truyền đều hoạt động đồng thời theo chế độ phân tải (Load
Balancing) để đảm bảo khai thác các tài nguyên đường truyền và phục vụ dự
phòng khi có ít hơn 3 đường truyền bị sự cố. Cơ chế dự phòng được thực hiện tự
động để bảo đảm hệ thống luôn trong suốt đối với người dùng khi sự cố đường
truyền xảy ra.
Ngoài ra, hệ thống Internet tại Công viên Phần mềm đóng vai trò như một
ISP với số AS number public và dải tài nguyên về IP public phong phú, chạy các
giao thức định tuyến động trong đó có eBGP liên kết với các nhà mạng khác như
VDC, FPT.
Băng thông nội mạng:
Hệ thống mạng nội bộ giữa các máy chủ được truy cập thông qua chuẩn
CAT6 đạt dung lượng băng thông 1Gb. Đảm bảo băng thông liên lạc giữa các
máy chủ với nhau trong hệ thống Data Center.
Các đường truyền vật lý giữa các thiết bị lõi như router, core switch,
access switch, firewall đều được thiết kế và xây dựng đạt chuẩn kết nối 10Gb.
Một số kết nối quan trọng lên đến tối đa 20Gb băng thông rộng, đảm bảo không
xảy ra các vấn đề về thắt cổ chai.
Năng lực định tuyến và chuyển mạch:
Hệ thống router định tuyến và core switch chuyển mạch đều có thiết bị dự
phòng hoạt động ở chế độ active-active thực hiện chức năng phân chia tải và
tăng độ sẵn sàng đáp ứng của hệ thống. Ngoài ra, các kết nối mạng quan trọng
như giữa các core switch và internal firewall, external firewall đều được thiết kế
dạng full-mesh, đảm bảo khai thác đường truyền 20GB và cơ chế dự phòng,
phân tải cao.Trong đó, đặc biệt quan trọng là hệ thống core switch chuyển mạch
được thiết kế riêng cho DC với tốc độ cao, lên đến 4.1 Tbps.
Tại các phân hệ access cũng được thiết kế bởi các switch dòng Cisco
Nexus chuyên dụng với kết nối 10 GB đến mỗi access switch. Tại mỗi access
switches được phân thành các phân vùng phục vụ cho các mục đích khác nhau
như Application Zone, Secured Zone, Test & Development Zone, Management
Zone.
Hệ thống máy chủ:
Hệ thống máy chủ cung cấp dịch vụ của Trung tâm dữ liệu với số lượng
lớn, khả năng mở rộng dễ dàng và không giới hạn về số lượng máy chủ. Hiện tại
các máy chủ dạng phiến chiếm 60% tổng số máy chủ.
Các máy chủ này có năng lực xử lý mạnh, có khả năng cung cấp hàng
ngàn máy ảo với các cấu hình khác nhau, đảm bảo được yêu cầu sử dụng của

12. ---- Trang 12 ----
người dùng. Tổng dung lượng memory (RAM) hiện nay của DC gần 2.000GB
với số lượng cores vật lý lên đến gần 700 cores, khả năng mở rộng cho hệ thống
máy chủ cho hệ thống máy chủ hiện tại lên đến hơn 150 TB Memory, đảm bảo
khả năng mở rộng năng lực cho các máy ảo cũng như tăng số lượng máy ảo. Với
hệ thống máy chủ thế hệ mới nên việc nâng cấp lượng máy chủ vật lý cũng rất
linh hoạt, không giới hạn số lượng.
Hệ thống lưu trữ:
Hệ thống lưu trữ tập trung SAN tại trung tâm dữ liệu được thiết kế với
giải pháp SAN của Hitachi sử dụng các tủ đĩa VSP, đảm bảo năng lực lưu trữ
cho hệ thống ảo, hỗ trợ nâng cao tính sẵn sàng. Năng lực hiện nay của hệ thống
lưu trữ là 100 TB với khả năng mở rộng lên đến hơn 2.000 TB, đảm bảo được
năng lực lưu trữ cho sự phát triển nhanh chóng của dữ liệu trong tương lai.
Hình 3: Hệ thống lưu trữ của Trung tâm dữ liệu Đà Nẵng
Nền tảng lưu trữ ảo Hitachi là cấu trúc lưu trữ duy nhất có quy mô ba
chiều, đạt được hiệu suất, công suất và tận dụng được bộ lưu trữ đa phân phối.
Khả năng di chuyển dữ liệu cũng giảm tối đa các trường hợp ngừng hoạt động
do sụt tải. Tầng động cấp độ trang (page-level) tự động hoá sự di chuyển của các
dữ liệu theo trang tới các phương tiện lưu trữ thích hợp nhất để đơn giản hoá và
tối ưu hoá giá thành và hiệu suất của tầng.
Tính sẵn sàng (Availability): có khả năng chịu lỗi về quạt, nguồn, RAID,
đảm bảo storage luôn sẵn sàng cho những sự cố thảm họa.

13. ---- Trang 13 ----
Tính linh hoạt (Flexibility): hệ thống được nâng cấp dung lượng lưu trữ
hoàn toàn dễ dàng và được thực hiện ngay khi hệ thống đang chạy, hoàn toàn
không ảnh hưởng đến các công việc khác và trong suốt đối với người dùng.
Tiết kiệm các chi phi về điện, cho hiệu suất cao, các tủ đĩa VSP là sản
phẩm có mật độ lưu trữ cao nhất hiện nay với lượng tiêu thụ điện thấp hơn 30%
cùng khả năng lưu trữ lớn.
Phần mềm quản lý Bộ điều khiển Hitachi - Hitachi Command Suite kết
hợp chặt chẽ với phần cứng cho phép dễ dàng thay đổi quy mô một số lượng lớn
các máy ảo và quản lý các cơ sở hạ tầng lớn và triển khai các ứng dụng, giúp tối
đa hoá ứng dụng thiết bị CNTT trong các cơ sở hạ tầng phức tạp.Thông qua
cách quản trị ba chiều, bộ điều khiển Hitachi giúp người dùng giảm chi phí và
có thể quản lý mọi dạng dữ liệu.
2.2. Hạ tầng an ninh thông tin của Trung tâm dữ liệu
Hệ thống quản trị và an ninh:
Các hệ thống quản trị và an ninh trong Data Center quản trị toàn bộ các
thiết bị mạng trong hệ thống được thiết kế và xây dựng theo tiêu chuẩn ISO/IEC
7498-4 đảm bảo được 5 tiêu chí:
- Fault Management: khả năng phát hiện lỗi;
- Configuration management: quản lý và theo dõi từ xa việc cấu hình toàn
bộ thiết bị;
- Accounting management: quản lý việc sử dụng tài nguyên mạng;
- Performance management: quản lý năng lực, hiệu suất của từng thiết bị
mạng và toàn hệ thống mạng;
- Security management: đảm bảo an ninh mạng thông qua các cơ chế bảo
mật, chính sách an ninh, đồng thời ghi lại toàn bộ diễn biến hệ thống (Logging).
Hệ thống tường lửa (Firewall):
Hệ thống Firewall trong Trung tâm dữ liệu bao gồm Internal Firewall và
External Firewall với 2 thiết bị mỗi loại hoạt động theo cơ chế active - active để
chia tải và nâng cao độ sẵn sàng, tổng khả năng xử lý lên đến 20Gb.
Đây là loại firewall tích hợp IPS để bảo vệ các ứng dụng với cơ chế điều
khiển luồng input, output và truy cập ứng dụng. Firewall sẽ tiến hành chặn các
truy cập trái phép, tấn công DoS, DDoS thông qua chính sách của firewall và
các mẫu signature trong tính năng IPS.

14. ---- Trang 14 ----
Hình 4. Hạ tầng an ninh thông tin tại Trung tâm dữ liệu Đà Nẵng
Hệ thống chống thâm nhập (IPS):
Hệ thống IPS sử dụng giải pháp Juniper IDP 8200 được đặt nằm giữa
External Firewall và Internet Router và triển khai ở chế độ Inline. Hệ thống sẽ
làm nhiệm vụ phát hiện các traffic nguy hiểm, đưa ra các cảnh báo đồng thời
loại bỏ gói tin và đánh dấu luồng traffic đó là xấu. Các gói tin của cùng phiên
kết nối sau đó sẽ tự động bị loại bỏ khi đến hệ thống IPS. Do đó, ngay khi các
gói tin độc hại bị phát hiện và trước khi chúng có khả năng gây ảnh hưởng tới hệ
thống, các gói tin này sẽ bị loại bỏ ngay lập tức.
Với khả năng xử lý lên đến 10Gb và 5.000.000 sessions, hệ thống IPS
đảm bảo được khả năng chịu tải và những cuộc tấn công gây đột biến băng
thông như DDoS. Cũng giống như tính năng IPS tích hợp trong firewall, Juniper
IDP 8200 chuyên dụng hơn và thực hiện các cơ chế bảo mật, truy cản trái phép
thông qua các signature được update tự động.

15. ---- Trang 15 ----
Hệ thống IPS có thể kiểm tra tất cả các gói tin từ các nguồn bao gồm từ
Internet cho đến các kết nối của người dùng từ xa thông qua VPN, người dùng
trong hệ thống DC, hay phân vùng DMZ.
Phần mềm an ninh:
Hệ thống máy chủ vật lý trong Data Center đều được cài đặt phần mềm an
ninh với các tính năng bảo mật theo thời gian thực và nhiều ưu điểm như:
- Chống Virus, malware, ngăn chặn các phần mềm độc hại; tường lửa
mềm - đóng vai trò là một stateful firewall, đảm bảo được một số tính năng như
chống DDoS, các truy cập trái phép; tính năng IDS/IPS;
- Hệ thống bảo mật email: Hệ thống bảo mật email đảm bảo an ninh cho
các đe dọa đến từ email như: email phát tán Spyware, viruses, các mối đe dọa từ
bên ngoài, mã độc và email spam có thể làm gián đoạn hoạt động của hệ thống.
Trung tâm dữ liệu sử dụng Mail Security Gateway với giải pháp của Trend
Micro, hoạt động như một MTA (Mail Tranfer Agent), để theo dõi hoạt động
của ứng dụng dựa trên giao thức Simple Mail Transfer Protocol (SMTP);
- Hệ thống bảo mật web: Hệ thống bảo mật web trong trung tâm dữ liệu
được thiết kế bởi giải pháp của Trend Micro bảo đảm an ninh cho các máy chủ
web với môi trường Internet. Trong đó chú trọng đến tính năng về Malware
Content Filtering để kiểm tra dữ liệu, phát hiện virus, malware, spyware trên
luồng dữ liệu giao thức web (http, https) vào ra hệ thống. Đồng thời cũng hỗ trợ
việc quản lý, thống kê, báo cáo cho các tham số liên quan như băng thông sử
dụng, các URL được truy cập hay bị chặn nhiều nhất, …
- Hệ thống chống DDoS: Khi các phương thức khai thác lỗi không còn
hiệu quả bởi việc ngăn chặn xâm nhập và phá hoại của các thiết bị và phần mềm
an ninh, tấn công từ chối dịch vụ (DoS, DDoS) là một trong những phương thức
phổ biến của các hackers.

16. ---- Trang 16 ----
Chương 3
GIẢI PHÁP NÂNG CAO AN TOÀN, AN NINH THÔNG TIN TẠI
TRUNG TÂM DỮ LIỆU THÀNH PHỐ ĐÀ NẴNG
Với sự phát triển nhanh chóng của ngành công nghệ thông ngày nay, việc
đảm bảo an toàn thông tin được coi là nhiệm vụ đặc biệt quan trọng và sẽ trở
thành ngành có nhu cầu nhân lực rất lớn trong tương lai. Đảm bảo an toàn thông
tin không chỉ là việc bảo vệ hệ thống khỏi những tấn công của hacker, mà còn là
đảm bảo các gói tin chạy an toàn, không mất mát khi truyền dữ liệu. Để nâng
cao an toàn an ninh thông tin cho hệ thống công nghệ thông tin nói chung và
Trung tâm dữu liệu nói riêng cần phải kết hợp đồng bộ nhiều giải pháp về phần
cứng, phần mềm, đặc biệt là yếu tố con người và cơ chế chính sách.
Trung tâm dữ liệu thành phố Đà Nẵng là Trung tâm dữ liệu hiện đại, đáp
ứng các tiêu chuẩn của Bộ thông tin truyền thông, phục vụ quá trình xây dựng
Chính quyền điện tử của thành phố. Do đó, yếu tố an toàn, an ninh thông tin đã
được xem xét trước khi xây dựng Trung tâm dữ liệu. Trong khuôn khổ tiểu luận
này, học viên chỉ xin phép đề xuất các giải pháp nhằm nâng cao hơn nữa công
tác an toàn an ninh thông tin cho Trung tâm dữ liệu thành phố Đà Nẵng.
3.1. Giải pháp bổ sung thiết bị an ninh thông tin
3.1.1. Một số tồn tại trong mô hình mạng tại Trung tâm dữ liệu:
Mô hình mạng trung tâm dữ liệu Thành phố Đà Nẵng được thiết kế bao
gồm hai Module chính: Module Internet, Module Data Center.
Hình 5. Sơ đồ hiện trạng Module Internet

17. ---- Trang 17 ----
Module Internet:
Là module kết nối internet, Module này cung cấp dịch vụ truy cập Internet
cho Hệ thống Server ứng dụng cũng như người sử dụng.
Chi tiết mô hình thiết kế của Module Internet :
- Sử dụng 2 thiết bị Router kết nối tới 2 nhà cung cấp dịch vụ
- Sử dụng thiết bị IPS của Junipe và Firewall Cisco
- Sử dụng giao thức định tuyến BGP (Border Gateway Protocal)
Một số tồn tại đối với Module Internet:
Firewall hay IPS đang sử dụng chỉ hoạt động dựa trên mô hình phòng thủ
bị động – Tức là các thiết bị bảo mật này sẽ được hoạt động theo các chính sách
mà người quản trị đã định nghĩa từ trước. Khi có sự thay đổi trong hệ thống,
thiết bị không thể tự điều chỉnh lại các chính sách, mà khi đó người quản trị sẽ
phải theo dõi, phân tích lại các ứng dụng, các thay đổi trong hệ thốngmđể đưa ra
một chính sách mới phù hợp cho các thiết bị thực thi. Ngoài ra, các giải pháp
firewall và IPS không đọc và hiểu được các phiên dữ liệu SSL đã được mã hóa.
Do đó, rất hạn chế trong việc chặn các tấn công được thực hiện trên phiên SSL.
Trong khi SSL được ứng dụng sử dụng rộng rãi đối với các phiên làm việc an
toàn. Điều này đòi hỏi phải có thiết bị chuyên dụng có khả năng kết hợp cả mô
hình phòng thủ bị động dựa trên các dấu hiệu nhận biết và mô hình phòng thủ
chủ động dựa trên việc học các dữ liệu ứng dụng theo thời gian thực để cho phép
người quản trị phân loại dữ liệu tốt/xấu.
Module Data Center
Là thành phần bên trong kết nối trực tiếp đến hệ thống Server, cung cấp
kết nối tốc độ cao 1Gbps/ 10Gbps cho hệ thống Server/ Blade Server ứng dụng
nghiệp vụ.
Hình 6. Sơ đồ kết nối Logic vùng Trung tâm dữ liệu

18. ---- Trang 18 ----
Chi tiết mô hình thiết kế của Module Data Center bao gồm các thiết bị
như sau:
- Thiết bị tại lớp Core/Aggregation: là cặp thiết bị Nexus 7010 với Module
F2 48 Port 10GE, đảm bảo cung cấp kết nối 10GE đến toàn bộ các phân vùng
khác trong hệ thống. Thiết bị với thiết kế cấu trúc module và năng lực chuyển
mạch lên đến Tetrabits cho phép chúng ta dễ dàng đầu tư mở rộng và phát triển
thêm vùng mạng tại Trung tâm dữ liệu trong tương lai.
- Thiết bị tại lớp Services: là cặp thiết bị Firewall Fortigate 3040B với năng
lực chuyển mạch lên đến 40Gbps, tíchhợp các tính năng IPS. Cho phép thiết lập
chính sách truy cập mạng và giám sát phòng chống tấn công vào hệ thống.
- Thiết bị tại lớp Access: Là thiết bị Nexus 2048 Fabric Extender cho phép
kết nối Uplink 10GE tới lớp Core và được quản lý cấu hình tập trung tại lớp
Core.
Một số tồn tại đối với Module Data Center:
Module Data Center được trang bị thiết bị Firewall Fortigate 3040B có
năng lực xử lý lên đến 40Gbps, đảm bảo cung cấp khả năng xử lý bảo mật và
thiết lập chính sách truy cập an toàn cho hệ thống. Ngoài ra thiết bị còn tích hợp
sẵn tính năng IPS cho phép bảo vệ một số ứng dụng quan trọng khỏi bị tấn công
từ bên ngoài. Tuy nhiên cũng như vấn đề đặt ra ở Module Internet về những
thiếu sót mà IPS và Firewall chưa giải quyết được, tại lớp Services của Module
DataCenter cần trang bị thêm thiết bị bảo mật chuyên dụng cho các ứng dụng,
để đảm bảo yếu tố bảo mật ở mức cao nhất.
3.1.2. Đề xuất giải pháp nâng cao bảo mật cho Module Internet
Để tăng cường tính bảo mật cho hệ thống, tại module internet cần trang
bị thiết bị F5 Link Controller. Mô hình kết nối được thể hiện ở hình 7
Khi bổ sung thiết bị F5 Link Controler, Module ASM (Application
Secuirty Module) trên thiết bị này hoạt động với cơ chế kết hợp giữa bị động và
chủ động giúp phân tích lưu lượng để tự học cấu trúc của toàn bộ ứng dụng
web, các URL, các tham số, các miền giá trị hợp lệ từ đó có thể phát hiện các
yêu cầu hay hành động bất thường. ASM theo dõi liên tục và so sánh mọi sự
thay đổi của ứng dụng web theo thời gian để từ đó giúp giám sát và phát hiện
các thay đổi bất thường, ngoại lệ.

19. ---- Trang 19 ----
Hình 7. Sơ đồ lắp đặt thiết bị F5 Link Controller
Khác với chế độ so sánh mẫu bị động, nhằm phát hiện và ngăn chặn các
lưu lượng vi phạm mẫu có sẵn – ngăn chặn các hành động không tấn công phổ
biến, cơ chế học dữ liệu (traffic learning) cho phép ASM chủ động kiểm soát và
cho phép các hành động hợp lệ được thực hiện, các hành động khác sẽ bị chặn
hoặc cần sự chấp nhận của người quản trị.
ASM liên tục phân tích, giám sát và học thêm để bổ sung vào hồ sơ của
ứng dụng web tương ứng được bảo vệ, yêu cầu người quản trị phản hồi đối với
các thay đổi, các hoạt động không bình thường và các tấn công. Hoạt động này
giúp cả người quản trị và ASM tương tác, bổ sung cho nhau và cập nhật liên tục
các thay đổi của đối tượng bảo vệ và các tác động vào đối tượng. Do vậy hệ
thống ngày càng hoạt động chính xác và hiệu quả hơn.
Việc học hỏi và đưa ra các khuyến nghị ứng dụng web còn cho phép cán
bộ quản trị bảo mật và những người khác có trách nhiệm có thể dễ dàng quan sát
mà không cần thiết phải là người thiết kế hoặc chuyên sâu về CNTT có cái nhìn
đầy đủ, xuyên suốt về ứng dụng web, sự an toàn và theo dõi sự thay đổi của ứng
dụng web, cũng như có thể làm việc nhanh chóng và tường minh với đội ngũ
phát triển ứng dụng về các nguy cơ bảo mật của hệ thống.

20. ---- Trang 20 ----
Việc điều chỉnh các tham số của việc học ứng dụng cho phép cán bộ quản
trị có thể thiết lập thêm các chính sách và cơ chế cho ứng dụng web mà không
cần phải viết lại ứng dụng. Đây thực sự là công cụ giúp tuỳ biến, hiệu chỉnh ứng
dụng cực mạnh với phương pháp đơn giản và chi phí thấp.
Ngoài ra, dựa trên các mẫu thu thập và được phân tích trên toàn cầu từ sự
cung cấp và phản hồi của hàng nghìn thiết bị và hệ thống tạo ra một CSDL chứa
các thông tin các địa chỉ IP nguy hiểm. Giống như hồ sơ lịch sử của các tội
phạm, IP Intelligent sử dụng CSDL này để ngăn không cho các kết nối từ các
nguồn, máy tính, anonymous proxy, botnets, địa chỉ nguy hiểm, có lịch sử
thường hay tấn công gửi truy cập tới ứng dụng. Từ đó ngăn chặn những kẻ nguy
hiểm tấn công vào hệ thống.
Phương án tích hợp thiết bị vào hệ thống Trung tâm dữ liệu:
Thiết bị F5 Link Controller sẽ được lắp đặt vào hệ thống theo mô hình
One Arm Mode, đối với mô hình này, người dùng Internet từ bên trong trung
tâm dữ liệu khi đi ra internet sẽ được thiết bị F5 lựa chọn đường kết nối ngắn
nhất dựa trên các tham số về tải, tốc độ và các tham số ưu tiên khác. Mô hình
logic lắp đặt như sau:
Hình 8. Mô hình logic hoạt động khi trang bị thiết bị F5 Link
Controller

21. ---- Trang 21 ----
Đối với mô hình này thiết bị F5 Link Controller sẽ thực hiện vai trò giám
sát và cân bằng tải các đường Internet, cung cấp khả năng khai thác tối ưu hóa
đường truyền mà không gây ảnh hưởng cũng như làm thay đổi kiến trúc hiện tại.
Đồng thời, ASM cũng được thiết kế chạy mô hình One Arm Mode cho phép
khai thác ở nhiều phân lớp mạng khác nhau.
3.1.3. Đề xuất giải pháp nâng cao bảo mật cho Module Data Center:
Giải pháp nâng cáo tính bảo mật cũng như khả năng khai thác của các
ứng dụng cao nhất tại Module Data Center là trang bị thiết bị trang bị thiết bị F5
BIG-IP Switch cho module Data Center.
Khi bổ sung thiết bị F5 BIG-IP Switch vào hệ thống, thành phần LTM-
Local Traffic Manager thực hiện theo dõi các Server và Application trong các
VLAN khác nhau để biết được trạng thái từng Server, trạng thái từng
Application được khai báo bên trong Module Data Center. Người dùng khi truy
cập các ứng dụng này sẽ được xử lý theo các bước như sau:
- Khi User Request tới sẽ được định tuyến vào trong VLAN phù hợp.
- LTM nhận Request, dựa vào các thuật toán ở các mode khác nhau để lựa
chọn Server.
- LTM sẽ kiểm tra về tình trạng các Server ứng dụng có khả năng phục vụ
Request này
- Request được LTM chuyển tới Server Ứng dụng phù hợp.
- Từ đây, việc trả lời cho ứng dụng được thực hiện bình thường.
Ngoài ra khi trang bị thiết bị F5 BIG-IP Switch có thể thực hiện thêm
được các chức năng như sau:
Cung cấp nhiều loại hình Load Balancing khác nhau bao gồm Static và
Dynamic Load Balancing. Đối với Dynamic Load Balancing, thiết bị có thể
được cấu hình các hình thức như Dynamic Ratio, Least Connections hoặc
Observed Load Balancing. Dynamic Load Balancing dựa vào các thông tin Real
time của Server được thiết bị giám sát.
Cung cấp khả năng Load Bancing từ layer 4 đến layer 7, khả năng giám
sát các ứng dụng được cung cấp trong hệ thống, tăng tốc, nâng cao hiệu suất hệ
thống qua việc Caching, SSL Encryption, Compression.
SSL-Offload: Cơ chế SSL Offload cho phép thiết bị cung cấp dịch vụ SSL
cho người dùng. Trên thiết bị hỗ trợ 3 cơ chế SSL Offload đó là Terminate SSL,
End-to-End SSL và initial SSL. Với cơ chế Terminate SSL cho phép nó đóng

22. ---- Trang 22 ----
vai trò như một SSL Server, các yêu cầu của người dùng đến sẽ được mã hóa
SSL, sau đó cung cấp dịch vụ SSL cho người dùng
Tính năng dự phòng HA, đảm bảo khi một thiết bị gặp sự cố, thiết bị còn
lại sẽ đảm bảo cung cấp dịch vụ, không gây downtime trong hệ thống.
Phương án tích hợp thiết bị vào hệ thống Trung tâm dữ liệu:
Thiết bị F5 BIG-IP Switch được bổ sung cho Module Data Center sẽ được
sử dụng cổng 10Gbps để đảm bảo duy trì việc cung tấp tốc độ truy cập cao cho
vùng ứng dụng.
Sơ đồ đồ đấu nối chi tiết như sau:
Hính 9. Sơ đồ đấu nối bị F5 BIG-IP Switch
Với việc đấu nối bổ sung này, hoàn toàn không gây ảnh hưởng đến hoạt
động của hệ thống hiện tại.
Khi bổ sung vào hệ thống, thiết bị F5 sẽ được triển khai theo one arm
mode, thiết bị này sẽ tích hợp với thiết bị up stream Core Switch của hệ thống.
Với one arm mode cả client side và server side sẽ cùng một vlan, trên thiết bị sẽ
sử dụng sourcenat để translate địa chỉ VIP đến địa chỉ của các server trong vùng
server farm để cung cấp kết nối giữa client với các server

23. ---- Trang 23 ----
Hình 10. Mô hình hoạt động của hệ thống theo mode one arm.
Với mô hình hoạt động One Arm mode, thiết bị cung cấp khả năng cân
bằng tải cho các ứng dụng, cũng như khả năng bảo mật cho các ứng dụng này
khi người dùng truy cập mà hoàn toàn không gây ảnh hưởng đến quy hoạch hiện
tại. Trong giai đoạn hiện nay với mô hình One Arm Mode cho phép chúng ta
triển khai chức năng ASM trên cùng thiết bị LTM và hoạt động độc lập ở nhiều
lớp mạng khác nhau từ Module Interenet tới Module Data Center
3.2. Gải pháp về cơ chế chính sách, nguồn nhân lực:
3.2.1. Về cơ chế, chính sách:
Tăng cường xây dựng và ban hành các quy chế sử dụng và vận hành cho
tất cả các hệ thống CNTT của thành phố như hệ thống mạng đô thị (MAN) hệ
thống mạng không dây (WIFI) và Trung tâm dữ liệu.
Xây dựng các chính sách, quy chế bảo đảm an toàn, an ninh thông tin
trong toàn thành phố nói chung, với hoạt động của các cơ quan nhà nước nói
riêng theo TCVN ISO/IEC 27001:2009
Xây dựng và ban hành quy chế quản lý chuyên môn nghiệp vụ đối với cán
bộ chuyên trách công nghệ thông tin tại các cơ quan hành chính nhà nước trên
địa bàn thành phố Đà Nẵng.
3.2.2. Về nguồn nhân lực:
Để bảo đảm an ninh thông tin cho Trung tâm dữ liệu thành phố Đà Nẵng
cần phải sung thêm nhân lực cho đơn vị vận hành - Trung tâm Phát triển hạ
tầng CNTT Đà Nẵng từ nguồn cán bộ thuộc đối tượng đạo tạo theo Đề án Phát
triển Nguồn nhân lực chất lượng cao của Thành phố và cán bộ thuộc diện thu

24. ---- Trang 24 ----
hút để tăng cường nguồn nhân lực, đảm bảo cho việc vận hành các hệ thống
CNTT. Đồng thời, tập trung đào tạo các kỹ năng chuyên ngành, chuyên môn sâu
để nâng cao năng lực cho các cán bộ quản lý, cán bộ vận hành, kỹ thuật nhằm
góp phần từng bước đào tạo đội ngũ chuyên gia giỏi làm chủ các thiết bị đã đầu
tư. Ngoài ra, cần mời các chuyên gia giỏi về các lĩnh vực an ninh thông tin hỗ
trợ, tư vấn.
3.2.3. Về hợp tác trong và ngoài nước
- Đẩy mạnh hợp tác với các tổ chức trong nước và quốc tế trong lĩnh vực
CNTT-TT nhằm tranh thủ sự hỗ trợ, chia sẻ thông tin và kinh nghiệm, chuyển
giao công nghệ từ các công ty, tập đoàn công nghệ, các chuyên gia giỏi. Tăng
cường phối hợp với các tổ chức, hiệp hội về KHCN nhằm đẩy mạnh hợp tác,
đầu tư phát triển ứng dụng CNTT trên địa bàn thành phố.
Đẩy mạnh tổ chức các hội thảo chuyên ngành hoặc diễn đàn trao đổi kinh
nghiệm về những giải pháp CNTT tiên tiến cho Chính phủ điện tử. Tổ chức cho
cán bộ kỹ thuật, cán bộ lãnh đạo tham quan, học tập kinh nghiệm thực tế để
nâng cao trình độ trong công tác quản lý, vận hành Trung tâm dữ liệu, đặc biệt
công tác an toàn an ninh thông tin.

25. ---- Trang 25 ----
KẾT LUẬN
Vấn đề đảm bảo an toàn an ninh thông tin luôn là mối quan tâm hàng đầu
khi thiết lập hệ thống thông tin. Trung tâm dữ liệu là nơi lưu trữ tập các thông
tin quan trọng của các cơ quan, đơn vị doanh nghiệp, … vì vậy an ninh thông tin
cần phải quan tâm đặc biệt.
Trung tâm dữ liệu thành phố Đà Nẵng, được xây dựng theo tiêu chuẩn
quốc tế, hạ tầng kỹ thuật hiện đại, đảm bảo vai trò thức đẩy nhanh quá trình xây
dựng Chính quyền điện tử của Thành phố Đà Nẵng. Nhằm nâng cao hơn nữa
công tác an toàn, an ninh cho hệ thống thông tin của thành phố, trong khuôn khổ
tiểu luận này, Học viên đã đề xuất một số giải pháp bổ sung thiết bị an ninh
thông tin nhằm tăng cường giám sát, xử lý luồng dữ liệu trao đổi từ bên trong
Trung tâm dữ liệu với bên ngoài môi trường internet. Đồng thời, đề xuất Thành
phố có cơ chế, chính sách hợp lý để thu hút nguồn nhân lực phục vụ cho việc
vận hành hệ thống Trung tâm dữ liệu nói chung và vận hành, bảo đảm an ninh
thông tin nói riêng.
Do thời gian và kinh nghiệm thực tế còn hạn chế, lĩnh vực an toàn và bảo
mật thông tin rất phức tạp, mặc dù có nhiều cố gắng nhưng tiểu luận chắc chắn
còn nhiều khiếm khuyết cần cần bổ sung. Trong thời gian tới, học viên sẽ tiếp
tục đi sâu tìm hiểu về lĩnh vực đảm bảo an ninh cho Trung tâm dữ liệu, đặc biệt
các biện pháp an toàn thông tin cho Trung tâm dữ liệu của thành phố Đà Nẵng,
nơi học viên đang công tác.
Chân thành cảm ơn Tiến sĩ Nguyễn Linh, các Thầy Cô và các Anh/chị lớp
Chuyên viên Thành phố 5 đã hỗ trợ để bản thân hoàn thành tiểu luận này
Chân thành cảm ơn./.