Tiểu luận tốt nghiệp - Đề tài: “Giải pháp nâng cao an toàn, an ninh thông tin tại trung tâm dữ liệu thành phố Đà Nẵng” - Trường Chính trị Thành phố Đà Nẵng - Năm 2014 - Phan Hữu Can
Bạn đang xem 20 trang mẫu của tài liệu "Tiểu luận tốt nghiệp - Đề tài: “Giải pháp nâng cao an toàn, an ninh thông tin tại trung tâm dữ liệu thành phố Đà Nẵng” - Trường Chính trị Thành phố Đà Nẵng - Năm 2014 - Phan Hữu Can", để tải tài liệu gốc về máy bạn click vào nút DOWNLOAD ở trên
Tài liệu đính kèm:
- tieu_luan_tot_nghiep_de_tai_giai_phap_nang_cao_an_toan_an_ni.docx
Nội dung text: Tiểu luận tốt nghiệp - Đề tài: “Giải pháp nâng cao an toàn, an ninh thông tin tại trung tâm dữ liệu thành phố Đà Nẵng” - Trường Chính trị Thành phố Đà Nẵng - Năm 2014 - Phan Hữu Can
- THÀNH ỦY ĐÀ NẴNG TRƯỜNG CHÍNH TRỊ THÀNH PHỐ ĐÀ NẴNG Tiểu luận tốt nghiệp Đề tài: “ GIẢI PHÁP NÂNG CAO AN TOÀN, AN NINH THÔNG TIN TẠI TRUNG TÂM DỮ LIỆU THÀNH PHỐ ĐÀ NẴNG” Giáo viên hướng dẫn: Học viên: TS. Nguyễn Linh Phan Hữu Can – TP5/13 Đà Nẵng, tháng 4 năm 2014
- MỤC LỤC LỜI MỞ ĐẦU 3 Chương 1 TỔNG QUAN 5 1.1. Những vấn đề về Trung tâm dữ liệu 5 1.2. Vấn đề an ninh, an toàn thông tin đối với Trung tâm dữ liệu 5 1.2.1. Nguy cơ đe dọa an ninh, an toàn thông tin 5 1.2.2. Một số khái niệm về bảo mật hệ thống 6 1.2.3. Giải pháp nâng cao an toàn, an ninh thông tin 7 Chương 2 8 TÌM HIỂU VỀ TRUNG TÂM DỮ LIỆU THÀNH PHỐ ĐÀ NẴNG 8 2.1. Hạ tầng kỹ thuật của Trung tâm dữ liệu Đà Nẵng 9 2.2. Hạ tầng an ninh thông tin của Trung tâm dữ liệu 13 Chương 3 16 GIẢI PHÁP NÂNG CAO AN TOÀN, AN NINH THÔNG TIN TẠI TRUNG TÂM DỮ LIỆU THÀNH PHỐ ĐÀ NẴNG 16 3.1. Giải pháp bổ sung thiết bị an ninh thông tin 16 3.1.1. Một số tồn tại trong mô hình mạng tại Trung tâm dữ liệu: 16 3.1.2. Đề xuất giải pháp nâng cao bảo mật cho Module Internet 18 3.1.3. Đề xuất giải pháp nâng cao bảo mật cho Module Data Center: 21 3.2. Gải pháp về cơ chế chính sách, nguồn nhân lực: 23 3.2.1. Về cơ chế, chính sách: 23 3.2.2. Về nguồn nhân lực: 23 3.2.3. Về hợp tác trong và ngoài nước 24 KẾT LUẬN 25 Trang 2
- LỜI MỞ ĐẦU Hội nghị lần thứ tư Ban Chấp hành Trung ương Đảng khóa XI đã ra Nghị quyết số 13/NQ/TW ngày 16/01/2012 về “Xây dựng hệ thống kết cấu hạ tầng đồng bộ nhằm đưa nước ta cơ bản trở thành nước công nghiệp theo hướng hiện đại vào năm 2020”. Để thực hiện hiệu quả Nghị quyết của Trung ương, Thành ủy Đà Nẵng đã xây dựng chương trình hành động thực hiện Nghị quyết 13/NQ/TW ngày với nhiều nội dung thiết thực, trong đó mục tiêu phát triển hạ tầng thông tin và truyền thông đồng bộ, hiện đại, tiên tiến là một trong những mục tiêu quan trọng mà thành phố ưu tiên thực hiện để hướng đến xây dựng Chính quyền điện tử. Những năm qua, trong lộ trình tiến đến mục tiêu trên, thành phố đã triển khai xây dựng Mạng đô thị (MAN) tốc độ cao, băng thông rộng để kết nối toàn bộ các cơ quan trực thuộc Thành ủy, HĐND, UBND thành phố đến các xã, phường; thiết lập Trung tâm dữ liệu (DC) bằng công nghệ hiện đại và có tính mở để đáp ứng nhu cầu kết nối các cơ sở chuyên ngành và dữ liệu chung của thành phố với mạng cơ sở dữ liệu quốc gia. Xây dựng và mở rộng Mạng Internet không dây (WIFI) công cộng với công nghệ tiên tiến, tính ổn định cao, chất lượng dịch vụ tốt, bảo đảm yêu cầu cung cấp dịch vụ công qua mạng đến với người dân trở nên hết sức thuận lợi, mọi lúc, mọi nơi. Mạng đô thị, Trung tâm dữ liệu và Mạng Internet không dây Đà Nẵng đã được khánh thành và đi vào từ tháng 8/2013, với nền tảng hạ tầng CNTT hiện đại, tiên tiến, đáp ứng yêu cầu triển khai chính quyền điện tử tại thành phố Đà Nẵng, góp phần hoàn thiện hạ tầng kinh tế - kỹ thuật để hướng đến mục tiêu xây dựng thành phố Đà Nẵng trở thành một thành phố “hấp dẫn và đáng sống”, theo tinh thần nghị quyết Đại hội Đại biểu lần thứ XX Đảng bộ TP Đà Nẵng. Vì vậy, cần phải có một đề tài nghiên cứu nhằm đề ra các giải pháp nâng cao công tác an toàn, an ninh cho hệ thống thông tin của thành phố, đặc biệt là thông tin dữ liệu đặt tại Trung tâm dữ liệu thành phố. Sau khi được cơ quan cử đi học và được các thầy cô Trường Chính trị Thành phố Đà Nẵng trang bị các kiến thức về quản lý Nhà nước, với mong muốn góp một phần bé nhỏ công sức của mình vào công cuộc phát triển chung của Thành phố trong lĩnh vực CNTT, em đã xây dựng đề tài cho tiểu luận cuối khóa là: “ Giải pháp nâng An toàn, an ninh thông tin tại Trung tâm dữ liệu thành phố Đà Nẵng”. Đề tài gồm các nội dung: Chương 1. Tổng quan Chương 2. Tìm hiểu về Trung tâm dữ liệu Thành phố Đà Nẵng Chương 3. Giải pháp nâng cao hiệu quả công tác An toàn, an ninh thông tin tại Trung tâm dữ liệu thành phố Đà Nẵng. Trang 3
- Đề tài được hoàn thành, nhờ sự hướng dẫn tận tình của Thầy hiệu trưởng Trường Chính trị - Tiến sĩ Nguyễn Linh. Em xin chân thành cảm ơn thầy Nguyễn Linh và các thầy cô giáo, các anh chị học viên lớp Quản lý Nhà nước – khóa 5 đã hỗ trợ trong quá trình học tập cũng như làm tiểu luận này. Chân thành cảm ơn. Đà Nẵng, ngày tháng 4 năm 2014 Phan Hữu Can Trang 4
- Chương 1 TỔNG QUAN 1.1. Những vấn đề về Trung tâm dữ liệu Khái niệm về Trung tâm dữ liệu: Trung tâm dữ liệu (TTDL)là một hạ tầng tập trung nhiều thành phần tài nguyên mật độ cao (hardware, software ) làm chức năng lưu trữ, xử lý toàn bộ dữ liệu hệ thống với khả năng sẵn sàng và độ ổn định cao. Các hệ thống hạ tầng của trung tâm dữ liệu đều được dự phòng để đảm bảo sự hoạt động ổn định của hệ thống máy chủ bao gồm: Hệ thống mạng, hệ thống nguồn, hệ thống làm mát, hệ thống báo cháy báo khói, hệ thống quản lý vào ra, hệ thống Rack và CCTV Lịch sử ra đời và phát triển của Trung tâm dữ liệu: Trung tâm dữ liệu có nguồn gốc từ các phòng máy tính lớn, thời kỳ đầu của ngành công nghiệp máy tính. Hệ thống máy tính thời kỳ này rất phức tạp, để vận hành và duy trì phải đòi hỏi một môi trường đặc biệt và rất nhiều loại cáp kết nối theo nhiều phương thức đặc biệt. Ngoài ra, một hệ thống máy tính lớn đòi hỏi rất nhiều năng lượng và được làm lạnh để tránh quá nóng. Trước sự bùng nổ của ngành công nghiệp máy vi tính và đặc biệt là trong những năm 1980, máy tính bắt đầu được triển khai ở khắp mọi nơi. Tuy nhiên, khi các hoạt động công nghệ thông tin (CNTT) bắt đầu phát triển phức tạp, các công ty phát triển ý thức về sự cần thiết để kiểm soát nguồn lực. Với sự ra đời của máy tính client-server, trong những năm 1990, máy vi tính (bây giờ gọi là máy chủ) bắt đầu thay thế các loại máy tính cũ. Sự sẵn có của thiết bị mạng , kết hợp với các tiêu chuẩn mới của cáp mạng, làm cho nó có thể thiết kế phân tầng để đặt các máy chủ trong một căn phòng đặc biệt trong các Công ty. Việc sử dụng thuật ngữ "trung tâm dữ liệu", cũng như để áp dụng cho phòng máy tính thiết kế đặc biệt, bắt đầu được công nhận phổ biến về thời gian này. Trung tâm dữ liệu tại Việt Nam và tại Đà Nẵng: Tại Việt Nam các Trung tâm dữ liệu được xây dựng và phát triển mạnh mẽ trong thời gian 6 năm gần đây. Trung tâm dữ liệu của Thành phố Đà Nẵng đặt tại Công viên Phần mềm Đà Nẵng số 02 Quang Trung. Trung tâm dữ liệu Đà Nẵng được xây dựng theo các tiêu chuẩn quốc tế của TIA như TIA942, ANSI/TIA/EIA-568-B.1, ANSI/TIA/EIA-568-B.2, ANSI/TIA/EIA-J-STD-067, ASHRAE, IEEE STD 1100-1999, và tiêu chuẩn của Bộ Thông tin và Truyền thông về Trung tâm dữ liệu; đồng thời tuân theo các tiêu chuẩn nghiêm ngặt về xây dựng, điện, điều hòa chính xác, sàn nâng, các hệ thống phòng cháy chữa cháy, camera an ninh, đảm bảo các thiết bị luôn được hoạt động trong môi trường tiêu chuẩn, ổn định với độ dự phòng cao. 1.2. Vấn đề an ninh, an toàn thông tin đối với Trung tâm dữ liệu 1.2.1. Nguy cơ đe dọa an ninh, an toàn thông tin Nguy cơ mất an toàn thông tin do nhiều nguyên nhân, đối tượng tấn công đa dạng Thiệt hại từ những vụ tấn công mạng là rất lớn, đặc biệt là những Trang 5
- thông tin thuộc lĩnh vực an ninh, quốc phòng Do đó, việc xây dựng hàng rào kỹ thuật để ngăn chặn những truy cập trái phép trở thành nhu cầu cấp bách trong các hoạt động truyền thông. Theo số liệu thống kê, Việt Nam đứng thứ 2 trong khu vực Đông Nam á về các hoạt động tấn công mạng. Thực tế, nguy cơ mất an ninh an toàn mạng máy tính còn có thể phát sinh ngay từ bên trong. Nguy cơ mất an ninh từ bên trong xảy ra thường lớn hơn nhiều, nguyên nhân chính là do người sử dụng có quyền truy nhập hệ thống nắm được điểm yếu của hệ thống hay vô tình tạo cơ hội cho những đối tượng khác xâm nhập hệ thống. Tóm lại, phát triển không ngừng của lĩnh vực công nghệ thông tin đã tạo điều kiện thuận lợi cho đời sống xã hội, bên cạnh những thuận lợi, cũng có nhiều khó khăn để tìm ra giải pháp bảo mật thông tin dữ liệu. 1.2.2. Một số khái niệm về An ninh thông tin a. Đối tượng tấn công mạng: Là đối tượng sử dụng kỹ thuật về mạng để dò tìm các lỗ hổng bảo mật trên hệ thống để thực hiện xâm nhập và chiếm đoạt thông tin bất hợp pháp. Các đối tượng tấn công mạng: - Hacker: Xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của hệ thống. - Masquerader: Giả mạo thông tin, địa chỉ IP, tên miền, định danh người dùng - Eavesdropping: Là đối tượng nghe trộm thông tin trên mạng để lấy cắp thông tin. b. Các lỗ hổng trong bảo mật: Là những điểm yếu trên hệ thống mà dựa vào đó đối tượng tấn công có thể xâm nhập trái phép vào hệ thống. Thông thường các loại lỗ hổng được phân làm ba loại như sau: - Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp vào hệ thống, có thể phá huỷ toàn bộ hệ thống. Lỗ hổng này thường có ở những hệ thống được quản trị yếu, không kiểm soát được cấu hình mạng máy tính. - Lỗ hổng loại B: Lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến lộ lọt thông tin. - Lỗ hổng loại C: Cho phép thực hiện hình thức tấn công theo kiểu DoS (Denial of Services-Từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ, ngưng trệ gián đoạn hệ thống, nhưng không phá hỏng dữ liệu hoặc đoạt được quyền truy cập hệ thống. c. Các hình thức tấn công mạng phổ biến: Trang 6
- - Scanner: Là một chương trình tự động rà soát và phát hiện những điểm yếu về bảo mật trên một trạm làm việc ở xa. - Password Cracker: Là một chương trình có khả năng giải mã mật khẩu đã được mã hoá hoặc vô hiệu hoá chức năng bảo vệ mật khẩu của một hệ thống. - Sniffer: Là các công cụ bắt các thông tin trao đổi trên mạng máy tính. - Trojans: Là một chương trình thực hiện không hợp lệ được cài đặt trên một hệ thống. d. Chính sách bảo mật: Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng. 1.2.3. Giải pháp nâng cao an toàn, an ninh thông tin Việc đảm bảo an ninh an toàn cho Trung tâm dữ liệu có ba giải pháp chủ yếu sau: - Giải pháp về phần cứng. - Giải pháp về phần mềm. - Giải pháp về con người. Giải pháp phần cứng là giải pháp sử dụng các thiết bị vật lý như các hệ thống máy chuyên dụng, thiết lập trong mô hình mạng Giải pháp phần cứng thông thường đi kèm là hệ thống phần mềm điều khiển tương ứng. Giải pháp phần mềm có thể phụ thuộc hay không phụ thuộc vào phần cứng. Như các giải pháp: xác thực, mã hoá dữ liệu, mạng riêng ảo, hệ thống tường lửa Đảm bảo an ninh, an toàn thông tin phụ thuộc nhiều vào yếu tố con người, do vậy cần phải đẩy mạnh công tác đào tạo, chế tài để định hướng người sử dụng trong khai thác, sử dụng thông tin. Trang 7
- Chương 2 TÌM HIỂU VỀ TRUNG TÂM DỮ LIỆU THÀNH PHỐ ĐÀ NẴNG Trung tâm dữ liệu thành phố Đà Nẵng được xây dựng theo quyết định số 5180/QĐ-UBND ngày 28/6/2012 của UBND thành phố Đà Nẵng và được khánh thành đưa vào sử dụng từ tháng 8 năm 2013. Trung tâm dữ liệu hiện được đặt tại tầng 19, tòa số 02 Quang Trung thuộc Công viên phần mềm Đà Nẵng. Trung tâm dữ liệu Đà Nẵng được xây dựng theo các tiêu chuẩn quốc tế, với hạ tầng kỹ thuật hiện đại. Đây là Bộ não của toàn bộ hệ thống CNTT, là trung tâm tính toán, lưu trữ phục vụ cho các cơ quan tại Thành Phố Đà Nẵng. Nền tảng để triển khai các ứng dụng của Chính Quyền Điện Tử của Thành phố trên nền điện toán đám mây. Trung tâm dữ liệu trở thành một thành phần quan trọng trong hệ thống Egovernment trong việc chuyển tải thông tin tới người dân nhanh hơn, an toàn hơn, tiết kiệm hơn, giảm thiểu chi phí quản lý và điều hành cho các đơn vị. Là điểm trung gian giữa khối doanh nghiệp và chính phủ, cho phép các doanh nghiệp/tổ chức lưu trữ và triển khai các ứng dụng trên một hạ tầng chung nhằm đơn giản việc quản trị và tối ưu hóa được tài nguyên sử dụng. Bên cạnh đó, trung tâm dữ liệu cũng tạo điều kiện thuận lợi nhất cho việc triển khai hạ tầng, dịch vụ, ứng dụng như: Kho dữ liệu tập trung, Lưu trữ an toàn, triển khai dịch vụ trực tuyến, cổng thông tin điện tử cho người dân. Hình 1. Mô hình bố trí các khối chức năng tại TTDL Thành phố Đà Nẵng Với mô hình như trên, Trung tâm dữu liẹu Đà Nẵng được phân chia thành 8 khu vực với các chức năng khác nhau: Trang 8
- 1. Entrance Room: là nơi tập trung toàn bộ các kết nối từ nhà cung cấp dịch vụ, đối tác. Tại đây được thiết kế đặt các Open RACK chủ yếu thực hiện đấu nối thiết bị. 2. MAN Room: Phòng Metropolitan Area Network (MAN) là nơi phục vụ riêng các kết nối từ MAN vào trung tâm dữ liệu. Toàn bộ các thao tác trong hệ thống mạng MAN không ảnh hưởng tới các kết nối tại Trung tâm dữ liệu. 3. Server Room : Đây là nơi chứa toàn bộ hệ thống Server được đầu tư trong giai đoạn này. Tổng dung lượng cho phép chứa tối thiểu 20 tủ RACK và 5 tủ Open RACK. 4. UPS Room: là nơi chứa hệ thống tủ UPScung cấp điện dự phòng cho Trung tâm dữ liệu 5. CRAC Room: là nơi chứa hệ thống Điều hòa chính xác cho toàn bộ trung tâm dữ liệu, cho phép đặt tối đa 6 điều hòa. 6. Staging Room: là phòng có chức năng kiểm nghiệm những thiết bị mới, các dịch vụ mới trước khi đưa vào sử dụng tại trung tâm dữ liệu. . NOC Room: là phòng giám sát, điều khiển mọi hoạt động tại Trung tâm dữ liệu. 2.1. Hạ tầng kỹ thuật của Trung tâm dữ liệu Đà Nẵng Trung tâm dữ liệu đặt tại Công viên Phần mềm Đà Nẵng được xây dựng theo các tiêu chuẩn quốc tế của TIA như TIA942, ANSI/TIA/EIA-568-B.1, ANSI/TIA/EIA-568-B.2, ANSI/TIA/EIA-J-STD-067, ASHRAE, IEEE STD 1100-1999, và tiêu chuẩn của Bộ Thông tin và Truyền thông về Trung tâm dữ liệu; đồng thời tuân theo các tiêu chuẩn nghiêm ngặt về xây dựng, điện, điều hòa chính xác, sàn nâng, các hệ thống phòng cháy chữa cháy, camera an ninh, hệ thống Công nghệ thông tin đảm bảo các thiết bị luôn được hoạt động trong môi trường tiêu chuẩn, ổn định với độ dự phòng cao. Hạ tầng kỹ thuật của Trung tâm dữ liệu bao gồm: - Hạ tầng truyền dẫn nội bộ mạng và năng lực đường truyền Internet - Hệ thống nguồn điện, máy phát, UPS: cung cấp điện dự phòng đảm bảo hệ thống hoạt động liên tục thông suốt. - Hệ thống điều hòa chính xác: Giữ nhiệt độ bên trong Trung tâm dữ liệu luôn đạt 23 độ C và độ ẩm là 45 phần trăm. - Hệ thống kiểm soát truy cập: giám sát mọi hoạt động xảy ra tại Trung tâm dữu liệu. - Hệ thống máy chủ - Hệ thống lưu trữ: Sử dụng hệ thống lưu trữ chuyên dụng, bảo đảm dữ liệu được lưu trữ dự phòng Trang 9
- Hình 2: Hạ tầng truyền dẫn của Trung tâm dữ liệu Đà Nẵng Hệ thống nguồn điện, máy phát, UPS, và điều hòa: Hệ thống điện, máy phát, và UPS đạt các tiêu chuẩn quốc tế về DC, bảo đảm độ ổn cho việc cấp điện và đảm bảo tải trong Trung tâm dữ liệu. Để duy trì chất lượng và độ sẵn sàng của các nguồn cung cấp năng lượng, điện áp đầu vào được cung cấp bởi 2 nguồn là điện lưới và máy phát, được duy trì với +/- 5% so với điện áp đánh giá và tần số sẽ không biến động nhiều hơn +/- 1Hz. UPS đảm bảo hệ thống trong vòng 15 phút hoạt động đủ tải và công suất đạt 80%, thời gian đó cũng đủ đảm bảo an toàn tuyệt đối hệ thống đối với các sự cố về điện. Hệ thống điều hòa chính xác được thiết kế dự phòng năng lực và khả năng mở rộng cao để phù hợp với sự tăng trưởng thiết bị CNTT. Tổng công suất của hệ thống điều hòa lên đến 144.8 kW với cơ chế dự phòng 1+1 đảm bảo môi trường ổn định cho các thiết bị hoạt động. Hệ thống kiểm soát truy cập và giám sát: Hệ thống kiểm soát truy cập được thực hiện thông qua cơ chế nhận dạng vân tay. Các camera giám sát được lắp đặt với độ phân giải cao, khả năng zoom lên đến 27X giám sát toàn bộ hoạt động của DC. Ngoài ra còn có các hệ thống giám sát, cảnh báo nhiệt độ, mức rò rỉ nước, và các KVM (Keyboard Video Mouse) để truy cập đến các máy chủ. Trang 10
- Đường truyền Internet: Hệ thống đường truyền Internet với băng thông lớn, với khả năng mở rộng dung lượng linh hoạt lên đến hàng GB đường truyền trong nước và hàng trăm MB quốc tế Các đường truyền đều hoạt động đồng thời theo chế độ phân tải (Load Balancing) để đảm bảo khai thác các tài nguyên đường truyền và phục vụ dự phòng khi có ít hơn 3 đường truyền bị sự cố. Cơ chế dự phòng được thực hiện tự động để bảo đảm hệ thống luôn trong suốt đối với người dùng khi sự cố đường truyền xảy ra. Ngoài ra, hệ thống Internet tại Công viên Phần mềm đóng vai trò như một ISP với số AS number public và dải tài nguyên về IP public phong phú, chạy các giao thức định tuyến động trong đó có eBGP liên kết với các nhà mạng khác như VDC, FPT. Băng thông nội mạng: Hệ thống mạng nội bộ giữa các máy chủ được truy cập thông qua chuẩn CAT6 đạt dung lượng băng thông 1Gb. Đảm bảo băng thông liên lạc giữa các máy chủ với nhau trong hệ thống Data Center. Các đường truyền vật lý giữa các thiết bị lõi như router, core switch, access switch, firewall đều được thiết kế và xây dựng đạt chuẩn kết nối 10Gb. Một số kết nối quan trọng lên đến tối đa 20Gb băng thông rộng, đảm bảo không xảy ra các vấn đề về thắt cổ chai. Năng lực định tuyến và chuyển mạch: Hệ thống router định tuyến và core switch chuyển mạch đều có thiết bị dự phòng hoạt động ở chế độ active-active thực hiện chức năng phân chia tải và tăng độ sẵn sàng đáp ứng của hệ thống. Ngoài ra, các kết nối mạng quan trọng như giữa các core switch và internal firewall, external firewall đều được thiết kế dạng full-mesh, đảm bảo khai thác đường truyền 20GB và cơ chế dự phòng, phân tải cao.Trong đó, đặc biệt quan trọng là hệ thống core switch chuyển mạch được thiết kế riêng cho DC với tốc độ cao, lên đến 4.1 Tbps. Tại các phân hệ access cũng được thiết kế bởi các switch dòng Cisco Nexus chuyên dụng với kết nối 10 GB đến mỗi access switch. Tại mỗi access switches được phân thành các phân vùng phục vụ cho các mục đích khác nhau như Application Zone, Secured Zone, Test & Development Zone, Management Zone. Hệ thống máy chủ: Hệ thống máy chủ cung cấp dịch vụ của Trung tâm dữ liệu với số lượng lớn, khả năng mở rộng dễ dàng và không giới hạn về số lượng máy chủ. Hiện tại các máy chủ dạng phiến chiếm 60% tổng số máy chủ. Các máy chủ này có năng lực xử lý mạnh, có khả năng cung cấp hàng ngàn máy ảo với các cấu hình khác nhau, đảm bảo được yêu cầu sử dụng của Trang 11
- người dùng. Tổng dung lượng memory (RAM) hiện nay của DC gần 2.000GB với số lượng cores vật lý lên đến gần 700 cores, khả năng mở rộng cho hệ thống máy chủ cho hệ thống máy chủ hiện tại lên đến hơn 150 TB Memory, đảm bảo khả năng mở rộng năng lực cho các máy ảo cũng như tăng số lượng máy ảo. Với hệ thống máy chủ thế hệ mới nên việc nâng cấp lượng máy chủ vật lý cũng rất linh hoạt, không giới hạn số lượng. Hệ thống lưu trữ: Hệ thống lưu trữ tập trung SAN tại trung tâm dữ liệu được thiết kế với giải pháp SAN của Hitachi sử dụng các tủ đĩa VSP, đảm bảo năng lực lưu trữ cho hệ thống ảo, hỗ trợ nâng cao tính sẵn sàng. Năng lực hiện nay của hệ thống lưu trữ là 100 TB với khả năng mở rộng lên đến hơn 2.000 TB, đảm bảo được năng lực lưu trữ cho sự phát triển nhanh chóng của dữ liệu trong tương lai. Hình 3: Hệ thống lưu trữ của Trung tâm dữ liệu Đà Nẵng Nền tảng lưu trữ ảo Hitachi là cấu trúc lưu trữ duy nhất có quy mô ba chiều, đạt được hiệu suất, công suất và tận dụng được bộ lưu trữ đa phân phối. Khả năng di chuyển dữ liệu cũng giảm tối đa các trường hợp ngừng hoạt động do sụt tải. Tầng động cấp độ trang (page-level) tự động hoá sự di chuyển của các dữ liệu theo trang tới các phương tiện lưu trữ thích hợp nhất để đơn giản hoá và tối ưu hoá giá thành và hiệu suất của tầng. Tính sẵn sàng (Availability): có khả năng chịu lỗi về quạt, nguồn, RAID, đảm bảo storage luôn sẵn sàng cho những sự cố thảm họa. Trang 12
- Tính linh hoạt (Flexibility): hệ thống được nâng cấp dung lượng lưu trữ hoàn toàn dễ dàng và được thực hiện ngay khi hệ thống đang chạy, hoàn toàn không ảnh hưởng đến các công việc khác và trong suốt đối với người dùng. Tiết kiệm các chi phi về điện, cho hiệu suất cao, các tủ đĩa VSP là sản phẩm có mật độ lưu trữ cao nhất hiện nay với lượng tiêu thụ điện thấp hơn 30% cùng khả năng lưu trữ lớn. Phần mềm quản lý Bộ điều khiển Hitachi - Hitachi Command Suite kết hợp chặt chẽ với phần cứng cho phép dễ dàng thay đổi quy mô một số lượng lớn các máy ảo và quản lý các cơ sở hạ tầng lớn và triển khai các ứng dụng, giúp tối đa hoá ứng dụng thiết bị CNTT trong các cơ sở hạ tầng phức tạp.Thông qua cách quản trị ba chiều, bộ điều khiển Hitachi giúp người dùng giảm chi phí và có thể quản lý mọi dạng dữ liệu. 2.2. Hạ tầng an ninh thông tin của Trung tâm dữ liệu Hệ thống quản trị và an ninh: Các hệ thống quản trị và an ninh trong Data Center quản trị toàn bộ các thiết bị mạng trong hệ thống được thiết kế và xây dựng theo tiêu chuẩn ISO/IEC 7498-4 đảm bảo được 5 tiêu chí: - Fault Management: khả năng phát hiện lỗi; - Configuration management: quản lý và theo dõi từ xa việc cấu hình toàn bộ thiết bị; - Accounting management: quản lý việc sử dụng tài nguyên mạng; - Performance management: quản lý năng lực, hiệu suất của từng thiết bị mạng và toàn hệ thống mạng; - Security management: đảm bảo an ninh mạng thông qua các cơ chế bảo mật, chính sách an ninh, đồng thời ghi lại toàn bộ diễn biến hệ thống (Logging). Hệ thống tường lửa (Firewall): Hệ thống Firewall trong Trung tâm dữ liệu bao gồm Internal Firewall và External Firewall với 2 thiết bị mỗi loại hoạt động theo cơ chế active - active để chia tải và nâng cao độ sẵn sàng, tổng khả năng xử lý lên đến 20Gb. Đây là loại firewall tích hợp IPS để bảo vệ các ứng dụng với cơ chế điều khiển luồng input, output và truy cập ứng dụng. Firewall sẽ tiến hành chặn các truy cập trái phép, tấn công DoS, DDoS thông qua chính sách của firewall và các mẫu signature trong tính năng IPS. Trang 13
- Hình 4. Hạ tầng an ninh thông tin tại Trung tâm dữ liệu Đà Nẵng Hệ thống chống thâm nhập (IPS): Hệ thống IPS sử dụng giải pháp Juniper IDP 8200 được đặt nằm giữa External Firewall và Internet Router và triển khai ở chế độ Inline. Hệ thống sẽ làm nhiệm vụ phát hiện các traffic nguy hiểm, đưa ra các cảnh báo đồng thời loại bỏ gói tin và đánh dấu luồng traffic đó là xấu. Các gói tin của cùng phiên kết nối sau đó sẽ tự động bị loại bỏ khi đến hệ thống IPS. Do đó, ngay khi các gói tin độc hại bị phát hiện và trước khi chúng có khả năng gây ảnh hưởng tới hệ thống, các gói tin này sẽ bị loại bỏ ngay lập tức. Với khả năng xử lý lên đến 10Gb và 5.000.000 sessions, hệ thống IPS đảm bảo được khả năng chịu tải và những cuộc tấn công gây đột biến băng thông như DDoS. Cũng giống như tính năng IPS tích hợp trong firewall, Juniper IDP 8200 chuyên dụng hơn và thực hiện các cơ chế bảo mật, truy cản trái phép thông qua các signature được update tự động. Trang 14
- Hệ thống IPS có thể kiểm tra tất cả các gói tin từ các nguồn bao gồm từ Internet cho đến các kết nối của người dùng từ xa thông qua VPN, người dùng trong hệ thống DC, hay phân vùng DMZ. Phần mềm an ninh: Hệ thống máy chủ vật lý trong Data Center đều được cài đặt phần mềm an ninh với các tính năng bảo mật theo thời gian thực và nhiều ưu điểm như: - Chống Virus, malware, ngăn chặn các phần mềm độc hại; tường lửa mềm - đóng vai trò là một stateful firewall, đảm bảo được một số tính năng như chống DDoS, các truy cập trái phép; tính năng IDS/IPS; - Hệ thống bảo mật email: Hệ thống bảo mật email đảm bảo an ninh cho các đe dọa đến từ email như: email phát tán Spyware, viruses, các mối đe dọa từ bên ngoài, mã độc và email spam có thể làm gián đoạn hoạt động của hệ thống. Trung tâm dữ liệu sử dụng Mail Security Gateway với giải pháp của Trend Micro, hoạt động như một MTA (Mail Tranfer Agent), để theo dõi hoạt động của ứng dụng dựa trên giao thức Simple Mail Transfer Protocol (SMTP); - Hệ thống bảo mật web: Hệ thống bảo mật web trong trung tâm dữ liệu được thiết kế bởi giải pháp của Trend Micro bảo đảm an ninh cho các máy chủ web với môi trường Internet. Trong đó chú trọng đến tính năng về Malware Content Filtering để kiểm tra dữ liệu, phát hiện virus, malware, spyware trên luồng dữ liệu giao thức web (http, https) vào ra hệ thống. Đồng thời cũng hỗ trợ việc quản lý, thống kê, báo cáo cho các tham số liên quan như băng thông sử dụng, các URL được truy cập hay bị chặn nhiều nhất, - Hệ thống chống DDoS: Khi các phương thức khai thác lỗi không còn hiệu quả bởi việc ngăn chặn xâm nhập và phá hoại của các thiết bị và phần mềm an ninh, tấn công từ chối dịch vụ (DoS, DDoS) là một trong những phương thức phổ biến của các hackers. Trang 15
- Chương 3 GIẢI PHÁP NÂNG CAO AN TOÀN, AN NINH THÔNG TIN TẠI TRUNG TÂM DỮ LIỆU THÀNH PHỐ ĐÀ NẴNG Với sự phát triển nhanh chóng của ngành công nghệ thông ngày nay, việc đảm bảo an toàn thông tin được coi là nhiệm vụ đặc biệt quan trọng và sẽ trở thành ngành có nhu cầu nhân lực rất lớn trong tương lai. Đảm bảo an toàn thông tin không chỉ là việc bảo vệ hệ thống khỏi những tấn công của hacker, mà còn là đảm bảo các gói tin chạy an toàn, không mất mát khi truyền dữ liệu. Để nâng cao an toàn an ninh thông tin cho hệ thống công nghệ thông tin nói chung và Trung tâm dữu liệu nói riêng cần phải kết hợp đồng bộ nhiều giải pháp về phần cứng, phần mềm, đặc biệt là yếu tố con người và cơ chế chính sách. Trung tâm dữ liệu thành phố Đà Nẵng là Trung tâm dữ liệu hiện đại, đáp ứng các tiêu chuẩn của Bộ thông tin truyền thông, phục vụ quá trình xây dựng Chính quyền điện tử của thành phố. Do đó, yếu tố an toàn, an ninh thông tin đã được xem xét trước khi xây dựng Trung tâm dữ liệu. Trong khuôn khổ tiểu luận này, học viên chỉ xin phép đề xuất các giải pháp nhằm nâng cao hơn nữa công tác an toàn an ninh thông tin cho Trung tâm dữ liệu thành phố Đà Nẵng. 3.1. Giải pháp bổ sung thiết bị an ninh thông tin 3.1.1. Một số tồn tại trong mô hình mạng tại Trung tâm dữ liệu: Mô hình mạng trung tâm dữ liệu Thành phố Đà Nẵng được thiết kế bao gồm hai Module chính: Module Internet, Module Data Center. Hình 5. Sơ đồ hiện trạng Module Internet Trang 16
- Module Internet: Là module kết nối internet, Module này cung cấp dịch vụ truy cập Internet cho Hệ thống Server ứng dụng cũng như người sử dụng. Chi tiết mô hình thiết kế của Module Internet : - Sử dụng 2 thiết bị Router kết nối tới 2 nhà cung cấp dịch vụ - Sử dụng thiết bị IPS của Junipe và Firewall Cisco - Sử dụng giao thức định tuyến BGP (Border Gateway Protocal) Một số tồn tại đối với Module Internet: Firewall hay IPS đang sử dụng chỉ hoạt động dựa trên mô hình phòng thủ bị động – Tức là các thiết bị bảo mật này sẽ được hoạt động theo các chính sách mà người quản trị đã định nghĩa từ trước. Khi có sự thay đổi trong hệ thống, thiết bị không thể tự điều chỉnh lại các chính sách, mà khi đó người quản trị sẽ phải theo dõi, phân tích lại các ứng dụng, các thay đổi trong hệ thốngmđể đưa ra một chính sách mới phù hợp cho các thiết bị thực thi. Ngoài ra, các giải pháp firewall và IPS không đọc và hiểu được các phiên dữ liệu SSL đã được mã hóa. Do đó, rất hạn chế trong việc chặn các tấn công được thực hiện trên phiên SSL. Trong khi SSL được ứng dụng sử dụng rộng rãi đối với các phiên làm việc an toàn. Điều này đòi hỏi phải có thiết bị chuyên dụng có khả năng kết hợp cả mô hình phòng thủ bị động dựa trên các dấu hiệu nhận biết và mô hình phòng thủ chủ động dựa trên việc học các dữ liệu ứng dụng theo thời gian thực để cho phép người quản trị phân loại dữ liệu tốt/xấu. Module Data Center Là thành phần bên trong kết nối trực tiếp đến hệ thống Server, cung cấp kết nối tốc độ cao 1Gbps/ 10Gbps cho hệ thống Server/ Blade Server ứng dụng nghiệp vụ. Hình 6. Sơ đồ kết nối Logic vùng Trung tâm dữ liệu Trang 17
- Chi tiết mô hình thiết kế của Module Data Center bao gồm các thiết bị như sau: - Thiết bị tại lớp Core/Aggregation: là cặp thiết bị Nexus 7010 với Module F2 48 Port 10GE, đảm bảo cung cấp kết nối 10GE đến toàn bộ các phân vùng khác trong hệ thống. Thiết bị với thiết kế cấu trúc module và năng lực chuyển mạch lên đến Tetrabits cho phép chúng ta dễ dàng đầu tư mở rộng và phát triển thêm vùng mạng tại Trung tâm dữ liệu trong tương lai. - Thiết bị tại lớp Services: là cặp thiết bị Firewall Fortigate 3040B với năng lực chuyển mạch lên đến 40Gbps, tích hợp các tính năng IPS. Cho phép thiết lập chính sách truy cập mạng và giám sát phòng chống tấn công vào hệ thống. - Thiết bị tại lớp Access: Là thiết bị Nexus 2048 Fabric Extender cho phép kết nối Uplink 10GE tới lớp Core và được quản lý cấu hình tập trung tại lớp Core. Một số tồn tại đối với Module Data Center: Module Data Center được trang bị thiết bị Firewall Fortigate 3040B có năng lực xử lý lên đến 40Gbps, đảm bảo cung cấp khả năng xử lý bảo mật và thiết lập chính sách truy cập an toàn cho hệ thống. Ngoài ra thiết bị còn tích hợp sẵn tính năng IPS cho phép bảo vệ một số ứng dụng quan trọng khỏi bị tấn công từ bên ngoài. Tuy nhiên cũng như vấn đề đặt ra ở Module Internet về những thiếu sót mà IPS và Firewall chưa giải quyết được, tại lớp Services của Module DataCenter cần trang bị thêm thiết bị bảo mật chuyên dụng cho các ứng dụng, để đảm bảo yếu tố bảo mật ở mức cao nhất. 3.1.2. Đề xuất giải pháp nâng cao bảo mật cho Module Internet Để tăng cường tính bảo mật cho hệ thống, tại module internet cần trang bị thiết bị F5 Link Controller. Mô hình kết nối được thể hiện ở hình 7 Khi bổ sung thiết bị F5 Link Controler, Module ASM (Application Secuirty Module) trên thiết bị này hoạt động với cơ chế kết hợp giữa bị động và chủ động giúp phân tích lưu lượng để tự học cấu trúc của toàn bộ ứng dụng web, các URL, các tham số, các miền giá trị hợp lệ từ đó có thể phát hiện các yêu cầu hay hành động bất thường. ASM theo dõi liên tục và so sánh mọi sự thay đổi của ứng dụng web theo thời gian để từ đó giúp giám sát và phát hiện các thay đổi bất thường, ngoại lệ. Trang 18
- Hình 7. Sơ đồ lắp đặt thiết bị F5 Link Controller Khác với chế độ so sánh mẫu bị động, nhằm phát hiện và ngăn chặn các lưu lượng vi phạm mẫu có sẵn – ngăn chặn các hành động không tấn công phổ biến, cơ chế học dữ liệu (traffic learning) cho phép ASM chủ động kiểm soát và cho phép các hành động hợp lệ được thực hiện, các hành động khác sẽ bị chặn hoặc cần sự chấp nhận của người quản trị. ASM liên tục phân tích, giám sát và học thêm để bổ sung vào hồ sơ của ứng dụng web tương ứng được bảo vệ, yêu cầu người quản trị phản hồi đối với các thay đổi, các hoạt động không bình thường và các tấn công. Hoạt động này giúp cả người quản trị và ASM tương tác, bổ sung cho nhau và cập nhật liên tục các thay đổi của đối tượng bảo vệ và các tác động vào đối tượng. Do vậy hệ thống ngày càng hoạt động chính xác và hiệu quả hơn. Việc học hỏi và đưa ra các khuyến nghị ứng dụng web còn cho phép cán bộ quản trị bảo mật và những người khác có trách nhiệm có thể dễ dàng quan sát mà không cần thiết phải là người thiết kế hoặc chuyên sâu về CNTT có cái nhìn đầy đủ, xuyên suốt về ứng dụng web, sự an toàn và theo dõi sự thay đổi của ứng dụng web, cũng như có thể làm việc nhanh chóng và tường minh với đội ngũ phát triển ứng dụng về các nguy cơ bảo mật của hệ thống. Trang 19
- Việc điều chỉnh các tham số của việc học ứng dụng cho phép cán bộ quản trị có thể thiết lập thêm các chính sách và cơ chế cho ứng dụng web mà không cần phải viết lại ứng dụng. Đây thực sự là công cụ giúp tuỳ biến, hiệu chỉnh ứng dụng cực mạnh với phương pháp đơn giản và chi phí thấp. Ngoài ra, dựa trên các mẫu thu thập và được phân tích trên toàn cầu từ sự cung cấp và phản hồi của hàng nghìn thiết bị và hệ thống tạo ra một CSDL chứa các thông tin các địa chỉ IP nguy hiểm. Giống như hồ sơ lịch sử của các tội phạm, IP Intelligent sử dụng CSDL này để ngăn không cho các kết nối từ các nguồn, máy tính, anonymous proxy, botnets, địa chỉ nguy hiểm, có lịch sử thường hay tấn công gửi truy cập tới ứng dụng. Từ đó ngăn chặn những kẻ nguy hiểm tấn công vào hệ thống. Phương án tích hợp thiết bị vào hệ thống Trung tâm dữ liệu: Thiết bị F5 Link Controller sẽ được lắp đặt vào hệ thống theo mô hình One Arm Mode, đối với mô hình này, người dùng Internet từ bên trong trung tâm dữ liệu khi đi ra internet sẽ được thiết bị F5 lựa chọn đường kết nối ngắn nhất dựa trên các tham số về tải, tốc độ và các tham số ưu tiên khác. Mô hình logic lắp đặt như sau: Hình 8. Mô hình logic hoạt động khi trang bị thiết bị F5 Link Controller Trang 20
- Đối với mô hình này thiết bị F5 Link Controller sẽ thực hiện vai trò giám sát và cân bằng tải các đường Internet, cung cấp khả năng khai thác tối ưu hóa đường truyền mà không gây ảnh hưởng cũng như làm thay đổi kiến trúc hiện tại. Đồng thời, ASM cũng được thiết kế chạy mô hình One Arm Mode cho phép khai thác ở nhiều phân lớp mạng khác nhau. 3.1.3. Đề xuất giải pháp nâng cao bảo mật cho Module Data Center: Giải pháp nâng cáo tính bảo mật cũng như khả năng khai thác của các ứng dụng cao nhất tại Module Data Center là trang bị thiết bị trang bị thiết bị F5 BIG-IP Switch cho module Data Center. Khi bổ sung thiết bị F5 BIG-IP Switch vào hệ thống, thành phần LTM- Local Traffic Manager thực hiện theo dõi các Server và Application trong các VLAN khác nhau để biết được trạng thái từng Server, trạng thái từng Application được khai báo bên trong Module Data Center. Người dùng khi truy cập các ứng dụng này sẽ được xử lý theo các bước như sau: - Khi User Request tới sẽ được định tuyến vào trong VLAN phù hợp. - LTM nhận Request, dựa vào các thuật toán ở các mode khác nhau để lựa chọn Server. - LTM sẽ kiểm tra về tình trạng các Server ứng dụng có khả năng phục vụ Request này - Request được LTM chuyển tới Server Ứng dụng phù hợp. - Từ đây, việc trả lời cho ứng dụng được thực hiện bình thường. Ngoài ra khi trang bị thiết bị F5 BIG-IP Switch có thể thực hiện thêm được các chức năng như sau: Cung cấp nhiều loại hình Load Balancing khác nhau bao gồm Static và Dynamic Load Balancing. Đối với Dynamic Load Balancing, thiết bị có thể được cấu hình các hình thức như Dynamic Ratio, Least Connections hoặc Observed Load Balancing. Dynamic Load Balancing dựa vào các thông tin Real time của Server được thiết bị giám sát. Cung cấp khả năng Load Bancing từ layer 4 đến layer 7, khả năng giám sát các ứng dụng được cung cấp trong hệ thống, tăng tốc, nâng cao hiệu suất hệ thống qua việc Caching, SSL Encryption, Compression. SSL-Offload: Cơ chế SSL Offload cho phép thiết bị cung cấp dịch vụ SSL cho người dùng. Trên thiết bị hỗ trợ 3 cơ chế SSL Offload đó là Terminate SSL, End-to-End SSL và initial SSL. Với cơ chế Terminate SSL cho phép nó đóng Trang 21
- vai trò như một SSL Server, các yêu cầu của người dùng đến sẽ được mã hóa SSL, sau đó cung cấp dịch vụ SSL cho người dùng Tính năng dự phòng HA, đảm bảo khi một thiết bị gặp sự cố, thiết bị còn lại sẽ đảm bảo cung cấp dịch vụ, không gây downtime trong hệ thống. Phương án tích hợp thiết bị vào hệ thống Trung tâm dữ liệu: Thiết bị F5 BIG-IP Switch được bổ sung cho Module Data Center sẽ được sử dụng cổng 10Gbps để đảm bảo duy trì việc cung tấp tốc độ truy cập cao cho vùng ứng dụng. Sơ đồ đồ đấu nối chi tiết như sau: Hính 9. Sơ đồ đấu nối bị F5 BIG-IP Switch Với việc đấu nối bổ sung này, hoàn toàn không gây ảnh hưởng đến hoạt động của hệ thống hiện tại. Khi bổ sung vào hệ thống, thiết bị F5 sẽ được triển khai theo one arm mode, thiết bị này sẽ tích hợp với thiết bị up stream Core Switch của hệ thống. Với one arm mode cả client side và server side sẽ cùng một vlan, trên thiết bị sẽ sử dụng source nat để translate địa chỉ VIP đến địa chỉ của các server trong vùng server farm để cung cấp kết nối giữa client với các server Trang 22
- Hình 10. Mô hình hoạt động của hệ thống theo mode one arm. Với mô hình hoạt động One Arm mode, thiết bị cung cấp khả năng cân bằng tải cho các ứng dụng, cũng như khả năng bảo mật cho các ứng dụng này khi người dùng truy cập mà hoàn toàn không gây ảnh hưởng đến quy hoạch hiện tại. Trong giai đoạn hiện nay với mô hình One Arm Mode cho phép chúng ta triển khai chức năng ASM trên cùng thiết bị LTM và hoạt động độc lập ở nhiều lớp mạng khác nhau từ Module Interenet tới Module Data Center 3.2. Gải pháp về cơ chế chính sách, nguồn nhân lực: 3.2.1. Về cơ chế, chính sách: Tăng cường xây dựng và ban hành các quy chế sử dụng và vận hành cho tất cả các hệ thống CNTT của thành phố như hệ thống mạng đô thị (MAN) hệ thống mạng không dây (WIFI) và Trung tâm dữ liệu. Xây dựng các chính sách, quy chế bảo đảm an toàn, an ninh thông tin trong toàn thành phố nói chung, với hoạt động của các cơ quan nhà nước nói riêng theo TCVN ISO/IEC 27001:2009 Xây dựng và ban hành quy chế quản lý chuyên môn nghiệp vụ đối với cán bộ chuyên trách công nghệ thông tin tại các cơ quan hành chính nhà nước trên địa bàn thành phố Đà Nẵng. 3.2.2. Về nguồn nhân lực: Để bảo đảm an ninh thông tin cho Trung tâm dữ liệu thành phố Đà Nẵng cần phải sung thêm nhân lực cho đơn vị vận hành - Trung tâm Phát triển hạ tầng CNTT Đà Nẵng từ nguồn cán bộ thuộc đối tượng đạo tạo theo Đề án Phát triển Nguồn nhân lực chất lượng cao của Thành phố và cán bộ thuộc diện thu Trang 23
- hút để tăng cường nguồn nhân lực, đảm bảo cho việc vận hành các hệ thống CNTT. Đồng thời, tập trung đào tạo các kỹ năng chuyên ngành, chuyên môn sâu để nâng cao năng lực cho các cán bộ quản lý, cán bộ vận hành, kỹ thuật nhằm góp phần từng bước đào tạo đội ngũ chuyên gia giỏi làm chủ các thiết bị đã đầu tư. Ngoài ra, cần mời các chuyên gia giỏi về các lĩnh vực an ninh thông tin hỗ trợ, tư vấn. 3.2.3. Về hợp tác trong và ngoài nước - Đẩy mạnh hợp tác với các tổ chức trong nước và quốc tế trong lĩnh vực CNTT-TT nhằm tranh thủ sự hỗ trợ, chia sẻ thông tin và kinh nghiệm, chuyển giao công nghệ từ các công ty, tập đoàn công nghệ, các chuyên gia giỏi. Tăng cường phối hợp với các tổ chức, hiệp hội về KHCN nhằm đẩy mạnh hợp tác, đầu tư phát triển ứng dụng CNTT trên địa bàn thành phố. Đẩy mạnh tổ chức các hội thảo chuyên ngành hoặc diễn đàn trao đổi kinh nghiệm về những giải pháp CNTT tiên tiến cho Chính phủ điện tử. Tổ chức cho cán bộ kỹ thuật, cán bộ lãnh đạo tham quan, học tập kinh nghiệm thực tế để nâng cao trình độ trong công tác quản lý, vận hành Trung tâm dữ liệu, đặc biệt công tác an toàn an ninh thông tin. Trang 24
- KẾT LUẬN Vấn đề đảm bảo an toàn an ninh thông tin luôn là mối quan tâm hàng đầu khi thiết lập hệ thống thông tin. Trung tâm dữ liệu là nơi lưu trữ tập các thông tin quan trọng của các cơ quan, đơn vị doanh nghiệp, vì vậy an ninh thông tin cần phải quan tâm đặc biệt. Trung tâm dữ liệu thành phố Đà Nẵng, được xây dựng theo tiêu chuẩn quốc tế, hạ tầng kỹ thuật hiện đại, đảm bảo vai trò thức đẩy nhanh quá trình xây dựng Chính quyền điện tử của Thành phố Đà Nẵng. Nhằm nâng cao hơn nữa công tác an toàn, an ninh cho hệ thống thông tin của thành phố, trong khuôn khổ tiểu luận này, Học viên đã đề xuất một số giải pháp bổ sung thiết bị an ninh thông tin nhằm tăng cường giám sát, xử lý luồng dữ liệu trao đổi từ bên trong Trung tâm dữ liệu với bên ngoài môi trường internet. Đồng thời, đề xuất Thành phố có cơ chế, chính sách hợp lý để thu hút nguồn nhân lực phục vụ cho việc vận hành hệ thống Trung tâm dữ liệu nói chung và vận hành, bảo đảm an ninh thông tin nói riêng. Do thời gian và kinh nghiệm thực tế còn hạn chế, lĩnh vực an toàn và bảo mật thông tin rất phức tạp, mặc dù có nhiều cố gắng nhưng tiểu luận chắc chắn còn nhiều khiếm khuyết cần cần bổ sung. Trong thời gian tới, học viên sẽ tiếp tục đi sâu tìm hiểu về lĩnh vực đảm bảo an ninh cho Trung tâm dữ liệu, đặc biệt các biện pháp an toàn thông tin cho Trung tâm dữ liệu của thành phố Đà Nẵng, nơi học viên đang công tác. Chân thành cảm ơn Tiến sĩ Nguyễn Linh, các Thầy Cô và các Anh/chị lớp Chuyên viên Thành phố 5 đã hỗ trợ để bản thân hoàn thành tiểu luận này Chân thành cảm ơn./. Trang 25