Nghiên cứu đề xuất giải pháp truy cập internet an toàn cho mạng nội bộ trong các cơ quan nhà nước

  • 75 trang
  • file .pdf
0
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
ĐẶNG THỊ THÙY TRANG
NGHIÊN CỨU ĐỀ XUẤT GIẢI PHÁP TRUY CẬP INTERNET AN
TOÀN CHO MẠNG NỘI BỘ TRONG CÁC CƠ QUAN NHÀ NƢỚC
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
Hà Nội – 2014
1
ĐẠI HỌC QUỐC GIA HÀ NỘI
TRƢỜNG ĐẠI HỌC CÔNG NGHỆ
ĐẶNG THỊ THÙY TRANG
NGHIÊN CỨU ĐỀ XUẤT GIẢI PHÁP TRUY CẬP INTERNET AN
TOÀN CHO MẠNG NỘI BỘ TRONG CÁC CƠ QUAN NHÀ NƢỚC
Ngành: Công nghệ thông tin
Chuyên ngành: Truyền dữ liệu và mạng máy tính
Mã số:
LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN
NGƢỜI HƢỚNG DẪN KHOA HỌC: TS. LÊ QUANG MINH
Hà Nội - 2014
2
LỜI CAM ĐOAN
Tôi xin cam đoan luận văn với đề tài: “Nghiên cứu đề xuất giải pháp truy cập
Internet an toàn cho mạng nội bộ trong các cơ quan nhà nước” hoàn toàn là kết quả
nghiên cứu của chính bản thân tôi và chưa được công bố trong bất cứ một công trình
nghiên cứu nào của người khác. Trong quá trình thực hiện luận văn, tôi đã thực hiện
nghiêm túc các quy tắc đạo đức nghiên cứu; các kết quả trình bày trong luận văn là sản
phẩm nghiên cứu, khảo sát của riêng cá nhân tôi; tất cả các tài liệu tham khảo sử dụng
trong luận văn đều được trích dẫn tường minh, theo đúng quy định.
Tôi xin hoàn toàn chịu trách nhiệm về tính trung thực của số liệu và các nội
dung khác trong luận văn của mình./.
Hà Nội, ngày 10 tháng 06 năm 2014
Tên tác giả
Đặng Thị Thùy Trang
3
MỤC LỤC
LỜI CAM ĐOAN ..........................................................................................................2
MỤC LỤC ...................................................................................................................... 3
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT ..................................................6
DANH MỤC CÁC BẢNG............................................................................................. 7
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ ......................................................................8
MỞ ĐẦU ......................................................................................................................... 9
Chƣơng 1: TỔNG QUAN VỀ VẤN ĐỀ BẢO VỆ AN TOÀN AN NINH DỮ LIỆU
TRONG MẠNG LAN VÀ KẾT NỐI INTERNET TẠI VIỆT NAM .................... 11
1.1.Trọng tâm ứng dụng CNTT 2011-2015 ............................................................... 11
1.2.Yêu cầu thực tiễn về bảo vệ an toàn an ninh mạng LAN và kết nối Internet tại
Việt Nam ....................................................................................................................... 11
1.2.1.Hiện trạng kỹ thuật và công nghệ trong các mạng LAN phổ biến hiện nay ....11
1.2.1.1.Mạng LAN kết nối Internet ................................................................................11
1.2.1.2.Các loại người sử dụng và phân quyền truy cập...............................................12
1.2.2.Yêu cầu thực tế ....................................................................................................13
1.2.3.Vấn đề thực tiễn ...................................................................................................13
1.2.4.Các quy định của các cơ quan nhà nước ........................................................... 14
1.3.Xác định vấn đề bảo vệ an toàn an ninh dữ liệu trong mạng LAN và kết nối
Internet tại Việt Nam ..................................................................................................14
1.3.1.Vấn đề an toàn an ninh mạng là vấn đề của toàn cầu ......................................14
1.3.2.Vấn đề trọng tâm về an toàn an ninh mạng ....................................................... 15
1.3.2.1.Thất thoát thông tin: Wikileak ...........................................................................15
1.3.2.2.Mã độc lây lan như bom nổ chậm .....................................................................15
1.3.3.Tình hình tại Việt Nam ....................................................................................... 15
1.3.4.Nguyên nhân........................................................................................................16
1.3.4.1.Năng lực kỹ thuật............................................................................................... 16
1.3.4.2.Đầu tư thiếu đồng bộ ......................................................................................... 16
1.3.4.3.Việt Nam là một điểm ưa thích của hacker quốc tế...........................................16
1.3.4.4.Thiếu công nghệ phù hợp với hoàn cảnh Việt Nam ..........................................17
Chƣơng 2: NGHIÊN CỨU CÔNG NGHỆ ẢO HÓA ĐỂ ĐẢM BẢO AN TOÀN
THÔNG TIN ..............................................................................................................18
2.1. Giới thiệu về ảo hóa .............................................................................................. 18
2.1.1. Ảo hóa và những vấn đề liên quan ....................................................................18
2.1.1.1. Ảo hóa là gì? ....................................................................................................18
2.1.1.2. Lợi ích của ảo hóa ............................................................................................ 19
2.1.1.3. Quá trình phát triển và các xu thế hiện nay trên thế giới ................................ 20
2.1.2. Phân loại ảo hóa .................................................................................................21
2.1.2.1. Network Virtualization (Ảo hóa hệ thống mạng) .............................................21
4
2.1.2.2. Storage Virtualization (Ảo hóa hệ thống lưu trữ) ............................................23
2.1.2.3. Application Virtualization (Ảo hóa ứng dụng) .................................................25
2.1.2.4. Server Virtualization (Ảo hóa hệ thống máy chủ) ............................................27
2.2. Các công nghệ hỗ trợ ảo hóa ...............................................................................29
2.2.1. Công nghệ máy ảo .............................................................................................. 29
2.2.2. Công nghệ Raid ..................................................................................................30
2.2.2.1. Khái niệm Raid .................................................................................................30
2.2.2.2. Lịch sử ra đời và phát triển của Raid............................................................... 31
2.2.2.3. Các chuẩn Raid ................................................................................................ 31
2.2.2.4. Các loại Raid ....................................................................................................32
2.2.3. Công nghệ lưu trữ mạng Sans ...........................................................................35
2.2.4. Công nghệ High Availability ..............................................................................35
2.2.4.1. Yêu cầu của Vmware High Availability ........................................................... 36
2.2.4.2. Ưu điểm của High Availability .........................................................................36
2.2.4.3. Hạn chế của High Availability .........................................................................37
2.3. Công nghệ ảo hóa ứng dụng đảm bảo sử dụng an toàn thông tin và tiện lợi
trong mạng LAN ..........................................................................................................37
2.3.1. Ảo hóa ứng dụng..................................................................................................37
2.3.2. Lợi ích ảo hóa ứng dụng...................................................................................... 38
2.3.3. Ảo hóa ứng dụng trong mô hình Thin Client Architecture..................................37
Chƣơng 3: TÌM HIỂU CÔNG NGHỆ THIN CLIENT VÀ GIAO THỨC
REMOTE DESKTOP PROTOCOL .........................................................................38
3.1. Giới thiệu về thin clients ..................................................................................... 40
3.1.1. Khái niệm thin clients......................................................................................... 40
3.1.2. Đặc điểm của thin client ..................................................................................... 40
3.1.3. Tiêu chuẩn cho các kiến trúc thin client ........................................................... 40
3.1.3.1. Tổng quan về kiến trúc thin client ....................................................................42
3.1.3.2. Ứng dụng kiến trúc thin client ..........................................................................43
3.1.3.3. Thin client .........................................................................................................44
3.1.3.4. Fat server ..........................................................................................................45
3.2. Các công nghệ thin client ..................................................................................... 46
3.2.1. Các công nghệ trình diễn phân tán ...................................................................47
3.2.1.1. Kiến trúc tính toán độc lập (ICA) .....................................................................47
3.2.1.2. Giao thức RDP (Remote Desktop Protocol) .................................................... 49
3.2.1.3. X Windows ........................................................................................................50
3.2.1.4. Tổng kết các công nghệ trình diễn phân tán .................................................... 51
3.2.2. Các công nghệ trình diễn từ xa..........................................................................53
3.2.2.1. Các công nghệ dựa trên trình duyệt (browser) ................................................53
3.2.2.2. Khung làm việc thin-client của IBM (TCF-Thin-Client Framework) ..............54
3.2.2.3. Tổng kết các công nghệ trình diễn từ xa .......................................................... 56
5
3.3. Giao thức hiển thị từ xa Remote Desktop Protocol (RDP) ............................... 57
3.3.1. Giới thiệu Remote Desktop Protocol (RDP) ...................................................... 57
3.3.2. Cơ chế làm việc của giao thức RDP ..................................................................57
3.3.2.1. Connection Initiation ........................................................................................ 57
3.3.2.2. Basic Settings Exchange ...................................................................................58
3.3.2.3. Channel Connection ......................................................................................... 59
3.3.2.4. RDP Sercurity Commencement ........................................................................59
3.3.2.5. Secury Settings Exchange .................................................................................59
3.3.2.6. Licensing ...........................................................................................................59
3.3.2.7. Capabilities Negotiation ...................................................................................60
3.3.2.8. Connection Finalization ...................................................................................60
Chƣơng 4: MÔ HÌNH MẠNG LAN TRONG GIẢI PHÁP V-AZUR BẢO VỆ AN
NINH DỮ LIỆU CHO MẠNG NỘI BỘ KHI TRUY CẬP INTERNET VÀ LÀM
VIỆC TỪ XA QUA INTERNET ................................................................................61
4.1.Phân chia mạng nội bộ và bài toán truy cập Internet, làm việc từ xa an toàn 61
4.1.1. Phân chia mạng nội bộ ........................................................................................ 61
4.1.2. Bài toán truy cập Internet và làm việc từ xa an toàn ..........................................62
4.2. Nhƣợc điểm và các vấn đề của các giải pháp hiện có ........................................62
4.2.1.Nhược điểm của các giải phảp hiện có ................................................................ 62
4.2.2. Các vấn đề với RDP và VDI ................................................................................62
4.3. Giải pháp V-Azur bảo vệ an ninh dữ liệu cho mạng nội bộ khi truy cập
Internet và làm việc từ xa qua Internet .....................................................................63
4.3.1. Mô hình kiến trúc hệ thống mạng LAN trong giải pháp V-Azur..................... 63
4.3.2. Mô tả giải pháp công nghệ VCM12 sử dụng trong V-Azur ............................. 64
4.3.2.1. Bản chất kỹ thuật của giảp pháp ......................................................................64
4.3.2.2. Truy cập Internet an toàn .................................................................................65
4.3.2.3. Làm việc từ xa an toàn .................................................................................... 67
4.3.2.4. Yêu cầu kỹ thuật................................................................................................ 68
4.4. Đánh giá công nghệ VCM12 ................................................................................69
4.4.1. Tính mới, ưu việt và tiên tiến về công nghệ ......................................................... 69
4.4.2. So sánh với trình độ công nghệ hiện có tại Việt Nam và trên thế giới................69
4.4.3. Khả năng triển khai và tính phù hợp của giải pháp với thị trường trong nước..70
4.4. Đề xuất giải pháp chính sách và khuyến nghị.................................................... 70
4.4.1. Nâng cao nhận thức............................................................................................. 70
4.4.2. Bảo vệ nhiều lớp ..................................................................................................70
4.4.3. Kết luận & kiến nghị............................................................................................ 71
KẾT LUẬN VÀ HƢỚNG PHÁT TRIỂN CỦA ĐỀ TÀI .........................................72
DANH MỤC CÔNG TRÌNH KHOA HỌC CỦA TÁC GIẢ LIÊN QUAN ĐẾN
LUẬN VĂN ..................................................................................................................73
TÀI LIỆU THAM KHẢO........................................................................................... 74
6
DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT
Từ viết tắt Từ gốc Nghĩa tiếng việt
AD Active Directory Dịch vụ thư mục
GUI Graphical User Interface Giao diện người dùng đồ họa
ICA Independent Computing Architecture
Kiến trúc tính toán độc lập
IP Internet Protocol Giao thức mạng
LAN Local Area Network Mạng cục bộ
LDAP Lightweight Directory Access
Giao thức ứng dụng truy cập các
Protocol cấu trúc thư mục
MPLs Multiprotocol Label Switching Chuyển mạch nhãn đa giao thức
NAS Network Attached Storage Mạng lưu trữ đính kèm
OSI Open Systems Interconnection Mô hình tham chiếu kết nối các
hệ thống mở
RAID Redundent Array of Independent Sự tận dụng các phần dư trong
Disks các ổ cứng độc lập
RDP Remote Desktop Protocol Giao thức làm việc từ xa
SAN Storage Area Network Mạng lưới khu vực lưu trữ
TCF Thin- Client Framework Khung làm việc thin-client
TCO Total Cost of Ownership Tổng chi phí sở hữu
TCP Transsmission Control Protocol Giao thức điều khiển truyền vận
VDI Virtual Desktop Infrastructure Ảo hóa hạ tầng máy tính
VMM Virtual Machine Monitor Lớp nền tảng ảo hóa
VPN Virtual Private Network Mạng riêng ảo
VRF Virtual Routing and Forwarding Bảng định tuyến ảo
VT Virtualization Technology Công nghệ ảo hóa
7
DANH MỤC CÁC BẢNG
Bảng 3.1: Các phạm trù ứng dụng .................................................................................44
Bảng 3.2: Các cấu hình phần cứng của thin client ........................................................ 44
Bảng 3.3: Operating System Footprint ..........................................................................45
Bảng 3.4: Tài nguyên phần cứng cho hai loại kịch bản ................................................45
Bảng 3.5: Tổng kết các công nghệ trình diễn phân tán .................................................51
Bảng 3.6: Browser clients footprints .............................................................................54
Bảng 3.7: Tổng kết công nghệ trình diễn từ xa ............................................................. 56
8
DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ
Hình 1.1: Các thành phần chính của mạng LAN .......................................................... 12
Hình 1.2: Các loại người sử dụng trong mạng LAN hiện nay ......................................12
Hình 2.1: Một server vật lý trong hệ thống ảo hóa........................................................ 18
Hình 2.2: Ảo hóa lớp mạng ........................................................................................... 22
Hình 2.3: Kiến trúc ảo hóa mạng của Cisco ..................................................................23
Hình 2.4: Áo hóa hệ thống lưu trữ.................................................................................24
Hình 2.5: Host-based Storage Virtualization.................................................................24
Hình 2.6: Storage-device based Storage Virtualization ................................................25
Hình 2.7: Network-based Storage Virtualization .......................................................... 25
Hình 2.8: Mô hình Application Streaming của Citrix ...................................................26
Hình 2.9: Kiến trúc Host-based ..................................................................................... 28
Hình 2.10: Kiến trúc Hypervisor-based.........................................................................29
Hình 2.11: Sơ đồ truy cập tài nguyên phần cứng của máy ảo. ......................................30
Hình 2.12. Sơ đồ hoạt động của chuẩn Striping ............................................................ 32
Hình 2.13: Sơ đồ hoạt động của chuẩn Duplexing ........................................................ 32
Hình 2.14: Sơ đồ hoạt động của Raid level 0 ................................................................ 33
Hình 2.15: Sơ đồ hoạt động của Raid 1 .........................................................................33
Hình 2.16: Sơ đồ hoạt động của Raid 5 .........................................................................34
Hình 2.17: Sơ đồ hoạt động của Raid 1-0 .....................................................................34
Hình 2.18: Sơ đồ lưu trữ San ......................................................................................... 35
Hình 2.19: Sơ đồ hoạt động của Vmware High Availability ........................................36
Hình 2.20: Công nghệ ảo hóa ứng dụng ........................................................................37
Hình 2.21: Ảo hóa ứng dụng trong mô hình Thin Client Architecture ......................... 39
Hình 3.2: Kiến trúc thin client. ...................................................................................... 42
Hình 3.3: Mô hình ba thành phần của thin client .......................................................... 47
Hình 3.4: Kiến trúc trình diễn phân tán .........................................................................47
Hình 3.5: Thông tin giữa ICA client và server .............................................................. 48
Hình 3.6: Giao thức ICA và tầng giao vận ....................................................................49
Hình 3.7: Sơ đồ kiến trúc X Window ............................................................................51
Hình 3.8: Kiến trúc TCF ................................................................................................ 55
Hình 3.9: Giao thức Remote Desktop ...........................................................................57
Hình 4.1: Mô hình phân chia mạng nội bộ ....................................................................61
Hình 4.2: Tổ chức mạng LAN trong giải pháp V-Azur ................................................63
Hình 4.3: Giải pháp VCM12 được bố trí trong mạng LAN ..........................................65
Hình 4.4: Triển khai chức năng Truy cập Internet an toàn ...........................................65
Hình 4.5: Mô hình giải hệ thống giải pháp VPN........................................................... 67
Hình 4.6: Mô hình bảo vệ nhiều lớp ..............................................................................71
9
MỞ ĐẦU
Hiện nay, các vấn đề an ninh mạng hay chống tin tặc là những vấn đề đang
được sự quan tâm chú ý của nhiều cơ quan, tổ chức và cả cộng đồng, đặc biệt với các
đơn vị yêu cầu bảo mật tuyệt đối. Theo một đánh giá gần đây, các Website và mạng
nội bộ Việt Nam đang có mức độ mất an toàn cao. Việt Nam đang là một trong 3 quốc
gia dễ bị tổn thương nhất về an ninh mạng. Theo báo cáo năm 2011 của Bộ Công an,
tình hình an ninh mạng của Việt Nam đã trở nên rất nghiêm trọng, đặc biệt tại các cơ
quan trong hệ thống chính trị, các ngân hàng và các tổng công ty lớn.
Từ năm 2004, Bộ trưởng Bộ Công an, đã có Quyết định số 71/2004/QĐ-BCA
[1], quy định về bảo đảm an toàn an ninh mạng liên quan đến sử dụng và quản lý
Internet có giải pháp nghiêm cấm hành vi “Lưu giữ trên máy tính kết nối Internet tin,
tài liệu, số liệu thuộc bí mật nhà nước”. Biện pháp này được giải thích theo nhiều cách
sai lệch như “cấm tuyệt đối sử dụng Internet”, “mỗi cán bộ công chức phải được trang
bị 2 máy tính” hoặc “máy tính có tài liệu bí mật không được nối mạng”,…
Có hai nhu cầu ngày càng tăng trong các cơ quan nhà nước và trong các doanh
nghiệp là truy cập Internet và làm việc từ xa. Việc cấm tuyệt đối sử dụng Internet là đi
ngược lại với chủ trương ứng dụng CNTT để hiện đại hóa đất nước. Hiện nay, các cán
bộ, công chức đã có thói quen tải về các tài liệu quy phạm pháp luật, biểu mẫu từ các
website do chính Chính phủ cung cấp để giúp cho việc soạn thảo văn bản và công tác
nghiệp vụ. Việc đọc tin tức, trau dồi kiến thức sử dụng tài nguyên trên mạng đã trở
thành một thói quen và là phương tiện làm việc hữu hiệu không thể thiếu đối với cán
bộ. Mọi biện pháp ngăn cấm đều dẫn tới các biện pháp “vượt rào” tự phát, làm tình
hình càng thêm phức tạp. Bên cạnh đó, các cán bộ lãnh đạo đi công tác xa hoặc làm
việc ở nhà cũng có nhu cầu truy cập vào mạng nội bộ để xử lý công văn, đơn thư và
đọc hồ sơ tài liệu.
Việc sử dụng 2 máy tính, hoặc không cho nối mạng không hề làm tăng tính an
toàn. Do nhu cầu công việc, cán bộ công chức thường sử dụng thiết bị lưu trữ theo
cổng USB, thiết bị truy cập 3G,… hoặc chuyển hoàn toàn sang dùng máy tính cá nhân
riêng và đưa tài nguyên, tài liệu, số liệu bí mật sao chép lung tung làm phá vỡ mọi quy
định và chính sách bảo mật nội bộ đã có. Bảo mật là vấn đề của con người. Nếu không
có nhận thức phù hợp, cùng với các biện pháp kỹ thuật làm công việc trở nên tiện lợi
và một chính sách rõ ràng, dễ thực hiện, các biện pháp thuần túy hành chính sẽ vô ích,
gây cản trở tiến bộ và gây lãng phí của cải của Nhà nước mà tình hình giữ bảo mật an
ninh sẽ ngày càng khó kiểm soát.
Xuất phát từ nhu cầu thực tiễn, với đề tài: “Nghiên cứu đề xuất giải pháp truy
cập Internet an toàn cho mạng nội bộ trong các cơ quan nhà nước”, luận văn đi sâu
nghiên cứu tìm hiểu: Tình hình bảo vệ an toàn an ninh dữ liệu trong mạng LAN và kết
nối Internet tại Việt Nam, xây dựng bộ kiến trúc an toàn an ninh thông tin phù hợp với
điều kiện hiện nay của Việt Nam; Nghiên cứu công nghệ ảo hóa để đảm bảo an toàn
10
thông tin, ảo hóa ứng dụng đảm bảo sử dụng an toàn thông tin và tiện lợi trong mạng
LAN; Tìm hiểu công nghệ thin clients và các giao thức thin clients: Remote Desktop
Protocol (RDP), Independent Computing Architecture (ICA) Protocol,…; Nghiên cứu
các giải pháp sử dụng Thin Clients cũng như RDP; Từ đó so sánh, đánh giá các giải
pháp này với bộ giải pháp V-Azur bảo vệ an ninh dữ liệu cho mạng nội bộ khi truy cập
Internet và làm việc từ xa qua Internet. Ý tưởng của sản phẩm V-Azur dựa trên nền
giải pháp VCM12 [12] xuất phát từ mục đích có được giải pháp đơn giản, ít tốn kém
đồng thời giải quyết được hầu hết vấn đề đã nêu, vừa đem lại tiện lợi tối đa cho người
dùng. Sản phẩm sẽ là giải pháp hữu hiệu để giảm thiểu rủi ro về an ninh mạng và sẽ
tiếp tục được nâng cấp và giải quyết các thách thức mới do thực tế đề ra.
Luận văn gồm 4 chương và phần kết luận, hướng phát triển của đề tài:
Chương 1: Tổng quan về vấn đề bảo vệ an toàn an ninh trong mạng LAN và
truy cập Internet tại Việt Nam (1.1.Trọng tâm ứng dụng CNTT 2011-2015; 1.2.Yêu
cầu thực tiễn về bảo vệ an toàn an ninh trong mạng LAN và truy cập Internet tại Việt
Nam; 1.3.Xác định vấn đề về bảo vệ an toàn an ninh dữ liệu trong mạng LAN và truy
cập Internet tại Việt Nam)
Chương 2: Nghiên cứu công nghệ ảo hóa để đảm bảo an toàn thông tin
(2.1.Giới thiệu về ảo hóa; 2.2.Các công nghệ hỗ trợ ảo hóa ; 2.3.Công nghệ ảo hóa
ứng dụng đảm bảo sử dụng an toàn thông tin và tiện lợi trong mạng LAN)
Chương 3: Tìm hiểu công nghệ Thin client và giao thức Remote Desktop
Protocol (3.1.Giới thiệu về thin clients; 3.2.Các công nghệ thin clients; 3.3. Giao thức
làm việc từ xa an toàn Remote Desktop Protocol (RDP))
Chương 4: Mô hình mạng LAN trong giải phảp V-Azur bảo vệ an ninh dữ liệu
cho mạng nội bộ khi truy cập Internet và làm việc từ xa qua Internet (4.1. Phân chia
mạng nội bộ và bài toán truy cập Internet, làm việc từ xa an toàn; 4.2. Nhược điểm và
các vấn đề của các giải pháp hiện có; 4.3. Giải pháp V-Azur bảo vệ an toàn an ninh
dữ liệu cho mạng nội bộ khi truy cập Internet và làm việc từ xa qua Internet; 4.4.
Đánh giá công nghệ VCM12; 4.5. Đề xuất giải pháp chính sách và khuyến nghị)
Luận văn trình bày những nội dung cơ bản, những nội dung được đề cập sâu
hơn là cơ sở cho giải pháp ứng dụng V-AZUR. Giải pháp có ý nghĩa thiết thực trong
việc đảm bảo an toàn an ninh cho hệ thống mạng cơ quan, doanh nghiệp.
Mặc dù có nhiều cố gắng nhưng do năng lực và thời gian hạn chế, luận văn
không tránh khỏi những thiếu sót, mong Thầy, Cô và đồng nghiệp đóng góp ý kiến xây
dựng.
Xin chân thành cảm ơn!
Đặng Thị Thùy Trang
11
Chƣơng 1: TỔNG QUAN VỀ VẤN ĐỀ BẢO VỆ AN TOÀN AN NINH DỮ
LIỆU TRONG MẠNG LAN VÀ KẾT NỐI INTERNET TẠI VIỆT NAM
1.1.Trọng tâm ứng dụng CNTT 2011-2015
Căn cứ Quyết định số 1605/QĐ-TTg ngày 27 tháng 8 năm 2010 của Thủ tướng
Chính phủ phê duyệt Chương trình quốc gia về ứng dụng CNTT trong hoạt động của
cơ quan nhà nước giai đoạn 2011-2015; Trọng tâm ứng dụng CNTT giai đoạn 2011 –
2015: Quản lý hành chính, cơ sở dữ liệu quốc gia, an toàn an ninh mạng.
Quản lý hành chính: Quản lý văn bản tích hợp trong toàn quốc tới cơ quan
nhà nước các cấp, bảo đảm an toàn, an ninh, tính pháp lý của văn bản trao đổi; Thư
điện tử quốc gia; Giao ban điện tử đa phương tiện giữa Thủ tướng Chính phủ với các
Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố
trực thuộc Trung ương; Chỉ đạo, điều hành của Chính phủ trên Mạng truyền số liệu
chuyên dùng của các cơ quan Đảng, Nhà nước; Quản lý, theo dõi chương trình công
tác của Chính phủ; Mạng thông tin điện tử phục vụ trao đổi thông tin giữa Văn phòng
Chính phủ, Văn phòng Trung ương Đảng, Văn phòng Quốc hội, Văn phòng Chủ tịch
nước; Cổng thông tin điện tử Chỉnh phủ; Tài chính tích hợp, Giám sát thị trường tài
chính; Nộp tờ khai thuế qua mạng Internet; Triển khai thủ tục hải quan điện tử; Ứng
dụng thương mại điện tử trong mua sắm Chính phủ; Quản lý thông tin đầu tư nước
ngoài….
Các cơ sở dữ liệu quốc gia: Thủ tục hành chính trên Internet; Cán bộ, công
chức, viên chức; Kinh tế công nghiệp và thương mại; Tài nguyên và môi trường; Biên
giới lãnh thổ; Các dự án đầu tư; Doanh nghiệp; Dân cư; Tài chính
An toàn an ninh mạng: Các hệ thống cơ sở dữ liệu và quản lý hành chính đều
cần được bảo vệ an toàn.
1.2.Yêu cầu thực tiễn về bảo vệ an toàn an ninh mạng LAN và kết nối Internet tại
Việt Nam
1.2.1.Hiện trạng kỹ thuật và công nghệ trong các mạng LAN phổ biến hiện nay
1.2.1.1.Mạng LAN kết nối Internet
Ngày nay, các thành phần chủ yếu của một mạng LAN có kết nối Internet có
thể mô tả sơ bộ như theo sơ đồ Hình 1.1. Các máy trạm, máy chủ, cơ sở dữ liệu, máy
in thường được đặt sau tường lửa (giải pháp mềm như ISA hoặc giải pháp cứng như
Cisco ASA hoặc cả hai).
Để an toàn, điểm truy cập Wifi phải đặt trước tường lửa ngay sau modem.
Mạng lớn có nhiều máy có thể phải dùng thiết bị switch.
12
`
FIREWALL
ISA Switch
Modem
ADSL hoặc Cáp quang
Windows Server
Application Server
Wifi
Access Point
Database
Hình 1.1: Các thành phần chính của mạng LAN
1.2.1.2.Các loại người sử dụng và phân quyền truy cập
Sơ đồ Hình 1.2 là sơ đồ khá phổ biến về người sử dụng trong mạng LAN hiện
nay. Người sử dụng mạng LAN có thể sử dụng các máy trạm gồm:
P1: Máy trạm có quyền truy cập vào các tài nguyên cần bảo mật, có các tài liệu
bí mật. Các máy này nếu có thể kết nối thẳng với Internet như trên sơ đồ cho dù thông
qua tường lửa cũng là vi phạm Quyết định 71/2004/QĐ-BCA của Bộ Công an.
P2: Máy trạm chỉ có quyền truy cập vào các tài nguyên thường, các tài liệu
công khai. Chú ý một số mạng, tùy theo nhu cầu công việc, có thể không cần phải có
máy P2.
`
Máy chủ
ứng dụng
P1
`
Tường lửa
P2
MÁY LÀM VIỆC
TỪ XA
Hình 1.2: Các loại ngƣời sử dụng trong mạng LAN hiện nay
13
Ứng dụng chủ yếu hiện nay cần bảo mật là các ứng dụng hỗ trợ tác nghiệp (theo
mô hình Client-Server chạy trên nền Desktop hoặc theo mô hình Web-based). Trong
cả hai trường hợp, các tài liệu được lưu trữ trên “Máy chủ ứng dụng”. Các lỗ hổng an
ninh cần xử lý của mô hình này là:
- Cần phải ngăn chặn kết nối trực tiếp của P1 vào Internet để đảm bảo các
máy tính chứa tài liệu mật không thể kết nối được với Internet. Người dùng
hiện nay thường gửi tài liệu qua các hệ thống Email miễn phí khó kiểm
soát, qua các chương trình chat, qua các chương trình chia sẻ file ngang
hàng (P2P),… hoặc tải về P1 các mã độc do vô tình hay hữu ý.
- Với nhận thức và kiến thức hiện nay của người dùng, việc truy cập từ P2
vào P1 để lấy tài nguyên hoặc cài mã độc hết sức dễ dàng. Nhóm người sử
dụng P2 thường có nhận thức trách nhiệm thấp hơn về bảo mật và dễ dàng
để thất thoát, ngoài ra tin tặc có thể lợi dụng sơ hở này để truy cập P1 từ
máy P2. Như vậy, về mặt kỹ thuật, không có sự khác biệt giữa P1 và P2.
- Hiện nay việc phân quyền hoàn toàn dựa vào quyền truy cập được quy định
trên máy chủ ứng dụng. Tuy nhiên, người sử dụng có thể giả mạo các máy
con để hợp thức hóa việc truy cập tài nguyên trên máy chủ; các tài nguyên
và tài liệu trên máy chủ ứng dụng có thể truy cập trực tiếp được cũng khá
nhiều và ở dạng chưa mã hóa. Bên cạnh đó quyền truy cập cũng không có
chính sách phân quyền cẩn thận và không được theo dõi ghi nhật ký thường
xuyên để truy vết.
Có thể thấy, sơ đồ này hiện nay khá phổ biến và đã bộc lộ nhiểu điểm yếu cần
cấp tốc khắc phục.
1.2.2.Yêu cầu thực tế
Với sự phát triển ngày càng rộng khắp của CNTT, mạng LAN đang ngày càng
phổ biến ở các cơ quan thuộc hệ thống chính trị và các doanh nghiệp ở Việt Nam.
Trong lúc đó:
(i) Sử dụng Internet đã trở thành một thói quen, yêu cầu công việc không thể
thiếu đối với cơ quan nhà nước và doanh nghiệp.
(ii) Làm việc từ xa sẽ trở nên quan trọng đối với lãnh đạo, nhân viên đi công tác
hoặc làm việc ở nhà. Hay do họp hành quá nhiều trong giờ hành chính không có thời
gian xử lý công văn.
(iii) Một số bộ, địa phương có hệ thống ứng dụng tập trung, cần được sử dụng
từ xa cho các đơn vị trực thuộc không cùng địa bàn.
Các nhu cầu này đã đề ra những thách thức to lớn và phải có những giải pháp
cấp bách để bảo đảm an ninh thông tin và dữ liệu.
1.2.3.Vấn đề thực tiễn
Như đã phân tích các lỗ hổng an ninh ở mục 1.2.1.2 thì các vấn đề thực tiễn đặt
ra đối với hệ thống mạng nội bộ trong các cơ quan nhà nước hiện nay như sau:
14
a. Người dùng ở trong mạng nội bộ có thể gửi các tệp tin, dữ liệu ra ngoài qua
đường Internet. Vô tình hay cố ý.
b. Người dùng làm việc từ xa sử dụng VPN, có thể tải về các tệp tin, dữ liệu có
thể bị phát tán.
c. Mã độc có thể nhiễm vào mạng nội bộ, phá hoại hoặc đánh cắp dữ liệu.
d. Internet mở ra các lỗ hổng đối với mạng LAN có kết nối Internet.
1.2.4.Các quy định của các cơ quan nhà nước
Gần đây đã có những cuộc tấn công lớn và toàn diện của tin tặc trong nước và
nước ngoài vào các mạng LAN và cổng điện tử của các cơ quan và doanh nghiệp Việt
Nam nhằm tới các mục tiêu:
- Chiếm quyền kiểm soát hệ thống quản trị nội dung (CMS), để thay thế nội
dung của các trang điện tử bằng các nội dung phản tuyên truyền.
- Truy cập trái phép và cài mã độc lên các máy tính có tài liệu và thông tin cần
bảo mật. Các mã độc này sẽ định kỳ được kích hoạt và chuyển tải các thông
tin quý ra ngoài.
- Lợi dụng sự bất cẩn của người sử dụng và sự thiếu cẩn trọng trong công tác
quản lý để giả mạo quyền sử dụng, xâm nhập hệ thống và gửi ra ngoài các tài
nguyên cần bảo vệ theo đường Internet, email sử dụng các ứng dụng thông
dụng như HTTP, TELNET, FTP, SMNP,…
Trước tình hình đó, nhà nước ta đã có một số quy định nhằm đảm bảo an toàn
an ninh thông tin cho mạng nội bộ của các cơ quan nhà nước cụ thể như sau:
a. Quy định về sử dụng Internet của Bộ Công An (QĐ 71/2004/QĐ-BCA)
nghiêm cấm các máy tính có tài liệu dữ liệu bí mật kết nối Internet.
b. Quyết định của Bộ trưởng Bộ Tài chính (2615/QĐ-BTC) các máy tính trong
ngành tài chính có các tài liệu quan trọng không được mở trang tin và ứng dụng
Internet ngay trên máy.
c. Vấn đề: Bảo mật là vấn đề của con người. Nếu không có nhận thức phù hợp,
cùng với các biện pháp kỹ thuật làm công việc trở nên tiện lợi và một chính sách rõ
ràng, dễ thực hiện, các biện pháp thuần túy hành chính sẽ vô ích, gây cản trở tiến bộ và
gây lãng phí của cải của nhà nước mà tình hình giữ bảo mật an ninh sẽ ngày càng khó
kiểm soát. Do đó, cần có công nghệ phù hợp.
1.3.Xác định vấn đề bảo vệ an toàn an ninh dữ liệu trong mạng LAN và kết nối
Internet tại Việt Nam
1.3.1.Vấn đề an toàn an ninh mạng là vấn đề của toàn cầu
Cuộc cách mạng công nghệ thông tin (CNTT) nói chung và Internet nói riêng
đã tác động mạnh mẽ, tạo ra bước đột phá trong tiến trình phát triển kinh tế, văn hóa,
xã hội, mở ra một kỷ nguyên mới cho xã hội loại người.
Đồng thời, CNTT cũng đã trở thành phương tiện nguy hiểm để các thế lực thù
địch và bọn tội phạm lợi dụng vào mục đích phá hoại, gây thiệt hại lớn về kinh tế - xã
hội và an ninh của nhiều quốc gia, tổ chức quốc tế. Theo thống kê của các cơ quan an
15
ninh mạng quốc tế, trong năm 2012, thiệt hại về kinh tế do tội phạm mạng gây ra đã
lên đến 388 tỷ USD, cao hơn nhiều so với năm 2011 là 114 tỷ USD. Đặc biệt số vụ tấn
công mạng vào các hệ thống cơ sở hạ tầng trọng yếu của nhiều quốc gia ngày càng gia
tăng và các thiết bị kết nối Internet truyền thống, các thiết bị dân dụng, như tivi thông
minh, máy in, hệ thống phần mềm điều khiển trên xe ôtô… cũng trở thành mục tiêu
của các cuộc tấn công mạng.
Bên cạnh các yếu tố đe dọa an ninh truyền thống, nguy cơ chiến tranh mạng
đang trở nên hiện hữu. Không phải ngẫu nhiên, Eugene Kaspersky, đồng sáng lập và là
Giám đốc điều hành của hãng bảo mật Kaspersky Lab đã đánh giá: những năm 90 của
thế kỷ 20 là thập kỷ của những kẻ phá hoại trên mạng; những năm đầu thế kỷ 21 là
thập kỷ của tội phạm mạng và giờ đây là kỷ nguyên mới của chiến tranh không gian ảo
và khủng bố không gian mạng. Chiến lược không gian mạng quốc tế của Mỹ - quốc
gia hàng đầu về CNTT cũng xác định tấn công mạng là một trong những mối đe dọa
lớn nhất đối với lợi ích an ninh quốc gia của nước này.
Như vậy, Internet ra đời là nguồn gốc dẫn đến hiểm họa chiến tranh mạng
(Cyber War) và thách thức tội phạm mạng (Cyber Crime) cho tất cả các quốc gia trên
toàn thế giới.
1.3.2.Vấn đề trọng tâm về an toàn an ninh mạng
1.3.2.1.Thất thoát thông tin: Wikileak
WikiLeaks vụ nổi tiếng vì đã đưa ra hàng loạt các tài liệu mật của Bộ Quốc
phòng và Bộ Ngoại giao Mỹ liên quan tới hàng loạt các quốc gia trên thế giới. Vụ rò rỉ
hàng trăm ngàn tài liệu về cuộc chiến ở Afganistan trên WikiLeaks có thể gây thương
vong cho cuộc sống của nhiều binh sĩ Mỹ, các đối tác nước ngoài trong liên minh với
Mỹ, cho những người dân Afganistan làm việc quân đội Mỹ, Bộ trưởng Quốc phòng
Mỹ Gates và Tư lệnh Liên quân Mỹ Đô đốc Mullen khẳng định.
WikiLeaks đã tung ra gần 400.000 tài liệu không phổ biến của quân đội Mỹ có
liên quan tới chiến tranh Irap, thách thức những cảnh báo từ chính phủ Mỹ rằng việc
hé lộ các tài liệu có thể đặt những người sống vào rủi ro.
1.3.2.2.Mã độc lây lan như bom nổ chậm
Hình thức lây nhiễm và phát tán mã độc qua: thư điện tử, USB, website, tải
phần mềm lậu, hội thoại trực tuyến, mạng xã hội, qua việc cài đặt trực tiếp… Việc cài
đặt mã độc vào máy nạn nhân không chỉ có khả năng ăn cắp thông tin mật khẩu, mã
bảo mật thẻ tín dụng, dữ liệu trên máy tính, ghi âm nghe lén thông tin, chụp ảnh từ
màn hình, quy phim từ màn hình mà còn có thể tiếp tục sử dụng máy nạn nhân để làm
bàn đạp tấn công các máy tính khác.
1.3.3.Tình hình tại Việt Nam
Đối với Việt Nam, hệ thống mạng thông tin quốc gia, nhất là hệ thống mạng
thông tin của các cơ quan, tổ chức quan trọng vẫn sẽ là mục tiêu tấn công xâm nhập
của tin tặc nước ngoài; nguy cơ mất an ninh, an toàn thông tin, lộ, lọt bí mật nhà nước
sẽ ngày càng nghiêm trọng nếu không có giải pháp phòng, chống hữu hiệu:
16
 Báo cáo về tính an toàn của các mạng LAN và website của Việt Nam của
một tổ chức quốc tế Việt Nam đang là một trong 3 nước yếu nhất.
 Báo cáo của Bộ Công An: Hơn 90% các mạng nội bộ của các cơ quan Đảng,
Chính phủ và các ngân hàng bị xâm nhập, lấy dữ liệu
Trước tình hình đó, Công tác đảm bảo an ninh, an toàn mạng thông tin quốc gia,
phòng, chống vi phạm và tội phạm mạng là cuộc đấu tranh của toàn dân dưới sự lãnh
đạo của Đảng, là một bộ phận trọng yếu của cuộc đấu tranh bảo vệ an ninh quốc gia,
giữ gìn trật tự, an toàn xã hội; là trách nhiệm của cả hệ thống chính trị và toàn dân, của
các cấp, các ngành, trong đó lực lượng Công an giữ vai trò lòng cốt.
1.3.4.Nguyên nhân
1.3.4.1.Năng lực kỹ thuật
Thực trạng an toàn thông tin tại Việt Nam đang tiềm ẩn nhiều nguy cơ. An ninh
mạng vẫn chưa thực sự được quan tâm tại các cơ quan, doanh nghiệp. Theo nhận định
của các chuyên gia Công ty Bkav, hầu hết cơ quan doanh nghiệp của Việt Nam chưa
bố trí được nhân sự phụ trách an ninh mạng hoặc năng lực và nhận thức của đội ngũ
này chưa tương xứng với tình hình thực tế. Đó là nguyên nhân chính.
1.3.4.2.Đầu tư thiếu đồng bộ
Việt Nam hiện nay gặp rất nhiều thách thức, trước tiên là các cuộc tấn công sẽ
gia tăng và tính chất ngày càng tinh vi. Đối với các tổ chức, hiện nay các hệ thống của
họ gần như chưa được quan tâm đầy đủ dưới khía cạnh bảo mật. Kinh phí để đầu tư
trong các cơ quan nhà nước bị hạn chế. Đây là một mâu thuẫn, khi họ vẫn muốn bảo
vệ hệ thống của mình nhưng chưa đầu tư được.
1.3.4.3.Việt Nam là một điểm ưa thích của hacker quốc tế
Các cuộc tấn công của tin tặc ngày càng tăng mạnh và việc bảo mật yếu kém
của các cơ quan, tổ chức, doanh nghiệp đã biến không gian mạng của Việt Nam trở
thành nơi ưa thích của giới tin tặc quốc tế. Đã xuất hiện các cuộc tấn công và các hệ
thống thông tin của các cơ quan tổ chức.
Trong 6 tháng đầu năm 2011, có hàng trăm website bị các hacker nước ngoài
tấn công, chiếm quyền điều khiển, thay đổi giao tiện trong đó có các website của Bộ
Nông nghiệp, Bộ Ngoại giao, …
Tháng 10 năm 2011, có hơn 150 website bị tấn công do một nhóm hacker Thổ
Nhĩ Kỳ thực hiện. Cùng với một số máy chủ tại TP. Hồ Chí Minh của các công ty
cung cấp các dịch vụ hosting, domain khá nổi tiếng.
Không chỉ có website doanh nghiệp, ngày 8/11/2011, hacker đã tấn công và
chiếm quyền trang web của Sở Văn hóa - Thể thao và Du lịch tỉnh của Nam Định và
để lại một trang trắng với dòng chữ “Đừng hỏi vì sao bị hack mà hãy hỏi thành phố
bạn đã ra quyết định gì”
Ngay cả, website của trung tâm an ninh mạng BKAV cũng bị hacker tấn công
vào hôm 6/2/2012 và nhóm hacker Anonymous đã chỉ ra nhiều lỗi bảo mật của
website này. Mẫu số chung của việc tin tặc có thể tấn công hàng nghìn website là sự
17
yếu kém trong quản trị web và không thường xuyên phát hiện và khắc phục các lỗ
hổng an toàn thông tin, ít quan tâm đến các cảnh bảo an ninh của các cơ quan, tổ chức
có chức năng đảm bảo an ninh an toàn thông tin quốc gia.
1.3.4.4.Thiếu công nghệ phù hợp với hoàn cảnh Việt Nam
Hiện nay, nguy cơ mất an toàn, bảo mật thông tin trong các cơ quan Đảng và
Nhà nước khá cao. Theo khảo sát của VNCERT năm 2012, 54% cơ quan Đảng và Nhà
nước không ghi nhận hành vi tấn công. Điều này đồng nghĩa với việc quá nửa website
ở Việt Nam dù “xây nhà” đã trang bị “khóa” song kẻ trộm vẫn đột nhập mà chủ nhà
không hay biết. Bên cạnh đó, có 64% cơ quan nhà nước không ước lượng được tổn
thất tài chính khi bị tấn công.
Trong khi đó, nguy cơ tấn công xuất phát rất đa dạng, qua các website, hệ thống
thư điện tử, tấn công DDOS và qua thiết bị USB. Trước tình trạng đó, Ban Cơ yếu
Chính phủ đã nghiên cứu và triển khai các sản phẩm bảo mật như: thiết bị nhớ an toàn
(USB an toàn), hệ thống cung cấp dịch vụ chứng thực chữ ký số chuyên dùng Chính
phủ, mô hình hệ thống CA quốc gia, hệ thống giám sát an ninh mạng (GSANM)…
Tuy nhiên, với một hạ tầng rộng lớn, việc triển khai các sản phẩm trên chưa đủ và còn
khá nhiều khó khăn.
Thêm vào đó, một số chuyên gia an ninh mạng cho rằng: tất cả các vụ tấn công
do cố tình hay hữu ý đều nhằm vào hệ điều hành Microsoft Window (đặc biệt chú ý tới
việc tấn công mạng từ Trung Quốc và bê bối từ vụ PRISM của cơ quan NSA-Hoa Kỳ),
trong khi đó Việt Nam chưa có khả năng chế ngự các mối đe dọa không gian mạng do
nhà nước, quốc gia đứng đằng sau. Windows là phần mềm nguồn đóng, sở hữu độc
quyền là mối đe dọa của an ninh quốc gia. Cần loại bỏ và thay vào đó là sử dụng phần
mềm nguồn mở (PMNM) nhằm đảm bảo an toàn, an ninh thông tin mạng cho quốc
gia. Và câu hỏi đặt ra: Phần mềm nguồn mở sẽ đảm bảo an toàn, an ninh thông tin
mạng?
Tóm lại, an toàn an ninh thông tin là một thách thức không chỉ đối với nước ta
mà còn là bài học toàn cầu. Hơn nữa, Việt Nam là một trong những điểm ưa thích của
hacker quốc tế. Ở nước ta tình hình mất an toàn thông tin xuất phát từ sự yếu kém của
nguồn nhân lực, các giải pháp đầu tư cơ sở hạ tầng thiếu đồng bộ, thiếu công nghệ phù
hợp với hoàn cảnh trong nước. Các giải pháp đảm bảo an ninh, an toàn thông tin chỉ
mang tính đối phó, gây lãng phí ngân sách. Vì thế, giải pháp tối ưu trước hết là đào tạo
nguồn nhân lực có trình độ và tập trung đầu tư nghiên cứu phát triển sản phẩm ứng
dụng phù hợp, kiến trúc an ninh, an toàn thông tin cần chuẩn công nghiệp mặc định tại
Việt Nam. Cần có những chính sách, hành lang pháp lý minh bạch, khuyến khích
doanh nghiệp, cơ quan nghiên cứu phát triển công nghệ và sản phẩm; tránh trao độc
quyền cho một số cơ quan không có năng lực. Đồng thời, không nên có quan điểm bài
xích các sản phẩm nước ngoài một cách cực đoan.
18
Chƣơng 2: NGHIÊN CỨU CÔNG NGHỆ ẢO HÓA ĐỂ ĐẢM BẢO AN
TOÀN THÔNG TIN
2.1. Giới thiệu về ảo hóa
2.1.1. Ảo hóa và những vấn đề liên quan
2.1.1.1. Ảo hóa là gì?
Ảo hóa là một công nghệ được ra đời nhằm khai thác triệt để khả năng làm việc
của các phần cứng trong một hệ thống máy chủ. Nó hoạt động như một tầng trung gian
giữa hệ thống phần cứng máy tính và phần mềm chạy trên nó. Ý tưởng của công nghệ
ảo hóa máy chủ là từ một máy vật lý đơn lẻ có thể tạo thành nhiều máy ảo độc lập. Ảo
hóa cho phép tạo nhiều máy ảo trên một máy chủ vật lý, mỗi một máy ảo cũng được
cấp phát tài nguyên phần cứng như máy thật gồm có RAM, CPU, card mạng, ổ cứng,
các tài nguyên khác và hệ điều hành riêng. Khi chạy ứng dụng, người sử dụng không
nhận biết được ứng dụng đó chạy trên lớp phần cứng ảo.
Hình 2.1: Một server vật lý trong hệ thống ảo hóa
Các bộ xử lý của hệ thống máy tính lớn được thiết kế hỗ trợ công nghệ ảo hóa
và cho phép chuyển các lệnh hoặc tiến trình nhạy cảm của các máy ảo có thể ảnh
hưởng trực tiếp đến tài nguyên hệ thống cho hệ điều hành chủ xử lý, sau đó lớp ảo hóa
sẽ mô phỏng kết quả để trả về cho máy ảo. Tuy nhiên, không phải tất cả bộ xử lý đều
hỗ trợ ảo hóa. Các bộ xử lý cũ trên máy để bàn đều không có hỗ trợ chức năng này.
Ngày nay hai nhà sản xuất bộ xử lý lớn trên thế giới là Intel và AMD đều cố gắng tích
hợp công nghệ ảo hóa vào trong các sản phẩm của họ. Các bộ xử lý có ứng dụng ảo
hóa thường là Intel VT (Virtualization Technology) hoặc AMD Pacifica.
Sử dụng công nghệ ảo hóa đem đến cho người dùng sự tiện ích. Việc có thể
chạy nhiều hệ điều hành đồng thời trên cùng một máy tính thuận tiện cho việc học tập
19
nghiên cứu và đánh giá một sản phẩm hệ điều hành hay một phần mềm tiện ích nào
đó. Nhưng không ngừng lại ở đó, những khả năng và lợi ích của ảo hóa còn hơn thế và
nơi gặt hái được nhiều thành công và tạo nên thương hiệu của công nghệ ảo hóa đó
chính là môi trường hệ thống máy chủ ứng dụng và hệ thống mạng.
Ảo hóa máy chủ thực sự không được quan tâm cho đến những năm gần đây. Do
còn nhiều vấn đề về công nghệ và người dùng chưa thực sự quan tâm tới lợi ích và còn
thiếu đội ngũ am hiểu về công nghệ này nên việc áp dụng nó vào hệ thống là rất dè
dặt. Nhưng khi đối mặt với thực trạng khủng hoảng của nền kinh tế toàn cầu thì bất kỳ
một doanh nghiệp nào cũng chủ tâm để tìm một giải pháp tiết kiệm hơn. Đây cũng là
lúc công nghệ ảo hóa tìm được chỗ đứng vững chắc cho mình trong lĩnh vực công
nghệ thông tin trên thế giới.
Hiện nay có nhiều nhà cung cấp các sản phẩm máy chủ và phần mềm đều chú
tâm đầu tư nghiên cứu và phát triển công nghệ này như là HP, IBM, Microsoft và
Vmware. Nhiều dạng ảo hóa được đưa ra và có thể chia thành hai dạng chính là ảo hóa
cứng và ảo hóa mềm. Từ hai dạng này sau này mới phát triển thành nhiều loại ảo hóa
có chức năng và cấu trúc khác nhau như VMM-Hypervisor, VMM, Hybrid…
Ảo hóa cứng được gọi là phân thân máy chủ. Dạng ảo hóa này cho phéo tạo
nhiều máy ảo trên một máy chủ vật lý. Mỗi máy ảo chạy hệ điều hành riêng và được
cấp phát tài nguyên phần cứng như số xung nhịp CPU, ổ cứng và bộ nhớ… Các tài
nguyên của máy chủ có thể được cấp phát động một cách linh động tùy theo nhu cầu
của từng máy ảo. Giải pháp này cho phép hợp nhất các hệ thống máy chủ cồng kềnh
thành một máy chủ duy nhất và các máy chủ trước đây bây giờ đóng vai trò là máy ảo
ứng dụng chạy trên nó.
Ảo hóa mềm còn gọi là phân thân hệ điều hành. Nó thực ra chỉ là sao chép bản
sao của một hệ điều hành chính làm nhiều hệ điều hành con và cho phép các máy ảo
ứng dụng có thể chạy trên nó. Như vậy, nếu hệ điều hành chủ là Linux thì các ảo hóa
này sẽ cho phép tạo thêm nhiều bản Linux làm việc trên cùng máy. Cách này có ưu
điểm là chỉ cần một bản quyền cho một hệ điều hành và có thể sử dụng cho các máy ảo
còn lại. Nhược điểm của nó là không thể sử dụng nhiều hệ điều hành khác nhau trên
cùng một máy chủ.
2.1.1.2. Lợi ích của ảo hóa
Thông thường việc đầu tư cho một trung tâm công nghệ thông tin là rất tốn
kém. Chi phí đầu tư mua các máy chủ cấu hình mạnh và các phần mềm bản quyền là
rất đắt đỏ. Trong thời buổi kinh tế khó khăn hiện nay doanh nghiệp nào cũng muốn cắt
giảm và hạn chế tối đa các chi phí không cần thiết mà vẫn đáp ứng được năng suất và
tính ổn định của hệ thống. Do đó, việc ứng ảo hóa trở thành nhu cầu cần thiết của bất
kỳ doanh nghiệp lớn hay nhỏ. Vì thay vì mua mười máy chủ cho mười ứng dụng thì
cần mua một hoặc hai máy chủ có hỗ trợ ảo hóa thì vẫn có thể chạy tốt mười ứng dụng
trên. Điều này cho ta thấy sự khác biệt giữa hệ thống ảo hóa và không ảo hóa. Bên
cạnh đó việc ứng dụng ảo hóa còn đem lại những lợi ích sau đây.