Hệ thống pháp luật

ỦY BAN NHÂN DÂN
TỈNH PHÚ YÊN

-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 695/QĐ-UBND

Phú Yên, ngày 24 tháng 5 năm 2021

 

QUYẾT ĐỊNH

BAN HÀNH QUY ĐỊNH MÔ HÌNH KẾT NỐI MẠNG CỦA CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH PHÚ YÊN

CHỦ TỊCH ỦY BAN NHÂN DÂN TỈNH

Căn Luật Tổ chức chính quyền địa phương ngày 19/6/2015 và Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22/11/2019;

Căn cứ Quyết định 28/2018/QĐ-TTg của Thủ tướng Chính phủ về việc gửi, nhận văn bản điện tử giữa các cơ quan trong hệ thống hành chính nhà nước;

Căn cứ Nghị quyết số 17/NQ-CP ngày 07/03/2019 của Chính phủ về một số nhiệm vụ, giải pháp trọng tâm phát triển Chính phủ điện tử giai đoạn 2019-2020, định hướng đến 2025;

Căn cứ Nghị định số 85/2016/NĐ-CP ngày 01/07/2016 của Chính phủ về đảm bảo an toàn thông tin theo cấp độ;

Căn cứ Thông tư số 03/2017/TT-BTTTT ngày 24/04/2017 của Bộ trưởng Bộ Thông tin và Truyền thông về quy định chi tiết và hướng dẫn một số điều của Nghị định số 85/2016/NĐ-CP ngày 01/7/2016 của chính phủ về bảo đảm an toàn hệ thống thông tin theo cấp độ;

Căn cứ Văn bản hợp nhất số 01/VBHN-BTTTT ngày 16/3/2020 của Bộ Thông tin và Truyền thông về Quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước “Hợp nhất Thông tư số 27/2017/TT-BTTTT ngày 20/10/2017 của Bộ Thông tin và Truyền thông Quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước và Thông tư số 12/2019/TT-BTTTT ngày 05/11/2019 của Bộ Thông tin và Truyền thông sửa đổi, bổ sung một số điều của Thông tư số 27/2017/TT-BTTTT ngày 05/10/2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước”;

Căn cứ Quyết định số 24/2020/QĐ-UBND ngày 26/8/2020 của UBND tỉnh về Ban hành Quy chế quản lý, vận hành, kết nối và sử dụng Mạng truyền số liệu chuyên dùng cấp II trên địa bàn tỉnh Phú Yên;

Căn cứ Kế hoạch hành động số 141/KH-UBND ngày 16/7/2019 của UBND tỉnh về việc thực hiện Nghị quyết số 17/NQ-CP ngày 07/3/2019 của Chính phủ về một số nhiệm vụ, giải pháp trọng tâm phát triển Chính phủ điện tử giai đoạn 2019-2020, định hướng đến 2025;

Căn cứ Kế hoạch 166/KH-UBND ngày 14/9/2020 của UBND tỉnh về việc Triển khai Internet protocol version 6 (IPv6) trong các cơ quan Nhà nước tỉnh Phú Yên giai đoạn 2020 - 2022;

Căn cứ Công văn số 273/BTTTT-CBĐTƯ ngày 31/01/2020 của Bộ Thông tin và Truyền thông về việc hướng dẫn mô hình tham chiếu về kết nối mạng cho bộ, ngành, địa phương; Công văn số 1694/BTTTT-CATTT ngày 31/05/2019 của Bộ Thông tin và Truyền thông về việc hướng dẫn yêu cầu an toàn thông tin cơ bản đối với hệ thống thông tin kết nối vào mạng truyền số liệu chuyên dùng;

Xét đề nghị của Giám đốc Sở Thông tin và Truyền thông tại Tờ trình số 26/TTr-STTTT ngày 10 tháng 5 năm 2021.

QUYẾT ĐỊNH:

Điều 1. Ban hành kèm theo Quyết định này Quy định mô hình kết nối mạng của cơ quan Nhà nước trên địa bàn tỉnh Phú Yên.

Điều 2. Giao Sở Thông tin và Truyền thông tổ chức triển khai, hướng dẫn, đôn đốc thực hiện Quyết định này; định kỳ báo cáo UBND tỉnh, Bộ Thông tin và Truyền thông theo quy định.

Điều 3. Chánh Văn phòng UBND tỉnh; Giám đốc Sở Thông tin và Truyền thông; Thủ trưởng các sở, ban, ngành, Chủ tịch UBND các huyện, thành phố; các cơ quan, tổ chức và đơn vị có liên quan chịu trách nhiệm thi hành Quyết định này kể từ ngày ký./.

 

 

KT. CHỦ TỊCH
PHÓ CHỦ TỊCH





Hồ Thị Nguyên Thảo

 

QUY ĐỊNH MÔ HÌNH KẾT NỐI MẠNG CỦA CƠ QUAN NHÀ NƯỚC TRÊN ĐỊA BÀN TỈNH PHÚ YÊN

(Ban hành kèm theo Quyết định số 695/QĐ-UBND ngày 24 tháng 5 năm 2021 của Chủ tịch UBND tỉnh Phú Yên)

I. GIỚI THIỆU VÀ GIẢI THÍCH TỪ NGỮ

1. Giới thiệu mạng TSLCD:

- Mạng Truyền số liệu chuyên dùng (sau đây viết tắt là mạng TSLCD) là hạ tầng được xây dựng để truyền tải thông tin chuyên dùng thông suốt từ Trung ương đến địa phương phục vụ bài toán ứng dụng CNTT phục vụ Chính phủ điện tử, Chính quyền số Mạng TSLCD bao gồm mạng TSLCD cấp I và mạng TSLCD cấp II.

- Mạng TSLCD cấp I: kết nối các Bộ, cơ quan ngang Bộ, cơ quan thuộc chính phủ, Tỉnh ủy, UBND tỉnh và HĐND tỉnh. Mạng TSLCD cấp I là hạ tầng truyền tải kết nối của NGSP (nền tảng chỉa sẻ, liên thông, tích hợp ở cấp TW) do Cục Bưu điện Trung ương - Bộ Thông tin và Truyền thông trực tiếp quản lý, vận hành.

- Mạng TSLCD cấp II: kết nối các cơ quan Đảng, Nhà nước trong tỉnh Phú Yên từ cấp tỉnh đến cấp xã (trừ Tỉnh ủy, HĐND tỉnh và UBND tỉnh). Mạng TSLCD cấp II là hạ tầng truyền tải cơ bản của tỉnh Phú Yên đóng vai trò truyền tải kết nối liên thông của LGSP (nền tảng chia sẻ, liên thông tích hợp của tỉnh) và kết nối liên thông gửi nhận văn bản điện tử 4 cấp.

- Mạng TSLCD cấp II kết nối với mạng TSLCD cấp I qua kết nối trung kế do doanh nghiệp Viễn thông bảo đảm theo yêu cầu quy định của pháp luật.

2. Giải thích từ ngữ

- HTTT: Hệ thống thông tin.

- CQĐT: Chính quyền điện tử.

- CSDL: Cơ sở dữ liệu.

- UBND: Ủy ban nhân dân.

- TTDL: Trung tâm dữ liệu.

- DNVT: Doanh nghiệp Viễn thông.

- Mạng LAN (Local Area Network): Mạng cục bộ.

- Mạng WAN (Wide Area Network): Mạng diện rộng.

- VPN: (Virtual Private Netwok.): Mạng riêng ảo.

- VLAN: (Virtual Local Area Network): Mạng cục bộ ảo.

II. PHẠM VI TRIỂN KHAI, ĐỐI TƯỢNG ÁP DỤNG

1. Các cơ quan Nhà nước trên địa bàn tỉnh Phú Yên có điểm kết nối vào hạ tầng của mạng TSLCD cấp II.

2. Các doanh nghiệp viễn thông có hạ tầng truyền dẫn đủ điều kiện tham gia cung cấp, quản lý, vận hành, kết nối và đảm bảo an toàn thông tin của mạng TSLCD cấp II tỉnh Phú Yên.

III. NGUYÊN TẮC ÁP DỤNG

1. Mạng TSLCD cấp II được sử dụng làm hạ tầng truyền dẫn căn bản trong kết nối các HTTT CQĐT của tỉnh và liên thông, chia sẻ dữ liệu của tỉnh (bao gồm các HTTT được triển khai có phạm vi từ trung ương đến địa phương và HTTT nội bộ phục vụ bài toán quản lý, điều hành và phát triển chính quyền điện tử của tỉnh Phú Yên, nền tảng liên thông, tích hợp LGSP, các CSDL kết nối để khai thác hoặc kết nối để chia sẻ, tích hợp).

2. Việc kết nối từ người dân, doanh nghiệp vào các HTTT của Chính phủ, của tỉnh Phú Yên được triển khai qua hạ tầng mạng Internet.

3. Hệ thống máy chủ ứng dụng tại phân hệ kết nối mạng TSLCD cấp II được phân tách về mặt vật lý với phân hệ kết nối mạng công cộng.

4. Mỗi cơ quan, đơn vị chỉ có 01 kết nối vật lý duy nhất đóng vai trò truyền tải lưu lượng chuyên dùng và lưu lượng Internet phục vụ nhu cầu truy cập ứng dụng chuyên dùng và ứng dụng công cộng mà Chính phủ và UBND tỉnh cung cấp trên môi trường mạng.

5. Tài nguyên địa chỉ của mạng TSLCD cấp II được quản lý, quy hoạch bởi Cục Bưu điện trung ương - Bộ Thông tin và Truyền thông cấp cho cơ quan, đơn vị trên địa bàn tỉnh theo đúng quy định của pháp luật.

IV. MÔ HÌNH KẾT NỐI THAM CHIẾU

1. Đối với TTDL đặt tại DNVT

a) Trường hợp 01:

Áp dụng đối với các HTTT và CSDL chuyên dùng phục vụ tỉnh Phú Yên được đặt tại TTDL của DNVT (thuê dịch vụ CNTT) khi năng lực hạ tầng kết nối vào mạng TSLCD cấp I của DNVT chưa đáp ứng theo yêu cầu của Bộ Thông tin và Truyền thông tại Thông tư số 12/2019/TT-BTTTT ngày 05/11/2019 BTTTT về sửa đổi, bổ sung một số điều của Thông tư số 27/2017/TT-BTTTT ngày 20/10/2017 của Bộ trưởng Bộ Thông tin và Truyền thông quy định về quản lý, vận hành, kết nối, sử dụng và bảo đảm an toàn thông tin trên mạng truyền số liệu chuyên dùng của các cơ quan Đảng, Nhà nước (sau đây gọi là Thông tư số 12/2019/TT-BTTTT).

DNVT phải thiết lập và cung cấp kết nối VPN từ TTDL của DNVT đến các trụ sở của UBND tỉnh, các Sở Ban ngành, UBND các huyện, thành phố và UBND các xã, phường, thị trấn trên địa bàn toàn tỉnh bằng một trong hai hình thức Ipsec VPN qua môi trường Internet hoặc L2/L3 VPN qua hạ tầng mạng của doanh nghiệp viễn thông là yêu cầu bắt buộc để đảm bảo kết nối an toàn đối với các HTTT và CSDL chuyên dùng của tỉnh Phú Yên.

b) Trường hợp 02:

Áp dụng khi DNVT có hạ tầng đã đáp ứng yêu cầu được Quy định tại Thông tư 12/2019/TT-BTTTT. Khi đó việc truy cập các ứng dụng chuyên dùng mà DNVT cung cấp phục vụ cho tỉnh Phú Yên được thực hiện qua hạ tầng mạng TSLCD (mạng TSLCD cấp I và Mạng TSLCD cấp II)

Lưu lượng chuyên dùng từ TTDL của DNVT sẽ được định tuyến đi qua mạng TSLCD cấp I về Mạng TSLCD cấp II đến trụ sở làm việc của UBND tỉnh, Các Sở Ban Ngành, UBND các huyện, thành phố và UBND các xã phường, thị trấn trên địa bàn tỉnh Phú Yên. Lưu lượng Internet sẽ được rẽ nhánh tại các đơn vị hoặc tại cổng kết nối điểm tập trung lưu lượng của tỉnh đặt tại DNVT.

Trên cơ sở phân tích những yêu cầu của hạ tầng mạng theo quy định và ứng dụng CNTT hiện tại của tỉnh Phú Yên. Ủy ban Nhân dân tỉnh quy định mô hình kết nối mạng LAN, mạng TSLCD cấp II của các cơ quan Đảng, Nhà nước trên địa bàn tỉnh Phú Yên như sau:

- Mô hình kết nối mạng tổng thể của tỉnh Phú Yên (Phụ lục 01).

- Mô hình kết nối mạng TSLCD cấp II và Mạng nội bộ LAN (Phụ lục 02).

- Mô hình kết nối Internet và TSLCD cấp II của TTDL tỉnh (Phụ lục 03).

- Mô hình Mạng LAN theo cấp độ an toàn thông tin dành cho cơ quan, đơn vị có HTTT (Phụ lục 04).

2. Đối với trường hợp tỉnh có TTDL riêng

Trường hợp này được áp dụng cho việc triển khai các HTTT và CSDL tại TTDL tỉnh Phú Yên

- Lúc này TTDL của tỉnh thực hiện tách phân hệ chuyên dùng độc lập với phân hệ công cộng.

- Thực hiện kết nối Internet cho phân hệ công cộng và cung cấp dịch vụ cho người dân và doanh nghiệp qua hạ tầng mạng Internet.

- Kết nối và cung cấp dịch vụ chuyên dùng của tỉnh phục vụ các cơ quan Đảng và Nhà nước trên địa bàn tỉnh qua hạ tầng mạng TSLCD cấp II.

- Thực hiện các biện pháp đảm bảo an toàn thông tin khi kết nối vào hạ tầng mạng TSLCD cấp II theo quy định hiện hành.

V. TỔ CHỨC THỰC HIỆN

1. Sở Thông tin và Truyền thông

- Cơ quan thường trực tham mưu hướng dẫn cho các cơ quan, đơn vị trên địa bàn tỉnh thực hiện triển khai theo mô hình kết nối mà tỉnh đã chọn.

- Chủ trì hướng dẫn kỹ thuật, theo dõi, giám sát các cơ quan, đơn vị thực hiện, nâng cấp hoàn thiện hệ thống mạng nội bộ LAN theo mô hình mẫu căn cứ vào yêu cầu cấp độ của HTTT mà đơn vị triển khai tại cơ quan mình.

- Phối hợp với các doanh nghiệp viễn thông và các cơ quan đơn vị liên quan yêu cầu thực hiện các kết nối, biện pháp đảm bảo an toàn thông suốt cho hạ tầng kết nối của tỉnh.

- Quản lý tập trung hạ tầng, lưu lượng mạng TSLCD cấp II khi hạ tầng TTTHDL được nâng cấp đáp ứng được yêu cầu.

- Phối hợp với doanh nghiệp viễn thông cung cấp hạ tầng kênh kết nối, định tuyến, cài đặt hiệu chỉnh theo địa chỉ IP Wan và IP Lan đã quy hoạch cho các cơ quan, đơn vị của tỉnh Phú Yên.

2. Sở Tài chính: Trên cơ sở đề nghị của Sở Thông tin và Truyền thông và các đơn vị, căn cứ khả năng ngân sách tham mưu UBND tỉnh về nguồn và mức kinh phí chi thường xuyên để đơn vị thực hiện nhiệm vụ theo quy định Luật ngân sách nhà nước và quy định hiện hành.

3. Các cơ quan Nhà nước trên địa bàn tỉnh

- Phối hợp với Sở Thông tin và Truyền thông thực hiện ra soát lại hạ tầng mạng nội bộ LAN của đơn vị mình, triển khai nâng cấp các điều kiện cần thiết đảm bảo kết nối theo mô hình quy định.

- Chủ động làm việc với cơ quan chuyên trách về an toàn thông tin đề xuất hồ sơ xác định cấp độ an toàn thông tin cho HTTT của đơn vị mình.

4. Các Doanh nghiệp Viễn thông

- Hỗ trợ các cơ quan, đơn vị trên địa bàn tỉnh thiết lập thiết bị đầu cuối của mạng TSLCD cấp II, phân tách VLAN giữa chuyên dùng và công cộng.

- Triển khai phân tách hạ tầng của mình tách riêng với hạ tầng mạng TSLCD cấp II đảm bảo các yêu cầu kỹ thuật, an toàn thông tin theo quy định pháp luật.

- Triển khai điểm tập trung lưu lượng Internet cho các cơ quan, đơn vị trên địa bàn tỉnh.

- Xây dựng phương án kết nối đảm bảo thông suốt cho hạ tầng mạng TSLCD cấp II kết nối trung kế với mạng TSLCD cấp I đáp ứng yêu cầu kỹ thuật, bảo đảm an toàn thông tin.

 

PHỤ LỤC 1

MÔ HÌNH TỔNG THỂ KẾT NỐI MẠNG TỈNH PHÚ YÊN

Hình 1: Mô hình tổng thể kết nối mạng tỉnh Phú Yên

 

PHỤ LỤC 2

HƯỚNG DẪN MÔ HÌNH KẾT NỐI MẠNG TSLCD CẤP II VÀ MẠNG NỘI BỘ LAN

1. Danh mục từ viết tắt, giải thích từ ngữ

- DNVT: Doanh nghiệp viễn thông.

- TSLCD cấp II: Mạng truyền số liệu chuyên dùng cấp II.

- LAN: Mạng nội bộ.

- Cổng kết nối vào mạng TSLCD cấp II là thiết bị mạng, thiết bị bảo mật hoặc thiết bị khác có chức năng tương đương để cung cấp giao diện kết nối giữa hệ thống mạng của cơ quan, tổ chức với mạng TSLCD cấp II.

2. Mô hình kết nối mạng TSLCD cấp II

2.1. Phân hệ mạng TSLCD cấp II

Mô hình tập trung lưu lượng về điểm quản lý tập trung của DNVT:

- Trên mạng TSLCD cấp II: Tạo kết nối điểm - đa điểm từ các cơ quan, đơn vị về điểm tập trung của doanh nghiệp viễn thông.

- Tại điểm tập trung của DNVT: Chuyển tiếp lưu lượng từ các đơn vị trực thuộc truy cập các ứng dụng tại Trung tâm dữ liệu tỉnh Phú Yên.

- Lưu lượng Internet: Rẽ nhánh tại cổng kết nối của các đơn vị hoặc điểm tập trung Internet tại tỉnh (đặt tại DNVT hoặc tại TTDL của tỉnh).

Hình 2: Mô hình phân hệ mạng TSLCD cấp II

2.2. Phân hệ mạng nội bộ LAN

- Tại cổng kết nối của đơn vị: Tách riêng phân hệ kết nối Internet và phân hệ kết nối mạng TSLCD cấp II. Cổng kết nối tại đơn vị cần đáp ứng các yêu cầu tại mục 2.3.

- Tại phân hệ LAN: 1 máy tính sử dụng đồng thời 2 kết nối là Internet và TSLCD.

- Trên hạng tầng mạng DNVT cung cấp Internet: Triển khai điểm quản lý tập trung Internet.

 

Hình 3: Mô hình phân hệ mạng LAN

- Mô hình mạng nội bộ LAN chi tiết như sau:

Hình 4: Mô hình mạng LAN

2.3. Các yêu cầu đối với Cổng kết nối vào mạng TSLCD cấp II

2.3.1. Yêu cầu về chức năng của Cổng kết nối

- Hệ thống mạng của cơ quan, tổ chức không được kết nối trực tiếp với mạng TSLCD cấp II mà phải thông qua Cổng kết nối.

- Có thiết bị chuyên dụng được sử dụng làm Cổng kết nối, để quản lý truy cập giữa mạng của cơ quan, tổ chức vào mạng TSLCD cấp II.

- Cổng kết nối có các chức năng cho phép triển khai các dịch vụ quy định tại Điều 5 Thông tư 27/2017/TT-BTTTT ngày 20/10/2017.

- Đáp ứng yêu cầu được nêu tại phụ lục 1 Thông tư 12/2019/TT-BTTTT ngày 05/11/2019.

2.3.2. Yêu cầu thiết lập cấu hình chính sách bảo mật cho Cổng kết nối

- Thiết lập chính sách truy cập từ bên ngoài mạng: Cổng kết nối phải được cấu hình chỉ cho phép truy cập từ bên ngoài các dịch vụ mà hệ thống mạng của cơ

quan, tổ chức cung cấp; chặn tất cả truy cập tới các dịch vụ, ứng dụng mà hệ thống không cung cấp hoặc không cho phép truy cập từ bên ngoài.

- Thiết lập chính sách truy cập từ bên trong mạng: Cổng kết nối phải được thiết lập cấu hình chỉ cho phép các dải địa chỉ IP nguồn của cơ quan, tổ chức kết nối ra bên ngoài.

- Nhật ký hệ thống:

Thiết lập chức năng ghi, lưu trữ nhật ký hệ thống trên Cổng kết nối.

Lưu trữ nhật ký hệ thống của thiết bị tối thiểu 03 tháng.

- Thiết lập chính sách bảo mật cho thiết bị hệ thống:

Cổng kết nối phải được cấu hình chức năng xác thực người dùng khi quản trị thiết bị trực tiếp hoặc từ xa.

Thiết lập cấu hình chỉ cho phép sử dụng các kết nối mạng an toàn khi truy cập, quản trị thiết bị từ xa.

Không cho phép quản trị, cấu hình thiết bị trực tiếp từ các mạng bên ngoài, trường hợp bắt buộc phải quản trị thiết bị từ xa phải thực hiện gián tiếp thông qua các máy quản trị trong hệ thống và sử dụng kết nối mạng an toàn.

 

PHỤ LỤC 3

MÔ HÌNH KẾT NỐI MẠNG MẠNG TSLCD CẤP II VÀ KẾT NỐI INTERNET CỦA TTTHDL TỈNH

1. Kết nối mạng TSLCD cấp II của Trung tâm dữ liệu tỉnh

Hình 5: Mô hình kết nối TTDL tỉnh vào Mạng TSLCD (theo mô hình số 04 của CV 273/BTTTT-CBĐTW)

Mô hình kết nối TTDL của tỉnh (đặt tại Sở TTTT) vào mạng TSLCD là mô hình sử dụng trong trường hợp tỉnh có TTDL riêng đặt tại trụ sở của mình. Kết nối từ TTDL của tỉnh vào mạng TSLCD sử dụng kênh truyền mạng TSLCD sẵn có của tỉnh.

Các yêu cầu cơ bản:

- Sở TTTT cần phân tách phân vùng HTTT chuyên dùng và phân vùng HTTT công cộng.

- Đối với phân vùng HTTT chuyên dùng:

Kết nối vào mạng TSLCD sử dụng IP private do Cục BĐTW quy hoạch (Trong trường hợp bị trùng IP thì có phương án phối hợp xử lý đối với BNĐP).

Phân vùng HTTT chuyên dùng để đồng bộ cơ sở dữ liệu với HTTT của Chính phủ, của tỉnh và kết nối từ cán bộ, công chức đến HTTT chuyên dùng.

- Đối với phân vùng HTTT công cộng:

Phân vùng HTTT công cộng phục vụ người dân, tổ chức, doanh nghiệp truy cập đến HTTT công cộng.

Sử dụng AS/IP độc lập do VNNIC cấp, kết nối Internet theo cơ chế multi- home tới một hoặc nhiều ISP, kết nối vào VNIX.

2. Kết nối Internet của Trung tâm dữ liệu tỉnh

Hình 6: Mô hình kết nối Internet của TTDL tỉnh

Hình 7: Mô hình kết nối Internet cho TTDL thiết kế phân tầng

Hai mô hình trên mô tả cụ thể cách thức kết nối Internet của Trung tâm dữ liệu tỉnh Phú Yên.

Yêu cầu:

Hệ thống mạng TTDL kết nối Internet cần được thiết kế theo mô hình phân tầng, bao gồm các khối như sau:

- Tầng định tuyến: Khối Router Gateway kết nối định tuyến đa hướng cho toàn bộ hệ thống mạng với các ISP, trạm trung chuyển Internet quốc gia VNIX.

- Tầng an toàn an ninh: Khối Firewall/IPS đảm bảo an toàn tổng thể cho hệ thống mạng, bảo vệ hệ thống mạng và các phân vùng quản lý phía trong mạng.

- Tầng chuyển mạch: Khối Hệ thống chuyển mạch (Switch) kết nối giữa các tầng, các phân vùng quản lý và các hệ thống thiết bị máy chủ.

- Tầng máy chủ: Khối Server farm là các máy chủ, ứng dụng, thiết bị lưu trữ, sao lưu…

Phân hệ Internet cần được quy hoạch theo kiến trúc của một mạng độc lập, kết nối đa hướng (multi-home), từng bước chuyển đổi IPv6:

- Mạng độc lập: Là mạng sử dụng vùng địa chỉ IP mạng Public và số hiệu mạng ASN độc lập. Tại Việt Nam địa chỉ IP và ASN được quản lý cấp phát bởi Trung tâm Internet Việt Nam (VNNIC), Bộ Thông tin và Truyền thông (Tham khảo quy trình đăng ký tại https://vnnic.vn/diachiip).

- Kết nối đa hướng (multi-home): Một hệ thống mạng độc lập sẽ có khả năng kết nối nhiều hướng (peering hoặc transit) với các mạng độc lập khác, với các DNVT (ISP) khác để kết nối vào mạng Internet, khi có sự cố hướng này sẽ tự động chạy theo hướng khác và ngược lại mà không bị gián đoạn dịch vụ, đồng thời có thể linh hoạt trong điều hướng để sử dụng hiệu quả băng thông kết nối trên các kênh truyền theo nhu cầu.

- Chuyển đổi IPv6: Quy hoạch mạng đảm bảo hoạt động song song IPv4, IPv6, có lộ trình từng bước chuyển đổi từ IPv4 sang IPv6, tiến tới dừng sử dụng IPv4.

Mục tiêu:

- Tại TTDL thực hiện tách riêng phân hệ chuyên dùng và phân hệ công cộng, có thiết bị kiểm soát giữa 02 phân hệ.

- Phân hệ chuyên dùng kết nối với hạ tầng mạng TSLCD cấp II để cung cấp, phục vụ các HTTT, CSDL chuyên dùng của tỉnh.

- Phân hệ công cộng kết nối, cung cấp cho người dân và doanh nghiệp các HTTT, CSDL công cộng, kết nối với 02 ISP và trạm trung chuyển VNIX của Quốc gia. Từng bước chuyển đổi từ IPv4 sang IPv6 và đảm bảo kết nối an toàn, thông suốt.

3. Mô hình kết nối Internet của các cơ quan, đơn vị trong tỉnh

Hình 8: Kết nối mạng LAN của đơn vị trực thuộc vào mạng TSLCD

Mô hình kết nối mạng LAN vào mạng TSLCD cấp II là mô hình sử dụng trong trường hợp các đơn vị không có HTTT (thường là các điểm thuộc UBND xã, phường, thị trấn).

Các yêu cầu cơ bản:

- Tại cổng kết nối của đơn vị: Thực hiện tách riêng phân hệ kết nối Internet (IP Public do Sở TTTT quy hoạch) và phân hệ kết nối mạng TSLCD cấp II (IP WAN và IP LAN do Cục BĐTW quy hoạch). Cổng kết nối tại đơn vị cần đáp ứng các yêu cầu tại Phụ lục 1 Thông tư 12/2019/TT-BTTTT ngày 05/11/2019.

- Tại phân hệ LAN: 1 máy tính sử dụng đồng thời 2 kết nối Internet và TSLCD cấp II.

- Trên hạ tầng mạng của DNVT cung cấp kết nối Internet cho đơn vị: Cần triển khai điểm tập trung Internet cho các CQNN để quản lý tập trung lưu lượng Internet của các CQNN tại địa phương.

- Lưu lượng Internet của các cơ quan, đơn vị đi đến điểm tập trung của địa phương (do DNVT triển khai).

 

PHỤ LỤC 4

MÔ HÌNH MẠNG NỘI BỘ LAN KẾT NỐI ĐẢM BẢO AN TOÀN HỆ THỐNG THÔNG TIN THEO CẤP ĐỘ

1. Mô hình mạng Cấp độ 1: Dành cho cơ quan nhà nước (CQNN) có hệ thống thông tin (HTTT) được xác định là cấp độ 1.

Hình 9: Mô hình mạng cấp độ 1

Yêu cầu tối thiểu HTTT phải đảm bảo có các vùng mạng sau:

- Vùng mạng biên.

- Vùng mạng nội bộ.

Tùy thuộc hoạt động và nhu cầu sử dụng hoặc không sử dụng, HTTT của đơn vị có hoặc không triển khai các vùng mạng sau:

- Vùng mạng không dây: HTTT không sử dụng mạng không dây.

- Vùng máy chủ nội bộ: HTTT không triển khai các máy chủ phục vụ ứng dụng trong nội bộ cơ quan, đơn vị.

2. Cấp độ 2: Dành cho CQNN có HTTT được xác định là cấp độ 2.

Hình 10: Mô hình mạng cấp độ 2

Yêu cầu tối thiểu HTTT phải đảm bảo có các vùng mạng sau:

- Vùng mạng biên.

- Vùng DMZ.

- Vùng máy chủ nội bộ.

Tùy thuộc hoạt động và nhu cầu sử dụng hoặc không sử dụng, HTTT của đơn vị có hoặc không triển khai các vùng mạng sau:

- Vùng mạng không dây (HTTT không sử dụng mạng không dây).

- Vùng mạng nội bộ (HTTT không kết nối trực tiếp với mạng nội bộ).

3. Cấp độ 3: Dành cho CQNN có HTTT được xác định là cấp độ 3.

Hình 11: Mô hình mạng cấp độ 3

Yêu cầu tối thiểu HTTT phải đảm bảo có các vùng mạng sau:

- Vùng mạng biên.

- Vùng DMZ.

- Vùng máy chủ CSDL.

- Vùng quản trị.

Tùy thuộc hoạt động và nhu cầu sử dụng, hệ thống thông tin của đơn vị có thể triển khai các vùng mạng sau:

- Vùng mạng không dây (HTTT không sử dụng mạng không dây).

- Vùng mạng nội bộ (HTTT không kết nối trực tiếp với mạng nội bộ).

- Vùng máy chủ nội bộ (HTTT không triển khai các máy chủ phục vụ ứng dụng trong nội bộ cơ quan đơn vị).

4. Thuyết minh các vùng mạng

- Vùng mạng biên: Đặt các thiết bị mạng, thiết bị bảo mật (router, firewall, thiết bị đầu cuối); kết nối mạng với doanh nghiệp viễn thông và ISP; kiểm soát, phát hiện và ngăn chặn tấn công mạng, các truy cập trái phép và virus mã độc.

- Vùng DMZ: Đặt các máy chủ chạy ứng dụng cung cấp cho người dùng nội bộ, trên mạng TSLCD cấp II và mạng Internet; làm nhiệm vụ trung gian giao tiếp với các vùng mạng bên trong với mạng WAN và mạng Internet.

- Vùng máy chủ CSDL: Đặt các máy chủ chứa cơ sở dữ liệu, thiết bị lưu trữ cho hệ thống ứng của đơn vị.

- Vùng quản trị: Đặt các máy chủ điều khiển, quản trị hệ thống, sao lưu dữ liệu, ghi log, giám sát, hiển thị thông tin.

- Vùng máy chủ nội bộ: Vùng mạng đặt các máy chủ triển khai ứng dụng nội bộ, chia sẽ dữ liệu nội bộ.

- Vùng mạng nội bộ: Đặt các máy tính của người dùng trong cơ quan, đơn vị.

- Vùng mạng không dây: Đặt các thiết bị phát sóng không dây cho người dùng truy cập.