An toàn thông tin và Trung tâm dự phòng

14:02 | 03/01/2010

Ngày nay, tất cả các doanh nghiệp hoạt động trên mọi lĩnh vực đang đối mặt với sự tăng trưởng không ngừng của dữ liệu và từ đó dẫn đến việc phải bảo đảm công tác quản lý, bảo vệ và duy trì sự tồn tại của dữ liệu trong một khoảng thời gian nhất định. Những dữ liệu này có thể là thông tin liên quan đến tài chính, lịch sử giao dịch, thông tin liên quan đến thẻ tín dụng của khách hàng…


Nhu cầu lưu trữ thông tin
Ngày nay, tất cả các doanh nghiệp hoạt động trên mọi lĩnh vực đang đối mặt với sự tăng trưởng không ngừng của dữ liệu và từ đó dẫn đến việc phải bảo đảm công tác quản lý, bảo vệ và duy trì sự tồn tại của dữ liệu trong một khoảng thời gian nhất định. Những dữ liệu này có thể là thông tin liên quan đến tài chính, lịch sử giao dịch, thông tin liên quan đến thẻ tín dụng của khách hàng… nếu bị mất sẽ ảnh hưởng đến uy tín và khả năng cạnh tranh của doanh nghiệp. Do đó, chính sách liên quan đến việc lưu trữ dữ liệu của doanh nghiệp rất quan trọng.
Lưu trữ dữ liệu trước hết để đề phòng trường hợp bị mất thì có thể khôi phục lại một cách nhanh chóng. Trong trường hợp này việc lưu trữ thường gắn liền với các kế hoạch phục hồi thảm họa của các doanh nghiệp. Ngoài ra, việc lưu trữ còn liên quan đến vấn đề cất giữ thông tin trong một khoảng thời gian dài. Trường hợp này không nhất thiết phải lưu trữ tức thời và thông tin lưu trữ có thể sẽ được sử dụng tại một thời điểm nào đó trong tương lai. Trong cả hai trường hợp thì thông tin phải được lưu trữ tại một nơi nào đó nằm khác biệt với nơi chứa dữ liệu chính.
Mức độ thường xuyên thực hiện thao tác lưu trữ phụ thuộc vào mức độ quan trọng của dữ liệu cũng như khả năng tài chính của doanh nghiệp. Ví dụ, đối với các thông tin liên quan đến việc giao dịch của khách hàng, được thay đổi liên tục thì việc lưu trữ phải được thực hiện tức thời. Điều đó có thể cho phép việc khôi phục lại dữ liệu được tức thời ngay sau thời điểm mất dữ liệu chính.
Hiện nay, mặc dù các tổ chức đã gia tăng các biện pháp an ninh hệ thống thì các công việc liên quan đến việc lưu trữ dữ liệu thường vẫn nhận được ít sự quan tâm trong chiến lược an ninh của họ. Nguyên nhân chính của vấn đề này là các tổ chức quan niệm về lưu trữ và an ninh hệ thống là hai vấn đề khác nhau. Trong khi an ninh hệ thống được hiểu là phải kiểm soát được việc truy cập của người dùng đối với dữ liệu thì việc lưu trữ dữ liệu lại được hiểu là hành động cất dữ liệu ra một nơi khác.
Việc sử dụng những biện pháp lưu trữ dữ liệu cần thiết thông qua các chính sách phù hợp là việc làm không thể thiếu đối với các doanh nghiệp. Điều này đòi hỏi doanh nghiệp phải lựa chọn phương án sao cho phù hợp với loại dữ liệu cần lưu trữ. Một điều quan trọng nhất cần lưu ý đó là việc lưu trữ thông tin không thể thực hiện chỉ một lần, mà cần phải thực hiện giám sát và cải tiến thường xuyên. Lưu trữ dữ liệu là một việc phức tạp và là một phần trong việc xây dựng an ninh hệ thống của doanh nghiệp.
Một chính sách về lưu trữ sẽ cung cấp các nguyên tắc và phương án để thực hiện việc lưu trữ và quản lý dữ liệu được an toàn. Đặc biệt, một yếu tố không thể thiếu được, đó là trung tâm dự phòng thông tin và kế hoạch phục hồi thảm họa của các doanh nghiệp (DRP – disaster recovery plan).
Trung tâm dự phòng: Sự cần thiết và vai trò trong an ninh hệ thống
Các doanh nghiệp cần phải nhận định việc đảm bảo tính liên tục trong kinh doanh (BC – Business Continuity) là yếu tố quan trọng và phải được quan tâm đầu tư. Thực hiện tính liên tục trong kinh doanh có nghĩa là phải đảm bảo công việc kinh doanh không gián đoạn khi có sự cố xảy ra hoặc thời gian gián đoạn phải ở mức tối thiểu. Các sự cố xảy ra đối với công việc kinh doanh hàng ngày có thể đến từ nhiều phía như động đất, hỏa hoạn, hay ngay cả những sự cố liên quan đến vận hành hệ thống… Kế hoạch đảm bảo tính liên tục trong kinh doanh (BCP – Business Continuity Plan) sẽ giúp doanh nghiệp có thể quản lý được các rủi ro, tạo điều kiện cho việc đảm bảo các hoạt động trong doanh nghiệp cũng như việc phân phối các dịch vụ đến khách hàng. Từ đó, giúp cho doanh nghiệp đứng vững trước các vấn đề khó khăn và tạo dựng được hình ảnh tốt đối với khách hàng.
Trung tâm dự phòng phục hồi thảm họa không chỉ đơn giản là trung tâm dự phòng thông tin mà sẽ thực sự là trung tâm dự phòng cho các vấn đề liên quan đến hoạt động kinh doanh của doanh nghiệp.
Trung tâm dữ liệu và cơ sở hạ tầng công nghệ thông tin là xương sống cho các doanh nghiệp hoạt động dựa trên nền tảng công nghệ thông tin. Trung tâm dự phòng thông tin sẽ cho phép doanh nghiệp bảo vệ được thông tin và khi cần thiết sẽ là trung tâm dữ liệu chính phục vụ cho hoạt động kinh doanh của doanh nghiệp. Bên cạnh trung tâm dự phòng thì doanh nghiệp cũng cần xây dựng cho mình một kế hoạch phục hồi thảm họa (DRP – Disaster Recover Plan). Một kế hoạch phục hồi thảm họa phải bao gồm các bước: thiết lập kế hoạch; kiểm tra kế hoạch và thực hiện theo kế hoạch đó. Kế hoạch phục hồi thảm họa cũng phải phù hợp với các tiêu chuẩn ISO họ 27000 (ISO 27001 và ISO 27002).
Với kế hoạch phục hồi thảm họa, doanh nghiệp sẽ biết rõ phạm vi làm việc, kế hoạch cũng như số lượng nhân lực tham gia khi có sự cố xảy ra. Phục hồi thảm họa là một loạt các quy trình đảm bảo cho việc truy cập vào hệ thống thông tin và dữ liệu, để đảm bảo cho hoạt động của doanh nghiệp khi có sự cố xảy ra. Thông thường BCP bao hàm tất cả các chức năng, khía cạnh kinh doanh của doanh nghiệp, BCP mô tả các bước và kế hoạch mà doanh nghiệp cần phải thực hiện khi không thể hoạt động bình thường do tác động của thảm họa. Tính liên tục trong kinh doanh và khả năng phục hồi thảm họa là các nhân tố quan trọng giúp cho việc đảm bảo hoạt động kinh doanh của các doanh nghiệp. Kế hoạch đảm bảo liên tục trong kinh doanh được coi như một kế hoạch lớn, trong đó phục hồi thảm họa được coi như một cấu phần bên trong của BCP.
Các biện pháp an ninh trong trung tâm dự phòng
Một hệ thống an ninh được đảm bảo và ảnh hưởng bởi các chính sách an ninh, đó chính là chìa khóa để bảo đảm sự an toàn cho doanh nghiệp trong hoạt động kinh doanh. Khi một doanh nghiệp hoạt động dựa trên nền tảng hệ thống công nghệ thông tin thì đảm bảo an ninh hệ thống trở thành một trong những nhiệm vụ quan trọng và ưu tiên hàng đầu. An ninh hệ thống trong trung tâm dự phòng cũng phải đảm bảo cân bằng các yếu tố C-I-A đối với hệ thống Công nghệ thông tin ở đó.
Việc đảm bảo an ninh hệ thống là đảm bảo tính toàn vẹn dữ liệu, đảm bảo dữ liệu được bảo mật và đảm bảo tính liên tục của hệ thống (CIA - Confidentiality - Intelgrity - Availability). Tùy từng mục tiêu kinh doanh của mỗi doanh nghiệp mà sẽ đưa ra tỉ lệ ưu tiên giữa các yếu tố trên. Dựa trên đó sẽ có những yêu cầu để đảm bảo an toàn cũng như sự đầu tư tương ứng. Việc đầu tư xây dựng một trung tâm dự phòng trong tổng thể an ninh hệ thống phần nào đảm bảo tính liên tục này
Trung tâm dự phòng phải đảm bảo được các yếu tố về an ninh như là đối với trung tâm chính, bao gồm bảo vệ vật lý (Physical security): điện, nước, điều hòa, chống cháy, chống trộm, chống ngập lụt và các thảm họa khác; các phương pháp xác thực; kiểm soát truy cập hệ thống về mặt logic; các phương pháp phòng chống mã độc (virus, worm, trojan horses); quản lý tốt hệ thống mạng truyền thông; các phương pháp mã hóa.
Có rất nhiều phương thức để bảo đảm an ninh hệ thống, có thể là để ngăn chặn, hoặc làm giảm, hoặc giám sát, hoặc phát hiện, hoặc để khắc phục các sự cố xảy ra; hoặc chỉ dùng để phục hồi lại hệ thống khi có sự cố. Một số ví dụ về các phương thức sử dụng để bảo vệ hệ thống đối với từng lĩnh vực cụ thể trong một trung tâm dự phòng như sau (theo khuyến nghị của ISO 13335):
- Phần cứng: sử dụng thiết bị dự phòng, bảo vệ về mặt vật lý…
- Phần mềm: sử dụng chữ ký điện tử, ghi nhật ký, phòng chống mã độc…
- Mạng, truyền thông: sử dụng Firewalls, các phương thức mã hóa…
- Vật lý: tường rào, cửa, khóa…
- Con người: tổ chức đào tạo, huấn luyện nhân viên về các điều lệ, thủ tục làm việc
- Quản trị: kiểm tra thẻ, kiểm soát vào/ra
Các phương thức lựa chọn trên phải được kết hợp sử dụng cùng một lúc.
Đối với dữ liệu trong trung tâm dự phòng, để đáp ứng những tiêu chuẩn nghiêm ngặt thì dữ liệu phải được lưu trữ và bảo vệ trong một khoảng thời gian nhất định. Hệ thống cần linh hoạt trong việc vận dụng các cấp độ an toàn khác nhau tùy thuộc vào giá trị thông tin mà chúng ta lưu trữ tại trung tâm dữ liệu.
Các chính sách về an ninh hệ thống trong trung tâm dự phòng sẽ đưa ra các nguyên tắc và thủ tục để bảo vệ hệ thống cũng như các dịch vụ của trung tâm dự phòng. Những chính sách an ninh này được triển khai thông qua việc ứng dụng các phương thức đảm bảo an ninh hệ thống tương ứng như trên, từ đó đảm bảo được an toàn cho hệ thống.
Ngoài những phương thức đảm bảo an ninh đi kèm với các chính sách thì, doanh nghiệp cũng cần xây dựng các kế hoạch an ninh hệ thống. Kế hoạch này phải đảm bảo bao gồm các hành động sẽ được thực hiện trong các khoảng thời gian nhất định trong tương lai, từ đó đưa ra được mức độ đầu tư tương ứng cũng như các kế hoạch thực hiện của cán bộ trong doanh nghiệp đó.
Trung tâm dự phòng của Ngân hàng Thương mại cổ phần Công thương Việt Nam
Trung tâm dự phòng của Ngân hàng là nơi không chỉ đảm bảo cho việc bảo toàn dữ liệu như đã nêu ở trên mà phải đảm bảo khôi phục lại hệ thống khi có bất kỳ tác động nào làm ảnh hưởng đến trung tâm dữ liệu chính với mức độ nhanh nhất. Trung tâm dự phòng NHTMCPCT VN được xây dựng theo đúng tiêu chuẩn, quy định của Ngân hàng Nhà nước và theo các chuẩn mực Quốc tế về trung tâm dự phòng; đồng bộ từ hạ tầng, mạng, truyền thông đến hệ thống máy chủ, hệ thống lưu trữ dữ liệu, đáp ứng theo tiêu chuẩn TIA 942 và đạt tiêu chuẩn Tier 3 trên Thế giới.
Trung tâm dự phòng dữ liệu của NHTMCPCT VN được xây dựng tại khu vực cách Hội sở trung tâm khoảng 30km, với các điều kiện về cơ sở hạ tầng được đánh giá đáp ứng các yêu cầu cơ bản về vị trí xây dựng, đảm bảo yếu tố an toàn về mặt địa lý. Bên cạnh đó, Trung tâm dự phòng cũng đáp ứng đầy đủ các tiêu chuẩn về an ninh hệ thống, đảm bảo an toàn dữ liệu. Ngoài các biện pháp an ninh được áp dụng, NHTMCPCT VN cũng áp dụng các biện pháp quản lý công nghệ thông tin theo hướng dịch vụ (ITSM) và trong đó bao gồm cả việc quản lý Trung tâm dự phòng. Định kỳ NHTMCPCT VN tổ chức các buổi tập huấn, thử nghiệm và kiểm tra kế hoạch phục hồi thảm họa nhằm nâng cao tính sẵn sàng của việc khôi phục hệ thống.
NHTMCPCT VN cũng nhận thức rằng bất kì sự cố gây gián đoạn nào của hệ thống đều gây ra những thiệt hại đáng kể cho các hoạt động kinh doanh. Vì những lý do cấp thiết đó, hệ thống phục hồi thảm họa của NHTMCPCT VN được nhắc đến như một phần không thể thiếu trong hoạt động kinh doanh của Ngân hàng. Trung tâm dự phòng thông tin của NHTMCPCT VN đóng vai trò như một cơ sở hạ tầng công nghệ thông tin thứ hai với mục đích tăng cường tính liên tục và sẵn sàng cho trung tâm dữ liệu chính khi có sự cố xảy ra.