Trung tâm lưu trữ dự phòng – Giải pháp đảm bảo an toàn, giúp kinh doanh liên tục
Diễn đàn - Ngày đăng : 21:59, 03/11/2015
Hiện nay, các ngân hàng và các tổ chức tài chính tại Việt Nam đã tăng cường đầu tư hệ thống công nghệ thông tin (CNTT) nhằm tăng sức mạnh của DN và bắt kịp xu thế phát triển của thế giới. Những tiến bộ mới nhất trong lĩnh vực bảo mật và an toàn thông tin (ATTT) đã được các đơn vị này áp dụng. Tuy nhiên, để đảm bảo an toàn tuyệt đối cho hệ thống, các ngân hàng cần phải thiết lập một hệ thống dự phòng đủ mạnh.
Nhu cầu lưu trữ dự phòng thông tin ngày càng quan trọng
Lưu trữ có các mục đích khác nhau, có thể lưu trữ để đề phòng trong trường hợp dữ liệu mất để khôi phục lại nhanh chóng. Trong trường hợp này việc lưu trữ thường gắn liền với các kế hoạch phục hồi thảm họa của các DN. Ngoài việc lưu trữ trên, còn có việc lưu trữ liên quan đến vấn đề cất giữ thông tin trong một khoảng thời gian dài, việc lưu trữ này không nhất thiết phải lưu trữ tức thời và thông tin lưu trữ có thể sẽ được sử dụng tại một thời điểm nào đó trong tương lai. Trong cả hai trường hợp thì thông tin phải được lưu trữ tại một nơi nào đó nằm khác so với nơi chứa dữ liệu chính.
Mất dữ liệu và gián đoạn giao dịch chính là làm mất thời gian, tiền bạc và uy tín của doanh nghiệp. Có được một trung tâm dữ liệu phục vụ cho việc dự phòng cùng với kế hoạch phục hồi thảm họa cũng là một trong những yếu tố làm nên điểm khác biệt giữa thành công và thất bại trong một doanh nghiệp.
Rủi ro khó lường
ThS. Đặng Mạnh Phổ - Phó Tổng Giám đốc, Cố vấn cao cấp của Chủ tịch HĐQT về CNTT, ngân hàng BIDV - cho rằng: Hệ thống CNTT nói chung bao gồm nhiều cấu phần tinh vi, phức tạp, hàm chứa rất nhiều khả năng hư hỏng và theo định luật Murphy thì tất yếu “nó sẽ hỏng”, vấn đề là nó sẽ hỏng vào lúc nào thôi.
Thảm họa CNTT có thể xảy ra bất kỳ lúc nào với nhiều nguyên nhân khó lường trước, có thể do thiên nhiên (động đất, lũ lụt…) hoặc con người.
Thông tin là giá trị cốt lõi của các tổ chức cần lưu trữ, quản trị, sử dụng... Nó cũng là tiêu điểm tấn công của tội phạm mạng. Theo thống kê của Symantec, 90% các vi phạm liên quan đến tội phạm có tổ chức nhắm mục tiêu thông tin của các công ty và các tổ chức tài chính. 97% các vi phạm này ảnh hưởng đến 140 triệu hồ sơ, trong đó, 48% các vi phạm liên quan trong nội bộ DN. Giá trị của thông tin số bị đánh cắp trong năm 2009 khoảng 1 tỷ USD. 38% các ngân hàng gặp bất lợi sau khi bị xâm phạm dữ liệu.
Sự gia tăng tội phạm mạng và hiện tượng biến đổi khí hậu toàn cầu tác động khiến việc mất ATTT trở thành nỗi lo thường trực với các tổ chức, ngân hàng.
Trong khi đó, các DN hiện nay, mặc dù gia tăng các biện pháp an ninh hệ thống nhưng không mấy quan tâm đến các công việc liên quan đến việc lưu trữ dữ liệu trong chiến lược an ninh hệ thống của họ. Nguyên nhân chính của vấn đề này có lẽ là quan niệm về lưu trữ và an ninh hệ thống là hai vấn đề khác nhau, trong khi an ninh hệ thống được hiểu một cách dễ hiểu là phải kiểm soát được việc truy cập của người dùng đối với dữ liệu thì việc lưu trữ dữ liệu lại được hiểu là một việc đơn giản và không liên quan đến an ninh hệ thống là cất dữ liệu ra một nơi khác.
Do việc lưu trữ dữ liệu là việc sao chép những dữ liệu quý giá của doanh nghiệp nên việc lưu trữ phải được hết sức quan tâm và chú trọng đặc biệt là công tác an ninh, an toàn dữ liệu. Việc sử dụng những biện pháp lưu trữ dữ liệu cần thiết thông qua các chính sách phù hợp là việc làm không thể thiếu đối với các DN. Điều này đòi hỏi DN phải lựa chọn phương án sao cho phù hợp với loại dữ liệu mà doanh nghiệp cần lưu trữ. Một điều quan trọng nhất cần lưu ý đó là việc lưu trữ thông tin không thể làm một lần, không thể đầu tư một lần, đây là công việc cần phải làm thường xuyên, cần phải được giám sát và cải tiến thường xuyên. Các DN không được phép cho rằng việc lưu trữ dữ liệu là một việc đơn giản mà trái lại đây là một việc phức tạp và là một phần trong việc xây dựng an ninh hệ thống của doanh nghiệp.
Một chính sách về lưu trữ sẽ cung cấp các nguyên tắc và phương án để thực hiện việc lưu trữ và quản lý dữ liệu được an toàn. Đặc biệt các chính sách liên quan đến vấn đề này phải được kết hợp chặt chẽ và là 1 yếu tố không thể thiếu được, đó là trung tâm dự phòng thông tin và kế hoạch phục hồi thảm họa của các DN (DRP – disaster recovery plan).
An toàn hơn với hệ thống dự phòng
Thực tế cho thấy, mọi giải pháp đều tạo ra những khó khăn mới. Do vậy, bất luận DN có bao nhiêu tài nguyên thì cũng không bao giờ là đủ. Có một kế hoạch dự phòng thảm họa CNTT sẽ giúp cho ngân hàng có thể đối phó với những tình huống thảm hoạ khi chúng xảy ra.
Hệ thống dự phòng trở thành vấn đề sống còn đối với hoạt động của các ngân hàng và tổ chức tài chính... Một kế hoạch dự phòng tốt giúp giảm xuống mức tối thiểu những tác động của thảm họa tới hoạt động kinh doanh của doanh nghiệp. Ông Đặng Mạnh Phổ cho biết, hàng năm BIDV dành từ 5% đến 6% tổng chi phí cho hệ thống CNTT và một phần không nhỏ trong đó là chi cho hệ thống dự phòng. Trung tâm dự phòng phục hồi thảm họa không chỉ đơn giản là trung tâm dự phòng thông tin mà sẽ thực sự là trung tâm dự phòng cho các vấn đề liên quan đến hoạt động kinh doanh của DN.
Các ngân hàng tại Việt Nam đã thiết lập và đang hoàn thiện hệ thống dự phòng của mình theo tiêu chuẩn tiên tiến của thế giới bao gồm:Được đặt cách biệt với hệ thống chính và đảm bảo mức an toàn cao nhất; Cơ sở vật chất kỹ thuật độc lập, tách biệt với hệ thống chính;Thường xuyên sao lưu và cập nhật được thông tin dữ liệu hoạt động của hệ thống chính, đáp ứng yêu cầu mục tiêu điểm khôi phục (RPO); Luôn sẵn sàng hoạt động trên phương diện như là hệ thống chính thứ hai.
Hiện nay, các hệ thống CNTT của BIDV (cả hệ thống chính và dự phòng) đã được bảo vệ khá toàn diện. Hệ thống xử lý (bao gồm các server, thiết bị mã hóa - giải mã, các bộ chuyển mạch, các hệ tích hợp v.v...) được đặt trong hệ thống mạng với nhiều cấp độ bảo vệ khác nhau, được kiểm soát với các thiết bị an ninh mạng chuyên dụng như tường lửa (Firewall), Proxy, thiết bị phát hiện và ngăn chặn tấn công (IPS), mạng riêng ảo (VPN, chủ yếu để kiểm soát các truy cập từ xa)… Phần mềm hệ thống (hệ điều hành, cơ sở dữ liệu, phần mềm trung gian...) và các phần mềm ứng dụng được cấu hình đảm bảo an ninh, kiểm tra định kỳ, cập nhật các bản vá mới nhất, được bảo vệ bằng các chương trình phòng chống virus, mã độc...
Thiết bị phần cứng cũng được các ngân hàng trang bị với công nghệ tiên tiến. Ông Phạm Anh Tuấn, Phó Tổng Giám đốc VietinBank cho biết, trong năm 2010, VietinBank đã đầu tư hệ thống máy chủ mainframe IBM system z10 Business Class với chi phí cả triệu đô la Mỹ để hỗ trợ việc mở rộng các hoạt động ngân hàng và để vận hành giải pháp quản lý rủi ro tác nghiệp. Ông Tuấn khẳng định:“Khoản đầu tư cho hệ thống dự phòng được coi là nền tảng chiến lược cho các công việc mang tính sứ mệnh quan trọng. Và tại một nước đang tăng trưởng với tốc độ cao như Việt Nam, không có sứ mệnh nào quan trọng hơn là đảm bảo an toàn cho tiền gửi và các giao dịch chuyển tiền”.
Trung tâm dự phòng thông tin sẽ cho phép DN bảo vệ được thông tin và khi cần thiết sẽ trở thành trung tâm dữ liệu chính phục vụ cho hoạt động kinh doanh của DN. Nếu DN chỉ xây dựng cho mình một trung tâm dự phòng thì điều đó vẫn chưa đủ nếu như DN không xây dựng được cho mình một kế hoạch phục hồi thảm họa (DRP – Disaster Recover Plan). Một kế hoạch phục hồi thảm họa phải bao gồm các bước: thiết lập kế hoạch; kiểm tra kế hoạch và thực hiện theo kế hoạch đó. Kế hoạch phục hồi thảm họa cũng phải phù hợp với các tiêu chuẩn ISO họ 27000 (ISO 27001 và ISO 27002).
Với hệ thống dự phòng đủ mạnh, các ngân hàng sẽ đảm bảo được tính liên tục trong kinh doanh có nghĩa là công việc kinh doanh không gián đoạn khi có sự cố xảy ra hoặc thời gian gián đoạn phải ở mức tối thiểu.
Một DN khi đưa ra kế hoạch đảm bảo tính liên tục trong kinh doanh (BCP – Business Continuity Plan) sẽ giúp DN có thể quản lý được các rủi ro, tạo điều kiện cho việc đảm bảo các hoạt động trong DN cũng như việc phân phối các dịch vụ đến khách hàng. Từ đó, giúp cho doanh nghiệp đứng vững trước các vấn đề khó khăn và tạo dựng được hình ảnh tốt trong lòng khách hàng.