Để hệ thống CNTT của các Ngân Hàng hoạt động có hiệu suất cao, tại thời điểm hiện nay các Ngân Hàng trong nước cũng đang từng bước phát triển thiết lập cho mình một hệ thống cơ sở hạ tần
Trang 1TIỂU LUẬN
ĐỀ TÀI: “NGHIÊN CỨU KIẾN TRÚC HỆ
THỐNG MẠNG VÀ BẢO MẬT TRUNG TÂM
DỮ LIỆU ÁP DỤNG CHO ABBANK.”
Trang 2
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
-
ĐÀO VĂN NGỌC
NGHIÊN CỨU KIẾN TRÚC HỆ THỐNG MẠNG VÀ BẢO MẬT TRUNG
TÂM DỮ LIỆU ÁP DỤNG CHO ABBANK
Chuyên nghành: Truyền dữ liệu và Mạng máy tính
Mã số: 60.48.15
TÓM TẮT LUẬN VĂN THẠC SỸ
HÀ NỘI – 2011
Trang 3Luận văn được hoàn thành tại:
HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG
Người hướng dẫn khoa học: TS Đặng Hoài Bắc
Phản biện 1: ……….……… ………
Phản biện 2: ……….….……….………
Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông
Vào lúc: …… giờ …… ngày …… tháng …… năm ………
Có thể tìm hiểu luận văn tại:
- Thư viện của Học viện Công nghệ Bưu chính Viễn thông
Trang 4Để hệ thống CNTT của các Ngân Hàng hoạt động có hiệu suất cao, tại thời điểm hiện nay các Ngân Hàng trong nước cũng đang từng bước phát triển thiết lập cho mình một hệ thống cơ sở hạ tầng hiện đại như: Hệ thống hạ tầng mạng hiện đại,
Hệ thống quản lý dữ liệu tập trung; Hệ thống máy chủ có tính sẵn sàng cao (Clustering); Tối ưu hoá mạng nâng cao hiệu suất đường truyền (WAN Application Optimization); Giải pháp dự phòng thảm hoạ (Disaster Recovery); Giám sát hệ thống (Monitoring); Giải pháp an ninh bảo mật (Security) và phòng chống Virus xâm nhập mạng; Phòng chống sự tấn công, xâm nhập bất hợp pháp vào hệ thống; Quản trị hệ thống (System Management); Dịch vụ bảo hành bảo trì hệ thống nhằm đảm bảo hoạt động liên tục, thông suốt của hệ thống…
Ngoài ra, theo thống kê của tổ chức nghiên cứu thị trường toàn cầu - Gartner thì cơ sở hạ tầng truyền thống sẽ có nguy cơ bị quá tải do: Lưu trữ tăng từ 40% đến 70% mỗi năm; Mức độ sử dụng (máy chủ và hệ thống lưu trữ) tăng từ 15% đến 25% mỗi năm; Việc cấp nguồn và làm mát cũng tăng khoảng 30% tổng chi phí Nhu cầu điện toán vẫn tiếp tục tăng trưởng; mật độ tủ Rack trong các phòng máy chủ đã tăng gấp đôi sau mỗi 8 năm kể từ năm 1992, mật độ thiết bị cũng cao hơn thông qua sử dụng máy chủ phiến, ảo hóa máy chủ và tập trung hóa máy chủ Do đó, mật
độ điện năng cũng đang gia tăng mạnh mẽ; chi phí về cơ sở hạ tầng vật lý (cấp nguồn, làm mát) sẽ ngang bằng, rồi vượt quá chi phí mua sắm trang thiết bị CNTT khi mà cấp nguồn và làm mát chiếm phần lớn ngân sách dành cho CNTT
Trang 5Chính vì vậy, việc nghiên cứu giải pháp mạng cho TTDL của Ngân hàng là yếu tố quyết định để đảm bảo tới khách hàng sự cam kết cung cấp các dịch vụ nhanh chóng, an toàn, ổn định và hiệu quả
Xuất phát từ những cơ sở khoa học và thực tiễn đó, em đã quyết định chọn
đề tài: "Nghiên cứu Kiến trúc hệ thống mạng và bảo mật TTDL áp dụng cho
Ngân hàng An Bình" cho luận văn tốt nghiệp
Nghiên cứu lý thuyết: Kiến trúc công nghệ mạng và bảo mật TTDL, kết hợp thực tiễn khảo sát, phân tích, đánh giá tình hình triển khai các giải pháp xây dựng hệ thống mạng và bảo mật TTDL đáp ứng nhu cầu phát triển CNTT hiện nay của các nước trên thế giới và tại Việt Nam
Đồng thời dựa trên cơ sở những kinh nghiệm đã tích lũy được trong thời gian qua Từ đó, đề xuất xây dựng hệ thống mạng và bảo mật TTDL đảm bảo sự phát triển bên vững cung cấp nền tảng hạ tầng ổn định, an toàn bảo mật cho hệ thống CNTT của Ngân hàng An Bình Vơi nội dung gồm 3 chương sau:
Chương 1 Tổng quan hệ thống mạng TTDL
Chương 2 Một số nguyên tắc xây dựng kiến trúc Mạng và Bảo mật TTDL Chương 3 Ứng dụng kiến trúc mạng & bảo mật cho TTDL ABBANK
Em xin chân thành cảm ơn thầy giáo TS Đặng Hoài Bắc đã nhiệt tình
hướng dẫn em, các cán bộ kỹ thuật Ngân hàng TMCP An Bình đã tạo mọi điều kiện thuận lợi và có những đóng góp quý báu để em có thể hoàn thành đề tài Trong đề tài này chắc không thể tránh khỏi các thiếu sót Em mong nhận được mọi ý kiến đóng góp để hoàn thiện hơn nữa nội dung nghiên cứu
Người thực hiện đề tài xin chân thành cảm ơn!
Trang 6Chương 1 - TỔNG QUAN HỆ THỐNG MẠNG TRUNG TÂM
DỮ LIỆU
1.1 Giới thiệu
Trong chương 1 này em sẽ đi vào việc gới thiệu tổng quan về hệ thống mạng TTDL và một số các vấn đề đặt ra đối với TTDL, những thách thức của các nhà quản lý TTDL, đồng thời miêu tả các yêu cầu đặt ra đối với hệ thống mạng bảo mật TTDL như: yêu cầu chức năng, năng lực xử lý, tính sẵn sàng, độ ổn định Và đi tới miêu tả sơ lược kiến trúc mạng từng vùng trong bức tranh tổng thể hệ thống mạng TTDL
1.2 Các vấn đề đặt ra đối với TTDL
Đối với bất kỳ một công ty, doanh nghiệp hay một tổ chức nào, TTDL chính
là trái tim của hệ thống Công nghệ Thông tin Một trong những mục tiêu hết sức quan trọng của TTDL là có được một cơ sở hạ tầng thống nhất, có khả năng phối kết hợp chặt chẽ các công nghệ ứng dụng, công nghệ mạng, công nghệ lưu trữ và công nghệ tính toán
1.3 Các yêu cầu hệ thống mạng TTDL
1.3.1 Chức năng (Functionality)
Với thiết kế kiến trúc mạng SONA và module hóa từng chức năng, các yêu cầu cụ thể được đề ra đều được đảm bảo rõ trên thiết kế hạ tầng mạng
- Lớp cơ sở hạ tầng mạng (Networked Infrastruture Layer)
- Lớp các dịch vụ tương tác (Interactive Services Layer)
- Lớp các dịch vụ mạng ứng dụng (Application Networking Services)
1.3.2 Năng lực xử lý (Performance)
Do tính chất phức tạp khi tính toàn Năng Lực Xử Lý, người ta sẽ tập trung vào 3 yếu tố ảnh hưởng mà liên quan tới Năng Lực Xử Lý nhất để có thể nhận biết được một mạng, đó là:
- Thời gian đáp ứng (Responsiveness)
- Thông lượng (Throughtput)
Trang 7- Tối ưu sử dụng (Utilization)
1.3.3 Khả năng mở rộng (Scalability)
Mở rộng mềm là một điểm cũng khá là quan trọng Người quản trị mạng sẽ phải có khả năng dự đoán được sự mở rộng của mạng để từ đó có thể xác định loại giao thức định tuyến sẽ được sử dụng trên mạng (nhằm tránh việc thay đổi giao thức định tuyến rất phức tạp) và có một quy hoạch về địa chỉ IP (IP Plan) phù hợp nhất với hệ thống mạng
1.3.4 Độ ổn định (Availability)
Kiến trúc mạng TTDL hỗ trợ các doanh nghiệp một chiến lược toàn diện nhằm đảm bảo tính liên tục trong kinh doanh Đảm bảo tính kiên cường, mau phục hồi của kho dữ liệu:
- Công nghệ kết nối WAN/MAN giữa các TTDL với tốc độ cao, độ trễ thấp
- Các công nghệ kéo dài mạng lưu trữ (SAN Extension)
- Loại bỏ điểm chết của hệ thống máy chủ (Single-Point of Server Failure)
- Mạng riêng ảo (VPN - Virtual Private Network)
- Hệ thống lựa chọn TTDL (Global Site Selector)
- Độ ổn định (Độ sẵn sàng) được tính toán như sau:
Availability(Intrinsic) A i = MTBF / (MTBF + MTTR)
1.3.5 Khả năng bảo mật
Các giải pháp bảo mật phải được triển khai trên nhiều lớp tại TTDL: Bảo mật
hạ tầng, bảo mật thông tin, Quản trị/quy trình/chính sách, kiểm toán
1.3.6 Khả năng quản lý (Manageability)
Hệ thống mạng chỉ có thể được vận hành hiệu quả nếu được quản lý tốt Khả năng quản lý cần đảm bảo các nội dung sau:
- Quản lý lỗi (Fault Management)
- Quản lý cấu hình (Configuration Management)
- Kiểm toán hệ thống (Accounting Management)
- Quản lý hiệu năng (Performance Management)
- Quản lý an ninh (Security Management)
Trang 81.4 Kiến trúc tổng quan các vùng trong TTDL
1.4.1 Hệ thống mạng máy chủ (Server Farm Network)
Đề xuất TTDL một cơ sở hạ tầng mạng IP xây dựng dựa trên hệ thống chuyển mạch thông minh bằng cách cho phép chuyển mạch lưu trữ thông qua chuyển mạch IP, tăng cường sức mạnh cơ sở hạ tầng mạng IP cho TTDL
Khả năng tích hợp trực tiếp các dịch vụ quan trọng, mang tính sống còn đối với TTDL, như Firewall, IPS, Server Load Balancing, SSL Off-load…
1.4.2 Mạng lưu trữ (SAN - Storage Area Network)
Xu hướng công nghệ đang chuyển dần từ hệ thống lưu trữ trực tiếp DAS (Direct-Attached Storage) sang hệ thống lưu trữ theo công nghệ SAN (Storage Area Network) nhằm nâng cao khả năng mở rộng và mức độ thông minh của hệ thống
Trang 9Chương 2 - MỘT SỐ NGUYÊN TẮC XÂY DỰNG KIẾN
TRÚC MẠNG VÀ BẢO MẬT TRUNG TÂM DỮ LIỆU
2.1 Giới thiệu
Kiến trúc mạng TTDL cung cấp nền tảng có khả năng mở rộng, cho phép các TTDL có thể áp dụng và triển khai các công nghệ và hệ thống truyền thống cũng như các công nghệ và hệ thống mới, đang phát triển mạnh, đảm bảo sự bền vững, tính sẵn sàng và khả năng mở rộng
2.2 Nguyên tắc chung xây dựng hệ thống mạng
2.2.1 Kiến trúc mạng theo mô hình phân cấp
Hiện nay có rất nhiều mô hình đang được áp dụng và triển khai trên thế giới song mô hình mạng phân cấp và thiết kế theo phân hệ hóa được nghiên cứu và phát triển hơn
2.2.2 Kiến trúc mạng theo mô hình dự phòng
Việc thực hiện thiết kế dự phòng sẽ giúp tránh được trường hợp khi có 1 điểm trên hệ thống bị sự cố và ngưng hoạt động sẽ làm ngưng trệ toàn bộ hệ thống
Do đó, đối với các thiết bị quan trọng, có ảnh hưởng nhiều đến hệ thống cần phải được áp dụng các biện pháp dự phòng
2.2.3 Kiến trúc mạng Ảo hóa
Khi xây dựng TTDL, bước tiếp theo của việc tập trung hóa (Data Center Consolidation) là bước thực hiện ảo hóa TTDL (Data Center Virtualization) Giai đoạn ảo hóa này cho phép người quản trị TTDL có thể tạo ra các lớp ảo, trừu tượng giữa các ứng dụng, hệ thống máy chủ và cơ sở hạ tầng mạng
Ảo hóa TTDL là việc tạo ra một thực thể logic từ các thực thể vật lý, hoặc là tạo ra nhiều thực thể logic từ một thực thể vật lý Ảo hóa mở ra khả năng tận dụng một cách tối ưu nguồn tài nguyên hệ thống, hay nói cách khác là tăng hiệu suất sử dụng của hệ thống
2.2.4 Kiến trúc mạng Module hóa
Trang 10Hệ thống mạng được phân chia theo các khối chức năng và các khu vực rõ ràng Các khối chức năng riêng biệt (Core , Management, Edge )
Việc module hóa hệ thống đảm bảo dễ dàng cho việc quản trị, vận hành, nâng cấp, thay đổi…Việc thay đổi, nâng cấp bên trong mỗi khối không gây ảnh hưởng đến các khối khác Với mỗi khối chỉ quan tâm đến các khu vực còn lại trên khía cạnh giao diện vật lý giao tiếp và dịch vụ cung cấp
2.3 Kiến trúc hệ thống mạng TTDL
Mô hình Enterprise Composite Network chia hệ thống mạng thành 3 phân vùng chức năng vật lý cũng như luận điểm khác nhau gọi là 03 phân hệ Enterprise Campus, Enterprise Edge và Service Provider Edge
Hình 2.5 Mô hình Enterprise Composite Network
2.3.1 Phân hệ mạng Campus
Đây là phân hệ cung cấp hệ thống mạng có hiệu năng, tính sẵng sàng và độ tin cậy cao Phân hệ này chứa các thành phần mạng cần thiết có thể hoạt động một cách độc lập bên trong một phân khu địa lý nào đó với mỗi một phân khu địa lý có thể định nghĩa là một tòa nhà hay nhiều tòa nhà liên kết vật lý hoặc liên kết ảo với nhau Cấu trúc mạng thiết kế theo dạng module và chia làm 3 lớp rõ ràng bao gồm: lớp distribution, lớp core và lớp access, nhiệm vụ và chức năng của từng lớp như sau:
Trang 112.3.1.3 Lớp Access Network
Lớp Access sẽ có nhiệm vụ chủ yếu là cung cấp kết nối cho người dùng đầu cuối vào hệ thống ở các tốc độ 10/100/1000 Mbps và một số máy chủ có kết nối 10Gbps
2.3.2 Phân hệ mạng biên (Enterprise Edge)
Phân hệ này dùng để tập trung các kết nối từ nhiều thành phần khác nhau tại vùng biên của mạng Enterprise Chức năng chính của phân hệ mạng biên cho phép lọc các dòng dữ liệu từ các vùng biên của phân hệ và định tuyến vào phân khu chức năng tương ứng mạng Campus Phân hệ Enterprise Edge được cấu thành bởi 04 phân hệ con như sau:
2.3.2.1 Phân vùng kết nối Internet
Phân hệ này sẽ bao gồm các thiết bị như sau: Hệ thống router kết nối Internet Phân hệ firewall Hệ thống IPS Hệ thống máy chủ web và mail Hệ thống switch
2.3.2.2 Phân vùng kết nối tới đối tác (Extranet Network)
Phân hệ Extranet được dùng để kết nối tới các đối tác như công ty chứng khoán, sàn vàng, SBV, liên minh thanh toán thẻ, thanh toán đối soát và bù trừ
Trang 122.3.2.3 Phân vùng kết nối mạng diện rộng WAN
Phân hệ này có chức năng cung cấp các kết nối đến các chi nhánh, văn phòng của doanh nghiệp Hệ thống router sẽ cung cấp các đường kết nối cho các chi nhánh cấp 1, đường kết nối với các chi nhánh, văn phòng được dùng là đường kết nối số liệu trực tiếp và yêu cầu có dự phòng đường truyền Nếu xảy ra sự cố, mọi thông lượng sẽ được chuyển sang đường kết nối dự phòng
2.4 Kết luận
Chương 2 đã đi phân tích kiến trúc mạng của TTDL với tảng vững mạnh có khả năng mở rộng, về những nguyên tắc chung xây dựng hệ thống mạng như: kiến trúc theo mô hình phân cấp, dự phòng, ảo hóa, module hóa; từ đó đi đến phân tích chuyên sâu làm rõ kiến trúc của từng phân vùng trong mô hình hệ thống mạng và bảo mật của TTDL, đặt cơ sở nền móng cho công việc xác định mô hình thiết kế áp dụng cho ABBANK ở chương tiếp theo
Trang 13Chương 3 – ỨNG DỤNG KIẾN TRÚC MẠNG VÀ BẢO MẬT CHO TTDL ABBANK
3.2.2.1 Thuyết minh kỹ thuật vùng Internet
3.2.2.1.1 Phân tích lưu lượng đi từ ABBank ra Internet
Với lưu lượng đi ra Internet em sẽ thiết kế để gửi traffic ra đường 02 đường Internet FTTH Khi thiết kế cho traffic được gửi ra Internet, cần định nghĩa loại
Trang 14traffic nào sẽ được ra Internet kết hợp sử dụng giải pháp cân bằng tải mức gateway
Ở đây em sẽ sử dụng giao thức GLBP (Gateway LoadBalancing Protocol) trên các Router kết nối ra Internet
3.2.2.1.2 Phân tích lưu lượng đi từ Internet vào
Như đã đề cập trước thì lưu lượng đi từ Internet vào sẽ thông qua 02 đường Leased Line dành riêng cho các dịch vụ được public ra Internet là VPN, Swift, Website, Internet Banking…
Khi xây dựng hệ thống định tuyến Internet trung tâm tại TTDL ABBANK bằng mô hình Multi-Homing thông qua nhiều kênh kết nối đến các nhà cung cấp dịch vụ ISP thì kế hoạch triển khai bảng định tuyến để kết nối đến các ISP tuỳ thuộc vào chính sách và sự hỗ trợ của các ISP sở tại Với giải pháp kết hợp trên sẽ giúp cho hệ thống định tuyến Internet trung tâm tại ABBank được xây dựng với kiến trúc
dự phòng hoàn chỉnh Mô hình kết nối của giải pháp sẽ được minh hoạ tổng quát qua sơ đồ kết nối vật lý như sau:
3.2.2.1.3 Giải pháp chia tải cho hệ thống internet
Cơ chế hoạt động của sự chia tải Load Sharing trong môi trường mạng kết nối với 2 ISP của hệ thống định tuyến Internet trung tâm tại ABBank thông qua giao thức BGP được minh hoạ qua sơ đồ kết nối tổng quát như sau:
Hình 3.7 Mô hình cấu hình BGP Load Sharing
Trang 153.2.2.2 Thuyết minh kỹ thuật cho vùng mạng đối tác (Module Extranet)
Trong Module này các thành phần sử dụng đều được thiết kế chạy dự phòng, lưu lượng dữ liệu trước khi vào mạng sẽ được kiểm soát bởi hai Firewall có thể ngăn chặn ngay từ bên ngoài những phần tử truy cập vào mạng với ý định xấu
3.2.2.3 Thuyết minh kỹ thuật cho vùng mạng WAN (Module WAN)
Theo như phân tích ở trên, hệ thống mạng được thiết kế theo mô hình phân cấp, ở phần này tập trung phân tích yêu cầu cho Module WAN đó là : tách hệ thống Core Router ra khỏi hệ thống Router đấu nối xuống các chi nhánh, phòng giao dịch
và máy ATM (WAN module) Để làm được như vậy, em cũng phân cấp hệ thống WAN thành 03 mức là Core, Distribution và Access
3.2.2.3.1 Vùng mạng diện rộng lõi (Module WAN Core)
Hiện tại, mạng truyền dẫn core của hệ thống bao gồm các thiết bị định tuyến đặt tại hội sở chính tại Hà Nội và hai trung tâm miền tại Đà Nẵng và thành phố Hồ Chí Minh
Thực hiện truyền dữ liệu bằng IP Routing Layer-3 trên lớp mạng Backbone Router nhận dạng các backbone peer dựa trên địa chỉ IP Address kết hợp với định tuyến lớp 3 thông minh
3.2.2.3.2 Phân vùng mạng diện rộng phân phối (Module WAN Distribute)
Cung cấp kết nối cho lớp Access để giảm tải cho Core Router Thực hiện truyền dữ liệu bằng IP Routing Layer-3 lên lớp mạng Backbone
3.2.2.3.3 Phân vùng mạng diện rộng truy nhập (Module WAN Access)
Lớp mạng WAN lớp Access là lớp mạng tại các chi nhánh Ngân hàng Lớp mạng này kết nối trực tiếp về lớp Distribution tại các TTDLMô hình thiết kế tại một điểm (một chi nhánh) trong lớp Access
3.2.2.4 Thuyết minh kỹ thuật phân hệ mạng người dùng (Campus
network)
Đây là vùng mà dùng để kết nối tới toàn bộ người dùng và kết nối tới hệ thống máy chủ Như đã được trình bầy, hệ thống được thiết kế phân cấp: Core,
