Hạ tầng thông minh của ngân hàng công thương

Hệ thống hướng dịch vụ

Nhanh nhạy nắm bắt xu hướng thị trường để kịp tung ra những dịch vụ (DV) mới là một trong những đòi hỏi quan trọng của doanh nghiệp (DN) hiện đại, vì thị trường thay đổi rất nhanh. Một trong những tiêu chuẩn đáp ứng đòi hỏi đó là DN phải có hệ thống hạ tầng CNTT được cấu trúc sao cho có thể triển khai các ứng dụng (ƯD) khác nhau một cách nhanh nhất. Đấy là tinh thần của các kiến trúc hướng DV (Service Oriented Architecture - SOA). Một trong các kiến trúc ấy là SONA (Service Oriented Network Architecture - kiến trúc mạng hướng DV) của Cisco.

Ở Việt Nam , Incombank là đơn vị tiên phong áp dụng kiến trúc này. Theo ông Phạm Anh Tuấn, giám đốc trung tâm CNTT của Incombank, các hệ thống CNTT trước đây thường được chia làm 3 tầng. Dưới cùng là hạ tầng mạng (Network System). Tầng thứ 2 là hệ thống điều hành (Operation System), như quản lý ổ đĩa, cân bằng tải, ảo hóa (virtualization). Tầng trên cùng là các ƯD (Application) như tường lửa (firewall), e-mail, hoạch định nguồn lực DN (ERP), thư thoại (voice mail), diệt virus, quản trị quan hệ khách hàng (CRM)...

Trong SONA, các ƯD ở tầng Application được tích hợp trong hạ tầng mạng và cứng hóa thành phần cứng chạy trực tiếp trên cơ sở hạ tầng mạng. Ví dụ multicast (một giải pháp truyền dữ liệu tốc độ cao đồng thời đến nhiều điểm) trước đây ở tầng Application, và để chạy ƯD này thì phải có một server. Trong mô hình SONA không cần như thế nữa, vì các switch (bộ chuyển mạch), router (bộ định tuyến) ở hạ tầng mạng đã hỗ trợ sẵn multicast. Chỉ cần bật chức năng multicast là sẵn sàng đáp ứng.

Các ƯD được đẩy xuống hạ tầng tạo thành tầng DV nằm trên hệ thống mạng, phục vụ trực tiếp cho các ƯD mới “mọc” ra trên tầng Application, như chặn thư rác, cơ sở dữ liệu, mobile mail (thư di động), nhận dạng bằng tần số vô tuyến (RFID)... Những ƯD này được chia thành ƯD nghiệp vụ chuyên ngành và ƯD làm việc tương tác.

Có rất nhiều ƯD được đưa xuống tầng DV, ví dụ DV bảo mật, DV về hệ thống mạng di động, về lưu trữ, truyền thông hợp nhất, xác thực, tính toán tốc độ cao... Cơ sở hạ tầng mạng do đó thông minh hơn vì không đơn thuần chỉ lưu chuyển thông tin mà còn cung cấp rất nhiều DV. Khi các ƯD mới trên tầng Application cần thì chỉ việc “gọi” các DV này.

Một kiến trúc tổng thể như thế sẽ giải thoát DN khỏi tình trạng đầu tư chắp vá, cái nọ không tương thích cái kia. Chi phí vận hành và chi phí quản lý nguồn nhân lực sẽ thấp hơn.

Bộ máy biến chuyển

Về mặt quản lý, mô hình cũ đòi hỏi Incombank phải tổ chức nhiều bộ phận và nhân sự chuyên trách. Từ khi đưa được các ƯD nền xuống tích hợp với hạ tầng mạng thì nhân sự giảm đi và chức năng nhiệm vụ của các bộ phận liên quan cũng thay đổi tương ứng. Ví dụ, hệ thống firewall của Incombank trước đây do một bộ phận quản lý riêng, nay firewall được tích hợp vào hạ tầng thì bộ phận đó sẽ thay đổi chức năng và chuyển bớt để làm công tác khác.

Incombank có kế hoạch phát triển thành tập đoàn, trong đó sẽ có các công ty chứng khoán, công ty bảo hiểm, và chi nhánh ở nhiều nơi. Điều mà Incombank vươn tới (khi chính thức trở thành tập đoàn) là gom việc quản lý về một mối, nhưng lại có khả năng phân vùng một cách tương đối. Việc đầu tư cơ sở hạ tầng đồng bộ và kết nối với trụ sở chính giúp quản lý chặt chẽ hơn và khai thác tài nguyên mạng hiệu quả hơn, đồng thời công nghệ ảo hóa sẽ khiến DN, chi nhánh trực thuộc thấy mình có một hệ thống riêng biệt. “SONA có nhiều lợi ích khác, nhưng với Incombank, những điều nêu trên là mục tiêu chính của chúng tôi. Chúng tôi sẽ thực hiện từng bước một, chứ không áp dụng ngay một cách máy móc, chủ quan”, ông Tuấn kết luận.

An toàn với “máy soi” NAC

Tiếp sau mô hình SONA, Incombank đã triển khai NAC (Nework Admission Control) - một giải pháp mới của Cisco giúp kiểm soát truy cập mạng.

Theo ông Tuấn, cơ chế của NAC cũng giống như chiếc máy soi ở sân bay để kiểm tra hành khách có mang theo vật dụng nguy hiểm hay không. Khi nối một thiết bị vào một mạng máy tính, thiết bị đó không được cấp ngay địa chỉ IP để vào mạng mà phải qua bước dò quét xem hệ điều hành có chuẩn, các bản cập nhật “nóng” đã đủ hay chưa, các phần mềm (PM) thừa hay thiếu... Tất cả những máy móc, thiết bị chưa đảm bảo các tiêu chuẩn về mặt an ninh (do Incombank quy định) đều bị chặn lại hoặc cô lập và thông báo với người quản trị. Với các lỗi không nghiêm trọng, ví dụ chưa cập nhật PM Office, NAC sẽ cấp IP cho thiết bị ở mạng ngoài. Ở đó có hệ thống website giúp tải PM về cập nhật đủ mới được vào mạng trong. Incombank quy định thời gian để cập nhật lỗi này là 2 ngày. 

Để làm được điều đó, NAC phải luôn kết nối với hệ thống của Cisco toàn cầu và tập đoàn này phải làm việc với rất nhiều hãng khác để có thông tin cung cấp cho NAC dùng kiểm tra thiết bị.

NAC còn có thể cấm các thiết bị chuyển đến nơi này, nơi khác trong mạng. Ví dụ Incombank quy định máy A chỉ đi được đến chỗ B. Chính sách đó được “nạp” vào NAC và NAC sẽ thực thi một cách “chí công vô tư”, không ai có thể “xin xỏ” được nó. Ông Tuấn cho biết, từ ngày triển khai NAC, ông hoàn toàn yên tâm về các máy tính. Trước đây ông phải phân công người trực rất vất vả, thậm chí định kỳ phải truy nhập qua mạng tới từng máy hoặc đến trực tiếp để kiểm tra. Nhưng kiểm tra cũng khó thực hiện hết vì tại trung tâm CNTT và trụ sở chính của Incombank đã có 1500 máy tính, máy nào cũng vào mạng. “Bây giờ chúng tôi đã có NAC “canh gác” ngay từ cổng ra vào mạng, và thông tin của người quản lý thì trở nên rõ ràng, minh bạch hơn rất nhiều”, ông Tuấn nhận xét.

Nguồn: cesti.gov.vn (06/03/08)