Đề tài Xây dựng trung tâm lưu trữ dữ liệu của tỉnh phục vụ lưu trữ văn thư

.11 I.TÊN DỰ ÁN...............................................................................................11 II.HÌNH THỨC ĐẦU TƯ.............................................................................11 III.NGUỒN VỐN.........................................................................................11 IV.CHỦ ĐẦU TƯ DỰ ÁN...........................................................................11 DỰ KIẾN QUY MÔ ĐẦU TƯ, ........................................................................12 QUY MÔ LẮP ĐẶT, CÀI ĐẶT THIẾT BỊ.......................................................12 I.QUY MÔ ĐẦU TƯ....................................................................................12 II.YÊU CẦU VỀ TIÊU CHUẨN KỸ THUẬT CỦA TTDL........................12 III.YÊU CẦU VỀ HẠ TẦNG KỸ THUẬT CỦA TTDL.............................13 IV.DỰ KIẾN VỀ ĐỊA ĐIỂM ĐẦU TƯ.......................................................15 V.QUY MÔ LẮP ĐẶT.................................................................................16 VI.CÀI ĐẶT THIẾT BỊ................................................................................16 PHÂN TÍCH LỰA CHỌN PHƯƠNG ÁN ........................................................17 KỸ THUẬT, GIẢI PHÁP CÔNG NGHỆ..........................................................17 I.TỔNG QUAN THIẾT KẾ:.........................................................................17 II.ĐỊNH HƯỚNG CÔNG NGHỆ VÀ THIẾT BỊ........................................18 THIẾT KẾ SƠ BỘ TRUNG TÂM DỮ LIỆU CÀ MAU...................................20 I.TIÊU CHUẨN THIẾT KẾ.........................................................................20 II.HẠ TẦNG KỸ THUẬT CỦA TTDL TỈNH CÀ MAU............................21 III.HẠ TẦNG CNTT CỦA TTDL TỈNH CÀ MAU....................................36 TỔNG MỨC ĐẦU TƯ.......................................................................................62 I.CƠ SỞ XÁC ĐỊNH TỔNG MỨC ĐẦU TƯ.............................................62 II.TỔNG MỨC ĐẦU TƯ.............................................................................62 1 PHÂN TÍCH HIỆU QUẢ ĐẦU TƯ...................................................................63 I.KHẢ NĂNG ỨNG DỤNG TTDL.............................................................63 II.HIỆU QUẢ ĐẦU TƯ...............................................................................63 TIẾN ĐỘ THỰC HIỆN......................................................................................64 I.TIẾN ĐỘ THỰC HIỆN .............................................................................64 II. KẾ HOẠCH TRIỂN KHAI DỰ ÁN........................................................65 III.HÌNH THỨC QUẢN LÝ DỰ ÁN...........................................................65 IV.MỐI QUAN HỆ VÀ TRÁCH NHIỆM CỦA CÁC ĐƠN VỊ LIÊN QUAN ĐẾN DỰ ÁN ...............................................................................................65 V.QUẢN LÝ VÀ ĐIỀU HÀNH DỰ ÁN ....................................................66 PHỤ LỤC ....................................................................................................... .64 2 ĐỊNH NGHĨA CÁC CỤM TỪ VIẾT TẮT Các cụm từ, các thuật ngữ chuyên môn và các từ tiếng Anh trong báo cáo được định nghĩa hoặc viết tắt sau đây: - “TTDL”: Trung tâm dữ liệu. - “CNTT”: Công nghệ thông tin. - “Firewall” Thiết bị tường lửa. - “Server”: Thiết bị máy chủ. - “GIS”: Hệ thống thông tin địa lý. - “Datacenter”: TTDL. - “SAN”: Hệ thống lưu trữ riêng. - “Data”: Dữ liệu. - “E-mail”: Thư điện tử. - “Switch”: Bộ chuyển mạch. - “OS”: Hệ điều hành. - “Tủ Rack”: Tủ đựng thiết bị, bao gồm máy chủ và thiết bị mạng. - “VPN”: Mạng riêng ảo. - “Backdoor”: Cửa hậu. - “DDOS”: Từ chối dịch vụ. - “Fail-Over”: Chuyển lỗi. - “Inline”: Bên trong mạng. - “Distribution”: Phân phối. - “Access”: Truy cập. - “Core”: Lõi. - “DMZ”: Vùng phi truy cập. - “INBOUND”: Luồng đi vào. - “OUTBOUND”: Luồng đi ra. - “LAN”: Mạng nội bộ. - “WAN: Wide Area Network”: Mạng diện rộng. - “IPS”: Intrusion Prevention System”: Hệ thống ngăn chặn xâm nhập. - “IDS”: Intrusion Detection System”: Hệ thống phát hiện xâm nhập. - “IDP”: Intrusion Detection Prevention”: Hệ thống phát hiện và ngăn chặn xâm nhập. - “ACL: Access Control List”: Danh sách các câu lệnh được áp đặt. 3 - “DNS: Domain Name System”: Hệ thống phân giải tên miền trên Internet. - “FTP: File Transfer Protocol”: Giao thức truyền tập tin. - “LDAP: Lightweight Directory Access Protocol”: Giao thức truy nhập nhanh dịch vụ thư mục. - “RAID: Redundant Array of Independent Disks”: Một công nghệ cho phép ghi dữ liệu lên nhiều đĩa cứng cùng lúc. - “ISP: Internet Service Provider”: Nhà cung cấp dịch vụ Internet. - “Cluster”: kiến trúc nhằm đảm bảo nâng cao khả năng sẵn sàng cho các hệ thống mạng máy tính. Việc thiết kế và lắp đặt các cluster cần thoả mãn các yêu cầu sau:  Yêu cầu về tính sẵn sàng cao (High availability). Các tài nguyên mạng phải luôn sẵn sàng trong khả năng cao nhất để cung cấp và phục vụ các người dùng cuối và giảm thiểu sự ngưng hoạt động hệ thống ngoài ý muốn.  Yêu cầu về độ tin cậy cao (Reliability). Độ tin cậy cao của cluster được hiểu là khả năng giảm thiểu tần số xảy ra các sự cố và nâng cao khả năng chịu đựng sai sót của hệ thống.  Yêu cầu về khả năng mở rộng được (Scalability). Hệ thống phải có khả năng dễ dàng cho việc nâng cấp, mở rộng trong tương lai. Việc nâng cấp mở rộng bao hàm cả việc thêm các thiết bị, máy tính vào hệ thống để nâng cao chất lượng dịch vụ, cũng như việc thêm số lượng người dùng, thêm ứng dụng, dịch vụ và thêm các tài nguyên mạng khác. 4 PHẦN I SỰ CẦN THIẾT VÀ MỤC TIÊU ĐẦU TƯ I. TỔNG QUAN VỀ TRUNG TÂM DỮ LIỆU Từ lâu trên thế giới, việc phát triển hình thành Trung tâm dữ liệu (TTDL) đã là một trong những quan tâm hàng đầu của các tổ chức, doanh nghiệp với mục tiêu khai thác tối đa vai trò của CNTT nhằm tạo ra sức mạnh cạnh tranh của doanh nghiệp cũng như nâng cao năng lực quản lý của các tổ chức. TTDL cho phép doanh nghiệp, tổ chức tối ưu hóa chuỗi cung cấp, triển khai thương mại điện tử, kết nối các quy trình công việc quan trọng của doanh nghiệp, tổ chức, thực hiện các công việc như tổng hợp, thống kê, phân tích, báo cáo và tự động hóa các quy trình, giúp giảm chi phí, thời gian và kịp thời đưa ra các quyết định cho sản xuất kinh doanh, quản lý điều hành. Cùng với sự bùng nổ của Internet, sự phát triển của CNTT và xu hướng toàn cầu hóa, việc cạnh tranh, hoạt động trên thị trường không còn giới hạn trong khuôn khổ một quốc gia, ngày càng nhiều doanh nghiệp ứng dụng công nghệ cao nhằm đi trước đón đầu tạo thế cạnh tranh, nắm bắt cơ hội. Việc xây dựng và khai thác TTDL một cách hiệu quả là yêu cầu tất yếu trong việc nâng cao năng lực quản lý điều hành của doanh nghiệp cũng như tổ chức hành chính, sự nghiệp và phục vụ có hiệu quả người dân trong xu thế kinh tế toàn cầu hiện nay. 5 Hình 1: Một TTDL TTDL là nơi tích hợp tất cả các công nghệ hàng đầu về mạng, hệ thống và phần mềm ứng dụng được sử dụng trong hệ thống TTDL, ở đó: - Mạng được thiết kế dành riêng đáp ứng yêu cầu cực cao về tốc độ truyền giữa các thiết bị, tính ổn định được coi trọng và vấn đề bảo mật cho hệ thống mạng được đặt lên hàng đầu, được cấu hình tối ưu và hỗ trợ dự phòng khi một thiết bị xảy ra sự cố thì hệ thống vẫn hoạt động bình thường và đảm bảo với các kết nối luôn ổn định ở tốc độ cao. - Hệ thống máy chủ có hiệu năng (performance) cao đáp ứng các ứng dụng chạy trên nó với độ trễ nhỏ nhất, thời gian đáp ứng nhanh nhất, hỗ trợ nhiều ứng dụng và cấu hình hoàn hảo giúp hệ thống chạy 24/7 và đảm bảo hoạt động ổn định các ứng dụng khắc khe nhất. - Các phần mềm hỗ trợ sử dụng tối đa hiệu năng của phần cứng, giúp liên kết các máy chủ với kỹ thuật Cluster tăng sức mạnh cho máy chủ và khả năng sao lưu dự phòng dữ liệu (backup) khi có sự cố xảy ra thì chỉ trong một thời gian ngắn hệ thống có thể đi vào hoạt động bình thường và dữ liệu được đảm bảo an toàn. - Các Datacenter được thiết kế hướng đến mục tiêu điện toán đám mây mà nơi đó các ứng dụng được cung cấp bởi các máy chủ ảo hóa được xây dựng trên một hệ thống máy chủ vật lý. 6 II. SỰ CẦN THIẾT ĐẦU TƯ 1. Căn cứ pháp lý thực hiện đầu tư dự án: - Quyết định số 48/2009/QĐ-TTg ngày 31/3/2009 của Thủ tướng Chính phủ về việc phê duyệt kế hoạch ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước giai đoạn 2009 – 2010; - Chỉ thị số 10/2006/CT-TTg ngày 23/03/2006 của Thủ tướng Chính phủ về việc giảm văn bản, giấy tờ hành chính trong hoạt động của các cơ quan hành chính nhà nước; 2. Hiện trạng Trung tâm dữ liệu của tỉnh Cà Mau: TTDL được hình thành và bắt đầu đi vào hoạt động năm 2002, có nhiệm vụ tích hợp cơ sở dữ liệu từ các cơ quan ban ngành; quản lý lưu trữ và cung cấp thông tin; điều phối các hoạt động ứng dụng CNTT cơ bản của các cơ quan nhà nước qua hệ thống mạng như: hồ sơ công việc, điều hành tác nghiệp, email, hosting một số trang tin điện tử của các sở, ban, ngành,... Trong những năm gần đây, việc đầu tư nâng cấp để duy trì cơ sở hạ tầng CNTT cũng như phát triển mở rộng các ứng dụng CNTT tại TTDL còn gặp nhiều hạn chế, do một số nguyên nhân khách quan và chủ quan (như việc chấm dứt triển khai Đề án 112), đã gây ảnh hưởng lớn đến việc duy trì vận hành ổn định chung của hệ thống cũng như đảm bảo các yêu cầu về an ninh, an toàn thông tin, qua khảo sát thực tế hiện trạng như sau: a. Cơ sở hạ tầng CNTT: Kiến trúc, thiết kế kỹ thuật: TTDL được thiết kế theo mô hình “ứng dụng tới đâu, trang bị tới đó. Việc đầu tư không đồng bộ dẫn đến thiết kế kỹ thuật của TTDL không đúng theo các tiêu chuẩn quy định của một Data center. Thiết bị chính của TTDL tập trung đầu tư trong giai đoạn năm 2002 đến 2005, tính đến nay hầu hết đã qua thời gian khấu hao, phần lớn thiết bị hư hỏng không sử dụng được, một số thiết bị lạc hậu về công nghệ không thể triển khai các ứng dụng mới, một số thiết bị còn lại luôn trong tình trạng hoạt động quá tải, thiếu các thiết bị dự phòng dẫn đến công suất sử dụng ngày càng thấp, khả năng đảm bảo an toàn thông tin, dữ liệu không cao. - Đánh giá về máy chủ của TTDL: . - Đánh giá về thiết bị mạng: b. Hệ thống thông tin: 7 c. Công tác quản lý hoạt động: . 3. Nhu cầu ứng dụng CNTT của Tỉnh Cà Mau Qua khảo sát, thống kê, thì nhu cầu ứng dụng CNTT trong hoạt động của các cơ quan nhà nước trên địa bàn tỉnh thể hiện qua ba nhóm chính, đó là: a. Nhu cầu ứng dụng công nghệ thông tin phục vụ công tác quản lý chỉ đạo và điều hành của các cấp chính quyền, công tác quản lý hành chính nhà nước, bao gồm: - Hệ thống quản lý văn bản và điều hành. - Hệ thống quản lý thư điện tử. - Hệ thống quản lý nhân sự (cán bộ, công chức), tài chính – kế toán, tài sản công,... - Hệ thống quản lý, cung cấp thông tin, dữ liệu phục vụ người dân, doanh nghiệp – thực hiện công tác cải cách hành chính: hệ thống các trang thông tin điện tử, hệ thống cung cấp dịch vụ hành chính công, (theo các mức độ khác nhau), hệ thống một cửa điện tử liên thông,... - Hệ thống thông tin quản lý cơ sở dữ liệu vùng, đặc biệt là các thông tin về quy hoạch, đầu tư phát triển kinh tế - xã hội liên quan đến các lĩnh vực, ngành: dân cư, y tế, giáo dục, tài nguyên và môi trường, xây dựng, các chỉ số thống kê,. của địa phương trên cơ sở kiến trúc thông tin quốc gia. - Hệ thống thông tin địa lý (GIS) phục vụ công tác quản lý, chỉ đạo điều hành phát triển cơ sở hạ tầng kinh tế - xã hội trên địa bàn tỉnh. b. Nhu cầu ứng dụng công nghệ thông tin phục vụ công tác quản lý chuyên môn ngành, lĩnh vực như: giáo dục và đào tạo, y tế, tài nguyên và môi trường, giao thông, xây dựng, bao gồm: - Các hệ thống thông tin quản lý chuyên ngành kết nối xuyên suốt từ cấp tỉnh đến cấp xã, phường nhằm đảm bảo sự thống nhất, chính xác về quy trình thao tác, thông tin, dữ liệu, - Hệ thống tương tác thông tin, dữ liệu giữa các ngành, lĩnh vực liên quan với nhau nhằm đảm bảo tính liên thông, kịp thời, chính xác nguồn thông tin. c. Nhu cầu ứng công nghệ thông tin phục vụ phát triển vùng nông thôn, bao gồm: - Hệ thống thông tin cung cấp kiến thức về ứng dụng công nghệ, khoa học kỹ thuật và kinh nghiệm phục vụ phát triển nông nghiệp, nông thôn trên tất cả các lĩnh vực, đặc biệt trong lĩnh vực trồng trọt và chăn nuôi. 8 - Hệ thống cung cấp thông tin hỗ trợ công tác ứng phó, giảm nhẹ thiên tai ở vùng nông thôn, vùng sâu, vùng xa, vùng núi, hải đảo. 4. Sự cần thiết và nội dung đầu tư: Qua phân tích hiện trạng tại TTDL và nhu cầu ứng dụng CNTT hiện nay trên địa bàn tỉnh nhận thấy cần thiết phải thực hiện việc xây dựng TTDL của tỉnh. Xây dựng hoàn thiện một TTDL chính quy, hiện đại, đúng tiêu chuẩn kỹ thuật sẽ là điều kiện quan trọng để đảm bảo cho việc triển khai các ứng dụng CNTT một cách thuận lợi và mang lại hiệu quả sử dụng cao. Và việc lựa chọn đầu tư dự án “Xây dựng Trung tâm dữ liệu của tỉnh phục vụ lưu trữ và quản lý dữ liệu” là giải pháp đúng đắn và phù hợp nhất trong thời điểm hiện nay. Để dự án mang tính khả thi và mang hiệu quả đầu tư cao, dự án sẽ triển khai một số công việc chính như sau: - Nâng cấp cơ sở hạ tầng TTDL: mua sắm, thiết kế, lắp đặt, cài đặt trang thiết bị, máy móc đảm bảo đúng tiêu chuẩn kỹ thuật và phù hợp nhu cầu sử dụng. - Xây dựng hệ thống quản lý thư điện tử: mua sắm dưới hình thức chuyển giao, cài đặt, triển khai phần mềm quản lý thư điện tử. Chủ trương này cũng rất phù hợp với “Chỉ thị số 34/2008/CT-TTg ngày 3 tháng 12 năm 2008 của Thủ tướng Chính phủ về việc tăng cường sử dụng hệ thống thư điện tử trong hoạt động của cơ quan nhà nước”. Nhằm “hướng tới ứng dụng rộng rãi hệ thống thư điện tử trong các cơ quan nhà nước, nâng cao hiệu quả hoạt động, năng suất lao động, thực hành tiết kiệm, thực hiện tốt Nghị định số 64/2007/NĐ-CP của Chính phủ về việc ứng dụng công nghệ thông tin trong hoạt động của cơ quan nhà nước”. III. MỤC TIÊU ĐẦU TƯ 1. Mục tiêu chung Mục tiêu của dự án xây dựng hoàn thiện TTDL của tỉnh Cà Mau đạt các tiêu chuẩn kỹ thuật theo quy định hiện hành, áp dụng những giải pháp công nghệ tiên tiến nhất vừa đảm bảo tính kế thừa vừa có tính sẵn sàng cao. TTDL đảm bảo cung cấp cơ sở hạ tầng công nghệ thông tin cho việc triển khai các hệ thống thông tin như: Cổng thông tin điện tử của tỉnh Cà Mau, trang thông tin các sở, ban, ngành, các huyện, thành phố, các dịch vụ hành chính công trực tuyến, dịch vụ thư điện tử, hệ thống quản lý văn bản và điều hành, các chương trình quản lý chuyên ngành, lĩnh vực, nhằm hỗ trợ kịp thời công tác quản lý nhà nước, đẩy nhanh tiến độ công tác cải cách hành chính, tạo môi trường làm việc chuyên nghiệp, tiến tới thực hiện chính quyền điện tử, góp phần nâng cao năng lực cạnh tranh của các thành phần kinh tế và thúc đẩy quá trình công nghiệp hóa, hiện đại hóa. 2. Mục tiêu cụ thể 9 Trong giai đoạn từ năm 2012 đến năm 2015, TTDL của tỉnh được thiết kế để đáp ứng nhu cầu triển khai các hệ thống thông tin như sau: • Các hệ thống thông tin dùng chung: - Cổng thông tin điện tử của tỉnh Cà Mau. - Hệ thống thư điện tử cho các cán bộ, công chức nhà nước của tỉnh. - Hệ thống quản lý văn bản và điều hành. - Hệ thống cung cấp dịch vụ hành chính công trực tuyến. - Hệ thống Hội nghị truyền hình trực tuyến, kết nối hội nghị trực tuyến của các Sở ban ngành trong tỉnh. • Các hệ thống thông tin chuyên ngành: - Hệ thống GIS phục vụ quản lý hạ tầng bưu chính, viễn thông. - Các cổng thông tin điện tử của các sở, ban, ngành, ủy ban nhân dân cấp huyện thực hiện việc tích hợp thông tin lên Cổng thông tin điện tử của tỉnh Cà Mau để phục vụ người dân và doanh nghiệp: Cung cấp thông tin chuyên ngành và các dịch vụ hành chính công cho người dân, doanh nghiệp. - Các hệ thống thông tin chuyên ngành khác qua khảo sát thực tế tại các đơn vị. - Định hướng hosting các cổng thông tin của các sở, ngành, ủy ban nhân dân cấp huyện tại TTDL tỉnh. 10 PHẦN II GIỚI THIỆU DỰ ÁN I. TÊN DỰ ÁN Tên đầy đủ của dự án là “Xây dựng Trung tâm dữ liệu của tỉnh phục vụ lưu trữ và quản lý dữ liệu”. II. HÌNH THỨC ĐẦU TƯ Xây dựng Trung tâm dữ liệu của tỉnh phục vụ lưu trữ và quản lý dữ liệu. III. NGUỒN VỐN Ngân sách nhà nước. IV.CHỦ ĐẦU TƯ DỰ ÁN Chủ đầu tư dự án: Sở Thông Tin và Truyền Thông tỉnh Cà Mau. Địa chỉ: 284 - Trần Hưng Đạo - Phưởng 5 - TP. Cà Mau. 11 PHẦN III DỰ KIẾN QUY MÔ ĐẦU TƯ, QUY MÔ LẮP ĐẶT, CÀI ĐẶT THIẾT BỊ I. QUY MÔ ĐẦU TƯ Đầu tư xây dựng Trung tâm dữ liệu tỉnh Cà Mau - là một trong những biện pháp nâng cao năng lực cơ sở hạ tầng CNTT và truyền thông của tỉnh nhằm thực hiện mục tiêu của Nghị quyết số 1991/QĐ-UBND ngày 16/12/2010 của Ủy ban nhân dân tỉnh về việc ban hành kế hoạch ứng dụng công nghệ thông tin trong hoạt động của các cơ quan nhà nước tỉnh Cà Mau giai đoạn 2011-2015 và Công văn số 3783/UBND-VX ngày 15/09/2011 của Ủy ban nhân dân tỉnh về việc chuẩn bị đầu tư các dự án ứng dụng công nghệ thông tin của các cơ quan nhà nước. TTDL sau khi được đầu tư xây dựng sẽ là nơi lưu trữ cơ sở dữ liệu của các sở, ban, ngành trong tỉnh, là nơi triển khai các phần mềm ứng dụng dùng chung và phần mềm ứng dụng chuyên ngành. Là nơi hosting cổng thông tin điện tử của tỉnh và các trang thông tin của các sở, ban, ngành và ủy ban nhân dân cấp huyện. Dự án có các hạng mục như sau: - Xây dựng cơ sở hạ tầng tại TTDL: thiết kế kiến trúc hệ thống đảm bảo đúng tiêu chuẩn và hợp lý; xây dựng các hệ thống an toàn, anh ninh; sửa chữa, mua sắm, lắp đặt mới trang thiết bị phù hợp nhu cầu sử dụng. - Xây dựng hệ thống quản lý e-mail công vụ đảm bảo cung cấp đủ nhu cầu sử dụng chung trong toàn tỉnh: trên cơ sở phần mềm quản lý thư điện tử - IBM lotus note , cài đặt tại TTDL, chuyển đổi cơ sở dữ liệu đã có và triển khai sử dụng chung cho các cơ quan nhà nước trên địa bàn tỉnh. - Đào tạo nhân lực quản lý và vận hành TTDL; xây dựng quy chế hoạt động và quản lý khai thác sử dụng TTDL. II. YÊU CẦU VỀ TIÊU CHUẨN KỸ THUẬT CỦA TTDL - Được trang bị công nghệ hiện đại, đủ mạnh với khả năng hoạt động thống nhất và cung cấp được nhiều loại dịch vụ chung trên một nền tảng mạng. - Khả năng hòa nhập nhanh chóng và ít tốn kém. - Khả năng kết nối mạng tại mọi vị trí bên trong kiến trúc mạng. - Có khả năng cập nhật công nghệ mới để đáp ứng được các bước thay đổi về công nghệ theo xu hướng phát triển hiện nay mà vẫn đảm bảo được sự đầu tư hiện tại. 12 - Có hệ thống mạng hoàn chỉnh nhằm chia sẻ các nguồn tài nguyên (thông tin, các thiết bị, máy móc,) và được giao tiếp với các hệ thống mạng bên ngoài một cách dễ dàng mà không phải thay đổi nhiều về cấu trúc. - Có hạ tầng kỹ thuật xây dựng theo hướng mở sẵn sàng đáp ứng những thay đổi, dễ dàng nâng cấp trong tương lai mà vẫn đảm bảo tối đa chi phí đầu tư, khả năng thay đổi toàn bộ kết cấu hệ thống là thấp nhất. - Khả năng quản trị tập trung với đội ngũ nhân lực công nghệ thông tin có số lượng hạn chế mà vẫn điều hành ổn định toàn bộ phân hệ thiết bị trong TTDL. - Khả năng hoạt động ổn định với hiệu suất cao. - Có tính năng thông minh, tự động phân tải và dự phòng lẫn nhau giữa các thành phần bên trong toàn bộ hệ thống. - Sử dụng các sản phẩm với công nghệ mới nhất trong ngành CNTT dành cho TTDL. III. YÊU CẦU VỀ HẠ TẦNG KỸ THUẬT CỦA TTDL Xây dựng TTDL phải đảm bảo đáp ứng tiêu chuẩn kỹ thuật cụ thể như sau: 1. Yêu cầu kỹ thuật về chống sét Thiết bị tại TTDL phải đảm bảo sự vận hành ổn định và liên tục 24/24. Do đó để tránh sự tác động của sét và nhiễu từ tính từ bên ngoài, cần thiết phải xây dựng hệ thống tiếp đất và chống sét lan truyền cho TTDL. Việc chống sét lan truyền cho các thiết bị bên trong TTDL phải đáp ứng các yêu cầu như sau: - Đảm bảo chức năng ngắt sét cả về nguồn điện, cũng như việc lan truyền sét đến các hệ thống khác trong TTDL. - Hệ thống đảm bảo tiếp đất cho toàn bộ thiết bị trong TTDL. - Các thiết bị tiếp đất đúng theo tiêu chuẩn kỹ thuật quy định của ngành viễn thông, điện lực. - Các thiết bị chống sét được lắp đặt và bảo vệ theo các tiêu chuẩn quốc tế và nhà sản xuất yêu cầu. - Sử dụng thiết bị chống sét đa cấp. - Chống sét sơ cấp bằng thiết bị có khả năng cắt sét mạnh mẽ, đặc biệt với dạng xung 10/350µs do ảnh hưởng trực tiếp khi có sét đánh trên phạm vi công trình, tối thiểu 50kA/pha (xung 8/20µs) và 100kA/pha (xung 10/350µs). Thiết bị được bố trí lắp đặt tại các tủ Rack. - Chống sét tầng thứ cấp có mức điện áp dư thấp và được lắp đặt gần với thiết bị cần bảo vệ trong phạm vi dưới 50 mét. 13 - Kết hợp sử dụng các thiết bị chống sét có chức năng lọc nhiễu điện từ, nhiễu cao tần (EMI: Electromagnetic interference, RFI: Radio Frequency Interference). 2. Yêu cầu kỹ thuật về sàn nâng Hệ thống sàn nâng cung cấp sự linh hoạt trong việc đi dây, chống cháy, đặt vị trí phần cứng và điều hoà không khí. Sàn nâng bao gồm các tấm vuông (600mm x 600mm) có thể thay thế lẫn nhau với các tấm có lỗ sàn cho việc điều dẫn luồng không khí lạnh hay có thể cắt bỏ để đi dây điện, dây mạng. Các tấm sàn nâng có khả năng chịu tải trọng tối thiểu 1000Kg/m2 cho khu vực phòng máy chủ, riêng vị trí đặt thiết bị lưu điện (UPS) và acquy yêu cầu là 1500Kg/m2. Hệ thống sàn nâng nên tuân theo các tiêu chuẩn chống cháy của toà nhà và tiêu chuẩn chung khác. 3. Yêu cầu về an toàn bảo mật TTDL - Hệ thống đáp ứng khả năng an toàn, bảo mật phân cấp theo lớp. - Hỗ trợ người sử dụng trao đổi thông tin, dữ liệu với TTDL thông qua môi trường mạng Internet bằng các giao thức như: SSL VPN, HTTPS, - Thực hiện cơ chế theo dõi và giám sát, lưu vết tất cả các hoạt động truy nhập TTDL. - Toàn bộ các dữ liệu được quản lý, lưu trữ trong các thiết bị chuyên dụng đảm bảo việc cập nhật, thay thế kịp thời trong trường hợp xảy ra sự cố. - Có một giải pháp toàn diện về an toàn và an ninh thông tin. 4. Yêu cầu về nguồn điện - Hệ thống nguồn đảm bảo nguồn điện đầu vào cho toàn bộ thiết bị trong TTDL hoạt động ổn định trong thời gian làm việc với tổng tải tùy theo nhu cầu và chịu được tải lúc khởi động. Đảm bảo thời gian sao lưu (backup) cho toàn hệ thống từ 16 đến 20 phút khi chạy toàn tải và hỗ trợ dự phòng. - Đảm bảo an toàn cho toàn bộ thiết bị khi nguồn điện bên ngoài có sự cố tăng, giảm áp. - Đảm bảo nguồn điện đầu vào là ổn định điện áp. - Có khả năng mở rộng công suất và thời gian sao lưu (backup). - Bộ phận Pin (Battery module) và nguồn (Power module) có hỗ trợ thay thế nóng (hot-swap). - Hỗ trợ điều khiển qua Internet. 5. Yêu cầu về phòng cháy, chữa cháy 14 Hệ thống phòng cháy, chữa cháy đảm bảo tính an toàn cao cho thiết bị nếu xảy ra cháy cục bộ trong phòng máy chủ và an toàn tính mạng của người quản lý hệ thống nếu khi có sự cố cháy. Hệ thống có đầu dò khói độ nhạy cao đảm bảo cảnh báo kịp thời hiện tượng cháy đến nhân viên thường trực. 6. Yêu cầu về giám sát an ninh - Trang bị hệ thống camera quan sát, cửa ra vào (Access control), phục vụ: - Ghi nhận các biến cố cả về ban ngày và ban đêm. - Nhật ký được lưu trữ vào máy tính và có thể xem lại theo thời gian. - Có thể truy cập, điều khiển và giám sát các hoạt động từ xa. - Đảm bảo người quản trị theo dõi toàn bộ các diễn biến của TTDL bất kỳ lúc nào và ở bất cứ đâu qua Internet. 7. Yêu cầu về hệ thống làm lạnh Theo khuyến cáo của các nhà sản xuất máy chủ, thiết bị mạng. Dải nhiệt độ và độ ẩm tối ưu nhất để thiết bị vận hành tốt nhất là: - Nhiệt độ: 22oC ± 1oC; - Độ ẩm: 50% ± 5% RH (độ ẩm tương đối - relative humidity). Hệ thống lạnh bên trong phòng máy chủ được trang bị đủ công suất, đảm bảo cho việc duy trì mức nhiệt độ trong phòng thiết bị và đảm bảo tính dự phòng. 8. Yêu cầu thiết bị máy chủ, thiết bị mạng - Khả năng hoạt động: Hệ thống có tính sẵn sàng cao, đảm bảo hoạt động ổn định, liên tục với tầng suất cao, đáp ứng nhu cầu khai thác sử dụng. Thiết bị có khả năng thay thế nóng và có phương án dự phòng cụ thể cho những thiết bị thiết yếu. - Khả năng mở rộng: Hệ thống có khả năng mở rộng cao giúp cho việc bảo trì và nâng cấp phát triển được tiến hành một cách tiện lợi và tiết kiệm. - Tính bảo mật: Hệ thống được bảo mật một cách tối đa, có hệ thống kiểm tra giám sát, chống truy cập trái phép. - Tính tiêu chuẩn: Hệ thống sử dụng các thiết bị (phần cứng và phần mềm) thoả mãn những tiêu chuẩn quốc tế. Tất cả mọi thiết bị được sử dụng đều có chất lượng cao, giá thành phù hợp. IV. DỰ KIẾN VỀ ĐỊA ĐIỂM ĐẦU TƯ Về địa điểm: Trung tâm dữ liệu của tỉnh Cà Mau được đặt tại Sở Thông tin và Truyền thông Cà Mau; địa chỉ: 284 - Trần Hưng Đạo, phường 5, Tp Cà Mau. 15 Về không gian (hay mặt bằng - layout) của TTDL: Tại tầng 3 của tòa nhà Trụ sở - Sở Thông tin và Truyền thông tỉnh Cà Mau, bao gồm: phòng máy chủ, phòng hệ thống điện nguồn. - Phòng máy chủ (Server Room). Hình 2. Mặt bằng tổng thể của phòng máy chủ Đây là bản phát thảo thiết kế cho phòng máy chủ dựa trên số liệu khảo sát thực tế tại Sở Thông tin và Truyền thông Cà Mau. Phòng máy chủ có diện tích khoảng 24m2 (4m x 6m) và được ngăn cách bởi một lớp cửa kính. V. QUY MÔ LẮP ĐẶT. Các hạng mục lắp đặt tại TTDL của dự án như sau: - Lắp đặt hệ thống mạng. - Lắp đặt hệ thống tủ Rack. - Lắp đặt hệ thống điều hòa nhiệt độ. - Lắp đặt hệ thống kiểm soát, giám sát an ninh. - Lắp đặt hệ thống máy chủ (server). - Lắp đặt hệ thống nguồn điện, hệ thống điện dự phòng (máy phát điện dự phòng). - Lắp đặt hệ thống chống sét lan truyền trên nguồn điện và đường tín hiệu. - Lắp đặt hệ thống sàn nâng phòng máy chủ. - Lắp đặt hệ thống phòng cháy chữa cháy. VI. CÀI ĐẶT THIẾT BỊ Sau khi hoàn tất việc lắp đặt thiết bị, bước tiếp theo là cài đặt thiết bị và cấu hình toàn bộ hệ thống của TTDL. Việc cài đặt và cấu hình hệ thống của TTDL đảm bảo thực hiện tốt các chức năng cơ bản như sau: - Quản trị và điều hành mạng. - Quản lý, vận hành các hệ thống giám sát an ninh, phòng cháy, chữa cháy. - Quản lý, khai thác sử dụng nguồn cơ sở dữ liệu. - Quản lý và cung cấp các dịch vụ thông tin (E-mail, DNS, LDAP) và đa truyền thông (VoD, VC, VoIP). - Quản lý băng thông (bandwidth) các điểm kết nối. - Quản lý kết nối ra mạng Internet của các phân hệ. 16 - Quản lý các đầu mối kết nối giao tiếp với các mạng thông tin khác. PHẦN IV PHÂN TÍCH LỰA CHỌN PHƯƠNG ÁN KỸ THUẬT, GIẢI PHÁP CÔNG NGHỆ I. TỔNG QUAN THIẾT KẾ: Trung tâm dữ liệu tỉnh Cà Mau là nơi thực hiện việc quản lý nguồn thông tin, dữ liệu của toàn tỉnh, là nền tảng triển khai các hệ thống thông tin của tỉnh, bắt buột phải được vận hành liên tục 24/24 phục vụ cho hoạt động của các cơ quan nhà nước, cho mọi người dân, các tổ chức, doanh nghiệp. Do đó, lựa chọn phương án kỹ thuật, giải pháp công nghệ phù hợp sẽ tạo sự độ ổn định, hòa hợp giữa các thành phần bên trong kiến trúc mạng. Để đảm bảo TTDL đúng theo tiêu chuẩn quy định, phù hợp với nhu cầu sử dụng, việc đầu tư nâng cấp phải đạt yêu cầu: - Trang thiết bị hiện đại, đủ mạnh để triển khai các ứng dụng CNTT trong các cơ quan nhà nước trên địa bàn tỉnh - Kiến trúc hệ thống hợp lý vừa có tính kế thừa nhằm tiết kiệm chi phí, vừa đảm bảo khả năng nâng cấp mở rộng hệ thống trong tương lai. - Khả năng mở rộng kết nối đa chiều, đảm bảo việc chia sẻ các nguồn tài nguyên (thông tin, thiết bị, máy móc,) và được giao tiếp với các hệ thống mạng bên ngoài một cách dễ dàng mà không phải thay đổi nhiều về cấu trúc. - Có hạ tầng kỹ thuật xây dựng theo hướng mở, sẵn sàng đáp ứng những thay đổi, dễ dàng nâng cấp trong tương lai mà vẫn đảm bảo tối đa chi phí đầu tư cũng như khả năng thay đổi toàn bộ kết cấu hệ thống là thấp nhất. - Khả năng quản trị tập trung với đội ngũ nhân lực công nghệ thông tin có số lượng hạn chế mà vẫn điều hành ổn định toàn bộ phân hệ thiết bị trong TTDL. 17 - Khả năng hoạt động ổn định với hiệu suất cao. II. ĐỊNH HƯỚNG CÔNG NGHỆ VÀ THIẾT BỊ 1. Công nghệ máy chủ: Hiện nay trên thị trường CNTT có rất nhiều sự lựa chọn về máy chủ cho các nhà phát triển ứng dụng, các công ty, tổ chức nhà nước. Nỗi bật nhất về công nghệ máy chủ đó là của IBM, hãng sản xuất máy chủ lớn, uy tín và đã qua kiểm chứng thực tế ứng dụng tại Việt Nam. Các kỹ sư của IBM đã nâng cao các năng lực của nền tảng x86 thông qua những sáng tạo kỹ thuật mới - tách bộ nhớ khỏi vị trí truyền thống (từng rất gò bó bên cạnh bộ xử lý của máy chủ) và nhờ đó doanh nghiệp, các tổ chức không cần phải mua một máy chủ mới để hỗ trợ lượng công việc đòi hỏi bộ nhớ lớn. Các hệ thống dựa trên cấu trúc x86 hoàn toàn mới này cung cấp năng lực mở rộng cao hơn sáu lần so với những máy chủ hiện tại, giúp hạ thấp chi phí trong việc vận hành những TTDL theo tiêu chuẩn công nghiệp. Đó là hệ thống máy chủ IBM thế hệ eX5. Hệ thống eX5 tận dụng việc tích hợp với các phần mềm trung gian của IBM để tạo ra một môi trường có tính ảo hóa cao, mang lại cho người dùng một hệ thống linh hoạt với khả năng mở rộng rất lớn, giúp họ giảm bớt một nửa số lượng máy chủ; hạ thấp chi phí lưu trữ 97% và chi phí giấy phép tới 50%. Với công nghệ mở rộng bộ nhớ độc lập, có tên gọi là MAX5 đã hỗ trợ bộ nhớ lớn hơn tới 600% so với các hệ thống trên thị trường hiện nay. Công nghệ này cho phép khách hàng chạy số lượng “máy chủ ảo” nhiều hơn tới 82% với cùng một chi phí giấy phép và cắt giảm đáng kể chi phí phần mềm trung gian và các ứng dụng. Đồng thời công nghệ silicon độc đáo của IBM cho phép các bộ xử lý của eX5 (chính là các chip xử lý) truy cập bộ nhớ mở rộng một cách nhanh chóng. Con chip theo kiến trúc IBM X- Architecture, ...ng xử lý nhiều lưu lượng và tính linh hoạt hơn các vùng mạng khác. • Do tính quan trọng của phân vùng mạng Core Switch, trong thiết kế này chúng tôi đề xuất sử dụng lõi kép bao gồm hai bộ chuyển mạch Catalyst 6500, Supervisor Engine 720 tích hợp sẳn 02 cổng kết nối 10Gigabit Ethernet có khả năng hoạt động đồng bộ với nhau, tạo thành mô hình hoạt động chuyển đổi dự phòng khi có một thiết bị chuyển mạch bị lỗi. • Tích hợp tính năng Firewall cho phép ban hành các chính sách bảo mật cần thiết để bảo vệ vùng Server Farm. Hệ điều hành IOS hỗ trợ tính năng Virtual 37 Switching System (VSS), cung cấp khả năng ảo hoá hai bộ chuyển mạch vật lý thành một bộ chuyển mạch logic. • Trong tầng Core Switch, hai bộ chuyển mạch này được thiết kế kết nối với nhau bằng ít nhất hai kết nối vật lý 10Gigabit Ethernet. Hệ điều hành IOS hỗ trợ tính năng VSS cho phép cấu hình 10 Gigabit Multichassiss EtherChannel (MEC) và cung cấp khả năng ảo hóa hai bộ chuyển mạch vật lí tạo thành một bộ chuyển mạch logic, do đó tốc độ tối thiểu đạt 40Gbps full-duplex đáp ứng được yêu cầu về khả năng chuyển mạch và tính sẳn sàng cao nhất trong giai đoạn hiện tại và mở rộng trong tương lai. Hỗ trợ tính năng firewall để bảo vệ cho vùng Server Farm. Tầng mạng Distribution • Tầng mạng Distribution kết nối tầng Core và tầng Access. Có khả năng thực hiện các chính sách và chức năng như: định tuyến, lọc gói, chia VLANs, QoS,... Hơn nữa, tầng này phải đủ khả năng chuyển mạch lưu lượng cho toàn bộ các Access Switch đấu nối vào. Do đó, chúng tôi đề xuất sử dụng các bộ chuyển mạch Catalyst 3750(chủ yếu chuyển mạch vùng DMZ) và 1 LineCard 48 port GbE đặt tại CoreSwitch đóng vai trò như các Distribution Switch trong mô hình Campus. • Kết nối đến mỗi Core Switch bằng cổng 10Gigabit Ethernet. Để đảm bảo có dự phòng khi xảy ra sự cố kết nối hay thiết bị, thiết kế dự phòng ít nhất là hai kết nối vật lý cổng Gigabit Ethernet. • Kết nối đến các Access Switch với cổng kết nối Gigabit Ethernet, hỗ trợ cấu hình Gigabit EtherChannel để nâng cấp tốc độ kết nối giữa tầng Distribution và Access Switch lên nhiều lần khi có nhu cầu. Tầng mạng Access • Cung cấp kết nối người dùng cuối với các cổng kết nối 10/100/1000 Ethernet kết nối với các thiết bị đầu cuối được cấp nguồn qua cổng Ethernet như: các thiết bị kết nối không dây, các IP camera. • Các thiết bị chuyển mạch đấu nối cho tầng Access này là các bộ chuyển mạch layer 2 loại 48 cổng 10/100/1000 Ethernet, có tích hợp sẳn các cổng uplink Gigabit Ethernet, kết nối đến các bộ chuyển mạch tầng Distribution. Phân hệ kết nối WAN – Internet Module Đây là vùng giao tiếp giữa mạng trung tâm với mạng Internet bên ngoài. Đề xuất các thiết bị bố trí tại vùng này bao gồm: Chức năng định tuyến và chuyển mạch đa lớp 38 Đề xuất sử dụng thiết bị định tuyến tích hợp đa dịch vụ Router 3945 thế hệ mới nhất. Thiết bị định tuyến sử dụng trong vùng này là có đủ số cổng cho kết nối hiện tại và khả năng mở rộng cho tương lai. Đây là loại bộ định tuyến hiệu suất cao thích hợp với môi trường WAN tốc độ cao lên đến 100Mbps hay cao hơn. Linh hoạt trong thiết kế mạng với dãy tính năng tuỳ chọn rộng, cho phép kích hoạt tính năng theo nhu cầu sử dụng và tối ưu hoá điện năng sử dụng. Kết nối Internet, kết nối mạng WAN phục vụ truy nhập cung cấp cho các ứng dụng và dịch vụ tích hợp truyền dữ liệu, thoại, hình ảnh. Để đảm bảo kết nối không bị gián đoạn, thiết lập ít nhất hai Router kết nối mạng Internet với hai nhà cung cấp dịch vụ (ISP) khác nhau và cũng cần có ít nhất hai kết nối mạng WAN. Hệ thống Firewall Kiểm soát truy nhập và chống tấn công sử dụng ở mức gateway nên là loại thiết bị được đóng gói tất cả các giải pháp bảo mật trong một sản phẩm, có khả năng tích hợp được nhiều tính năng bảo mật bao gồm: firewall, IPS, Antivirus, anti-spyware, URL filtering, Web security, và anti-spam. Đề xuất sử dụng Firewall ở mức gateway cho toàn mạng là Firewall GPX1000 có tính năng Clustering cho phép 2 Firewall hoạt động theo cơ chế Active/Active hoặc Active/Passive chuyển đổi dự phòng (failover) tránh lỗi đơn điểm (single point-of-failure) để dự phòng mở rộng trong tương lai. Hệ thống IPS Hệ thống IPS có khả năng chống lại các mối hiểm họa, các tấn công xâm nhập, đồng thời giảm các rủi ro nhận dạng nhầm, và sót các tấn công bằng hệ thống chống xâm nhập Snort và sự so sánh các mức độ tương quan với các sự kiện bảo mật khác như threat, endpoint và network. Đề xuất sử dụng Thiết bị IPS Sourcefire phía sau Firewall bảo vệ cho toàn mạng là IPS 3D3500 và thiết bị quản trị tập trung Defense Center DC1000. Phân tích hành vi trên mạng (NBA) NBA ngăn chặn sự bùng phát các phần mềm độc hại như worm, trojan ngay bên trong tổ chức bằng cách nhận ra các ranh giới của luồng dữ liệu hay phân tích và phát hiện dấu hiệu bất thường trong hệ thống mạng. Điều khiển truy cập mạng (NAC) NAC tạo và áp đặt các chính sách bắt buộc phải tuân theo cho tất cả các máy đầu cuối khi kết nối vào hệ thống mạng. Đánh giá nguy cơ tấn công (VA) VA nâng cao khả năng lắng nghe thụ động hay chủ động quét hệ thống mạng để đánh giá các tài nguyên thông tin và nhận dạng các nguy cơ tiềm ẩn trong hệ thống. 39 Phân hệ máy chủ - lưu trữ (Server Farm) Vùng Server Farm tập trung các máy chủ và hệ thống lưu trữ. Tại đây các ứng dụng sẽ được triển khai cho các người dùng. Hệ thống có tính sẳn sàng cao và dự phòng cao, bảo đảm hoạt động liên tục, đồng thời bảo đảm băng thông cho việc truy cập vào hệ thống. Thiết bị chuyển mạch đấu nối cho vùng Server Farm phải là loại chuyên dụng, chuyển mạch đa lớp có hiệu suất chuyển mạch cao, độ trễ thấp, hỗ trợ cổng kết nối 10Gigabit Ethernet. Có cổng giao tiếp riêng dùng cho quản lý và khôi phục sau thảm hoạ. Hỗ trợ các nghi thức dùng để quản lý: Simple Network Management Protocol (SNMP), Telnet client, Bootstrap Protocol (BOOTP), and Trivial File Transfer Protocol (TFTP). Tuy nhiên, trong giai đoạn hiện nay để đảm bảo hiệu suất truy nhập vào vùng Server Farm từ các vùng mạng khác, đề xuất thiết lập các kết nối Gigabit Ethernet từ các Blade Switch vào Core switch. 2. TRANG THIẾT BỊ CÔNG NGHỆ THÔNG TIN : a. THIẾT BỊ CÂN BẰNG TẢI ĐƯỜNG TRUYỀN Thiết bị cân bằng tải đường truyền đề xuất là dòng thiết bị Peplink 710 Hình 1. Peplink 710 Thiết bị cân bằng tải đường truyền có các đặc tính kỹ thuật sau: • Router Throughput: 350Mbps • Number of VPN LB Peers: 300 • VPN Throughput: 150M • LAN Interface: 1 x Gigabit Ethernet Port • WAN Interface: 3 x Gigabit Ethernet and 4 x Fast Ethernet Ports • Cân bằng tải Outbound • Cân bằng tải Inbound: thích hợp cho việc triển khai dịch vụ online từ hạ tầng mạng nội bộ: Web/Mail/SMS server mà không sợ gián đoạn do sự cố của bất kỳ đường Internet nào • Có khả năng thiết lập VPN với độ bảo mật cao (mã hóa dùng thuật toán AES- 256bit) có khả năng Cân bằng tải (Aggregation/Load Balancing) và Chuyển 40 mạch bảo vệ (Failover): Kết nối VPN tạo được luôn thông suốt, hiệu quả và tin cậy cao. • Có thể cân bằng tải ở Layer 4, do vậy cùng một IP nguồn có thể đi trên tất cả các đường Internet (nếu Policy cho phép). • Cho phép PAT/NAT 1-TO-Many, Many-To-One (Multi-To-One NAT/PAT), rất tiện lợi để triển khai Online Service. • Các bảng NAT được thiết lập Độc lập trên các đường WAN cho mỗi kết nối, không bao giờ treo Session vào/ra. • Quản lý băng thông theo chiều ra (Outbound) • Quản lý băng thông theo chiều vào (Inbound Load Balancing) • VPN Load Sharing và Fail over b. Thiết bị tường lửa  Thiết bị bảo mật internal Thiết bị quản lý an ninh mạng đề xuất là thiết bị Firewall ASTARO ASG-425 Đây là dòng thiết bị được đóng gói tất cả các giải pháp bảo mật trong một sản phẩm. UTM có khả năng tích hợp được nhiều tính năng bảo mật bao gồm: firewall, IPS, Antivirus, anti-spyware, URL filtering, Web security, và anti-spam . Các thông số kỹ thuật của thiết bị: Ngăn chặn các kiểu tấn công: DoS, DDoS, Portscan, Wrom, Botnet và Flood Hỗ trợ tính năng proxies cho HTTP, HTTPs, FTP, SMTP, POP3, DNS, SOCKS và SIP. Có thể họat động ở mode transparent Kết nối Site-to-Site IPSec VPN Truy cập từ xa: SSL, IPSec, L2TP over IPSec và PPTP 41 Kết hợp cơ sở dữ liệu người dùng chứng thực: Active Directory, Radius, Tacacs+ và LDAP Hơn 6,000 quy tắc IPS, tự động cập nhật chứng thực theo thời gian thực VoIP hỗ trợ cho H.323 và SIP Các kiểu Routing: static, policy, OSPF, NAT, PAT và bridging Cân bằng tải (load balancing WANs & Servers) Cơ chế sẵn sàng cao (High Availability) Các kiểu đấu nối: Ethernet, DSL, cable, 802.1q và PPP Kết hợp các báo cáo hiển thị các thông tin ra vào mạng, thông tin mạng, tận dụng tài nguyên, tình trạng hệ thống, kiểm tra sự xâm nhập Tự động cập nhập Firmware và các nguy cơ tấn công theo thời gian thực Tùy biến thông tin người dùng Có các thiết lập báo cáo hằng ngày Đáp ứng thời gian lọc proxy web nhanh, thậm chí khi đường truyền bị chậm Hiệu quả trong việc Download dữ liệu thông qua VPN, ( bao gồm phần mềm, file cấu hình và chứng thực) thông qua kết nối người dùng đầu cuối Không giới hạn kết nối Users, các chính sách, kênh lịch biểu  Thiết bị bảo mật internet gateway Thiết bị được đề xuất bảo mật an ninh mạng gateway internet cho TTDL Cà Mau là thiết bị GateProtect 1000. "Next Generation UTM ppliances" từ GateProtect là thiết bị định tuyến, bảo mật an ninh tối ưu, khả năng mở rộng và hiệu suất. Độc Được cấp bằng sáng chế về giao diện người dùng công nghệ eGUI, gateProtect đặt ra những tiêu chuẩn khi nói đến cấu hình của hệ thống an ninh hiện đại. Công nghệ GateProtect của eGUI làm tăng hoạt động bảo mật và hiệu quả đến một mức độ mà trước đây chưa có. Hơn nữa, gateProtect là nhà sản xuất duy nhất trên toàn thế giới để thực hiện tiêu chuẩn ISO ĐỊNH MỨC 9241. 42 xUTM thế hệ mới có tính năng mở rộng bao gồm VLAN, công nghệ lớp 8, đăng nhập một lần, bắc cầu, SSL VPN thông qua x.509 chứng nhận IPSec VPN, IDS / IPS, kiểm soát băng thông người dùng, chống virus, bảo vệ mail, thanh lọc các trang web truy cập và các tiến trình bảo vệ theo định hướng công nghệ mới nhất eGUI. c. Thiết bị chuyển mạch Core Dòng switch Catalyst 6500 là dòng sản phẩm cao cấp của Cisco, được thiết kế cho các chức năng chuyển mạch đa lớp (multilayer switching), định tuyến (routing) tốc độ cao và tích hợp các dịch vụ mạng thông minh cho các môi trường mạng lớn và phức tạp. Dòng sản phẩm này còn được thiết kế để cung cấp các kết nối với mạng diện rộng (WAN), hỗ trợ các tính năng Voice over IP, IP Telephony, tích hợp các tính năng bảo mật cao cấp thông qua các module firewall, IDS, SSL, VPN lý tưởng cho các ứng dụng đa dịch vụ bao gồm dữ liệu, thoại, video với tốc độ và độ bảo mật cao. Hình 2. Cisco Catalyst switch 6500 series. 43 Cùng với tính năng mở rộng về số lượng module và số cổng kết nối mạng của dòng sản phẩm theo cấu trúc mở (module), dòng Catalyst 6500 còn cho phép lựa chọn băng thông của switch theo yêu cầu (tùy theo supervisor module), giúp tăng hiệu năng chuyển gói tin một cách nhanh chóng và đáp ứng các ứng dụng đòi hỏi băng thông cao. Ngoài ra với khả năng hỗ trợ tính năng chuyển gói tin theo chế độ phân tán (gói tin lưu chuyển trong cùng module sẽ được chuyển trong backplane nội của module đó mà không cần thông qua backplane chung của switch tại mạch điều khiển chính (supervisor module)), switch 6500 có khả năng chuyển dữ liệu với tốc độ tối ưu nhất. Là dòng sản phẩm lý tưởng cho các nhà cung cấp dịch vụ, các trung tâm dữ liệu và cho các doanh nghiệp lớn, Catalyst 6500 cho phép thực hiện cơ chế cân bằng tải tập trung trên các lớp ứng dụng (từ layer 4 – layer 7) của mô hình OSI. Đây là tính năng cao cấp và rất cần thiết cho các ứng dụng web và các trung tâm dữ liệu với nhiều server và đòi hỏi nhiều phiên kết nối đồng thời. Đặc biệt dòng Catalyst 6500 cho phép thực hiện nhiều mức độ và khả năng bảo mật khác nhau cho hệ thống mạng thông qua các module bảo mật chuyên biệt như: Firewall, SSL, IDS và VPN. Đây là điểm mạnh của Cisco Catalyst 6500, giúp người dùng dễ dàng chọn lựa các giải pháp bảo mật mạng thích hợp với các ứng dụng cụ thể. Do được thực hiện ngay trên switch với tốc độ cao, tính năng này vẫn đảm bảo hiệu năng cao cho toàn bộ hệ thống mạng trong quá trình thực hiện các cơ chế bảo mật. Catalyst 6500 còn cung cấp khả năng dự phòng cao ngay trên chính bản thân cấu trúc thiết kế của mình, đảm bảo độ sẵn sàng cao và đáp ứng tính liên tục cho hệ thống mạng. Khả năng dự phòng nóng được thực hiện trên supervisor module, Switch Fabric Module, và các Service module (Firewall, VPN, ); bộ cấp nguồn với tính cân bằng tải và chuyển đổi nhanh thông minh, đảm bảo hệ thống mạng luôn trong trạng thái sẵn sàng và liên tục. Tóm lại dòng Catalyst 6500 là dòng sản phẩm tập hợp tất cả các tính năng và dịch vụ cho hệ thống mạng tích hợp với qui mô lớn, thỏa mãn tất cả các yếu tố cần thiết cho các hệ thống mạng lớn, các trung tâm dữ liệu và các nhà cung cấp dịch vụ internet. Đặc biệt Cisco Catalyst 6500 có khả năng hỗ trợ và thực hiện các chức năng bảo mật rất hiệu quả với tốc độ cao. d. Thiết bị phòng chống thâm nhập hệ thống mạng IPS/IDS 44 Hệ thống chống xâm nhập: Hầu hết các hệ thống chống xâm nhập có thể ngăn chặn những nguy cơ đã biết trước trong quá trình bị tấn công ở lớp vành đai (perimeter). Tuy nhiên, điều này không đủ. Ngày càng nhiều tấn công và rủi ro nghiêm trọng xuất phát từ bên trong hệ thống mạng. Thiết bị đề xuất Sourcefire IPS 3D2500 và Thiết bị quản trị tập trung Defense center DC1000 Sourcefire IPS là hệ thống chống xâm nhập dựa trên nền tảng Snort Engine. Sourcefire IPS sử dụng hệ thống ngôn ngữ dạng rules-base, một sự kết hợp hoàn hảo giữa các dấu hiệu (signatures), giao thức (protocols), và nhận dạng sự bất thường (anomaly-based) để đánh giá một gói tin có phải là tấn công hay không. IPS có khả năng ngăn chặn các tấn công với rất nhiều hình thức khác nhau như: Worms DoS attacks Malform traffics Trojans Buffer Overflows Invalid headers Backdoor attacks P2P attacks Blend threats Spyware Statistical anomalies Zero-day threats Port Scans Protocol anomalies TCP reassembly VoIP attacks Application anomalies IP defragmentation Ipv6 attacks Sourcefire IPS có thể triển khai theo 2 mô hình inline hay passive Các thông số kỹ thuật của IPS 3D3500 + SF 3D3500 w/ IPS 2 FO QPC, 1Gbps + Supported Line Speed (IPS): 1GMbps + Supported Line Speed (IDS): 1GMbps + Copper/Fiber (all with bypass): (8) Copper 1Gbps or (4) Copper 1Gbps & (4) Fiber + Management Interfaces: 2xRJ45 + Typical Latency: <1 millieseconds + Memory (RAM): 4GB + Disk Capacity: 160GB + Form Factor: 1U Các tính năng nổi bật của IPS: 45 Dựa trên nền tảng chuẩn công nghệ đã được chứng minh - Snort Engine Thư viện với hơn 14.000 rules Cho phép thay đổi, chỉnh sửa và tạo các rules mới Nhiều chính sách IPS mặc định được định sẵn Hỗ trợ LDAP & RADIUS Dể dàng cài đặt và cấu hình Tự động update rules VRT Tính năng high availability (2 nguồn, fail-open ports, RAID drives, HA configuration options ) Tự động tuỳ biến các rules để giảm thiểu các rules không cần thiết để tăng performance hệ thống Sourcefire real-time network awareness (RNA) Sourcefire RNA là một thành phần chiến lược của SourceFire ETM. RNA cung cấp khả năng NBA, NAC, và Vulnerability Assessment, giúp cho giải pháp có khả năng đánh giá được các mối hiểm họa (threat), điểm cuối (endpoint) và mạng (network). RNA cung cấp cái nhìn theo thời gian thực những hoạt động trong hệ thống mạng người dùng. Bằng cách lắng nghe, RNA thu thập cơ sở dữ liệu của các tài nguyên hệ thống, hệ điều hành đang sử dụng, dịch vụ, ứng dụng đang hoạt động và xác định luôn các nguy cơ có khả năng xảy ra cũng như cách để khắc phục cho các thiết bị đó. RNA quan sát hệ thống mạng mà không cần cài đặt phần mềm lên các thiết bị đầu cuối. RNA cho thấy sự liên tục trong các yếu tố: Luồng dữ liệu dùng để phân tích các xu hướng hoạt động của hệ thống mạng Đánh giá tài nguyên bao gồm phiên bản hệ điều hành, dịch vụ, port, địa chỉ MAC, IP. Yếu tố mạng bao gồm hop count, thông số TTL, và lỗ hổng bảo mật. Đánh giá hành vi bao gồm các loại, các luồng lưu lượng dữ liệu Các sự kiện thay đổi về tài nguyên, thêm tài nguyên mới và các sự thay đổi bất thường của các tài nguyên. Các tính năng nổi bật của RNA: Phát hiện các malware trong hệ thống và ngăn chặn trước khi chúng phát tán 46 Quan sát hệ thống tài nguyên mạng theo thời gian thực mà không làm ảnh hưởng đến hiệu suất mạng Phát hiện hệ điều hành, dịch vụ, port, giao thức và các lỗ hổng tiềm ẩn trong hệ thống Áp đặt chính sách và cảnh báo cho admin (mail, SNMP,..) khi có thiết bị lạ truy cập vào mạng Giúp admin ước lượng mức băng thông cần thiết cho hệ thống Giúp admin nhanh chóng xử lý các vấn đề quá tải hay xuống cấp của hệ thống mạng RNA hỗ trợ IPS trong việc tối ưu hóa các rules Giúp quản lý các dịch vụ sử dụng port không chuẩn (non-standard port handling) Thiết lập độ ưu tiên trong việc xử lý các sự kiện phát sinh sourcefire real-time user awareness (RUA) Sourcefire RUA cho phép tổ chức có thể xây dựng mối tương quan giữa các nguy cơ với chính xác người dùng nào, cho phép họ thấy được ai phá vỡ các chính sách, ai đang tấn công hay ai đang là nguy cơ của hệ thống. RUA sử dụng các dữ liệu từ LDAP hay Active Directory có sẵn để thu thập thông tin người dùng. RUA cung cấp khả năng nhận dạng người dùng chưa từng có trước đây, bao gồm: Quan sát tự động liên tục 24x7 với việc ghi nhận thông tin người dùng hoàn chỉnh bao gồm cả email và địa chỉ IP. Ghi nhận tất cả các IP người dùng đã sử dụng cũng như IP đang sử dụng để hỗ trợ việc phân tích trong một thời gian dài. Tự động thiết lập tương quan giữa nhận dạng người dùng với những sự kiện như lỗ hổng, phân tích hành vi bất thường, kiểm soát kết nối mạng hay cac sự kiện về chính sách. Các tính năng nổi bật của RUA: Giúp admin nhanh chóng tìm ra đối tượng liên quan đến các sự kiện tấn công hệ thống từ bên trong Loại bỏ việc theo dõi, tìm kiếm user liên quan đến các sự kiện bảo mật bằng thủ công Hoạt động liên tục nhưng không gây ảnh hưởng đến hiệu suất mạng Sử dụng cùng dữ liệu thu thập với IPS Sensor & RNA Nhận dạng nhân sự đang chiếm dụng băng thông Nhận dạng người dùng nào đang sử dụng các ứng dụng không được phép 47 Cho phép admin đưa ra các chính sách phù hợp với từng nhóm người dùng khác nhau Sourcefire Defense Center DC1000 Sourcefire Defense Center là trung tâm quản lý của Sourcefire 3D System. Defense Center (DC) kết hợp nhiều chức năng bảo mật bao gồm quản lý sự kiện, thiết lập tương quan và phân cấp độ ưu tiên trong đánh giá, phân tích các xu hướng và quản lý các báo cáo. Các thông số kỹ thuật của Defense center DC 1000 DC1000 WL 73 GB Disk Kit Management Interfaces (copper): RJ 45 Port Speed: 10/100/1000 Memory (RAM): 2GB Maximum Event Storage: 10,000,000 Maximum Sensors Managed (recommended): 25 Disk Capacity: 73GB Hard Drives: 2 RAID Support: RAID 1 Form Factor: 1U Tất cả các dữ liệu sự kiện sẽ được gửi từ SourceFire 3D Sensor về DC để phân tích và lưu trữ tập trung tại đây DC cung cấp giao diện dạng web-based cho phép xem các events, báo cáo và phân tích. Người dùng có thể tuỳ chọn giao diện thích hợp được định sẵn để dể dàng quan sát. Với DC, người dùng hoàn toàn có thể quản lý các chính sách & cấu hình lên đến 100 3D sensors từ 1 giao diện tập trung duy nhất. Các chính sách cho SourceFire IPS and SourceFire RNA có thể áp xuống cho tất cả các sensors một cách dễ dàng. Bên cạnh đó, người dùng có thể tạo các report, alerts hoặc dashboards. Các báo cáo có thể ở dạng PDF, HTML hay CSV format và được gửi qua mail hoặc SNMP cho các chuyên gia phân tích. Người dùng còn có thể cấu hình DC tự động thực hiện các công việc như: Thực hiện backups Xuất báo cáo Tải và cài đặt software update Tải và cài đặt Snort rules Apply RNA rules 48 e. Máy chủ (server): Máy chủ quản lý các tài nguyên mạng, dữ liệu, database, và cung cấp các dịch vụ trên môi trường mạng LAN và Internet như dịch vụ đăng tải cổng/trang thông tin điện tử, dịch vụ FTP, dịch vụ DNS và thư điện tử Hệ thống máy chủ được xây dựng phải đảm bảo tính sẵn sàng cao, có khả năng hoạt động liên tục 24/24. Vì vậy công nghệ máy chủ được chọn của các hãng có uy tính trên thị trường thế giới. Máy chủ hỗ trợ Rack-mount, có tính năng hot- swap có thể thay đổi linh kiện bị hỏng khi đang chạy, máy chủ có khả năng dự phòng. Máy chủ sử dụng công nghệ RAID cho phép một hoặc nhiều ổ đĩa cứng của máy chủ bị lỗi mà vẫn không mất dữ liệu và vẫn hoạt động bình thường và nhiều công nghệ tiên tiến cao cấp được sử dụng trong dòng máy chủ này như khả năng tự khắc phục lỗi bộ nhớ, sử dụng nguồn kép, có tính năng ảo hóa nhằm làm hệ thống máy chủ được uyển chuyển hơn, phục vụ xử lý nhiều chức năng trên một máy chủ vật lý. Dự án đầu tư trang bị máy chủ có cấu hình thông số kỹ thuật và tính năng sử dụng tương đương dòng máy chủ IBM Blade server H22 cùng với hệ thống chassic . Bảng tính năng, thông số kỹ thuật của dòng IBM Chassic H22. Form factor/height Rack-mount chassis/9U Blade bays Up to 14 Switch modules Up to four traditional, up to four high-speed, and up to four bridge module bays 49 Power supply module Up to four hot-swap and redundant 2980 W ac high-efficiency power supplies with load-balancing and failover capabilities. Operating at 200-240 V Cooling modules Two hot-swap and redundant blowers standard, additional fan packs on power supplies Systems management Advanced Management Module standard; add an hardware optional Advanced Management Module for redundancy I/O ports USB-based keyboard, video, mouse (KVM), Ethernet, USB Media Two USB connections and an optional DVD multiburner Systems management Systems management and trial deployment tools software Predictive Failure Internal storage, processors, blowers, memory Analysis Light path diagnostics Blade server, processor, memory, power supplies, blowers, switch module, management module, internal storage and expansion card Limited warranty Three-year customer replaceable unit and onsite limited warranty External storage Support for IBM System Storage® solutions (Including DS and NAS family of products) and many widely adopted non-IBM storage offerings Máy chủ IBM Blade server dạng phiến mỏng sử dụng cho hệ thống như sau: 50 Form factor Single-wide (30 mm) Processor (max) Choice of two Intel® Xeon® 5600 series processors, up to 3.60 GHz Number of processors 1/2 (std/max) Memory (max) Twelve DDR-3 VLP DIMM slots (up to 192 GB of total memory capacity and memory speeds up to 1333 MHz) with memory sparing Expansion slots One CIOv slot (standard PCIe daughter card) and one CFFh slot (high-speed PCIe daughter card) for a total of eight ports of I/O to each blade, including 4 ports of high-speed I/O Disk bays (total/hot- Two hot-swap bays supporting SAS HDDs or solid- swap) state drives Maximum internal Up to 1.0 TB total internal storage storage Network interface Virtual Fabric Adapter (10 GbE) ships integrated in some models Broadcom 5709S onboard NIC with dual Gigabit Ethernet ports with TOE Hot-swap components Internal storage bays RAID support RAID-0, -1 and -1E (optional RAID-5 with battery- backed cache) 51 Systems management Unified Extensible Firmware Interface (UEFI), IBM Integrated Management Module (IMM), Predictive Failure Analysis, optional embedded hypervisor for virtualization, IBM Systems Director Active Energy Manager™, light path diagnostics, IBM Systems Director and IBM ServerGuide™ Operating systems Microsoft® Windows®, Red Hat Enterprise Linux®, supported SUSE Linux Enterprise, VMware, Oracle Solaris Limited warranty Three-year customer replaceable unit and onsite and offsite limited warranty f. Hệ thống lưu trữ - SAN. * Đặc điểm: SAN là hệ thống mạng lưu trữ, thường được sử dụng ở những nơi lưu trữ nhiều dữ liệu như ngân hàng, các nhà cung cấp dịch vụ viễn thông,...các dữ liệu này cần độ an toàn, dự phòng rất cao và có thể truy xuất nhanh. SAN giúp việc sử dụng tài nguyên lưu trữ hiệu quả hơn, dễ dàng hơn trong công việc quản trị, quản lý tập trung cơ sở dữ liệu, tăng độ an toàn, sao lưu, khôi phục khi có sự cố. SAN có thể lưu ở ISP hoặc các nhà dịch vụ mạng. 52 Hình 16: Sơ đồ tổng quát hệ lưu trữ - SAN Trong hệ thống SAN có 3 thành phần chính: - Thiết bị lưu trữ: là các tủ đĩa có dung lương lớn, khả năng truy xuất nhanh, có hỗ trợ các chức năng RAID, local Replica,.. tủ đĩa này là nơi chứa dữ liệu chung cho toàn bộ hệ thống. - Thiết bị chuyển mạch SAN: đó là các SAN switch thực hiện việc kết nối các máy chủ đến tủ đĩa. - Các máy chủ hoặc máy trạm cần lưu trữ: được kết nối đến SAN switch bằng cáp quang thông qua HBA card. Một trong những kỹ thuật SAN sử dụng hiện nay là Fibre Channel (FC). Kỹ thuật này đã dược chuẩn hóa bởi chuẩn ANSI. Kỹ thuật Gigabit Ethernet được ra đời cũng dựa trên kỹ thuật này. Tốc độ hiện nay của Fibre Channel là 2Gbps. Ngoài ra Cisco cũng có đưa ra nhiều kỹ thuật khác cho SAN nhưng chưa được sử dụng rộng rãi: SCSI over IP, FC over Ethernet. Mỗi máy chủ cần kết nối được trang bị tối thiểu một HBA card, các SAN switch thông thường có 16, 24 hay 32 cổng (ports). * Thiết kế hệ thống lưu trữ - SAN: Để đảm bảo nhu cầu sử dụng và khả năng mở rộng triển khai các ứng dụng CNTT trong thời gian tới, dự án đầu tư thiết bị lưu trữ - SAN có cấu hình, thông số kỹ thuật, chức năng sử dụng tương đương sản phẩm IBM DS 3950 với các thông số kỹ thuật như sau: - DS3950 Model 94 cung cấp hai bộ điều khiển RAID với hai cổng FC 8Gb và mỗi kênh lưu trữ là 1GB Cache. - 16 khe cắp HDD FC hoặc SATA. - Khả năng lưu trữ nội tại là 16TB và hỗ trợ lên tối đa là 112 TB. Và dùng SAN switch (thiết bị chuyển mạch SAN) có cấu hình, thông số kỹ thuật, chức năng sử dụng tương đương sản phẩm IBM System Storage SAN24B-4 Express với các tính năng cơ bản như sau: - Thiết kế đơn giản dễ cài đặt và sử dụng. Phù hợp cho ứng dụng quy mô cấp tỉnh. - Băng thông 8 Gbps FC và có thể mở rộng từ 8 đến 24 ports. - Thiết kế với công nghệ mới và tiếp tục là giải pháp tốt cho các máy chủ chạy hệ điều hành windows, Unix, Linux, IBM AIX... Hình 17: Thiết bị SAN switch 53 Hình 17: Bộ lưu trữ IBM DS3950 g. Đường truyền: Sử dụng đường truyền thuê bao riêng và đường truyền số liệu chuyên dùng (TSLCD): - Để phục vụ mục đích web hosting cho TTDL, dự án trang bị 01 đường thuê bao riêng (leased line) hoặc đường truyền FTTH kết nối Internet với khoảng 08 địa chỉ Internet tĩnh (Static IP). Trong đó 04 IP phục vụ cho mục đích kết nối (dùng cho các thiết bị) và 04 IP dùng cho các Server dịch vụ như Web, Mail, DNS, Hiện tại TTDL của Khánh Hòa sẽ sử dụng đường truyền số liệu chuyên dùng. - Đường truyền số liệu chuyên dùng cần có tốc độ tối thiểu là 2.048 Kbps để đáp ứng trên 1.000 kết nối đồng thời duyệt web truy cập mail từ Internet của các sở, ban, ngành. Công nghệ kết nối cần ưu tiên sử dụng cáp quang, kế đến mới sử dụng cáp đồng. h. Hệ điều hành mạng: Để đảm bảo cho việc vận hành ổn định TTDL, dự án đầu tư các phân hệ phần mềm mã nguồn đóng của Microsoft: - Phần mềm hệ điều hành: Microsofts Windows server. - Phần mềm sao lưu – backup Exec. - Phần mềm quản trị hệ thống. 54 i. Hệ cơ sở dữ liệu – Database Server Để phục vụ mục đích đăng tải Web, portal và các ứng dụng của TTDL, một hệ quản lý cơ sở dữ liệu mạnh với đầy đủ tính năng phải được cài đặt trong hệ thống. Hệ cơ sở dữ liệu có nhiệm vụ lưu trữ dữ liệu của các trang web và các ứng dụng cao cấp khác trong hệ thống hành chính sự nghiệp sử dụng phần mềm quản trị cơ sở dữ liệu trên nền tảng công nghệ IBM mà chủ đầu tư đã có sẵn. j. Chống virus - Antivirus: Phòng chống virus là một trong những nhiệm vụ quan trọng nhất của hệ thống bảo đảm an toàn, an ninh cho hệ thống mạng máy tính. Hiện nay, virus được xếp trong những nguy cơ hàng đầu ảnh hưởng an ninh của hệ thống mạng. Các nguy cơ đối với mạng máy tính do virus gây ra bao gồm: - Phá hủy, làm sai lệch các file dữ liệu, các cơ sở dữ liệu. - Phá hoại các file hệ thống, làm ngừng trệ sự hoạt động của hệ thống. - Tạo ra backdoor trên hệ thống, tạo điều kiện để hacker xâm nhập hoặc sử dụng hệ thống một cách bất hợp pháp. - Đánh cắp tài khoản, mật khẩu. - Gây tắc nghẽn trên mạng. Hậu quả gây ra là: - Ảnh hưởng đến chất lượng làm việc, chất lượng công tác chuyên môn của cơ quan do hệ thống ngừng hoạt động. - Gây thất thoát thông tin, lộ bí mật công tác, bí mật của tổ chức. - Tốn kém về chi phí, trong đó bao gồm chi phí để khôi phục hệ thống, chi phí do việc ngừng trệ sự hoạt động của hệ thống, chi phí về đường truyền. Hiện nay có rất nh