Tài liệu An toàn thông tin cho các công ty chứng khoán: Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56
1
AN TỒN THƠNG TIN CHO CÁC CƠNG TY CHỨNG KHỐN
Theo các báo cáo về thị trường tài chính, ngân hàng, chứng khốn của Việt Nam cuối năm
2006, thị trường Chứng khốn là một trong những lĩnh vực tài chính hoạt động sơi động nhất và
cĩ sự phát triển rất nhanh. Sau hơn 6 năm đi vào hoạt động từ 7/2000, TTCK tập trung của Việt
Nam đã chứng kiến sự phát triển mạnh mẽ đặc biệt là trong năm 2006 và dự đốn sẽ cịn tăng
mạnh trong năm 2007 cả về quy mơ cũng như chất lượng. Cho đến nay, trên Trung tâm GD
Chứng khốn TP.HCM đã cĩ tới 106 loại cổ phiếu, sàn CK Hà Nội cũng đã đạt tới con số 87 loại
cổ phiếu. Theo các chuyên gia dự báo, trong thời gian tới, số lượng các cơng ty chờ đăng kí niêm
yết sẽ tăng lên rất nhanh đồng thời với số lượng các nhà đầu tư càng nhiều và mang tính
chuyên nghiệp hơn.
Thị trường Chứng khốn ngày càng phát triển thì số lượn...
10 trang |
Chia sẻ: Khủng Long | Lượt xem: 1002 | Lượt tải: 0
Bạn đang xem nội dung tài liệu An toàn thông tin cho các công ty chứng khoán, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56
1
AN TỒN THƠNG TIN CHO CÁC CƠNG TY CHỨNG KHỐN
Theo các báo cáo về thị trường tài chính, ngân hàng, chứng khốn của Việt Nam cuối năm
2006, thị trường Chứng khốn là một trong những lĩnh vực tài chính hoạt động sơi động nhất và
cĩ sự phát triển rất nhanh. Sau hơn 6 năm đi vào hoạt động từ 7/2000, TTCK tập trung của Việt
Nam đã chứng kiến sự phát triển mạnh mẽ đặc biệt là trong năm 2006 và dự đốn sẽ cịn tăng
mạnh trong năm 2007 cả về quy mơ cũng như chất lượng. Cho đến nay, trên Trung tâm GD
Chứng khốn TP.HCM đã cĩ tới 106 loại cổ phiếu, sàn CK Hà Nội cũng đã đạt tới con số 87 loại
cổ phiếu. Theo các chuyên gia dự báo, trong thời gian tới, số lượng các cơng ty chờ đăng kí niêm
yết sẽ tăng lên rất nhanh đồng thời với số lượng các nhà đầu tư càng nhiều và mang tính
chuyên nghiệp hơn.
Thị trường Chứng khốn ngày càng phát triển thì số lượng giao dịch và
nhu cầu tìm hiểu thơng tin của các nhà đầu tư ngày càng tăng. ðể đáp ứng
được các yêu cầu đĩ, ngày càng nhiều các cơng ty Chứng khốn được thành
lập để giúp cho các nhà đầu tư dễ dàng hơn trong việc tìm hiểu thơng tin và
tiếp cận tới các cổ phiếu đang được niêm yết. Theo báo cáo tổng kết cuối
năm 2006, hiện nay đã cĩ 55 cơng ty Chứng khốn đi vào hoạt động, 6 tổ
chức lưu kí chứng khốn và 18 ngân hàng thanh tốn. Các cơng ty chứng
khốn sẽ cạnh tranh mạnh mẽ để thu hút nhiều nhà đầu tư về phía mình bằng cách đưa ra nhiều
phương thức cung cấp dịch vụ đảm bảo, tiện lợi và đầy đủ hơn. Phương thức giao dịch chứng
khốn trước đây yêu cầu nhà đầu tư phải đến các trung tâm giao dịch chứng khốn (TTGDCK)
hoặc quầy mơi giới của cơng ty chứng khốn đặt lệnh thì nay đã mở rộng qua các hình thức như
đặt lệnh qua điện thoại, Internet. Các dịch vụ này ngày càng được các nhà đầu tư luơn bận bịu với
cơng việc kinh doanh ưa chuộng, và khơng ít trong số họ là những nhà đầu tư rất lớn. Họ mong
chờ sự xuất hiện của các hình thức dịch vụ trực tuyến để cĩ thể dễ dàng ở bất kì đâu, tại bất kì
thời điểm nào đều cĩ thể nhanh chĩng tra cứu cập nhật thơng tin, thực hiện giao dịch mua bán
chứng khốn.
Chúng ta hãy nhìn lại quy trình mua bán chứng khốn được niêm yết tại các Trung tâm giao
dịch chứng khốn. Tồn bộ quy trình này được tiến hành theo 5 bước:
• Bước 1: Nhà đầu tư đến mở tài khoản và đặt lệnh mua hay bán chứng khốn tại một cơng
ty chứng khốn.
• Bước 2: Cơng ty chứng khốn chuyển lệnh đĩ cho đại diện của cơng ty tại Trung tâm
giao dịch chứng khốn để nhập vào hệ thống giao dịch của Trung tâm.
• Bước 3: Trung tâm giao dịch chứng khốn thực hiện ghép lệnh và thơng báo kết quả giao
dịch cho cơng ty chứng khốn.
• Bước 4: Cơng ty chứng khốn thơng báo kết quả giao dịch cho nhà đầu tư.
• Bước 5: Nhà đầu tư nhận chứng khốn (nếu là người mua) hoặc tiền (nếu là người bán)
trên tài khoản của mình tại cơng ty chứng khốn sau 3 ngày làm việc kể từ ngày mua bán.
Bước 1 trong quy trình được các cơng ty Chứng khốn đa dạng hố phương thức dịch vụ,
làm chìa khố cạnh tranh để cĩ thể thu hút được nhiều nhà đầu tư đến với mình. Tuy vậy bên
cạch các hình thức dịch vụ, các cơng ty chứng khốn cần phải đảm bảo uy tính cũng như chất
lượng của các thơng tin mà họ cung cấp cho nhà đầu tư.
Mơ hình trao đổi thơng tin điển hình của cơng ty chứng khốn:
Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56
2
Hoạt động cung cấp thơng tin của một cơng ty chứng khốn khơng chỉ nằm trong phạm vi
cung cấp các dịch vụ tài chính và mơi giới mua bán chứng khốn mà cịn liên quan tới các hệ
thống thơng tin của hai sàn giao dịch chứng khốn Hà nội và Tp.HCM, liên quan tới trao đổi
thơng tin với các ngân hàng lưu kí Chứng khốn và thanh tốn bù trừ. Do vậy, để vận hành tốt
các hoạt động này, hạ tầng CNTT của cơng ty Chứng khốn luơn phải đảm bảo tính sẵn sàng cao.
Hệ thống đĩ phải cĩ khả năng ngăn chặn và phịng chống các nguy cơ tiềm ẩn về mất an tồn của
hệ thống CNTT khi dữ liệu xử lý được truyền chủ yếu qua hệ thống mạng cơng cộng là Internet
và mạng thoại.
Các nguy cơ tiềm ẩn đĩ là gì?
Nĩi một các tổng quát cĩ thể phân loại các nguy cơ đĩ như sau:
1. Nguy cơ ngưng trệ hoạt động của hệ thống mạng do tắc ngẽn đường truyền. Các máy tính
bị nhiễm virus sẽ nhanh chĩng chiếm tồn bộ băng thơng và làm tê liệt tồn bộ các hoạt
động trao đổi thơng tin trong mạng máy tính, các giao dịch mua bán chứng khốn điện tử.
Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56
3
2. Nguy cơ các hệ thống dịch vụ giao dịch trực tuyến bị kẻ xấu tấn cơng từ ngồi mạng
Internet bằng nhiều hình thức tấn cơng từ chối dịch vụ (DoS) khác nhau
3. Nguy cơ bị kẻ xấu làm sai lệch thơng tin khi thực hiện các giao dịch chứng khốn điện tử:
- Thơng tin giao dịch bị bắt khi truyền từ ‘nguồn’ tới ‘đích’ qua mạng Internet. Kẻ
xấu cĩ thể thay đổi thơng tin hoặc chèn thêm các đoạn mã độc hại. Hiện nay nguy
cơ này đã được các hãng bảo mật khuyến cáo sử dụng các phương pháp mã hố dữ
liệu trong khi truyền.
4. Nguy cơ bị lấy cắp các thơng tin nhạy cảm như mã số đăng nhập tài khoản,
username/password, số PIN, số thẻ tín dụng ... qua các kĩ thuật lừa đảo ‘phishing’ và
‘farming‘ ngày càng được tin tặc cải tiến tinh vi.
Khi các dịch vụ trực tuyến ngày càng mở rộng thì nguy cơ phá hoại, tấn cơng của tin tắc
ngày càng nhiều với độ tinh vi ngày càng cao. Các cơng ty Chứng khốn cần phải nhận thức rõ
khi mở rộng các loại hình dịch vụ sẽ phải đi đơi với việc đầu tư một hạ tầng CNTT đảm bảo và
an tồn.
Từ mơ hình trao đổi thơng tin của các cơng ty chứng khốn, hạ tầng cơng nghệ thơng tin
của cơng ty dưới gĩc nhìn của các chuyên gia bảo mật sẽ được phân làm năm vùng chính. Các
vùng này được bảo vệ bởi các hệ thống an ninh thơng tin. Tất cả chúng hoạt động dưới sự quản lý
của những quy định và chính sách an tồn thơng tin được điều chỉnh phủ hợp theo đặc thù của
từng cơng ty.
Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56
4
Thiết bị an ninh tích hợp Crossbeam C6
Năm phân vùng trong mơ hình bảo mật tổng thể là:
1. Vùng mạng LAN bên trong tồ nhà của cơng ty Chứng khốn, vùng này bao gồm
a. Mạng LAN các PC của khối văn phịng, khối tài chính, khối nghiệp vụ tư vấn tài
chính, mơi giới mua bán chứng khốn.
b. Hệ thống tổng đài IP phục vụ liên lạc của cơng ty Chứng khốn
2. Vùng các máy chủ DMZ cung cấp các dịch vụ trực tuyến được truy cập qua Internet như:
E-Mail, Web site thơng tin thị trường, Online Brokerage, Online OTC
3. Vùng các máy chủ cơ sở dữ liệu và ứng dụng quan trọng vận hành hệ thống quản lý các
giao dịch chứng khốn.
4. Vùng người dùng truy cập từ xa qua Internet vào hệ thống mạng, ứng dụng của cơng ty,
vùng này bao gồm:
a. Nhân viên của cơng ty chứng khốn hoạt động tại 2 trung tâm GDCK Hà Nội và
tp. Hồ Chí Minh truy cập VPN (Client to Site) về mạng của cơng ty.
b. Các nhà đầu tư truy cập vào Web site và dịch vụ chứng khốn trực tuyến (Online
Brokerage, Online OTC) của cơng ty.
5. Vùng các đại lý, chi nhánh của cơng ty kết nối VPN Site to Site hoặc WAN vào hệ thống
mạng của cơng ty. ðây cũng là vùng kết nối mạng thơng tin từ cơng ty Chứng khốn tới
mạng của các Ngân hàng thanh tốn, lưu kí trong tương lai.
ðể đảm bảo an tồn cho các kết nối, trao đổi thơng tin và ngăn chặn các tấn cơng cả từ bên
trong trong và bên ngồi mạng, giải pháp bảo mật tổng thể và sản phẩm bảo mật cho hạ tầng cơng
nghệ thơng tin được chúng tơi đề xuất như sau:
1. Phân tách các vùng mạng và bảo vệ bằng hệ thống Firewall
Mạng trong phạm vi tồ nhà của cơng ty sẽ được chia làm ba vùng chính:
Vùng DMZ gồm các Server cho các dịch vụ trực tuyến như Web site, Email, các
ứng dụng Online Brokerage, Online OTC
Vùng các Server cơ sở dữ liệu và ứng dụng quan trọng như BackOffice, CSDL
khách hàng, giao dịch, lưu kí ðây là vùng các Servers chính vận hành tồn bộ
hệ thống phần mềm và CSDL liên quan tới giao dịch mua bán chứng khốn.
Vùng mạng LAN bao gồm khối văn phịng, nghiệp vụ và hệ thống tổng đài IP.
Các vùng mạng sẽ được quy hoạch trên các dải IP riêng biệt. Hệ thống Firewall sẽ kiểm
sốt luồng dữ liệu đi qua bao gồm: Truy cập từ ngồi Internet vào vùng dịch vụ trực tuyến, người
dùng ở mạng LAN truy cập Internet qua đường LeasedLine, ADSL hoặc Wireless, người dùng ở
mạng LAN truy cập vào vùng Server ứng dụng và cơ sở dữ liệu. Firewall sẽ kiểm sốt, xác thực
và ngăn chặn những truy cập khơng hợp lệ, những
tấn cơng của hacker từ ngồi Internet hoặc trực tiếp
xuất phát từ bên trong mạng vào các vùng servers.
Với kinh nghiệm triển khai của cơng ty
Misoft, kết hợp với sự phát triển của cơng nghệ,
chúng tơi đề xuất hệ thống Firewall sẽ là sự kết hợp
giữa Firewall VPN1- UTM của hãng Check Point
chạy trên phần cứng chuyên dụng của hãng Crossbeam System. Check Point Firewall VPN1-
Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56
5
UTM hội đủ các yêu tố bảo vệ mạng bao gồm các tính năng Firewall, AntiVirus, IPS và VPN
server chỉ trong một sản phẩm. Check Point Firewall được cài trên một cặp thiết bị an ninh tích
hợp chuyên dụng của hãng Crossbeam System chạy clustering ở chế độ HA (High availability)
đảm bảo tính sẵn sàng cao và hiệu năng hoạt động của tồn mạng.
2. Thiết lập và bảo vệ các kết nối VPN.
Hệ thống Check Point Firewall VPN1-UTM đặt tại trụ sở chính của cơng ty chứng khốn
bên cạnh chức năng kiểm sốt các luồng thơng tin ra vào mạng cịn là hệ thống VPN Server cho
các kết nối theo cả 2 mơ hình Client to Site và Site to Site.
Với mơ hình kết nối VPN Site to Site, tại mỗi chi nhánh hoặc đại lý sẽ sử dụng thiết bị
Firewall VPN chuyên dụng loại
nhỏ VPN1-Edge của hãng Check
Point. Thiết bị này cĩ đầy đủ tính
năng Firewall và thiết lập kênh
kết nối Site to Site qua đường
Leaseline hoặc ADSL. Với mơ
hình này, hệ thống VPN Server
tại Headquater sẽ tự động xác
thực giữa 2 đầu thiết bị và kiểm
tra tính an tồn trước khi cho
phép thiết lập kênh kết nối.
Check Point VPN1-Edge khi
thiết lập VPN tunnel sẽ sử dụng
các cơng nghệ mã hố sau
• (AES) 128-256 bit
• Triple DES 56-168 bit
• SSL – Secure Sockets Layer
Mơ hình Client to Site áp dụng cho các nhân viên của cơng ty làm việc tại các TTGDCK
thiết lập kênh kết nối qua Internet, dial-up và hỗ trợ xác thực người dùng bằng nhiều phương thức
như Certificate, Token, Smartcard trước khi cho phép kết nối. Tại các máy của nhân viên sẽ cài
phần mếm thiết lập kết nối VPN client của Check Point.
3. Thiết lập các hệ thống phịng chống xâm nhập cho các vùng thơng tin quan trọng.
Trong mơ hình bảo mật tổng thể cho cơng ty chứng khốn, vùng máy chủ cơ sở dữ liệu và
máy chủ ứng dụng là quan trọng nhất trong hoạt động trao đổi thơng tin của cơng ty chứng
khốn. Nếu một trong các máy chủ này bị tấn cơng hoặc cĩ sự cố, hoạt động kinh doanh của các
cơng ty sẽ bị ảnh hưởng trực tiếp. Do vậy bên cạnh hệ thống Firewall bảo vệ hạ tầng network của
cơng ty, nhất thiết cần trang bị bổ sung hệ thống phịng chống xâm nhập (IPS) để bảo vệ riêng
cho vùng các Server ứng dụng này. Khác với Network Firewall, hệ thống IPS sẽ phát hiện và
ngăn chặn các xâm nhập ở tầng ứng dụng, can thiệp trực tiếp vào các protocols, các traffice mà
hệ thống Firewall khơng phát hiện được. Hệ thống IPS được đặt trong vùng mạng LAN, do vậy
hệ thống phải đảm bảo được tốc độ xử lý để khơng làm nghẽn luồng thơng tin được trao đổi với
mật độ cao tại đây.
Với mức độ quan trọng như trên, chúng tơi đề xuất triển khai thiết bị phịng chống xâm
nhập Proventia Network IPS chuyên dụng của hãng Internet Security Systems –ISS. Thiết bị này
cho phép ngăn chặn trước các cuộc tấn cơng chưa biết cũng như các cuộc tấn cơng đã biết như
Thiết bị bảo mật VPN-1 UTM Edge bảo vệ kết nối giữa cơng ty Chứng
khốn với chi nhánh, đại lý và văn phịng
Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56
6
Proventia Network IPS G400
Thiết bị chuyên dụng chống Virus
tại Internet Gateway(IGSA)
DoS, trojan, peer to peer download, backdoor, malicious http và file đính kèm e-mail mà khơng
ảnh hưởng đến hoạt động của mạng. ðặc biệt, thiết bị Proventia Network IPS cĩ khả năng phân
tích và nhận dạng các giao thức được sử dụng trong VoIP như SIP, MGCP, H.323, H.225, H.245,
Q.931, T.120 và SCCP để xác định các cuộc tấn cơng.
Thiết bị này sẽ được đặt trước vùng Server farm bảo vệ cho cả vùng, kiểm sốt tồn bộ các
yêu cầu truy cập dữ liệu cả ở mức Network và mức ứng dụng
trên các Server. Cơ sở dữ liệu về các mẫu tấn cơng (attacking
Signatures) sẽ luơn được hệ thống update từ Internet Security
Systems X-Force theo thời gian thực, đảm bảo ngăn chặn tối đa
các tấn cơng cĩ thể xảy ra hiện nay. Proventia Network IPS cĩ
tính năng Fail-open và hỗ trợ cấu hình dạng Active/Active,
Active/Passive do vậy đảm bảo tính sẵn sàng cao của tồn mạng.
4. Ngăn chặn tấn cơng của Virus tại Gateway và trong các vùng mạng.
Các con đường mà virus cĩ thể tấn cơng và bùng phát vào mạng của cơng ty chứng khốn
tương đối đa dạng, xuất phát từ Internet, từ người dùng bên trong, bên ngồi mạng và đặc biệt
qua email. ðể cĩ một hệ thống phịng chống cĩ hiệu quả cao thì cần phịng và chống Virus và
Spyware tại cả 4 lớp mạng: gateway, mailserver, server, PCs. Hệ thống này phải được quản lý
tập trung, thống nhất và luơn luơn được cập nhật mẫu Virus và Spyware từ những trung tâm
phịng chống Virus và Spyware lớn trên thế giới. Ngồi ra cần phải cĩ một chính sách bảo mật
chung và kết hợp với các giải pháp bảo mật khác để phịng chống Virus và Spyware hiệu quả
hơn.
Giải pháp tổng thể được chúng tơi đề xuất dựa trên cơng nghệ và sản phẩm phịng chống
virus của hãng Trend Micro. Các sản phẩm bao gồm:
• Trend Micro™ Client/Server/Messaging Suite for SMB
• Trend Micro Internet Security
• InterScan Gateway Security Appliance
ðối với ngăn chặn và phịng chống AntiVirus tại Internet
Gateway, chúng tơi sử dụng thiết bị chuyên dụng InterScan
Trend Micro Client/Server bảo vệ mailserver, server và PC khỏi sự lây nhiễm của Virus
Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56
7
Entrust IdentityGuard kết hợp nhiều phương pháp xác thực
trong cùng một sản phẩm
Gateway Appliance (ISGA) của hãng Trend Micro. ðây là thiết bị quét virus, spyware, phishing
tại Internet Gateway trên các luồng: SMTP, POP3, HTTP, FTP và đặc biệt đảm bảo được tốc độ
tại điểm Gateway mà hầu hết các traffice trao đổi thơng tin giữa mạng trong và mạng ngồi đều
phải đi qua.
5. Xác thực mạnh và chữ kí số để đảm bảo các giao dịch mua bán chứng khốn trực
tuyến.
Trước sự sơi động của thị trường chứng khốn và số lượng các nhà đầu tư ngày càng tăng
nhanh, các cơng ty đang rất cố gắng thu hút được nhiều nhà đầu tư đến với mình bằng cách cung
cấp các dịch vụ thuận lợi nhất như mở tài khoản, giao dịch qua mạng, qua phone. Một trong
những yếu tố thành cơng của các hình thức dịch vụ Online là tính an tồn, nhanh chĩng và khơng
làm nhà đầu tư mất các cơ hội mua bán. Xác thực mạnh danh tính trực tuyến và ứng dụng cơng
nghệ Hạ tầng mã khố cơng cộng (PKI) để mã hố dữ liệu nhằm đảm bảo tối đa tính tồn vẹn, bí
mật và chống từ chối của các giao dịch điện tử.
Hãng Entrust và hãng VASCO là 2 cơng ty chuyên cung cấp các giải pháp, sản phẩm xác
thực mạnh và mã hố dữ liệu cho lĩnh vực tài chính, ngân hàng. Trong lĩnh vực chứng khốn, giải
pháp của Entrust và VASCO được tích hợp vào các ứng dụng giao dịch mua bán chứng khố trưc
tuyến thực hiện nhằm các mục đính:
• Xác thực mạnh 2 yếu tố khi người dùng truy cập tài khoản trực tuyến, sử dụng các
phương thức xác thực như One-Time-Password token, Grid token, Mobile
• Xác thực 2 chiều giữa ứng dụng chứng khốn trực tuyến và các nhà đầu tư. Các nhà
đầu tư cĩ khả năng xác thực lại Web site, ứng dụng cĩ đúng là Web site thật của nhà
cung cấp hay khơng. Kĩ thuật này giúp cho nhà đầu tư chống lại các kĩ thuật tấn
cơng phishing hoặc Farming để ăn cắp thơng tin của tin tặc.
• Tích hợp chữ kí số vào các giao dịch quan trọng, đảm bảo tính tồn vẹn, tính mật,
tính chống từ chối trong các giao dịch mua bán chứng khốn online. Cơng nghệ này
Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56
8
Mỗi lần truy cập hoặc thực hiện giao dịch, nhà đầu
tư nhập ơ 3 giá trị được sinh ngẫu nhiên để xác thực
Quy trình dị quét lỗ hổng bảo mật trong ứng
dụng của Watchfire
cũng được các cty chứng khốn ứng dụng làm trọng tài phân xử trong trường hợp
nảy sinh các vấn đề chối bỏ hoặc sai sĩt trong giao dịch.
Thơng thường, các giải pháp xác thực truyền thống sẽ địi hỏi hàng trăm đơ-la đầu tư cho
mỗi một khách hàng, vậy các cơng ty chứng khốn sẽ chịu chi phí này hay nhà đầu tư sẽ chịu để
bảo mật thơng tin của họ? Giải pháp xác thực mạnh IdentityGuard của Entrust sẽ giúp các cơng
ty chứng khốn giải quyết bài tốn này với một chi phí tối ưu nhất. Mỗi một nhà đầu tư sẽ được
cấp một thẻ xác thực in ma trận một bảng như hình vẽ, mỗi một lần giao dịch, thay vì (hoặc thêm
vào) việc hỏi mật khẩu, ứng dụng chứng khốn sẽ
hỏi vài giá trị trong một số ơ ngẫu nhiên trên thẻ.
Ví dụ: A3=? B5=? C2=?... Nếu giả sử lần giao
dịch đĩ bị lộ, kẻ xấu c ũng khơng thể lợi dụng
được lần sau. Tất nhiên bảng giá trị này sẽ thường
xuyên được thay đổi và gửi đến khách.
Thẻ xác thực cĩ thể cấp cho các nhà đầu
tư khi sử dụng giao dịch điện tử, giao dịch qua
phone, trang bị cho các nhân viên của cơng ty tại
trung tâm giao dịch truy cập VPN về mạng của
cơng ty, trang bị cho các nhân viên trong cơng ty
khi muốn truy cập vào một số ứng dụng nội bộ
hoặc server quan trọng. Giải pháp xác thực
IdentityGuard của Entrust rất phù hợp khi triển
khai với một số lượng lớn bởi chi phí thấp và tính tiện dụng cao.
6. Kiểm tra, phát hiện các lỗ hổng trong ứng dụng phát triển
Hầu hết các ứng dụng chứng khốn trực tuyến hiện nay đều do các cơng ty phần mềm trong
nước phát triển và chạy trên mơi trường Web. Các ứng dụng đĩ được lập trình bằng các cơng cụ
và ngơn ngữ lập trình phổ biến như .NET, Oracle và trên thực tế các ứng dụng đĩ luơn tiềm ẩn rất
nhiều những lỗ hổng bảo mật xuất phát từ bản thân các phần mềm cơ sở dữ liệu, trong các Web
server và trong các đoạn code lập trình của lập trình viên. Các lỗ hổng đĩ sẽ tạo ra các Backdoor
để tin tặc lợi dụng làm sai lệch thơng tin, chiếm đoạt quyền điều khiển của các account quản trị
của ứng dụng hoặc thậm chí chiếm đoạt luơn quyền điều khiển Server. ðối với những lỗ hổng
bảo mật loại này, các hệ thống như Network Firewall, IPS cũng khĩ cĩ thể phát hiện ra.
ðể phát hiện và ngăn chặn các lỗ hổng bảo mật trong ứng dụng Web, cĩ 2 phương pháp
được áp dụng là:
• Sử dụng chương trình phát hiện điểm
yếu để rà sốt tất cả các đoạn code lập
trình, các hệ điều hành, các web server
mà ứng dụng Web đang hoạt động.
Chương trình sẽ chỉ ra những lỗ hổng
và đề xuất các phương án xử lý. Giải
pháp AppScan 7.0 của hãng WatchFire
cho phép tự động hố tiến trình phân
tích, giúp cho thời gian phát hiện lỗ
hổng, nguồn gốc phát sinh và đề xuất
phương hướng ngăn chặn giảm 80%
so với việc sử dụng các chuyên gia
đánh giá lỗ hổng. Giải pháp này là cầu
Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56
9
Netcontinuum che các lỗ hổng bảo mật
trong ứng dụng trước các tấn cơng từ
bên ngồi
nối giữa giữa chuyên viên bảo mật với nhà phát triển ứng dụng để đem lại tính an
tồn bảo mật nhất cho ứng dụng Web. Phương pháp này cĩ thể được áp dụng ngay
khi ứng dụng đang trong giai đoạn phát triển hoặc sau khi ứng dụng đã đi vào hoạt
động.
• Phương pháp thứ hai được sử dụng để kiểm
sốt và che các lỗ hổng bảo mật trong ứng
dụng là sử dụng một thế hệ Firewall mới
chuyên dụng để bảo vệ cho các ứng dụng
Web. Netcontinnum Application Security là
một sản phẩm tường lửa ứng dụng Web của
hãng Netcontinuum với mục đích phát hiện
ra các lỗ hổng bảo mật, sau đĩ sẽ kiểm sốt
và ngăn chặn các tấn cơng tới lỗ hổng đĩ.
Khác với giải pháp của WatchFire,
Netcontinnum khơng yêu cầu phải ra sốt
tồn bộ các mã lệnh lập trình mà sẽ được
đặt trước ứng dụng để kiểm sốt các yêu
cầu từ phía người dùng gửi tới ứng dụng Web.
Netcontinuum cĩ khả năng phát hiện và xử lý trên 70 loại lỗ hổng và nguy cơ mất an tồn
nằm bên trong các ứng dụng. Các loại lỗ hổng này đều nằm trong top 10 lỗ hổng tinh vi nhất
được hiệp hội phát triển và bảo vệ ứng dụng “Open Web Application Security Project” (OWASP:
www.owasp.org) nêu ra.
Kết luận: Theo kế hoạch phát triển của ngành tài chính, ngành chứng khốn sẽ đạt 30%
GPD của Việt nam đến năm 2010. Theo đúng kế hoạch này thì thị trường chứng khốn việt nam
sẽ rất sơi động và phát triển nhanh chĩng. Khi đĩ giao dịch chứng khốn trực tuyến trở thành yếu
tố quan trọng làm chìa khố cạnh tranh giữa các cơng ty chứng khốn. ðây cũng là yếu tố thúc
đẩy sự phát triển chung của ngành chứng khốn Việt Nam tương tự như đối với thị trường chứng
khốn quốc tế. Tuy vậy việc đầu tư và triển khai một hệ thống CNTT đảo bảm cho các hoạt động
chứng khốn, nhất thiết cần phải đầu tư một cách đồng bộ giữa hạ tầng thơng tin và hệ thống bảo
mật một cách đầy đủ. Nếu hệ thống vẫn cịn tồn tại những lỗ hổng chưa được bảo vệ thì cĩ thể đĩ
sẽ là các điểm yếu để tin tặc, hoặc thậm chí là những đối thủ cạnh tranh lợi dụng để tấn cơng.
Hậu quả xảy ra ảnh hưởng đến hoạt động kinh doanh là khĩ cĩ thể lường trước được.
Song song với việc đầu tư về cơng nghệ, các cơng ty chưng khốn sẽ phải xây dựng được
riêng cho mình một hệ thống quản lý an tồn thơng tin bao gồm các chính sách ATTT, các hướng
dẫn cụ thể trong việc thực thi chính sách và bố trí tài nguyên con người cùng với trách nhiệm và
Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56
10
quyền lợi cụ thể. Hệ thống quản lý này sẽ giúp cho các cơng ty chứng khốn cĩ thể thích ứng linh
hoạt với sự thay đổi của các rủi ro trong hệ thống CNTT. Hệ thống này được mơ tả kỹ lưỡng
trong chuẩn ISO17799- chuẩn quốc tế về an tồn thơng tin- mà các cơng ty chứng khốn cĩ thể
xem xét áp dụng.
Với tư cách làm một trong các cơng ty hàng đầu của Việt Nam trong lĩnh vực an tồn thơng
tin, chúng tơi cĩ thể cung cấp tới các cơng ty chứng khốn các dịch vụ về an tồn thơng tin sau:
• Tư vấn giải pháp tổng thể an tồn, an ninh thơng tin
• ðánh giá, kiểm định rủi ro và lên phương án xử lý trong hệ thống CNTT
• Cung cấp phần mềm, phần cứng và triển khai các giải pháp an tồn thơng tin tổng
thể.
• ðạo tạo về lĩnh vực an tồn, an ninh thơng tin trong và ngồi nước.
Chúng tơi hi vọng kinh nghiệm và các giải pháp an tồn thơng tin của chúng tơi sẽ gĩp phần
vào sự phát triển của ngành tài chính nĩi chung và thị trường chứng khốn nĩi riêng.
Tham khảo:
Các web site thơng tin về các sản phẩm bảo mật được đề xuất trong giải pháp tổng thể về an
tồn thơng tin cho các cơng ty chứng khốn:
Các sản phẩm của hệ thống Firewall/VPN
• Firewall cho hạ tầng mạng
Check Point: www.checkpoint.com
Crossbeam System www.crossbeamsystems.com
• Firewall cho ứng dụng
Netcontinuum: www.netcontiuum.com
Các sản phẩm của hệ thống phịng chống xâm nhập (IPS)
• Internet Security Systems: www.iss.net
Các sản phẩm của hệ thống phịng chống Virus
• Trend Micro: www.trendmicro.com
Các sản phẩm của hệ thống xác thực và hạ tần mã khố cơng cộng (PKI)
• VASCO Data Security: www.vasco.com
• Entrust: www.entrust.com
Sản phẩm dị quét lỗ hổng bảo mật trong ứng dụng
• Watchfire: www.watchfire.com
Các file đính kèm theo tài liệu này:
- tailieu.pdf