Giải pháp bảo mật dành cho các công ty chứng khoán

Mô hình mạng:

Năm phân vùng trong mô hình bảo mật tổng thể là:

  1. Vùng mạng LAN bên trong toà nhà của công ty Chứng khoán, vùng này bao gồm:
    • Mạng LAN các PC của khối văn phòng, khối tài chính, khối nghiệp vụ tư vấn tài chính, môigiới mua bán chứng khoán.
    • Hệ thống tổng đài IP phục vụ liên lạc của công ty Chứng khoán
  2. Vùng các máy chủ DMZ cung cấp các dịch vụ trực tuyến được truy cập qua Internet như: E-Mail, Web site thông tin thị trường, Online Brokerage, Online OTC…
  3. Vùng các máy chủ cơ sở dữ liệu và ứng dụng quan trọng vận hành hệ thống quản lý các giao dịch chứng khoán.
  4. Vùng người dùng truy cập từ xa qua Internet vào hệ thống mạng, ứng dụng của công ty, vùng này bao gồm:
    • Nhân viên của công ty chứng khoán hoạt động tại 2 trung tâm GDCK Hà Nội và tp. Hồ Chí Minh truy cập VPN (Client to Site) về mạng của công ty.
    • Các nhà đầu tư truy cập vào Web site và dịch vụ chứng khoán trực tuyến (Online Brokerage, Online OTC) của công ty.
  5. Vùng các đại lý, chi nhánh của công ty kết nối VPN Site to Site hoặc WAN vào hệ thống mạng của công ty. Đây cũng là vùng kết nối mạng thông tin từ công ty Chứng khoán tới mạng của các Ngân hàng thanh toán, lưu kí trong tương lai.

Để đảm bảo an toàn cho các kết nối, trao đổi thông tin và ngăn chặn các tấn công cả từ bên trong trong và bên ngoài mạng, giải pháp bảo mật tổng thể và sản phẩm bảo mật cho hạ tầng công nghệ thông tin được chúng tôi đề xuất như sau:

1.Phân tách các vùng mạng và bảo vệ bằng hệ thống Firewall
Mạng trong phạm vi toà nhà của công ty sẽ được chia làm ba vùng chính:

  • Vùng DMZ gồm các Server cho các dịch vụ trực tuyến như Web site, Email, các ứng dụng Online Brokerage, Online OTC…
  • Vùng các Server cơ sở dữ liệu và ứng dụng quan trọng như BackOffice, CSDL khách hàng, giao dịch, lưu kí… Đây là vùng các Servers chính vận hành toàn bộ hệ thống phần mềm và CSDL liên quan tới giao dịch mua bán chứng khoán.
  • Vùng mạng LAN bao gồm khối văn phòng, nghiệp vụ và hệ thống tổng đài IP.

Các vùng mạng sẽ được quy hoạch trên các dải IP riêng biệt. Hệ thống Firewall sẽ kiểm soát luồng dữ liệu đi qua bao gồm: Truy cập từ ngoài Internet vào vùng dịch vụ trực tuyến, người dùng ở mạng LAN truy cập Internet qua đường LeasedLine, ADSL hoặc Wireless, người dùng ở mạng LAN truy cập vào vùng Server ứng dụng và cơ sở dữ liệu. Firewall sẽ kiểm soát, xác thực và ngăn chặn những truy cập không hợp lệ, những tấn công của hacker từ ngoài Internet hoặc trực tiếp xuất phát từ bên trong mạng vào các vùng servers.

Với kinh nghiệm triển khai của hệ thống , kết hợp với sự phát triển của công nghệ, chúng tôi đề xuất hệ thống Firewall sẽ là sự kết hợp giữa Firewall VPN1- UTM của hãng Check Point chạy trên phần cứng chuyên dụng của hãng Crossbeam System. Check Point Firewall VPN1-UTM hội đủ các yêu tố bảo vệ mạng bao gồm các tính năng Firewall, AntiVirus, IPS và VPN server chỉ trong một sản phẩm. Check Point Firewall được cài trên một cặp thiết bị an ninh tích hợp chuyên dụng của hãng Crossbeam System chạy clustering ở chế độ HA (High availability) đảm bảo tính sẵn sàng cao và hiệu năng hoạt động của toàn mạng.

2. Thiết lập và bảo vệ các kết nối VPN.

Hệ thống Check Point Firewall VPN1-UTM đặt tại trụ sở chính của công ty chứng khoán bên cạnh chức năng kiểm soát các luồng thông tin ra vào mạng còn là hệ thống VPN Server cho các kết nối theo cả 2 mô hình Client to Site và Site to Site.

Với mô hình kết nối VPN Site to Site, tại mỗi chi nhánh hoặc đại lý sẽ sử dụng thiết bị Firewall VPN chuyên dụng loại nhỏ VPN1-Edge của hãng Check Point. Thiết bị này có đầy đủ tính năng Firewall và thiết lập kênh kết nối Site to Site qua đường Leaseline hoặc ADSL. Với mô hình này, hệ thống VPN Server tại Headquater sẽ tự động xác thực giữa 2 đầu thiết bị và kiểm tra tính an toàn trước khi cho phép thiết lập kênh kết nối.

Check Point VPN1-Edge khi thiết lập VPN tunnel sẽ sử dụng các công nghệ mã hoá sau

  • (AES) 128-256 bit
  • Triple DES 56-168 bit
  • SSL – Secure Sockets Layer

Mô hình Client to Site áp dụng cho các nhân viên của công ty làm việc tại các TTGDCK thiết lập kênh kết nối qua Internet, dial-up và hỗ trợ xác thực người dùng bằng nhiều phương thức như Certificate, Token, Smartcard… trước khi cho phép kết nối. Tại các máy của nhân viên sẽ cài phần mếm thiết lập kết nối VPN client của Check Point.

3. Thiết lập các hệ thống phòng chống xâm nhập cho các vùng thông tin quan trọng.

Trong mô hình bảo mật tổng thể cho công ty chứng khoán, vùng máy chủ cơ sở dữ liệu và máy chủ ứng dụng là quan trọng nhất trong hoạt động trao đổi thông tin của công ty chứng khoán. Nếu một trong các máy chủ này bị tấn công hoặc có sự cố, hoạt động kinh doanh của các công ty sẽ bị ảnh hưởng trực tiếp. Do vậy bên cạnh hệ thống Firewall bảo vệ hạ tầng network của công ty, nhất thiết cần trang bị bổ sung hệ thống phòng chống xâm nhập (IPS) để bảo vệ riêng cho vùng các Server ứng dụng này. Khác với Network Firewall, hệ thống IPS sẽ phát hiện và ngăn chặn các xâm nhập ở tầng ứng dụng, can thiệp trực tiếp vào các protocols, các traffice mà hệ thống Firewall không phát hiện được. Hệ thống IPS được đặt trong vùng mạng LAN, do vậy hệ thống phải đảm bảo được tốc độ xử lý để không làm nghẽn luồng thông tin được trao đổi với mật độ cao tại đây.
Với mức độ quan trọng như trên, chúng tôi đề xuất triển khai thiết bị phòng chống xâm nhập Proventia Network IPS chuyên dụng của hãng Internet Security Systems –ISS. Thiết bị này cho phép ngăn chặn trước các cuộc tấn công chưa biết cũng như các cuộc tấn công đã biết như DoS, trojan, peer to peer download, backdoor, malicious http và file đính kèm e-mail mà không ảnh hưởng đến hoạt động của mạng. Đặc biệt, thiết bị Proventia Network IPS có khả năng phân tích và nhận dạng các giao thức được sử dụng trong VoIP như SIP, MGCP, H.323, H.225, H.245, Q.931, T.120 và SCCP để xác định các cuộc tấn công.
Thiết bị này sẽ được đặt trước vùng Server farm bảo vệ cho cả vùng, kiểm soát toàn bộ các yêu cầu truy cập dữ liệu cả ở mức Network và mức ứng dụng trên các Server. Cơ sở dữ liệu về các mẫu tấn công (attacking Signatures) sẽ luôn được hệ thống update từ Internet Security Systems X-Force theo thời gian thực, đảm bảo ngăn chặn tối đa các tấn công có thể xảy ra hiện nay. Proventia Network IPS có tính năng Fail-open và hỗ trợ cấu hình dạng Active/Active, Active/Passive do vậy đảm bảo tính sẵn sàng cao của toàn mạng.

4. Ngăn chặn tấn công của Virus tại Gateway và trong các vùng mạng.

Các con đường mà virus có thể tấn công và bùng phát vào mạng của công ty chứng khoán tương đối đa dạng, xuất phát từ Internet, từ người dùng bên trong, bên ngoài mạng và đặc biệt qua email. Để có một hệ thống phòng chống có hiệu quả cao thì cần phòng và chống Virus và Spyware tại cả 4 lớp mạng: gateway, mailserver, server, PCs. Hệ thống này phải được quản lý tập trung, thống nhất và luôn luôn được cập nhật mẫu Virus và Spyware từ những trung tâm phòng chống Virus và Spyware lớn trên thế giới. Ngoài ra cần phải có một chính sách bảo mật chung và kết hợp với các giải pháp bảo mật khác để phòng chống Virus và Spyware hiệu quả hơn.

Giải pháp tổng thể được chúng tôi đề xuất dựa trên công nghệ và sản phẩm phòng chống virus của hãng Trend Micro. Các sản phẩm bao gồm:

  • Trend Micro™ Client/Server/Messaging Suite for SMB
  • Trend Micro Internet Security
  • InterScan Gateway Security Appliance

Đối với ngăn chặn và phòng chống AntiVirus tại Internet Gateway, chúng tôi sử dụng thiết bị chuyên dụng InterScan Gateway Appliance (ISGA) của hãng Trend Micro. Đây là thiết bị quét virus, spyware, phishing tại Internet Gateway trên các luồng: SMTP, POP3, HTTP, FTP và đặc biệt đảm bảo được tốc độ tại điểm Gateway mà hầu hết các traffice trao đổi thông tin giữa mạng trong và mạng ngoài đều phải đi qua.

5. Xác thực mạnh và chữ kí số để đảm bảo các giao dịch mua bán chứng khoán trực tuyến.

Trước sự sôi động của thị trường chứng khoán và số lượng các nhà đầu tư ngày càng tăng nhanh, các công ty đang rất cố gắng thu hút được nhiều nhà đầu tư đến với mình bằng cách cung cấp các dịch vụ thuận lợi nhất như mở tài khoản, giao dịch qua mạng, qua phone. Một trong những yếu tố thành công của các hình thức dịch vụ Online là tính an toàn, nhanh chóng và không làm nhà đầu tư mất các cơ hội mua bán. Xác thực mạnh danh tính trực tuyến và ứng dụng công nghệ Hạ tầng mã khoá công cộng (PKI) để mã hoá dữ liệu nhằm đảm bảo tối đa tính toàn vẹn, bí mật và chống từ chối của các giao dịch điện tử.

Hãng Entrust và hãng VASCO là 2 công ty chuyên cung cấp các giải pháp, sản phẩm xác thực mạnh và mã hoá dữ liệu cho lĩnh vực tài chính, ngân hàng. Trong lĩnh vực chứng khoán, giải pháp của Entrust và VASCO được tích hợp vào các ứng dụng giao dịch mua bán chứng khoá trưc tuyến thực hiện nhằm các mục đính:

  • Xác thực mạnh 2 yếu tố khi người dùng truy cập tài khoản trực tuyến, sử dụng các phương thức xác thực như One-Time-Password token, Grid token, Mobile
  • Xác thực 2 chiều giữa ứng dụng chứng khoán trực tuyến và các nhà đầu tư. Các nhà đầu tư có khả năng xác thực lại Web site, ứng dụng có đúng là Web site thật của nhà cung cấp hay không. Kĩ thuật này giúp cho nhà đầu tư chống lại các kĩ thuật tấn công phishing hoặc Farming để ăn cắp thông tin của tin tặc.
  • Tích hợp chữ kí số vào các giao dịch quan trọng, đảm bảo tính toàn vẹn, tính mật, tính chống từ chối trong các giao dịch mua bán chứng khoán online. Công nghệ này cũng được các cty chứng khoán ứng dụng làm trọng tài phân xử trong trường hợp nảy sinh các vấn đề chối bỏ hoặc sai sót trong giao dịch.

Thông thường, các giải pháp xác thực truyền thống sẽ đòi hỏi hàng trăm đô-la đầu tư cho mỗi một khách hàng, vậy các công ty chứng khoán sẽ chịu chi phí này hay nhà đầu tư sẽ chịu để bảo mật thông tin của họ? Giải pháp xác thực mạnh IdentityGuard của Entrust sẽ giúp các công ty chứng khoán giải quyết bài toán này với một chi phí tối ưu nhất. Mỗi một nhà đầu tư sẽ được cấp một thẻ xác thực in ma trận một bảng như hình vẽ, mỗi một lần giao dịch, thay vì (hoặc thêm vào) việc hỏi mật khẩu, ứng dụng chứng khoán sẽ hỏi vài giá trị trong một số ô ngẫu nhiên trên thẻ. Ví dụ: A3=? B5=? C2=?… Nếu giả sử lần giao dịch đó bị lộ, kẻ xấu c ũng không thể lợi dụng được lần sau. Tất nhiên bảng giá trị này sẽ thường xuyên được thay đổi và gửi đến khách.
Thẻ xác thực có thể cấp cho các nhà đầu tư khi sử dụng giao dịch điện tử, giao dịch qua phone, trang bị cho các nhân viên của công ty tại trung tâm giao dịch truy cập VPN về mạng của công ty, trang bị cho các nhân viên trong công ty khi muốn truy cập vào một số ứng dụng nội bộ hoặc server quan trọng. Giải pháp xác thực IdentityGuard của Entrust rất phù hợp khi triển khai với một số lượng lớn bởi chi phí thấp và tính tiện dụng cao.

6. Kiểm tra, phát hiện các lỗ hổng trong ứng dụng phát triển

Hầu hết các ứng dụng chứng khoán trực tuyến hiện nay đều do các công ty phần mềm trong nước phát triển và chạy trên môi trường Web. Các ứng dụng đó được lập trình bằng các công cụ và ngôn ngữ lập trình phổ biến như .NET, Oracle và trên thực tế các ứng dụng đó luôn tiềm ẩn rất nhiều những lỗ hổng bảo mật xuất phát từ bản thân các phần mềm cơ sở dữ liệu, trong các Web server và trong các đoạn code lập trình của lập trình viên. Các lỗ hổng đó sẽ tạo ra các Backdoor để tin tặc lợi dụng làm sai lệch thông tin, chiếm đoạt quyền điều khiển của các account quản trị của ứng dụng hoặc thậm chí chiếm đoạt luôn quyền điều khiển Server. Đối với những lỗ hổng bảo mật loại này, các hệ thống như Network Firewall, IPS cũng khó có thể phát hiện ra.
Để phát hiện và ngăn chặn các lỗ hổng bảo mật trong ứng dụng Web, có 2 phương pháp được áp dụng là:

  • Sử dụng chương trình phát hiện điểm yếu để rà soát tất cả các đoạn code lập trình, các hệ điều hành, các web server mà ứng dụng Web đang hoạt động. Chương trình sẽ chỉ ra những lỗ hổng và đề xuất các phương án xử lý. Giải pháp AppScan 7.0 của hãng WatchFire cho phép tự động hoá tiến trình phân tích, giúp cho thời gian phát hiện lỗ hổng, nguồn gốc phát sinh và đề xuất phương hướng ngăn chặn giảm 80% so với việc sử dụng các chuyên gia đánh giá lỗ hổng. Giải pháp này là cầu nối giữa giữa chuyên viên bảo mật với nhà phát triển ứng dụng để đem lại tính an toàn bảo mật nhất cho ứng dụng Web. Phương pháp này có thể được áp dụng ngay khi ứng dụng đang trong giai đoạn phát triển hoặc sau khi ứng dụng đã đi vào hoạt động.
  • Phương pháp thứ hai được sử dụng để kiểm soát và che các lỗ hổng bảo mật trong ứng dụng là sử dụng một thế hệ Firewall mới chuyên dụng để bảo vệ cho các ứng dụng Web. Netcontinnum Application Security là một sản phẩm tường lửa ứng dụng Web của hãng Netcontinuum với mục đích phát hiện ra các lỗ hổng bảo mật, sau đó sẽ kiểm soát và ngăn chặn các tấn công tới lỗ hổng đó. Khác với giải pháp của WatchFire, Netcontinnum không yêu cầu phải ra soát toàn bộ các mã lệnh lập trình mà sẽ được đặt trước ứng dụng để kiểm soát các yêu cầu từ phía người dùng gửi tới ứng dụng Web.

Netcontinuum có khả năng phát hiện và xử lý trên 70 loại lỗ hổng và nguy cơ mất an toàn nằm bên trong các ứng dụng. Các loại lỗ hổng này đều nằm trong top 10 lỗ hổng tinh vi nhất được hiệp hội phát triển và bảo vệ ứng dụng “Open Web Application Security Project” (OWASP: www.owasp.org) nêu ra.

Kết luận:

Theo kế hoạch phát triển của ngành tài chính, ngành chứng khoán sẽ đạt 30% GPD của Việt nam đến năm 2010. Theo đúng kế hoạch này thì thị trường chứng khoán việt nam sẽ rất sôi động và phát triển nhanh chóng. Khi đó giao dịch chứng khoán trực tuyến trở thành yếu tố quan trọng làm chìa khoá cạnh tranh giữa các công ty chứng khoán. Đây cũng là yếu tố thúc đẩy sự phát triển chung của ngành chứng khoán Việt Nam tương tự như đối với thị trường chứng khoán quốc tế. Tuy vậy việc đầu tư và triển khai một hệ thống CNTT đảo bảm cho các hoạt động chứng khoán, nhất thiết cần phải đầu tư một cách đồng bộ giữa hạ tầng thông tin và hệ thống bảo mật một cách đầy đủ. Nếu hệ thống vẫn còn tồn tại những lỗ hổng chưa được bảo vệ thì có thể đó sẽ là các điểm yếu để tin tặc, hoặc thậm chí là những đối thủ cạnh tranh lợi dụng để tấn công. Hậu quả xảy ra ảnh hưởng đến hoạt động kinh doanh là khó có thể lường trước được.

Song song với việc đầu tư về công nghệ, các công ty chưng khoán sẽ phải xây dựng được riêng cho mình một hệ thống quản lý an toàn thông tin bao gồm các chính sách ATTT, các hướng dẫn cụ thể trong việc thực thi chính sách và bố trí tài nguyên con người cùng với trách nhiệm và quyền lợi cụ thể. Hệ thống quản lý này sẽ giúp cho các công ty chứng khoán có thể thích ứng linh hoạt với sự thay đổi của các rủi ro trong hệ thống CNTT. Hệ thống này được mô tả kỹ lưỡng trong chuẩn ISO17799- chuẩn quốc tế về an toàn thông tin- mà các công ty chứng khoán có thể xem xét áp dụng.
Với tư cách làm một trong các công ty hàng đầu của Việt Nam trong lĩnh vực an toàn thông tin, chúng tôi có thể cung cấp tới các công ty chứng khoán các dịch vụ về an toàn thông tin sau:

  • Tư vấn giải pháp tổng thể an toàn, an ninh thông tin
  • Đánh giá, kiểm định rủi ro và lên phương án xử lý trong hệ thống CNTT
  • Cung cấp phần mềm, phần cứng và triển khai các giải pháp an toàn thông tin tổng thể.
  • Đạo tạo về lĩnh vực an toàn, an ninh thông tin trong và ngoài nước.

Chúng tôi hi vọng kinh nghiệm và các giải pháp an toàn thông tin của chúng tôi sẽ góp phần vào sự phát triển của ngành tài chính nói chung và thị trường chứng khoán nói riêng.

Trung Nghĩa (Nguồn Misoft)

About Tony Nguyễn
Tôi tên Tony tự Tèo trú tại thôn Tám, Trảng Thanh tỉnh Thừa Thiên. Thưở thiếu thời trí tuệ tôi thường thường, tuy thế tính tình thật thà thẳng thắng, thích thi thơ ...

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: