Mô hình mạng:
Năm phân vùng trong mô hình bảo mật tổng thể là:
Để đảm bảo an toàn cho các kết nối, trao đổi thông tin và ngăn chặn các tấn công cả từ bên trong trong và bên ngoài mạng, giải pháp bảo mật tổng thể và sản phẩm bảo mật cho hạ tầng công nghệ thông tin được chúng tôi đề xuất như sau:
1.Phân tách các vùng mạng và bảo vệ bằng hệ thống Firewall Mạng trong phạm vi toà nhà của công ty sẽ được chia làm ba vùng chính:
Các vùng mạng sẽ được quy hoạch trên các dải IP riêng biệt. Hệ thống Firewall sẽ kiểm soát luồng dữ liệu đi qua bao gồm: Truy cập từ ngoài Internet vào vùng dịch vụ trực tuyến, người dùng ở mạng LAN truy cập Internet qua đường LeasedLine, ADSL hoặc Wireless, người dùng ở mạng LAN truy cập vào vùng Server ứng dụng và cơ sở dữ liệu. Firewall sẽ kiểm soát, xác thực và ngăn chặn những truy cập không hợp lệ, những tấn công của hacker từ ngoài Internet hoặc trực tiếp xuất phát từ bên trong mạng vào các vùng servers.
Với kinh nghiệm triển khai của hệ thống , kết hợp với sự phát triển của công nghệ, chúng tôi đề xuất hệ thống Firewall sẽ là sự kết hợp giữa Firewall VPN1- UTM của hãng Check Point chạy trên phần cứng chuyên dụng của hãng Crossbeam System. Check Point Firewall VPN1-UTM hội đủ các yêu tố bảo vệ mạng bao gồm các tính năng Firewall, AntiVirus, IPS và VPN server chỉ trong một sản phẩm. Check Point Firewall được cài trên một cặp thiết bị an ninh tích hợp chuyên dụng của hãng Crossbeam System chạy clustering ở chế độ HA (High availability) đảm bảo tính sẵn sàng cao và hiệu năng hoạt động của toàn mạng.
2. Thiết lập và bảo vệ các kết nối VPN.
Hệ thống Check Point Firewall VPN1-UTM đặt tại trụ sở chính của công ty chứng khoán bên cạnh chức năng kiểm soát các luồng thông tin ra vào mạng còn là hệ thống VPN Server cho các k��t nối theo cả 2 mô hình Client to Site và Site to Site.
Với mô hình kết nối VPN Site to Site, tại mỗi chi nhánh hoặc đại lý sẽ sử dụng thiết bị Firewall VPN chuyên dụng loại nhỏ VPN1-Edge của hãng Check Point. Thiết bị này có đầy đủ tính năng Firewall và thiết lập kênh kết nối Site to Site qua đường Leaseline hoặc ADSL. Với mô hình này, hệ thống VPN Server tại Headquater sẽ tự động xác thực giữa 2 đầu thiết bị và kiểm tra tính an toàn trước khi cho phép thiết lập kênh kết nối.
Check Point VPN1-Edge khi thiết lập VPN tunnel sẽ sử dụng các công nghệ mã hoá sau
Mô hình Client to Site áp dụng cho các nhân viên của công ty làm việc tại các TTGDCK thiết lập kênh kết nối qua Internet, dial-up và hỗ trợ xác thực người dùng bằng nhiều phương thức như Certificate, Token, Smartcard… trước khi cho phép kết nối. Tại các máy của nhân viên sẽ cài phần mếm thiết lập kết nối VPN client của Check Point.
3. Thiết lập các hệ thống phòng chống xâm nhập cho các vùng thông tin quan trọng.
Trong mô hình bảo mật tổng thể cho công ty chứng khoán, vùng máy chủ cơ sở dữ liệu và máy chủ ứng dụng là quan trọng nhất trong hoạt động trao đổi thông tin của công ty chứng khoán. Nếu một trong các máy chủ này bị tấn công hoặc có sự cố, hoạt động kinh doanh của các công ty sẽ bị ảnh hưởng trực tiếp. Do vậy bên cạnh hệ thống Firewall bảo vệ hạ tầng network của công ty, nhất thiết cần trang bị bổ sung hệ thống phòng chống xâm nhập (IPS) để bảo vệ riêng cho vùng các Server ứng dụng này. Khác với Network Firewall, hệ thống IPS sẽ phát hiện và ngăn chặn các xâm nhập ở tầng ứng dụng, can thiệp trực tiếp vào các protocols, các traffice mà hệ thống Firewall không phát hiện được. Hệ thống IPS được đặt trong vùng mạng LAN, do vậy hệ thống phải đảm bảo được tốc độ xử lý để không làm nghẽn luồng thông tin được trao đổi với mật độ cao tại đây.
Với mức độ quan trọng như trên, chúng tôi đề xuất triển khai thiết bị phòng chống xâm nhập Proventia Network IPS chuyên dụng của hãng Internet Security Systems –ISS. Thiết bị này cho phép ngăn chặn trước các cuộc tấn công chưa biết cũng như các cuộc tấn công đã biết như DoS, trojan, peer to peer download, backdoor, malicious http và file đính kèm e-mail mà không ảnh hưởng đến hoạt động của mạng. Đặc biệt, thiết bị Proventia Network IPS có khả năng phân tích và nhận dạng các giao thức được sử dụng trong VoIP như SIP, MGCP, H.323, H.225, H.245, Q.931, T.120 và SCCP để xác định các cuộc tấn công.
Thiết bị này sẽ được đặt trước vùng Server farm bảo vệ cho cả vùng, kiểm soát toàn bộ các yêu cầu truy cập dữ liệu cả ở mức Network và mức ứng dụng trên các Server. Cơ sở dữ liệu về các mẫu tấn công (attacking Signatures) sẽ luôn được hệ thống update từ Internet Security Systems X-Force theo thời gian thực, đảm bảo ngăn chặn tối đa các tấn công có thể xảy ra hiện nay. Proventia Network IPS có tính năng Fail-open và hỗ trợ cấu hình dạng Active/Active, Active/Passive do vậy đảm bảo tính sẵn sàng cao của toàn mạng.
4. Ngăn chặn tấn công của Virus tại Gateway và trong các vùng mạng.
Các con đường mà virus có thể tấn công và bùng phát vào mạng của công ty chứng khoán tương đối đa dạng, xuất phát từ Internet, từ người dùng bên trong, bên ngoài mạng và đặc biệt qua email. Để có một hệ thống phòng chống có hiệu quả cao thì cần phòng và chống Virus và Spyware tại cả 4 lớp mạng: gateway, mailserver, server, PCs. Hệ thống này phải được quản lý tập trung, thống nhất và luôn luôn được cập nhật mẫu Virus và Spyware từ những trung tâm phòng chống Virus và Spyware lớn trên thế giới. Ngoài ra cần phải có một chính sách bảo mật chung và kết hợp với các giải pháp bảo mật khác để phòng chống Virus và Spyware hiệu quả hơn.
Giải pháp tổng thể được chúng tôi đề xuất dựa trên công nghệ và sản phẩm phòng chống virus của hãng Trend Micro. Các sản phẩm bao gồm:
Đối với ngăn chặn và phòng chống AntiVirus tại Internet Gateway, chúng tôi sử dụng thiết bị chuyên dụng InterScan Gateway Appliance (ISGA) của hãng Trend Micro. Đây là thiết bị quét virus, spyware, phishing tại Internet Gateway trên các luồng: SMTP, POP3, HTTP, FTP và đặc biệt đảm bảo được tốc độ tại điểm Gateway mà hầu hết các traffice trao đổi thông tin giữa mạng trong và mạng ngoài đều phải đi qua.
5. Xác thực mạnh và chữ kí số để đảm bảo các giao dịch mua bán chứng khoán trực tuyến.
Trước sự sôi động của thị trường chứng khoán và số lượng các nhà đầu tư ngày càng tăng nhanh, các công ty đang rất cố gắng thu hút được nhiều nhà đầu tư đến với mình bằng cách cung cấp các dịch vụ thuận lợi nhất như mở tài khoản, giao dịch qua mạng, qua phone. Một trong những yếu tố thành công của các hình thức dịch vụ Online là tính an toàn, nhanh chóng và không làm nhà đầu tư mất các cơ hội mua bán. Xác thực mạnh danh tính trực tuyến và ứng dụng công nghệ Hạ tầng mã khoá công cộng (PKI) để mã hoá dữ liệu nhằm đảm bảo tối đa tính toàn vẹn, bí mật và chống từ chối của các giao dịch điện tử.
Hãng Entrust và hãng VASCO là 2 công ty chuyên cung cấp các giải pháp, sản phẩm xác thực mạnh và mã hoá dữ liệu cho lĩnh vực tài chính, ngân hàng. Trong lĩnh vực chứng khoán, giải pháp của Entrust và VASCO được tích hợp vào các ứng dụng giao dịch mua bán chứng khoá trưc tuyến thực hiện nhằm các mục đính:
Thông thường, các giải pháp xác thực truyền thống sẽ đòi hỏi hàng trăm đô-la đầu tư cho mỗi một khách hàng, vậy các công ty chứng khoán sẽ chịu chi phí này hay nhà đầu tư sẽ chịu để bảo mật thông tin của họ? Giải pháp xác thực mạnh IdentityGuard của Entrust sẽ giúp các công ty chứng khoán giải quyết bài toán này với một chi phí tối ưu nhất. Mỗi một nhà đầu tư sẽ được cấp một thẻ xác thực in ma trận một bảng như hình vẽ, mỗi một lần giao dịch, thay vì (hoặc thêm vào) việc hỏi mật khẩu, ứng dụng chứng khoán sẽ hỏi vài giá trị trong một số ô ngẫu nhiên trên thẻ. Ví dụ: A3=? B5=? C2=?... Nếu giả sử lần giao dịch đó bị lộ, kẻ xấu c ũng không thể lợi dụng được lần sau. Tất nhiên bảng giá trị này sẽ thường xuyên được thay đổi và gửi đến khách.
Thẻ xác thực có thể cấp cho các nhà đầu tư khi sử dụng giao dịch điện tử, giao dịch qua phone, trang bị cho các nhân viên của công ty tại trung tâm giao dịch truy cập VPN về mạng của công ty, trang bị cho các nhân viên trong công ty khi muốn truy cập vào một số ứng dụng nội bộ hoặc server quan trọng. Giải pháp xác thực IdentityGuard của Entrust rất phù hợp khi triển khai với một số lượng lớn bởi chi phí thấp và tính tiện dụng cao.
6. Kiểm tra, phát hiện các lỗ hổng trong ứng dụng phát triển
Hầu hết các ứng dụng chứng khoán trực tuyến hiện nay đều do các công ty phần mềm trong nước phát triển và chạy trên môi trường Web. Các ứng dụng đó được lập trình bằng các công cụ và ngôn ngữ lập trình phổ biến như .NET, Oracle và trên thực tế các ứng dụng đó luôn tiềm ẩn rất nhiều những lỗ hổng bảo mật xuất phát từ bản thân các phần mềm cơ sở dữ liệu, trong các Web server và trong các đoạn code lập trình của lập trình viên. Các lỗ hổng đó sẽ tạo ra các Backdoor để tin tặc lợi dụng làm sai lệch thông tin, chiếm đoạt quyền điều khiển của các account quản trị của ứng dụng hoặc thậm chí chiếm đoạt luôn quyền điều khiển Server. Đối với những lỗ hổng bảo mật loại này, các hệ thống như Network Firewall, IPS cũng khó có thể phát hiện ra.
Để phát hiện và ngăn chặn các lỗ hổng bảo mật trong ứng dụng Web, có 2 phương pháp được áp dụng là:
Netcontinuum có khả năng phát hiện và xử lý trên 70 loại lỗ hổng và nguy cơ mất an toàn nằm bên trong các ứng dụng. Các loại lỗ hổng này đều nằm trong top 10 lỗ hổng tinh vi nhất được hiệp hội phát triển và bảo vệ ứng dụng “Open Web Application Security Project” (OWASP:www.owasp.org) nêu ra.
Kết luận:
Theo kế hoạch phát triển của ngành tài chính, ngành chứng khoán sẽ đạt 30% GPD của Việt nam đến năm 2010. Theo đúng kế hoạch này thì thị trường chứng khoán việt nam sẽ rất sôi động và phát triển nhanh chóng. Khi đó giao dịch chứng khoán trực tuyến trở thành yếu tố quan trọng làm chìa khoá cạnh tranh giữa các công ty chứng khoán. Đây cũng là yếu tố thúc đẩy sự phát triển chung của ngành chứng khoán Việt Nam tương tự như đối với thị trường chứng khoán quốc tế. Tuy vậy việc đầu tư và triển khai một hệ thống CNTT đảo bảm cho các hoạt động chứng khoán, nhất thiết cần phải đầu tư một cách đồng bộ giữa hạ tầng thông tin và hệ thống bảo mật một cách đầy đủ. Nếu hệ thống vẫn còn tồn tại những lỗ hổng chưa được bảo vệ thì có thể đó sẽ là các điểm yếu để tin tặc, hoặc thậm chí là những đối thủ cạnh tranh lợi dụng để tấn công. Hậu quả xảy ra ảnh hưởng đến hoạt động kinh doanh là khó có thể lường trước được.
Song song với việc đầu tư về công nghệ, các công ty chưng khoán sẽ phải xây dựng được riêng cho mình một hệ thống quản lý an toàn thông tin bao gồm các chính sách ATTT, các hướng dẫn cụ thể trong việc thực thi chính sách và bố trí tài nguyên con người cùng với trách nhiệm và quyền lợi cụ thể. Hệ thống quản lý này sẽ giúp cho các công ty chứng khoán có thể thích ứng linh hoạt với sự thay đổi của các rủi ro trong hệ thống CNTT. Hệ thống này được mô tả kỹ lưỡng trong chuẩn ISO17799- chuẩn quốc tế về an toàn thông tin- mà các công ty chứng khoán có thể xem xét áp dụng.
Với tư cách làm một trong các công ty hàng đầu của Việt Nam trong lĩnh vực an toàn thông tin, chúng tôi có thể cung cấp tới các công ty chứng khoán các dịch vụ về an toàn thông tin sau:
Chúng tôi hi vọng kinh nghiệm và các giải pháp an toàn thông tin của chúng tôi sẽ góp phần vào sự phát triển của ngành tài chính nói chung và thị trường chứng khoán nói riêng.
Trung Nghĩa (Nguồn Misoft)