• Thứ Sáu, 04/05/2007 16:33 (GMT+7)

    An toàn thông tin cho công ty chứng khoán (tiếp)

    Trước nhu cầu phát triển của ngành chứng khoán trong nước cũng như sự cần thiết cho việc đầu tư và triển khai một hệ thống CNTT đảm bảo cho các hoạt động chứng khoán, trong số tháng 4/2007, TGVT – PCWorld sê-ri B đã giới thiệu giải pháp bảo mật dành cho các công ty chứng khoán của một chuyên gia ATTT đến từ công ty Misoft. Kỳ này tác giả tiếp tục đưa ra các giải pháp về phòng chống xâm nhập và xác thực.

    Trước nhu cầu phát triển của ngành chứng khoán trong nước cũng như sự cần thiết cho việc đầu tư và triển khai một hệ thống CNTT đảm bảo cho các hoạt động chứng khoán, trong số tháng 4/2007, TGVT – PCWorld sê-ri B đã giới thiệu giải pháp bảo mật dành cho các công ty chứng khoán của một chuyên gia ATTT đến từ công ty Misoft. Kỳ này tác giả tiếp tục đưa ra các giải pháp về phòng chống xâm nhập và xác thực.

    Thiết lập các hệ thống phòng chống xâm nhập cho các vùng thông tin quan trọng.

    Trong mô hình bảo mật tổng thể cho công ty chứng khoán (CTCK), vùng máy chủ (Server) CSDL và Server ứng dụng là quan trọng nhất trong hoạt động trao đổi thông tin. Nếu một trong các Server này bị tấn công hoặc có sự cố, hoạt động kinh doanh của các công ty sẽ bị ảnh hưởng trực tiếp. Do vậy bên cạnh hệ thống Firewall bảo vệ hạ tầng mạng, nhất thiết cần trang bị hệ thống phòng chống xâm nhập (IPS) để bảo vệ các Server ứng dụng này. Hệ thống IPS sẽ phát hiện và ngăn chặn các xâm nhập ở tầng ứng dụng, can thiệp trực tiếp vào các protocols, các traffice mà hệ thống Firewall không phát hiện được. Hệ thống IPS được đặt trong vùng mạng LAN, do vậy hệ thống phải đảm bảo được tốc độ xử lý để không làm nghẽn luồng thông tin trao đổi với mật độ cao tại đây.

    Với mức độ quan trọng như trên, chúng tôi đề xuất triển khai thiết bị phòng chống xâm nhập Proventia Network IPS chuyên dụng của hãng Internet Security Systems –ISS. Thiết bị này cho phép ngăn chặn trước các cuộc tấn công chưa biết cũng như các cuộc tấn công đã biết như DoS, trojan, peer to peer download, backdoor, malicious http và file đính kèm e-mail mà không ảnh hưởng đến hoạt động của mạng. Đặc biệt, thiết bị Proventia Network IPS có khả năng phân tích và nhận dạng các giao thức được sử dụng trong VoIP như SIP, MGCP, H.323, H.225, H.245, Q.931, T.120 và SCCP để xác định các cuộc tấn công.

    Thiết bị này được đặt trước vùng Server farm bảo vệ cho cả vùng, kiểm soát toàn bộ các yêu cầu truy cập dữ liệu cả ở mức Network và mức ứng dụng trên các Server. CSDL về các mẫu tấn công (attacking Signatures) sẽ luôn được hệ thống cập nhật từ ISS X-Force (đội nghiên cứu của ISS) theo thời gian thực, đảm bảo ngăn chặn tối đa các tấn công có thể xảy ra hiện nay. Proventia Network IPS có tính năng Fail-open và hỗ trợ cấu hình dạng Active/Active, Active/Passive do vậy đảm bảo tính sẵn sàng cao của toàn mạng.

    Ngăn chặn tấn công của Virus tại Gateway và trong các vùng mạng.

    Các con đường virus có thể tấn công và bùng phát vào mạng của CTCK tương đối đa dạng, xuất phát từ Internet, từ người dùng bên trong, bên ngoài mạng và đặc biệt qua email. Để có một hệ thống phòng chống hiệu quả cao, cần phòng chống Virus và Spyware tại cả 4 lớp mạng: gateway, mailserver, server, PCs. Hệ thống này phải được quản lý tập trung, thống nhất và luôn luôn được cập nhật mẫu Virus và Spyware từ những trung tâm phòng chống Virus và Spyware lớn trên thế giới. Ngoài ra cần phải có một chính sách bảo mật chung và kết hợp với các giải pháp bảo mật khác để phòng chống Virus và Spyware hiệu quả hơn.

    Giải pháp tổng thể được chúng tôi đề xuất dựa trên công nghệ và sản phẩm phòng chống. Các sản phẩm bao gồm:

    • Trend Micro™ Client/Server/Messaging Suite for SMB

    • Trend Micro Internet Security

    • InterScan Gateway Security Appliance (ISGA).

    Đối với ngăn chặn và phòng chống Virus tại Internet Gateway, chúng tôi sử dụng thiết bị chuyên dụng ISGA của Trend Micro. Đây là thiết bị quét virus, spyware, phishing tại Internet Gateway trên các luồng: SMTP, POP3, HTTP, FTP và đặc biệt đảm bảo được tốc độ tại điểm Gateway mà hầu hết các traffice trao đổi thông tin giữa mạng trong và mạng ngoài đều phải đi qua.

    Xác thực và chữ ký số để đảm bảo các giao dịch mua bán CK trực tuyến.

    Xác thực mạnh danh tính trực tuyến và ứng dụng công nghệ “Hạ tầng mã khoá công cộng” (PKI) để mã hóa dữ liệu nhằm đảm bảo tối đa tính toàn vẹn, bí mật và chống từ chối của các giao dịch điện tử.

    Hãng Entrust và hãng VASCO là 2 công ty chuyên cung cấp các giải pháp, sản phẩm xác thực mạnh và mã hóa dữ liệu cho lĩnh vực tài chính, ngân hàng. Trong lĩnh vực CK, giải pháp của Entrust và VASCO được tích hợp vào các ứng dụng giao dịch mua bán chứng khoán (MBCK) trực tuyến thực hiện nhằm các mục đích:

    • Xác thực mạnh 2 yếu tố khi người dùng truy cập tài khoản trực tuyến, sử dụng các phương thức xác thực như One-Time-Password token, Grid token, Mobile

    • Xác thực 2 chiều giữa ứng dụng CK trực tuyến và các nhà đầu tư. Các nhà đầu tư có khả năng xác thực lại website ứng dụng có đúng là website thật của nhà cung cấp hay không. Kỹ thuật này giúp cho nhà đầu tư chống lại các kỹ thuật tấn công phishing hoặc Farming để ăn cắp thông tin của Hacker.

    • Tích hợp chữ ký số vào các giao dịch quan trọng, đảm bảo tính toàn vẹn, tính bảo mật, tính chống từ chối trong các giao dịch MBCK online. Công nghệ này cũng được các CTCK ứng dụng làm trọng tài phân xử trong trường hợp nảy sinh các vấn đề chối bỏ hoặc sai sót trong giao dịch.

    Thông thường, các giải pháp xác thực truyền thống đòi hỏi hàng trăm đô-la đầu tư cho mỗi khách hàng, vậy các CTCK sẽ chịu chi phí này hay nhà đầu tư sẽ chịu để bảo mật thông tin của họ? Giải pháp xác thực mạnh IdentityGuard của Entrust sẽ giúp các CTCK giải quyết bài toán này với chi phí tối ưu nhất. Mỗi nhà đầu tư sẽ được cấp một thẻ xác thực in ma trận (bảng như hình vẽ) mỗi lần giao dịch, thay vì (hoặc thêm vào) việc hỏi mật khẩu, ứng dụng CK sẽ hỏi vài giá trị trong một số ô ngẫu nhiên trên thẻ. Ví dụ: A3=? B5=? C2=?... Giả sử lần giao dịch đó bị lộ, kẻ xấu cũng không thể lợi dụng được lần sau. Tất nhiên bảng giá trị này sẽ thường xuyên được thay đổi và gửi đến khách hàng.

    Thẻ xác thực có thể cấp cho các nhà đầu tư khi sử dụng giao dịch điện tử, giao dịch qua phone, trang bị cho nhân viên của công ty tại trung tâm giao dịch truy cập VPN về mạng của công ty, trang bị cho các nhân viên trong công ty khi muốn truy cập vào một số ứng dụng nội bộ hoặc server quan trọng. Giải pháp xác thực IdentityGuard của Entrust rất phù hợp khi triển khai với một số lượng lớn bởi chi phí thấp và tính tiện dụng cao.

    Kiểm tra, phát hiện các lỗ hổng Hầu hết các ứng dụng CK trực tuyến hiện nay đều do các công ty phần mềm trong nước phát triển và chạy trên môi trường Web được lập trình bằng các công cụ và ngôn ngữ lập trình phổ biến như .NET, Oracle. …Các ứng dụng đó luôn tiềm ẩn nhiều những lỗ hổng bảo mật xuất phát từ bản thân các phần mềm CSDL, trong các Web server và trong các đoạn code lập trình của lập trình viên. Các lỗ hổng sẽ tạo ra các Backdoor để tin tặc lợi dụng làm sai lệch thông tin, chiếm đoạt quyền điều khiển account quản trị của ứng dụng, thậm chí chiếm đoạt luôn quyền điều khiển Server. Đối với những lỗ hổng bảo mật loại này, các hệ thống như Network Firewall, IPS cũng khó có thể phát hiện ra.

    Để phát hiện và ngăn chặn các lỗ hổng bảo mật trong ứng dụng Web, có 2 phương pháp được áp dụng:

    • Sử dụng chương trình phát hiện điểm yếu để rà soát tất cả các đoạn code lập trình, các hệ điều hành, các web server mà ứng dụng Web đang hoạt động. Chương trình sẽ chỉ ra những lỗ hổng và đề xuất các phương án xử lý. Giải pháp AppScan 7.0 của hãng WatchFire cho phép tự động hóa tiến trình phân tích, giúp giảm thời gian phát hiện lỗ hổng, nguồn gốc phát sinh và đề xuất phương hướng ngăn chặn giảm 80% so với việc sử dụng các chuyên gia đánh giá lỗ hổng. Giải pháp này là cầu nối giữa chuyên viên bảo mật với nhà phát triển ứng dụng, đem lại tính an toàn bảo mật nhất cho ứng dụng Web. Phương pháp này có thể được áp dụng ngay khi ứng dụng đang trong giai đoạn phát triển hoặc sau khi ứng dụng đã đi vào hoạt động.

    • Phương pháp thứ hai được sử dụng để kiểm soát và che các lỗ hổng bảo mật trong ứng dụng là sử dụng một thế hệ Firewall mới chuyên dụng để bảo vệ cho các ứng dụng Web. Netcontinnum Application Security là một sản phẩm tường lửa ứng dụng Web của hãng Netcontinuum với mục đích phát hiện các lỗ hổng bảo mật, sau đó sẽ kiểm soát và ngăn chặn các cuộc tấn công tới lỗ hổng đó. Khác với giải pháp của WatchFire, Netcontinnum không yêu cầu phải rà soát toàn bộ các mã lệnh lập trình mà sẽ được đặt trước ứng dụng để kiểm soát các yêu cầu từ phía người dùng gửi tới ứng dụng Web.

    Netcontinuum có khả năng phát hiện và xử lý trên 70 loại lỗ hổng và nguy cơ mất an toàn nằm bên trong các ứng dụng. Các loại lỗ hổng này đều nằm trong top 10 lỗ hổng tinh vi nhất được hiệp hội Phát Triển và Bảo Vệ Ứng Dụng (OWASP: www.owasp.org) nêu ra.

    Kết luận: Theo kế hoạch phát triển của ngành tài chính, ngành CK sẽ đạt 30% GDP của Việt Nam đến năm 2010. Theo đúng kế hoạch này thì TTCK Việt Nam sẽ rất sôi động và phát triển nhanh chóng. Khi đó giao dịch CK trực tuyến trở thành yếu tố quan trọng làm chìa khoá cạnh tranh giữa các CTCK. Đây cũng là yếu tố thúc đẩy sự phát triển chung của ngành CK Việt Nam tương tự như đối với TTCK quốc tế. Tuy vậy việc đầu tư và triển khai một hệ thống CNTT đảo bảm cho các hoạt động CK, nhất thiết cần phải đầu tư một cách đồng bộ và đầy đủ giữa hạ tầng thông tin và hệ thống bảo mật. Nếu hệ thống vẫn còn tồn tại những lỗ hổng chưa được bảo vệ thì có thể đó sẽ là các điểm yếu để tin tặc, thậm chí những đối thủ cạnh tranh lợi dụng để tấn công. Hậu quả và ảnh hưởng đến hoạt động kinh doanh là khó có thể lường trước được.

    Song song với việc đầu tư về công nghệ, các CTCK sẽ phải xây dựng riêng cho mình một hệ thống quản lý an toàn thông tin bao gồm các chính sách ATTT, các hướng dẫn cụ thể việc thực thi chính sách và bố trí tài nguyên con người cùng với trách nhiệm và quyền lợi cụ thể. Hệ thống quản lý này giúp cho các CTCK có thể thích ứng linh hoạt với sự thay đổi của các rủi ro trong hệ thống CNTT. Hệ thống này được mô tả kỹ lưỡng trong chuẩn ISO17799- chuẩn quốc tế về an toàn thông tin- mà các CTCK có thể xem xét áp dụng.

    Hy vọng kinh nghiệm và các giải pháp ATTT của chúng tôi sẽ góp phần vào sự phát triển của ngành tài chính nói chung và TTCK nói riêng.

    Tạ Đình Đức - Misoft

    ID: B0705_65