An toàn thông tin cho các công ty chứng khoán

Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA CERC – www.athena.com.vn . Tel : 1900 54 54 56 1 AN TỒN THƠNG TIN CHO CÁC CƠNG TY CHỨNG KHỐN Theo các báo cáo về thị trường tài chính, ngân hàng, chứng khốn của Việt Nam cuối năm 2006, thị trường Chứng khốn là một trong những lĩnh vực tài chính hoạt động sơi động nhất và cĩ sự phát triển rất nhanh. Sau hơn 6 năm đi vào hoạt động từ 7/2000, TTCK tập trung của Việt Nam đã chứng kiến sự phát triển mạnh mẽ đặc biệt là trong năm 2006 và dự đốn sẽ cịn tăng mạnh trong năm 2007 cả về quy mơ cũng như chất lượng. Cho đến nay, trên Trung tâm GD Chứng khốn TP.HCM đã cĩ tới 106 loại cổ phiếu, sàn CK Hà Nội cũng đã đạt tới con số 87 loại cổ phiếu. Theo các chuyên gia dự báo, trong thời gian tới, số lượng các cơng ty chờ đăng kí niêm yết sẽ tăng lên rất nhanh đồng thời với số lượng các nhà đầu tư càng nhiều và mang tính chuyên nghiệp hơn. Thị trường Chứng khốn ngày càng phát triển thì số lượng giao dịch và nhu cầu tìm hiểu thơng tin của các nhà đầu tư ngày càng tăng. ðể đáp ứng được các yêu cầu đĩ, ngày càng nhiều các cơng ty Chứng khốn được thành lập để giúp cho các nhà đầu tư dễ dàng hơn trong việc tìm hiểu thơng tin và tiếp cận tới các cổ phiếu đang được niêm yết. Theo báo cáo tổng kết cuối năm 2006, hiện nay đã cĩ 55 cơng ty Chứng khốn đi vào hoạt động, 6 tổ chức lưu kí chứng khốn và 18 ngân hàng thanh tốn. Các cơng ty chứng khốn sẽ cạnh tranh mạnh mẽ để thu hút nhiều nhà đầu tư về phía mình bằng cách đưa ra nhiều phương thức cung cấp dịch vụ đảm bảo, tiện lợi và đầy đủ hơn. Phương thức giao dịch chứng khốn trước đây yêu cầu nhà đầu tư phải đến các trung tâm giao dịch chứng khốn (TTGDCK) hoặc quầy mơi giới của cơng ty chứng khốn đặt lệnh thì nay đã mở rộng qua các hình thức như đặt lệnh qua điện thoại, Internet. Các dịch vụ này ngày càng được các nhà đầu tư luơn bận bịu với cơng việc kinh doanh ưa chuộng, và khơng ít trong số họ là những nhà đầu tư rất lớn. Họ mong chờ sự xuất hiện của các hình thức dịch vụ trực tuyến để cĩ thể dễ dàng ở bất kì đâu, tại bất kì thời điểm nào đều cĩ thể nhanh chĩng tra cứu cập nhật thơng tin, thực hiện giao dịch mua bán chứng khốn. Chúng ta hãy nhìn lại quy trình mua bán chứng khốn được niêm yết tại các Trung tâm giao dịch chứng khốn. Tồn bộ quy trình này được tiến hành theo 5 bước: • Bước 1: Nhà đầu tư đến mở tài khoản và đặt lệnh mua hay bán chứng khốn tại một cơng ty chứng khốn. • Bước 2: Cơng ty chứng khốn chuyển lệnh đĩ cho đại diện của cơng ty tại Trung tâm giao dịch chứng khốn để nhập vào hệ thống giao dịch của Trung tâm. • Bước 3: Trung tâm giao dịch chứng khốn thực hiện ghép lệnh và thơng báo kết quả giao dịch cho cơng ty chứng khốn. • Bước 4: Cơng ty chứng khốn thơng báo kết quả giao dịch cho nhà đầu tư. • Bước 5: Nhà đầu tư nhận chứng khốn (nếu là người mua) hoặc tiền (nếu là người bán) trên tài khoản của mình tại cơng ty chứng khốn sau 3 ngày làm việc kể từ ngày mua bán. Bước 1 trong quy trình được các cơng ty Chứng khốn đa dạng hố phương thức dịch vụ, làm chìa khố cạnh tranh để cĩ thể thu hút được nhiều nhà đầu tư đến với mình. Tuy vậy bên cạch các hình thức dịch vụ, các cơng ty chứng khốn cần phải đảm bảo uy tính cũng như chất lượng của các thơng tin mà họ cung cấp cho nhà đầu tư. Mơ hình trao đổi thơng tin điển hình của cơng ty chứng khốn: Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA CERC – www.athena.com.vn . Tel : 1900 54 54 56 2 Hoạt động cung cấp thơng tin của một cơng ty chứng khốn khơng chỉ nằm trong phạm vi cung cấp các dịch vụ tài chính và mơi giới mua bán chứng khốn mà cịn liên quan tới các hệ thống thơng tin của hai sàn giao dịch chứng khốn Hà nội và Tp.HCM, liên quan tới trao đổi thơng tin với các ngân hàng lưu kí Chứng khốn và thanh tốn bù trừ. Do vậy, để vận hành tốt các hoạt động này, hạ tầng CNTT của cơng ty Chứng khốn luơn phải đảm bảo tính sẵn sàng cao. Hệ thống đĩ phải cĩ khả năng ngăn chặn và phịng chống các nguy cơ tiềm ẩn về mất an tồn của hệ thống CNTT khi dữ liệu xử lý được truyền chủ yếu qua hệ thống mạng cơng cộng là Internet và mạng thoại. Các nguy cơ tiềm ẩn đĩ là gì? Nĩi một các tổng quát cĩ thể phân loại các nguy cơ đĩ như sau: 1. Nguy cơ ngưng trệ hoạt động của hệ thống mạng do tắc ngẽn đường truyền. Các máy tính bị nhiễm virus sẽ nhanh chĩng chiếm tồn bộ băng thơng và làm tê liệt tồn bộ các hoạt động trao đổi thơng tin trong mạng máy tính, các giao dịch mua bán chứng khốn điện tử. Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA CERC – www.athena.com.vn . Tel : 1900 54 54 56 3 2. Nguy cơ các hệ thống dịch vụ giao dịch trực tuyến bị kẻ xấu tấn cơng từ ngồi mạng Internet bằng nhiều hình thức tấn cơng từ chối dịch vụ (DoS) khác nhau 3. Nguy cơ bị kẻ xấu làm sai lệch thơng tin khi thực hiện các giao dịch chứng khốn điện tử: - Thơng tin giao dịch bị bắt khi truyền từ ‘nguồn’ tới ‘đích’ qua mạng Internet. Kẻ xấu cĩ thể thay đổi thơng tin hoặc chèn thêm các đoạn mã độc hại. Hiện nay nguy cơ này đã được các hãng bảo mật khuyến cáo sử dụng các phương pháp mã hố dữ liệu trong khi truyền. 4. Nguy cơ bị lấy cắp các thơng tin nhạy cảm như mã số đăng nhập tài khoản, username/password, số PIN, số thẻ tín dụng ... qua các kĩ thuật lừa đảo ‘phishing’ và ‘farming‘ ngày càng được tin tặc cải tiến tinh vi. Khi các dịch vụ trực tuyến ngày càng mở rộng thì nguy cơ phá hoại, tấn cơng của tin tắc ngày càng nhiều với độ tinh vi ngày càng cao. Các cơng ty Chứng khốn cần phải nhận thức rõ khi mở rộng các loại hình dịch vụ sẽ phải đi đơi với việc đầu tư một hạ tầng CNTT đảm bảo và an tồn. Từ mơ hình trao đổi thơng tin của các cơng ty chứng khốn, hạ tầng cơng nghệ thơng tin của cơng ty dưới gĩc nhìn của các chuyên gia bảo mật sẽ được phân làm năm vùng chính. Các vùng này được bảo vệ bởi các hệ thống an ninh thơng tin. Tất cả chúng hoạt động dưới sự quản lý của những quy định và chính sách an tồn thơng tin được điều chỉnh phủ hợp theo đặc thù của từng cơng ty. Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA CERC – www.athena.com.vn . Tel : 1900 54 54 56 4 Thiết bị an ninh tích hợp Crossbeam C6 Năm phân vùng trong mơ hình bảo mật tổng thể là: 1. Vùng mạng LAN bên trong tồ nhà của cơng ty Chứng khốn, vùng này bao gồm a. Mạng LAN các PC của khối văn phịng, khối tài chính, khối nghiệp vụ tư vấn tài chính, mơi giới mua bán chứng khốn. b. Hệ thống tổng đài IP phục vụ liên lạc của cơng ty Chứng khốn 2. Vùng các máy chủ DMZ cung cấp các dịch vụ trực tuyến được truy cập qua Internet như: E-Mail, Web site thơng tin thị trường, Online Brokerage, Online OTC 3. Vùng các máy chủ cơ sở dữ liệu và ứng dụng quan trọng vận hành hệ thống quản lý các giao dịch chứng khốn. 4. Vùng người dùng truy cập từ xa qua Internet vào hệ thống mạng, ứng dụng của cơng ty, vùng này bao gồm: a. Nhân viên của cơng ty chứng khốn hoạt động tại 2 trung tâm GDCK Hà Nội và tp. Hồ Chí Minh truy cập VPN (Client to Site) về mạng của cơng ty. b. Các nhà đầu tư truy cập vào Web site và dịch vụ chứng khốn trực tuyến (Online Brokerage, Online OTC) của cơng ty. 5. Vùng các đại lý, chi nhánh của cơng ty kết nối VPN Site to Site hoặc WAN vào hệ thống mạng của cơng ty. ðây cũng là vùng kết nối mạng thơng tin từ cơng ty Chứng khốn tới mạng của các Ngân hàng thanh tốn, lưu kí trong tương lai. ðể đảm bảo an tồn cho các kết nối, trao đổi thơng tin và ngăn chặn các tấn cơng cả từ bên trong trong và bên ngồi mạng, giải pháp bảo mật tổng thể và sản phẩm bảo mật cho hạ tầng cơng nghệ thơng tin được chúng tơi đề xuất như sau: 1. Phân tách các vùng mạng và bảo vệ bằng hệ thống Firewall Mạng trong phạm vi tồ nhà của cơng ty sẽ được chia làm ba vùng chính:
Vùng DMZ gồm các Server cho các dịch vụ trực tuyến như Web site, Email, các ứng dụng Online Brokerage, Online OTC
Vùng các Server cơ sở dữ liệu và ứng dụng quan trọng như BackOffice, CSDL khách hàng, giao dịch, lưu kí ðây là vùng các Servers chính vận hành tồn bộ hệ thống phần mềm và CSDL liên quan tới giao dịch mua bán chứng khốn.
Vùng mạng LAN bao gồm khối văn phịng, nghiệp vụ và hệ thống tổng đài IP. Các vùng mạng sẽ được quy hoạch trên các dải IP riêng biệt. Hệ thống Firewall sẽ kiểm sốt luồng dữ liệu đi qua bao gồm: Truy cập từ ngồi Internet vào vùng dịch vụ trực tuyến, người dùng ở mạng LAN truy cập Internet qua đường LeasedLine, ADSL hoặc Wireless, người dùng ở mạng LAN truy cập vào vùng Server ứng dụng và cơ sở dữ liệu. Firewall sẽ kiểm sốt, xác thực và ngăn chặn những truy cập khơng hợp lệ, những tấn cơng của hacker từ ngồi Internet hoặc trực tiếp xuất phát từ bên trong mạng vào các vùng servers. Với kinh nghiệm triển khai của cơng ty Misoft, kết hợp với sự phát triển của cơng nghệ, chúng tơi đề xuất hệ thống Firewall sẽ là sự kết hợp giữa Firewall VPN1- UTM của hãng Check Point chạy trên phần cứng chuyên dụng của hãng Crossbeam System. Check Point Firewall VPN1- Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA CERC – www.athena.com.vn . Tel : 1900 54 54 56 5 UTM hội đủ các yêu tố bảo vệ mạng bao gồm các tính năng Firewall, AntiVirus, IPS và VPN server chỉ trong một sản phẩm. Check Point Firewall được cài trên một cặp thiết bị an ninh tích hợp chuyên dụng của hãng Crossbeam System chạy clustering ở chế độ HA (High availability) đảm bảo tính sẵn sàng cao và hiệu năng hoạt động của tồn mạng. 2. Thiết lập và bảo vệ các kết nối VPN. Hệ thống Check Point Firewall VPN1-UTM đặt tại trụ sở chính của cơng ty chứng khốn bên cạnh chức năng kiểm sốt các luồng thơng tin ra vào mạng cịn là hệ thống VPN Server cho các kết nối theo cả 2 mơ hình Client to Site và Site to Site. Với mơ hình kết nối VPN Site to Site, tại mỗi chi nhánh hoặc đại lý sẽ sử dụng thiết bị Firewall VPN chuyên dụng loại nhỏ VPN1-Edge của hãng Check Point. Thiết bị này cĩ đầy đủ tính năng Firewall và thiết lập kênh kết nối Site to Site qua đường Leaseline hoặc ADSL. Với mơ hình này, hệ thống VPN Server tại Headquater sẽ tự động xác thực giữa 2 đầu thiết bị và kiểm tra tính an tồn trước khi cho phép thiết lập kênh kết nối. Check Point VPN1-Edge khi thiết lập VPN tunnel sẽ sử dụng các cơng nghệ mã hố sau • (AES) 128-256 bit • Triple DES 56-168 bit • SSL – Secure Sockets Layer Mơ hình Client to Site áp dụng cho các nhân viên của cơng ty làm việc tại các TTGDCK thiết lập kênh kết nối qua Internet, dial-up và hỗ trợ xác thực người dùng bằng nhiều phương thức như Certificate, Token, Smartcard trước khi cho phép kết nối. Tại các máy của nhân viên sẽ cài phần mếm thiết lập kết nối VPN client của Check Point. 3. Thiết lập các hệ thống phịng chống xâm nhập cho các vùng thơng tin quan trọng. Trong mơ hình bảo mật tổng thể cho cơng ty chứng khốn, vùng máy chủ cơ sở dữ liệu và máy chủ ứng dụng là quan trọng nhất trong hoạt động trao đổi thơng tin của cơng ty chứng khốn. Nếu một trong các máy chủ này bị tấn cơng hoặc cĩ sự cố, hoạt động kinh doanh của các cơng ty sẽ bị ảnh hưởng trực tiếp. Do vậy bên cạnh hệ thống Firewall bảo vệ hạ tầng network của cơng ty, nhất thiết cần trang bị bổ sung hệ thống phịng chống xâm nhập (IPS) để bảo vệ riêng cho vùng các Server ứng dụng này. Khác với Network Firewall, hệ thống IPS sẽ phát hiện và ngăn chặn các xâm nhập ở tầng ứng dụng, can thiệp trực tiếp vào các protocols, các traffice mà hệ thống Firewall khơng phát hiện được. Hệ thống IPS được đặt trong vùng mạng LAN, do vậy hệ thống phải đảm bảo được tốc độ xử lý để khơng làm nghẽn luồng thơng tin được trao đổi với mật độ cao tại đây. Với mức độ quan trọng như trên, chúng tơi đề xuất triển khai thiết bị phịng chống xâm nhập Proventia Network IPS chuyên dụng của hãng Internet Security Systems –ISS. Thiết bị này cho phép ngăn chặn trước các cuộc tấn cơng chưa biết cũng như các cuộc tấn cơng đã biết như Thiết bị bảo mật VPN-1 UTM Edge bảo vệ kết nối giữa cơng ty Chứng khốn với chi nhánh, đại lý và văn phịng Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA CERC – www.athena.com.vn . Tel : 1900 54 54 56 6 Proventia Network IPS G400 Thiết bị chuyên dụng chống Virus tại Internet Gateway(IGSA) DoS, trojan, peer to peer download, backdoor, malicious http và file đính kèm e-mail mà khơng ảnh hưởng đến hoạt động của mạng. ðặc biệt, thiết bị Proventia Network IPS cĩ khả năng phân tích và nhận dạng các giao thức được sử dụng trong VoIP như SIP, MGCP, H.323, H.225, H.245, Q.931, T.120 và SCCP để xác định các cuộc tấn cơng. Thiết bị này sẽ được đặt trước vùng Server farm bảo vệ cho cả vùng, kiểm sốt tồn bộ các yêu cầu truy cập dữ liệu cả ở mức Network và mức ứng dụng trên các Server. Cơ sở dữ liệu về các mẫu tấn cơng (attacking Signatures) sẽ luơn được hệ thống update từ Internet Security Systems X-Force theo thời gian thực, đảm bảo ngăn chặn tối đa các tấn cơng cĩ thể xảy ra hiện nay. Proventia Network IPS cĩ tính năng Fail-open và hỗ trợ cấu hình dạng Active/Active, Active/Passive do vậy đảm bảo tính sẵn sàng cao của tồn mạng. 4. Ngăn chặn tấn cơng của Virus tại Gateway và trong các vùng mạng. Các con đường mà virus cĩ thể tấn cơng và bùng phát vào mạng của cơng ty chứng khốn tương đối đa dạng, xuất phát từ Internet, từ người dùng bên trong, bên ngồi mạng và đặc biệt qua email. ðể cĩ một hệ thống phịng chống cĩ hiệu quả cao thì cần phịng và chống Virus và Spyware tại cả 4 lớp mạng: gateway, mailserver, server, PCs. Hệ thống này phải được quản lý tập trung, thống nhất và luơn luơn được cập nhật mẫu Virus và Spyware từ những trung tâm phịng chống Virus và Spyware lớn trên thế giới. Ngồi ra cần phải cĩ một chính sách bảo mật chung và kết hợp với các giải pháp bảo mật khác để phịng chống Virus và Spyware hiệu quả hơn. Giải pháp tổng thể được chúng tơi đề xuất dựa trên cơng nghệ và sản phẩm phịng chống virus của hãng Trend Micro. Các sản phẩm bao gồm: • Trend Micro™ Client/Server/Messaging Suite for SMB • Trend Micro Internet Security • InterScan Gateway Security Appliance ðối với ngăn chặn và phịng chống AntiVirus tại Internet Gateway, chúng tơi sử dụng thiết bị chuyên dụng InterScan Trend Micro Client/Server bảo vệ mailserver, server và PC khỏi sự lây nhiễm của Virus Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA CERC – www.athena.com.vn . Tel : 1900 54 54 56 7 Entrust IdentityGuard kết hợp nhiều phương pháp xác thực trong cùng một sản phẩm Gateway Appliance (ISGA) của hãng Trend Micro. ðây là thiết bị quét virus, spyware, phishing tại Internet Gateway trên các luồng: SMTP, POP3, HTTP, FTP và đặc biệt đảm bảo được tốc độ tại điểm Gateway mà hầu hết các traffice trao đổi thơng tin giữa mạng trong và mạng ngồi đều phải đi qua. 5. Xác thực mạnh và chữ kí số để đảm bảo các giao dịch mua bán chứng khốn trực tuyến. Trước sự sơi động của thị trường chứng khốn và số lượng các nhà đầu tư ngày càng tăng nhanh, các cơng ty đang rất cố gắng thu hút được nhiều nhà đầu tư đến với mình bằng cách cung cấp các dịch vụ thuận lợi nhất như mở tài khoản, giao dịch qua mạng, qua phone. Một trong những yếu tố thành cơng của các hình thức dịch vụ Online là tính an tồn, nhanh chĩng và khơng làm nhà đầu tư mất các cơ hội mua bán. Xác thực mạnh danh tính trực tuyến và ứng dụng cơng nghệ Hạ tầng mã khố cơng cộng (PKI) để mã hố dữ liệu nhằm đảm bảo tối đa tính tồn vẹn, bí mật và chống từ chối của các giao dịch điện tử. Hãng Entrust và hãng VASCO là 2 cơng ty chuyên cung cấp các giải pháp, sản phẩm xác thực mạnh và mã hố dữ liệu cho lĩnh vực tài chính, ngân hàng. Trong lĩnh vực chứng khốn, giải pháp của Entrust và VASCO được tích hợp vào các ứng dụng giao dịch mua bán chứng khố trưc tuyến thực hiện nhằm các mục đính: • Xác thực mạnh 2 yếu tố khi người dùng truy cập tài khoản trực tuyến, sử dụng các phương thức xác thực như One-Time-Password token, Grid token, Mobile • Xác thực 2 chiều giữa ứng dụng chứng khốn trực tuyến và các nhà đầu tư. Các nhà đầu tư cĩ khả năng xác thực lại Web site, ứng dụng cĩ đúng là Web site thật của nhà cung cấp hay khơng. Kĩ thuật này giúp cho nhà đầu tư chống lại các kĩ thuật tấn cơng phishing hoặc Farming để ăn cắp thơng tin của tin tặc. • Tích hợp chữ kí số vào các giao dịch quan trọng, đảm bảo tính tồn vẹn, tính mật, tính chống từ chối trong các giao dịch mua bán chứng khốn online. Cơng nghệ này Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA CERC – www.athena.com.vn . Tel : 1900 54 54 56 8 Mỗi lần truy cập hoặc thực hiện giao dịch, nhà đầu tư nhập ơ 3 giá trị được sinh ngẫu nhiên để xác thực Quy trình dị quét lỗ hổng bảo mật trong ứng dụng của Watchfire cũng được các cty chứng khốn ứng dụng làm trọng tài phân xử trong trường hợp nảy sinh các vấn đề chối bỏ hoặc sai sĩt trong giao dịch. Thơng thường, các giải pháp xác thực truyền thống sẽ địi hỏi hàng trăm đơ-la đầu tư cho mỗi một khách hàng, vậy các cơng ty chứng khốn sẽ chịu chi phí này hay nhà đầu tư sẽ chịu để bảo mật thơng tin của họ? Giải pháp xác thực mạnh IdentityGuard của Entrust sẽ giúp các cơng ty chứng khốn giải quyết bài tốn này với một chi phí tối ưu nhất. Mỗi một nhà đầu tư sẽ được cấp một thẻ xác thực in ma trận một bảng như hình vẽ, mỗi một lần giao dịch, thay vì (hoặc thêm vào) việc hỏi mật khẩu, ứng dụng chứng khốn sẽ hỏi vài giá trị trong một số ơ ngẫu nhiên trên thẻ. Ví dụ: A3=? B5=? C2=?... Nếu giả sử lần giao dịch đĩ bị lộ, kẻ xấu c ũng khơng thể lợi dụng được lần sau. Tất nhiên bảng giá trị này sẽ thường xuyên được thay đổi và gửi đến khách. Thẻ xác thực cĩ thể cấp cho các nhà đầu tư khi sử dụng giao dịch điện tử, giao dịch qua phone, trang bị cho các nhân viên của cơng ty tại trung tâm giao dịch truy cập VPN về mạng của cơng ty, trang bị cho các nhân viên trong cơng ty khi muốn truy cập vào một số ứng dụng nội bộ hoặc server quan trọng. Giải pháp xác thực IdentityGuard của Entrust rất phù hợp khi triển khai với một số lượng lớn bởi chi phí thấp và tính tiện dụng cao. 6. Kiểm tra, phát hiện các lỗ hổng trong ứng dụng phát triển Hầu hết các ứng dụng chứng khốn trực tuyến hiện nay đều do các cơng ty phần mềm trong nước phát triển và chạy trên mơi trường Web. Các ứng dụng đĩ được lập trình bằng các cơng cụ và ngơn ngữ lập trình phổ biến như .NET, Oracle và trên thực tế các ứng dụng đĩ luơn tiềm ẩn rất nhiều những lỗ hổng bảo mật xuất phát từ bản thân các phần mềm cơ sở dữ liệu, trong các Web server và trong các đoạn code lập trình của lập trình viên. Các lỗ hổng đĩ sẽ tạo ra các Backdoor để tin tặc lợi dụng làm sai lệch thơng tin, chiếm đoạt quyền điều khiển của các account quản trị của ứng dụng hoặc thậm chí chiếm đoạt luơn quyền điều khiển Server. ðối với những lỗ hổng bảo mật loại này, các hệ thống như Network Firewall, IPS cũng khĩ cĩ thể phát hiện ra. ðể phát hiện và ngăn chặn các lỗ hổng bảo mật trong ứng dụng Web, cĩ 2 phương pháp được áp dụng là: • Sử dụng chương trình phát hiện điểm yếu để rà sốt tất cả các đoạn code lập trình, các hệ điều hành, các web server mà ứng dụng Web đang hoạt động. Chương trình sẽ chỉ ra những lỗ hổng và đề xuất các phương án xử lý. Giải pháp AppScan 7.0 của hãng WatchFire cho phép tự động hố tiến trình phân tích, giúp cho thời gian phát hiện lỗ hổng, nguồn gốc phát sinh và đề xuất phương hướng ngăn chặn giảm 80% so với việc sử dụng các chuyên gia đánh giá lỗ hổng. Giải pháp này là cầu Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA CERC – www.athena.com.vn . Tel : 1900 54 54 56 9 Netcontinuum che các lỗ hổng bảo mật trong ứng dụng trước các tấn cơng từ bên ngồi nối giữa giữa chuyên viên bảo mật với nhà phát triển ứng dụng để đem lại tính an tồn bảo mật nhất cho ứng dụng Web. Phương pháp này cĩ thể được áp dụng ngay khi ứng dụng đang trong giai đoạn phát triển hoặc sau khi ứng dụng đã đi vào hoạt động. • Phương pháp thứ hai được sử dụng để kiểm sốt và che các lỗ hổng bảo mật trong ứng dụng là sử dụng một thế hệ Firewall mới chuyên dụng để bảo vệ cho các ứng dụng Web. Netcontinnum Application Security là một sản phẩm tường lửa ứng dụng Web của hãng Netcontinuum với mục đích phát hiện ra các lỗ hổng bảo mật, sau đĩ sẽ kiểm sốt và ngăn chặn các tấn cơng tới lỗ hổng đĩ. Khác với giải pháp của WatchFire, Netcontinnum khơng yêu cầu phải ra sốt tồn bộ các mã lệnh lập trình mà sẽ được đặt trước ứng dụng để kiểm sốt các yêu cầu từ phía người dùng gửi tới ứng dụng Web. Netcontinuum cĩ khả năng phát hiện và xử lý trên 70 loại lỗ hổng và nguy cơ mất an tồn nằm bên trong các ứng dụng. Các loại lỗ hổng này đều nằm trong top 10 lỗ hổng tinh vi nhất được hiệp hội phát triển và bảo vệ ứng dụng “Open Web Application Security Project” (OWASP: www.owasp.org) nêu ra. Kết luận: Theo kế hoạch phát triển của ngành tài chính, ngành chứng khốn sẽ đạt 30% GPD của Việt nam đến năm 2010. Theo đúng kế hoạch này thì thị trường chứng khốn việt nam sẽ rất sơi động và phát triển nhanh chĩng. Khi đĩ giao dịch chứng khốn trực tuyến trở thành yếu tố quan trọng làm chìa khố cạnh tranh giữa các cơng ty chứng khốn. ðây cũng là yếu tố thúc đẩy sự phát triển chung của ngành chứng khốn Việt Nam tương tự như đối với thị trường chứng khốn quốc tế. Tuy vậy việc đầu tư và triển khai một hệ thống CNTT đảo bảm cho các hoạt động chứng khốn, nhất thiết cần phải đầu tư một cách đồng bộ giữa hạ tầng thơng tin và hệ thống bảo mật một cách đầy đủ. Nếu hệ thống vẫn cịn tồn tại những lỗ hổng chưa được bảo vệ thì cĩ thể đĩ sẽ là các điểm yếu để tin tặc, hoặc thậm chí là những đối thủ cạnh tranh lợi dụng để tấn cơng. Hậu quả xảy ra ảnh hưởng đến hoạt động kinh doanh là khĩ cĩ thể lường trước được. Song song với việc đầu tư về cơng nghệ, các cơng ty chưng khốn sẽ phải xây dựng được riêng cho mình một hệ thống quản lý an tồn thơng tin bao gồm các chính sách ATTT, các hướng dẫn cụ thể trong việc thực thi chính sách và bố trí tài nguyên con người cùng với trách nhiệm và Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA CERC – www.athena.com.vn . Tel : 1900 54 54 56 10 quyền lợi cụ thể. Hệ thống quản lý này sẽ giúp cho các cơng ty chứng khốn cĩ thể thích ứng linh hoạt với sự thay đổi của các rủi ro trong hệ thống CNTT. Hệ thống này được mơ tả kỹ lưỡng trong chuẩn ISO17799- chuẩn quốc tế về an tồn thơng tin- mà các cơng ty chứng khốn cĩ thể xem xét áp dụng. Với tư cách làm một trong các cơng ty hàng đầu của Việt Nam trong lĩnh vực an tồn thơng tin, chúng tơi cĩ thể cung cấp tới các cơng ty chứng khốn các dịch vụ về an tồn thơng tin sau: • Tư vấn giải pháp tổng thể an tồn, an ninh thơng tin • ðánh giá, kiểm định rủi ro và lên phương án xử lý trong hệ thống CNTT • Cung cấp phần mềm, phần cứng và triển khai các giải pháp an tồn thơng tin tổng thể. • ðạo tạo về lĩnh vực an tồn, an ninh thơng tin trong và ngồi nước. Chúng tơi hi vọng kinh nghiệm và các giải pháp an tồn thơng tin của chúng tơi sẽ gĩp phần vào sự phát triển của ngành tài chính nĩi chung và thị trường chứng khốn nĩi riêng. Tham khảo: Các web site thơng tin về các sản phẩm bảo mật được đề xuất trong giải pháp tổng thể về an tồn thơng tin cho các cơng ty chứng khốn: Các sản phẩm của hệ thống Firewall/VPN • Firewall cho hạ tầng mạng Check Point: www.checkpoint.com Crossbeam System www.crossbeamsystems.com • Firewall cho ứng dụng Netcontinuum: www.netcontiuum.com Các sản phẩm của hệ thống phịng chống xâm nhập (IPS) • Internet Security Systems: www.iss.net Các sản phẩm của hệ thống phịng chống Virus • Trend Micro: www.trendmicro.com Các sản phẩm của hệ thống xác thực và hạ tần mã khố cơng cộng (PKI) • VASCO Data Security: www.vasco.com • Entrust: www.entrust.com Sản phẩm dị quét lỗ hổng bảo mật trong ứng dụng • Watchfire: www.watchfire.com