http://www.timsach.com.vn http://booksearch.vn Nhipsongcongnghe.net Bảo mật mạng cho công ty chứng khoán Bài viết dưới đây sẽ trình bày các nguy cơ và một số giải pháp an toàn thông tin khi tiến hành các hoạt động giao dịch chứng khoán. Sau hơn 6 năm đi vào hoạt động từ 7/2000, TTCK tập trung của Việt Nam đã chứng kiến sự phát triển mạnh mẽ, đặc biệt trong năm 2006 và dự đoán sẽ còn tăng mạnh trong năm 2007 về quy mô cũng như chất lượng. Số lượng các công ty chờ đăng ký niêm yết sẽ tăng lên rất nhanh đồng thời số lượng các nhà đầu tư càng nhiều và mang tính chuyên nghiệp hơn. Phát triển “nóng” đi cùng nguy cơ TTCK ngày càng phát triển thì số lượng giao dịch và nhu cầu tìm hiểu thông tin của các nhà đầu tư ngày càng tăng. Để đáp ứng các yêu cầu đó, ngày càng nhiều các công ty CK (CTCK) được thành lập để giúp các nhà đầu tư dễ dàng hơn trong việc tìm hiểu thông tin và tiếp cận tới các cổ phiếu đang được niêm yết. Theo báo cáo tổng kết cuối năm 2006, hiện nay đã có 55 CTCK đi vào hoạt động, 6 tổ chức lưu ký CK và 18 NH thanh toán. Các CTCK sẽ cạnh tranh mạnh mẽ để thu hút nhiều nhà đầu tư về phía mình bằng cách đưa ra nhiều phương thức cung cấp dịch vụ đảm bảo, tiện lợi và đầy đủ hơn như đặt lệnh qua điện thoại, Internet. Nhà đầu tư luôn mong chờ các dịch vụ trực tuyến để mọi lúc, mọi nơi đều có thể dễ dàng tra cứu cập nhật thông tin, thực hiện giao dịch mua bán CK (MBCK). Chúng ta hãy nhìn lại quy trình MBCK được niêm yết tại các TTGDCK. Toàn bộ quy trình này được tiến hành theo 5 bước: • Bước 1: Nhà đầu tư đến mở tài khoản và đặt lệnh mua hay bán CK tại một CTCK. • Bước 2: CTCK chuyển lệnh đó cho đại diện của công ty tại TTGDCK để nhập vào hệ thống giao dịch của trung tâm. Nhipsongcongnghe.net • Bước 3: TTGDCK thực hiện khớp lệnh và thông báo kết quả giao dịch cho CTCK. • Bước 4: CTCK thông báo kết quả giao dịch cho nhà đầu tư. • Bước 5: Nhà đầu tư nhận CK(nếu là người mua) hoặc tiền (nếu là người bán) trên tài khoản của mình tại CTCK sau một thời gian qui định. Bước 1 trong quy trình được các CTCK đa dạng hoá phương thức dịch vụ, làm chìa khóa cạnh tranh để có thể thu hút được nhiều nhà đầu tư đến với mình. Tuy vậy bên cạnh các hình thức dịch vụ, các CTCK cần phải đảm bảo uy tín cũng như chất lượng của các thông tin mà họ cung cấp cho nhà đầu tư. Hoạt động cung cấp thông tin của một CTCK không chỉ nằm trong phạm vi cung cấp các dịch vụ tài chính và môi giới mua bán CK (MBCK) mà còn liên quan tới các hệ thống thông tin của hai sàn giao dịch CK Hà Nội và TP.HCM, liên quan tới trao đổi thông tin với các NH lưu ký CK và thanh toán bù trừ. Do vậy, để vận hành tốt các hoạt động này, hạ tầng CNTT của CTCK phải luôn đảm bảo tính sẵn sàng cao. Hệ thống đó phải có khả năng ngăn chặn và phòng chống các nguy cơ tiềm ẩn về mất an toàn của hệ thống CNTT khi dữ liệu xử lý được truyền chủ yếu qua hệ thống mạng công cộng là Internet và mạng điện thoại. Nhipsongcongnghe.net Các nguy cơ tiềm ẩn 1. Nguy cơ ngưng trệ hoạt động của hệ thống mạng do tắc ngẽn đường truyền. Các máy tính bị nhiễm virus sẽ nhanh chóng chiếm toàn bộ băng thông và làm tê liệt toàn bộ các hoạt động trao đổi thông tin trong mạng máy tính, các giao dịch MBCK điện tử. 2. Nguy cơ các hệ thống dịch vụ giao dịch trực tuyến bị kẻ xấu tấn công từ mạng Internet bằng nhiều hình thức tấn công từ chối dịch vụ (DoS) khác nhau 3. Nguy cơ bị kẻ xấu làm sai lệch thông tin khi thực hiện các giao dịch CK điện tử: Thông tin giao dịch bị bắt khi truyền từ “nguồn” tới “đích” qua mạng Internet. Kẻ xấu có thể thay đổi thông tin hoặc chèn thêm Nhipsongcongnghe.net các đoạn mã độc hại. Hiện nay nguy cơ này đã được các hãng bảo mật khuyến cáo sử dụng các phương pháp mã hóa dữ liệu trong khi truyền. 4. Nguy cơ bị lấy cắp các thông tin nhạy cảm như mã số đăng nhập tài khoản, username/password, số PIN, số thẻ tín dụng qua các kỹ thuật lừa đảo ‘phishing’ và ‘farming‘ ngày càng được tin tặc cải tiến tinh vi. Khi các dịch vụ trực tuyến ngày càng mở rộng thì nguy cơ phá hoại, tấn công của tin tặc ngày càng nhiều, với độ tinh vi ngày càng cao. Các CTCK cần phải nhận thức rõ khi mở rộng các loại hình dịch vụ và phải đi đôi với việc đầu tư một hạ tầng CNTT đảm bảo và an toàn. Từ mô hình trao đổi thông tin của các CTCK, hạ tầng CNTT của công ty dưới góc nhìn của các chuyên gia bảo mật sẽ được phân làm năm vùng chính. Các vùng này được bảo vệ bởi các hệ thống an ninh thông tin và hoạt động dưới sự quản lý của những quy định và chính sách an toàn thông tin được điều chỉnh phù hợp theo đặc thù của từng công ty. Năm phân vùng trong mô hình bảo mật tổng thể 1. Vùng mạng LAN bên trong toà nhà của CTCK, bao gồm a. Mạng LAN các PC của khối văn phòng, khối tài chính, khối nghiệp vụ tư vấn tài chính, môi giới MBCK. b. Hệ thống tổng đài IP phục vụ liên lạc của CTCK 2. Vùng các máy chủ DMZ cung cấp các dịch vụ trực tuyến được truy cập qua Internet như: E-Mail, Web site thông tin thị trường, Online Brokerage, Online OTC 3. Vùng các máy chủ CSDL và ứng dụng quan trọng vận hành hệ thống quản lý các giao dịch CK. 4. Vùng người dùng truy cập từ xa qua Internet vào hệ thống mạng, ứng dụng của CTCK, vùng này bao gồm: a. Nhân viên của CTCK hoạt động tại 2 TTGDCK Hà Nội và TP.HCM truy cập mạng riêng ảo(VPN) về mạng của công ty. b. Các nhà đầu tư truy cập vào website và dịch vụ CK trực tuyến (Online Brokerage, Online OTC) của công ty. 5. Vùng các đại lý, chi nhánh của công ty kết nối VPN Site to Site hoặc WAN vào hệ thống mạng của công ty. Đây cũng là vùng kết nối mạng thông tin từ CTCK tới mạng của các NH thanh toán, lưu ký trong tương lai. Nhipsongcongnghe.net Giải pháp Để đảm bảo an toàn cho các kết nối, trao đổi thông tin và ngăn chặn các tấn công cả từ bên trong và bên ngoài mạng, giải pháp bảo mật tổng thể và sản phẩm bảo mật cho hạ tầng công nghệ thông tin được chúng tôi đề xuất như sau: Phân tách các vùng mạng và bảo vệ bằng hệ thống Firewall Mạng trong phạm vi tòa nhà của công ty CK được chia làm ba vùng chính: • Vùng DMZ gồm các Server cho các dịch vụ trực tuyến như website, email, các ứng dụng Online Brokerage, Online OTC… • Vùng các Server cơ sở dữ liệu (CSDL) và ứng dụng quan trọng như BackOffice, CSDL khách hàng, giao dịch, lưu ký… Đây là vùng các Servers chính vận hành toàn bộ hệ thống PM và CSDL liên quan tới giao dịch mua bán CK. • Vùng mạng LAN bao gồm khối văn phòng, nghiệp vụ và hệ thống tổng đài IP. Các vùng mạng sẽ được quy hoạch trên các dải IP riêng biệt. Hệ thống Firewall sẽ kiểm soát luồng dữ liệu đi qua bao gồm: Truy cập từ Internet vào vùng dịch vụ trực tuyến, người dùng ở mạng LAN truy cập Internet qua đường LeasedLine, ADSL hoặc Wireless, người dùng ở mạng LAN truy cập vào vùng Server ứng dụng và CSDL. Firewall sẽ kiểm soát, xác thực và ngăn chặn những truy cập không hợp lệ, những tấn công của hacker từ ngoài Internet hoặc trực tiếp xuất phát từ bên trong mạng vào các vùng servers. Với kinh nghiệm triển khai của công ty Misoft, kết hợp với sự phát triển của công nghệ, chúng tôi đề xuất hệ thống Firewall kết hợp giữa Firewall VPN1- UTM của hãng Check Point chạy trên phần cứng chuyên dụng của hãng Crossbeam System. Check Point Firewall VPN1-UTM hội đủ các yếu tố bảo vệ mạng bao gồm các tính năng Firewall, AntiVirus, IPS và VPN server chỉ trong một sản phẩm. Check Point Firewall được cài trên một cặp thiết bị an ninh tích hợp chuyên dụng của hãng Crossbeam System chạy clustering ở chế độ HA (High Availability) đảm bảo tính sẵn sàng cao và hiệu năng hoạt động của toàn mạng. Thiết lập và bảo vệ các kết nối mạng riêng ảo (VPN). Nhipsongcongnghe.net Hệ thống Check Point Firewall VPN1-UTM đặt tại trụ sở chính của CTCK ngoài chức năng kiểm soát các luồng thông tin ra vào mạng còn là hệ thống VPN Server cho các kết nối theo cả 2 mô hình Client to Site và Site to Site. Với mô hình kết nối VPN Site to Site, tại mỗi chi nhánh hoặc đại lý sẽ sử dụng thiết bị Firewall VPN chuyên dụng loại nhỏ VPN1-Edge của hãng Check Point. Thiết bị này có đầy đủ tính năng Firewall và thiết lập kênh kết nối Site to Site qua đường Leaseline hoặc ADSL. Với mô hình này, hệ thống VPN Server tại trụ sở chính sẽ tự động xác thực giữa 2 đầu thiết bị và kiểm tra tính an toàn trước khi cho phép thiết lập kênh kết nối. Check Point VPN1-Edge khi thiết lập VPN tunnel sẽ sử dụng các công nghệ mã hóa sau • (AES) 128-256 bit • Triple DES 56-168 bit • SSL – Secure Sockets Layer Mô hình Client to Site áp dụng cho các nhân viên của công ty làm việc tại các TTGDCK thiết lập kênh kết nối qua Internet, dial-up và hỗ trợ xác thực người dùng bằng nhiều phương thức như Certificate, Token, Smartcard trước khi cho phép kết nối. Tại các máy của nhân viên sẽ cài PM thiết lập kết nối VPN client của Check Point. Nhipsongcongnghe.net Thiết bị bảo mật VPN-1UTM Egdebảo vệ kết nối giữa công ty chứng khoán với các đại lý, chi nhánh, văn phòng. Theo PCWorld . OTC) của công ty. 5. Vùng các đại lý, chi nhánh của công ty kết nối VPN Site to Site hoặc WAN vào hệ thống mạng của công ty. Đây cũng là vùng kết nối mạng. đặc thù của từng công ty. Năm phân vùng trong mô hình bảo mật tổng thể 1. Vùng mạng LAN bên trong toà nhà của CTCK, bao gồm a. Mạng LAN các PC của khối