BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC KINH TẾ TPHCM [[[ \\\ ng hi ep PHẠM HUỆ PHƯƠNG w n lo ad GIẢI PHÁP BẢO MẬT VÀ AN TỒN THƠNG TIN y th ju TRONG THỰC HIỆN DỊCH VỤ VIETINBANK AT HOME yi pl TẠI NGÂN HÀNG TMCP CÔNG THƯƠNG VIỆT NAM n ua al n va ll fu Chuyên ngành: Kinh tế Tài – Ngân hàng oi m Mã số: 60.31.12 at nh z z ht vb k jm LUẬN VĂN THẠC SĨ KINH TẾ n a Lu n va TS LÊ THÀNH LÂN om l.c gm Người hướng dẫn khoa học y te re th TP Hồ Chí Minh – Năm 2010 ng hi DANH MỤC CÁC TỪ VIẾT TẮT w BDS Branch Dillivery System Kênh phân phối giao dịch trực tiếp hệ thống Incas chi nhánh Ngân n Ngân hàng thương mại cổ phần Á Châu lo ep ACB ad Incombank Advance System yi INCAS Chủ Tài Khoản ju y th CTK hàng TMCP Công Thương Việt Nam pl ua al Hệ thống đại hóa Ngân hàng TMCP Cơng thương Việt Nam Kế Toán Trưởng KTV Kế Toán Viên NHNN Ngân hàng Nhà nước NHTM Ngân hàng thương mại n KTT n va ll fu oi m nh Sacombank Ngân hàng thương mại cổ phần Sài Gịn Thương Tín Thương mại cổ phần VBH Dịch vụ VietinBank at Home Vietinbank VietNam joint stock Commercial Bank for Industry and Trade at TMCP z z jm ht vb Ngân hàng thương mại cổ phần Công thương Việt Nam k om l.c gm n a Lu n va y te re ac th ng hi DANH MỤC CÁC BẢNG BIỂU VÀ HÌNH ep Hình 2.1: Hệ thống tổ chức Ngân hàng TMCP Công thương VN 25 w n Hình 2.2: Thẻ RSA xác thực mã pin chương trình Vietinbank at home 26 lo Hình 2.3: Màn hình chức người sử dụng 34 ad y th Hình 2.4: Màn hình vấn tin tài khoản khách hàng 34 ju Hình 2.5: Màn hình vấn tin lịch sử giao dịch tài khoản khách hàng .35 yi Hình 2.6: Màn hình mẫu Lệnh chi 37 pl ua al Hình 2.7: Định dạng in lệnh chi 39 n Hình 2.8: Thống kê giao dịch bị lỗi .40 n va Hình 2.9: Thống kê giao dịch ngày 41 ll fu Hình 2.10: Mẫu email nhận từ hệ thống .42 oi m Hình 2.11: Màn hình xử lý chứng từ 43 nh Hình 2.12: Màn hình Trang chủ giao dịch viên chi nhánh 44 at Hình 2.13: Thống kê tình hình sử dụng dịch vụ Vietinbank at Home khách hàng.48 z z k jm ht vb om l.c gm n a Lu n va y te re ac th ng hi MỤC LỤC ep w PHẦN MỞ ĐẦU n CHƯƠNG I: TỔNG QUAN VỀ BẢO MẬT VÀ AN TOÀN THÔNG TIN TRONG lo ad DỊCH VỤ NGÂN HÀNG ĐIỆN TỬ y th 1.1 Giới thiệu chung ngân hàng điện tử ju yi 1.1.1 Thương mại điện tử pl 1.1.2 Dịch vụ ngân hàng điện tử .2 al n ua 1.2 Các yếu tố cần thiết cho ngân hàng điện tử va 1.2.1 Hạ tầng sở công nghệ thông tin truyền thông n 1.2.2 Nguồn nhân lực fu ll 1.2.3 Chứng từ điện tử - Chứng thư điện tử m oi 1.2.4 Hệ thống cung ứng sản phẩm, dịch vụ nh at 1.2.5 Bảo mật an tồn thơng tin z 1.2.6 Hành lang pháp lý quy định điều chỉnh z ht vb 1.2.7 Khả chấp nhận rủi ro người sử dụng jm 1.3 Các sản phẩm ngân hàng điện tử k 1.3.1 Dịch vụ ngân hàng nhà (home-banking) gm 1.3.2 Dịch vụ ngân hàng tự động qua điện thoại (Phone-banking) om l.c 1.3.3 Dịch vụ ngân hàng qua ĐTDĐ (Mobile-banking) .10 1.3.4 Internet banking 11 a Lu 1.3.5 Kiosk ngân hàng 12 n va 1.4 Lợi ích rủi ro trình ứng dụng dịch vụ ngân hàng điện tử 12 n 1.4.1 Các lợi ích mang lại 12 te re 1.4.1.1 Lợi ích ngân hàng 13 ac 1.4.3 Cách nhận diện loại rủi ro .15 th 1.4.2 Rủi ro trong hoạt động kinh doanh ngân hàng 14 y 1.4.1.2 Lợi ích khách hàng .13 ng hi 1.5 Rủi ro an toàn bảo mật thông tin dịch vụ ngân hàng điện tử 16 ep 1.5.1 Xác định rủi ro an tồn bảo mật thơng tin 16 1.5.2 Vai trị cơng tác bảo mật an tồn thơng tin .17 w n 1.6 Các phương án kiểm soát rủi ro 18 lo ad 1.7 Một số thay đổi quy trình nghiệp vụ điện tử hóa cơng nghệ ngân hàng .19 y th ju Kết luận chương .22 yi pl CHƯƠNG 2: THỰC TRẠNG VỀ BẢO MẬT VÀ AN TỒN THƠNG TIN al ua TRONG DỊCH VỤ VIETINBANK AT HOME TẠI HỆ THỐNG NGÂN HÀNG n TMCP CÔNG THƯƠNG VIỆT NAM va n 2.1 Sơ lược trình hình thành phát triển NHTMCP Công thương Việt Nam .23 ll fu oi m 2.2 Cơ cấu tổ chức, máy quản lý NHTMCP Công thương VN 24 at nh 2.3 Tổng quan Vietinbank at home .25 2.3.1 Khái quát dịch vụ 25 z z 2.3.2 Ý nghĩa số thuật ngữ 26 vb jm ht 2.3.3 Đối tượng sử dụng 27 2.3.4 Điều kiện sử dụng 27 k gm 2.3.5 Các tiện ích Vietinbank at home 28 l.c 2.3.6 Từ Internet Banking đến Vietinbank at home 28 om 2.4 Quy trình thực dịch vụ Vietinbank at home hệ thống NHTMCP Công Thương VN 29 a Lu n 2.4.1 Cơ sở pháp lý điều chỉnh hoạt động cung cấp sử dụng Vietinbank at home 29 n va 2.4.2 Các yêu cầu phía khách hàng 30 2.4.2.2 Đăng ký sử dụng dịch vụ 31 2.4.2.5 Đăng nhập vào hệ thống 33 ac 2.4.2.4 Các trạng thái giao dịch .33 th 2.4.2.3 Vai trò người dùng chức Vietinbank at home 31 y te re 2.4.2.1 Yêu cầu sở hạ tầng 31 ng hi 2.4.2.6 Chức thực giao dịch phi tài .34 ep 2.4.2.7 Chức thực giao dịch tài 36 2.4.2.8 Chức báo cáo thống kê in chứng từ .38 w n 2.4.2.9 Chức hỗ trợ .41 lo ad 2.4.3 Về phía ngân hàng .42 ju y th 2.5 So sánh tiện ích Vietinbank at home NHTMCP Công thương VN dịch vụ Homebanking NHTMCP khác .45 yi pl 2.6 Thực trạng bảo mật an tồn thơng tin dịch vụ Vietinbank at home NHTMCP Công thương Việt Nam .46 ua al 2.7 Nguyên nhân chủ yếu chưa phát triển mạnh dịch vụ Vietinbank at home 49 n n va 2.7.1 Các nguyên nhân khách quan .49 ll fu 2.7.2 Các nguyên nhân chủ quan 50 oi m 2.8 Kinh nghiệm quốc tế học cho Việt Nam bảo mật an tồn thơng tin 51 at nh Kết luận chương .55 CHƯƠNG 3: GIẢI PHÁP BẢO MẬT VÀ AN TỒN THƠNG TIN TRONG z z TRIỂN KHAI DỊCH VỤ VIETINBANK AT HOME vb k jm ht 3.1 Định hướng phát triển NHTMCP Công thương VN dịch vụ ngân hàng điện tử 57 gm 3.2 Các giải pháp bảo mật an tồn thơng tin triển khai dịch vụ Vietinbank at home .59 om l.c 3.2.1 Giải pháp quản lý tổ chức 59 3.2.2 Giải pháp công nghệ 62 a Lu 3.2.2.1 Kiểm soát truy cập 62 n va 3.2.2.2 Xây dựng hệ thống phòng chống phát xâm nhập 63 n 3.2.2.3 Thực chế mã hố thơng tin, xây dựng sở hạ tầng khóa cơng khai PKI 64 ac th 3.2.2.5 Thường xun dị tìm, phát lỗ hổng hệ thống, thiết lập hệ thống cung cấp vá lỗ hổng bảo mật 66 y te re 3.2.2.4 Xây dựng qui trình, kế hoạch dự phịng phục hồi hệ thống đảm bảo tính liên tục hệ thống dịch vụ Vietinbank at Home 65 ng hi 3.2.3 Giải pháp giáo dục đào tạo 67 ep 3.2.4 Giải pháp từ phía khách hàng .68 Kết luận chương .70 w n KẾT LUẬN 71 lo ad ju y th yi pl n ua al n va ll fu oi m at nh z z k jm ht vb om l.c gm n a Lu n va y te re ac th PHẦN MỞ ĐẦU ng hi Lý chọn đề tài ep Các khái niệm giao dịch điện tử, toán điện tử, ngân hàng điện tử xuất lâu, từ cuối kỷ 20 Tuy nhiên, khái niệm, lý w n thuyết chung chung ban đầu nước ta, giao dịch toán qua phương lo ad tiện điện tử dừng lại mức sơ bộ, hệ thống toán điện tử chưa y th ju triển khai rộng rãi để trở nên thông dụng yi Tuy nhiên, vài thập niên sau, việc hội nhập giới giúp ngành công nghệ pl ua al thông tin nước ta phát triển nhanh vũ bão, đồng thời mở thời đại kỷ n nguyên công nghệ cho ngành ngân hàng Việt Nam – thời đại ngân n va hàng điện tử Sự tiến minh chứng việc đời giao dịch ll fu toán điện tử đặc biệt hàng loạt dịch vụ ngân hàng điện tử oi m Trong xu tồn cầu hóa nay, nhằm đáp ứng tối đa nhu cầu ngày đa at nh dạng phong phú khách hàng, hệ thống ngân hàng nước ta bước đổi z cơng nghệ theo hướng đại hóa, tự động hóa Hầu hết ngân hàng z ht vb trang bị cho hệ thống cơng nghệ thông tin đại, cung cấp nhiều sản phẩm, k tiêu dùng tiện ích cơng nghệ hữu dụng jm dịch vụ điện tử ATM, Internetbanking, Homebanking mang đến cho người gm Sự kiện dịch vụ ngân hàng điện tử nghiên cứu triển khai diện l.c om rộng, với phát triển bùng nổ công nghệ với mức độ ngày cao a Lu phức tạp mang đến cho ngành ngân hàng cho dịch vụ ngân hàng điện tử n nguy cơ, rủi ro tiềm ẩn Đề tài “Giải pháp bảo mật an tồn thơng tin n va thực dịch vụ Vietinbank at home Ngân hàng TMCP Công thương ac theo mục tiêu: “Tin cậy, Hiệu quả, Hiện đại” th dịch vụ công nghệ cao đem lại nhiều tiện ích an tồn cho khách hàng y ro tiềm tàng để từ có giải pháp hợp lý để “Vietinbank at home” thật te re Việt Nam” với mong muốn giới thiệu tiện ích đồng thời cảnh báo rủi Mục tiêu nghiên cứu ng Trên sở lý luận dịch vụ ngân hàng điện tử, đề tài nghiên cứu hi ep trình triển khai, thực dịch vụ “Vietinbank at home” Ngân hàng TMCP Công thương Việt Nam rủi ro tiềm ẩn, từ đưa giải pháp w n khắc phục để dịch vụ ngày hoàn thiện lo ad Đối tượng phạm vi nghiên cứu y th Đối tượng nghiên cứu dịch vụ “Vietinbank at home” ju yi Phạm vi nghiên cứu Ngân hàng TMCP Công thương Việt Nam pl ua al Kết cấu luận văn n Ngoài phần mở đầu kết luận, nội dung luận văn trình bày qua n va chương sau: ll fu Chương 1: Tổng quan bảo mật an tồn thơng tin dịch vụ ngân oi m hàng điện tử at nh Chương 2: Thực trạng bảo mật an tồn thơng tin dịch vụ z “Vietinbank at home” Ngân hàng TMCP Công thương Việt Nam z jm ht “Vietinbank at home” vb Chương 3: Giải pháp bảo mật an tồn thơng tin triển khai dịch vụ k Ý nghĩa khoa học thực tiễn đề tài nghiên cứu gm Việc nghiên cứu đề tài nhằm nêu bật lên tiện ích rủi om l.c ro, nguy tiềm ẩn nhóm dịch vụ ngân hàng điện tử nước ta dịch a Lu vụ “Vietinbank at home” Ngân hàng TMCP Công thương Việt Nam Đây n không đơn cung ứng sản phẩm cho khách hàng mà thành ac độc giả quan tâm, tham gia đóng góp ý kiến q báu hồn thiện cơng trình th hiểu biết, luận văn khơng tránh khỏi thiếu sót Kính mong Quý Thầy Cô y Do hạn chế thời gian nghiên cứu, tài liệu thu thập trình độ te re ngân hàng lượng giao dịch toán khách hàng ngày tăng cao n va công nghệ nước ta, góp phần giảm bớt ách tắc, chậm trễ quầy ng hi CHƯƠNG I ep TỔNG QUAN VỀ BẢO MẬT VÀ AN TỒN THƠNG TIN TRONG w DỊCH VỤ NGÂN HÀNG ĐIỆN TỬ n lo ad 1.1 Giới thiệu chung ngân hàng điện tử y th ju Khi công nghệ giới bước vào giai đoạn tự động hóa, máy tính điện yi tử bước xâm nhập vào lĩnh vực đời sống xã hội Nhiều thuật ngữ pl ua al đời bổ sung cho kho tàng ngôn ngữ nhân loại như: ngân hàng điện tử, n giao dịch điện tử, thương mại điện tử, hải quan điện tử, phủ điện tử… n va Trong kinh tế, hoạt động ngân hàng xếp vào nhóm thương mại dịch vụ, ll fu trước phân tích ngân hàng điện tử, cần nói qua khái niệm at nh 1.1.1 Thương mại điện tử oi m thương mại điện tử z Thuật ngữ thương mại điện tử đời làm thay đổi số khái niệm phổ z vb biến từ trước đến jm ht Chúng ta hiểu cách đơn giản, thương mại điện tử trình k mua bán sản phẩm dịch vụ thực thông qua mạng điện gm tử, phổ bíến mạng Internet Thơng qua hệ thống mạng, người ta thiết l.c a Lu vụ, kể dịch vụ ngân hàng om lập giao dịch toán, mua bán sản phẩm từ hàng hóa đến dịch n Theo truyền thống, giao dịch thương mại diễn hai bên mua bán gặp n va thị trường, cụ thể chợ, để trao đổi, lựa chọn, mặc giá trị, sau ac hai bên mua bán th đối tượng trao đổi đặc biệt, trung gian xuất làm cầu nối y te re giao nhận toán Dần dần, với khối lượng trao đổi lớn hay với 58 ng hi hạn, chia bước ngắn hạn thể nghị quyết, định ep phê duyệt quy hoạch hay đề án cấp lãnh đạo w Trong lĩnh vực tài - tiền tệ - ngân hàng, định hướng đạo nhà n nước lại chậm so với thực tiễn Riêng hình thái tiền tệ, giới chuyển từ lo ad hình thái bút tệ sang hình thái tiền điện tử Khi Việt Nam thức gia nhập tổ y th ju chức W.T.O, xu hội nhập nhanh chóng lơi hệ thống ngân hàng yi nước theo trào lưu giới Việc triển khai ứng dụng dịch vụ ngân pl ua al hàng điện tử hệ tất yếu, khó cưỡng lại n Nền tảng pháp lý cho hoạt động này, phân tích phần trên, chưa va n bao quát, đồng kín kẽ Định hướng thống Nhà nước chưa ll fu rõ ràng, cụ thể, mối quan tâm lớn Chính phủ đẩy mạnh m oi tốn khơng dùng tiền mặt, nhằm hạn chế tâm lý chuộng tiền mặt at nh giao dịch kinh tế z Quyết định số 291/2006/QĐ-TTg ngày 29/12/2006 Thủ tướng z ht vb phủ phê duyệt đề án tốn khơng dùng tiền mặt giai đoạn 2006 – 2010 jm định hướng đến năm 2020 Việt Nam, có đề cập đến vài ý ngắn rời rạc k dịch vụ ngân hàng điện tử Tại Điều 2, Mục 5: “Nhóm đề án phát triển hệ gm thống toán bao gồm đề án thành phần (Ngân hàng Nhà nước Việt Nam l.c a Lu đến năm 2010): om chủ trì, phối hợp với Bộ, ngành liên quan xây dựng thực từ năm 2007 Hoàn thiện phát triển hệ thống toán liên ngân hàng; b Xây dựng trung tâm toán bù trừ tự động phục vụ cho giao n va y ac th Xây dựng trung tâm chuyển mạch thẻ thống nhất; te re dịch bán lẻ; c n a 59 ng hi d Kết nối hệ thống toán bù trừ toán chứng khoán với hệ ep thống toán liên ngân hàng quốc gia.” w Phát triển sở hạ tầng kỹ thuật nhằm tạo điều kiện thuận lợi cho việc n toán khách hàng, trọng phát triển sản phẩm dịch vụ ngân hàng lo ad đại, ứng dụng công nghệ tin học tiên tiến… Đối với giao dịch điện tử, chưa y th ju đủ sở để ngân hàng tổ chức triển khai kênh giao dịch điện tử chưa yi tạo chế tổng hợp điều chỉnh hoạt động thương mại điện tử pl ua al ngành ngân hàng n Như vậy, theo tinh thần Quyết định 291/2006/QĐ-TTg, thời điểm va n năm 2006, dịch vụ ngân hàng điện tử bao gồm: nghiệp vụ toán ll fu bù trừ, liên ngân hàng việc phát hành toán thẻ ATM Bối cảnh chung m oi đất nước chưa thuận lợi để tiến xa Đến cuối năm 2010, Chính phủ chưa at nh thay đổi định hướng z Thiếu quy hoạch tổng thể Nhà nước, dịch vụ ngân hàng điện tử z ht vb chắn thiếu sở pháp lý tảng điều chỉnh hoạt động Dù theo lộ trình jm ấn định, từ năm 2011, chi nhánh ngân hàng nước ngồi đối xử bình k đẳng, tổ chức tín dụng trog nước phải chịu áp lực cạnh tranh lớn gm nghiệp vụ ngân hàng, kể dịch vụ ngân hàng điện tử, nơn nóng Hội l.c va Các giải pháp bảo mật an tồn thơng tin triển khai n 3.2 n vấp phải thái độ dè dặt xã hội a Lu đẩy mạnh dịch vụ Vietinbank at Home om đồng quản trị Ban điều hành Ngân hàng TMCP Công thương Việt Nam muốn y ac th 3.2.1 Giải pháp quản lý tổ chức te re Vietinbank at Home 60 ng hi Hội đồng quản trị Ban điều hành Vietinbank phải xây dựng chế giám ep sát rủi ro liên quan đến hoạt động ngân hàng điện tử, bao gồm việc xây dựng w trách nhiệm giải trình, sách biện pháp kiểm soát quản lý rủi ro n lo Với tính chất đặc thù, dịch vụ ngân hàng điện tử có khả tác động ad khơng nhỏ đến mức độ chịu rủi ro ngân hàng Lãnh đạo ngân hàng cần đánh y th ju giá kết kinh doanh ngân hàng qua việc phân tích lợi/hại nhằm xác định yi chiến lược phù hợp, đảm bảo qui trình quản trị rủi ro dịch vụ ngân hàng pl ua al điện tử tích hợp vào phương thức quản trị rủi ro tổng thể ngân hàng n Các chiến lược, sách lược qui trình quản trị rủi ro cần đảm bảo có khả va n giải rủi ro nảy sinh từ dịch vụ ngân hàng điện tử ll fu tương lai, bao gồm việc: m oi - Xây dựng hành lang pháp lý hoạt động ngân hàng bao gồm at nh quy chế, sách, tiêu chuẩn an tồn bảo mật thơng tin z - Xây dựng chế quản lý toàn tài nguyên rủi ro xảy z ht vb cho loại tài nguyên jm - Xây dựng chế quản lý kiểm soát an tồn thơng tin với quy trình quản k trị hệ thống ứng dụng phần mềm quản lý gm - Xây dựng mức độ chấp nhận rủi ro cụ thể dịch vụ ngân hàng điện l.c a Lu hàng om tử mức phân bổ dự phòng rủi ro nghiệp vụ ngân n - Xây dựng chế báo cáo phân công quyền hạn bao gồm thủ tục va n báo cáo theo cấp bậc trường hợp xử lý tình có ảnh hưởng đến ac đích nghiêm trọng thiết bị máy tính) th vi phạm nguyên tắc an toàn nhân viên việc sử dụng sai mục y te re an tồn, hiệu uy tín ngân hàng (như việc xâm nhập hệ thống, 61 ng hi - Xử lý yếu tố liên quan đến việc đảm bảo an ninh, toàn vẹn ep sẵn sàng dịch vụ sản phẩm Vietinbank at Home Yêu cầu w bên thứ ba mà ngân hàng thuê cài đặt hệ thống hay ứng dụng quan n trọng phải trù liệu biện pháp xử lý tương tự lo ad - Thực việc phân tích rủi ro đảm bảo tương thích hệ điều y th ju hành ngân hàng triển khai dịch vụ ngân hàng điện tử phạm vi yi quốc tế pl ua al Mạng Internet hỗ trợ nhiều cho việc cung cấp dịch vụ sản phẩm n ngân hàng vùng, lãnh thổ, vượt qua giới hạn địa lý quốc va n gia Trong tương lai, khả triển khai dịch vụ ngân hàng điện tử vượt biên ll fu giới quốc gia trở thành thực gặp tranh chấp pháp lý m oi Mạng điện tử vốn khơng có biên giới, bị giới hạn theo công suất trạm z tranh chấp phải xử lý at nh phát Vấn đề nhiễu sóng trạm phát khác thường dẫn đến z ht vb Nếu bước sóng phát khơng có biên giới, quốc gia có chủ quyền jm biên giới địa lý rõ rệt Mỗi quốc gia thể chủ quyền qua văn hóa, phong k tục, tập quán, chế độ trị, kinh tế, xã hội riêng biệt khác Họ gm hỗ trợ hay ngăn cản việc triển khai dịch vụ ngân hàng điện tử nước khác l.c om phần hay toàn lãnh thổ họ Họ có quyền bắt buộc dịch vụ phải a Lu phù hợp với quy định sở tại, qua yêu cầu phải cấp phép thực n Thuật ngữ chuyên môn gọi chung rủi ro quốc gia cần phải lường trước cẩn n va thận ac định thư cấp Chính phủ, cấp Bộ, cấp địa phương, cấp ngành… cuối th khó nhọc từ hiệp ước quốc tế cấp lãnh đạo quốc gia, đến nghị y te re Giấy phép thường kết nhiều bước trao đổi, đàm phán dài lâu 62 ng hi hợp đồng kinh tế doanh nghiệp (ngân hàng) trước người tiêu dùng thực ep hưởng tiện ích dịch vụ mang lại w 3.2.2 Giải pháp cơng nghệ n 3.2.2.1 Kiểm sốt truy cập lo ad Ngân hàng triển khai biện pháp cần thiết để xác thực danh tính cấp y th ju phép cho khách hàng thực giao dịch qua mạng Internet Cơ chế kiểm soát yi xác thực người sử dụng có nhiều bước trước cho phép truy cập vào hệ thống pl ua al Trong dịch vụ ngân hàng điện tử, việc liên hệ, xác nhận giao dịch n yêu cầu truy cập cụ thể hoàn tồn đáng Do đó, Vietinbank cần sử dụng va n biện pháp đáng tin cậy để xác minh nhân thân để cấp phép cho khách hàng ll fu nhận dạng cấp phép cho khách hàng cũ có nhu cầu thực m oi giao dịch điện tử Xác thực khách hàng trình truy gốc tài khoản vấn at nh đề quan trọng việc giảm rủi ro bị đánh cấp tên mã truy cập, sử dụng z tài khoản gian lận rửa tiền Việc ngân hàng khơng có khả xác thực khách z ht vb hàng cách hiệu dẫn tới trường hợp kẻ bất lương xâm nhập k thơng tin mật hành động phạm tội (bẻ khóa) jm hệ thống ngân hàng điện tử gây tổn thất tài uy tín gian lận, rị rỉ gm Do vậy, điều quan trọng ngân hàng phải quy định phương thức phù l.c om hợp đảm bảo xác thực người phép đăng nhập hệ thống thông qua a Lu mã số nhận dạng cá nhân (mã PIN), mật khẩu, thẻ sinh mã dùng lần RSA, áp n dụng phương pháp chứng thực sinh trắc học kỹ thuật số PalmSecure va n (thiết bị kiểm tra tĩnh mạch lòng bàn tay) cho khách hàng thực giao ac th dụng kết hợp hai công nghệ kỹ thuật số sinh trắc học để chứng thực y te re dịch Các phương pháp sử dụng nhiều yếu tố, có nghĩa sử 63 ng hi Phương pháp chứng thực sử dụng nhiều yếu tố nói chung có mức độ bảo mật cao ep w 3.2.2.2 Xây dựng hệ thống phòng chống phát xâm nhập n lo Các vấn đề phát sinh từ kiện bất ngờ, bao gồm cơng từ ad bên bên ngồi ảnh hưởng đến hoạt động hệ thống dịch vụ y th ju ngân hàng điện tử Ngân hàng phải xây dựng hệ thống phòng chống phát yi xâm nhập nhằm đảm bảo việc trì hoạt động kinh doanh, kiểm sốt rủi pl ua al ro, giữ uy tín hạn chế thiệt hại liên quan đến việc gián đoạn cung ứng dịch vụ n Vietinbank at Home Do đó, ngân hàng áp dụng kỹ thuật phù hợp nhằm loại va n trừ mối đe dọa từ bên bên hệ thống ngân hàng điện tử ll fu như: m oi - Triển khai tường lửa (Firewall) vùng ngân hàng lõi (core banking), at nh vùng ngân hàng điện tử chi nhánh, tạo vùng biên z khối để hạn chế giám sát luồng thông tin đơn vị, ngăn chặn z ht vb kết nối bất hợp pháp Firewall sử dụng triển khai hiệu với jm sách kết nối khắt khe nhằm đảm bảo an toàn hệ thống k - Sử dụng phần mềm quét virus tất điểm quan trọng truy cập gm vào hệ thống (ví dụ: máy chủ truy cập từ xa, máy chủ proxy thư điện tử) om l.c hệ thống máy trạm đầu cuối (terminal) a Lu - Sử dụng phần mềm phát chống đột nhập công cụ đánh n giá an ninh khác nhằm định kỳ thăm dò, kiểm tra mạng, máy chủ nhằm ac lẫn thuê ngoài, nhằm đảm bảo triển khai đối phó khẩn trương th - Xây dựng chuỗi mệnh lệnh rõ ràng, áp dụng cho hoạt động nội y te re - Kiểm tra xâm nhập hệ thống từ nội từ bên n va phát nhược điểm lỗi sách kiểm sốt an ninh 64 ng hi kiện quan trọng xảy Ngoài ra, cần xây dựng tuyến liên lạc nội ep với cấp quản lý, bao gồm việc thông báo cho Hội đồng Quản w trị trường hợp cần thiết n 3.2.2.3 Thực chế mã hố thơng tin, xây dựng sở hạ tầng khóa lo ad cơng khai PKI y th ju Trong sở hạ tầng khóa cơng khai (PKI), bên có cặp khóa cá yi nhân/cơng khai Khóa cá nhân giữ bí mật, dành cho người sử dụng pl ua al Tất bên sử dụng khóa cơng khai Khóa cá nhân tạo chữ ký điện tử n tài liệu cặp khóa thiết kế để thơng điệp mã khóa va n khóa cá nhân, đọc sử dụng khóa cịn lại ll fu Ngày nay, ngân hàng bắt đầu sử dụng kỹ thuật khác nhằm m oi thiết kế chế không khước từ đảm bảo tính chất bảo mật tồn vẹn at nh giao dịch ngân hàng điện tử chứng nhận số sử dụng sở hạ tầng khóa cơng z khai (PKI) Một ngân hàng phát hành chứng nhận số cho khách z ht vb hàng đối tác, phép riêng họ nhận dạng/xác jm thực, giảm rủi ro không khước từ thực giao dịch Mặc dù số k quốc gia có quy định quyền khách hàng từ chối giao dịch thực hiện, gm số quốc gia khác lại qui định chữ ký điện tử có hiệu lực pháp lý Khi l.c a Lu chấp nhận rộng rãi om công nghệ tiếp tục phát triển, kỹ thuật ngày có xu hướng n Để giải vấn đề này, ngân hàng cần triển khai phù hợp với tính chất n va loại hình giao dịch Vietinbank at Home đảm bảo rằng: ac hàng hiểu rõ rủi ro liên quan đến giao dịch mà họ thực th dụng cấp phép giao dịch, khơng có ý định thực hiện, khách y te re - Hệ thống ngân hàng điện tử thiết kế nhằm giảm số lượng người sử 65 ng hi - Tất bên tham gia giao dịch xác thực, sử dụng cần ep trì kiểm sốt kênh giao tiếp chứng thực w - Dữ liệu giao dịch tài cần bảo vệ chống lại tùy tiện thay n lo đổi cần phát tùy tiện thay đổi xảy ad 3.2.2.4 Xây dựng qui trình, kế hoạch dự phịng phục hồi hệ thống đảm y th ju bảo tính liên tục hệ thống dịch vụ Vietinbank at Home yi Để bảo vệ ngân hàng trước rủi ro tác nghiệp, rủi ro pháp lý rủi ro pl ua al khác, dịch vụ ngân hàng điện tử cần cung cấp sở quán, thông n suốt kịp thời theo kỳ vọng khách hàng Để thực điều này, ngân va n hàng cần có khả cung cấp dịch vụ ngân hàng điện tử cho người sử dụng từ ll fu nguồn sơ cấp (là ứng dụng hệ thống nội ngân hàng) từ m oi nguồn thứ cấp (là ứng dụng hệ thống nhà cung cấp dịch vụ) Việc at nh trì hoạt động liên tục phụ thuộc vào hệ thống dự phòng nhằm tránh z công từ chối dịch vụ kiện dẫn tới việc gián đoạn kinh z ht vb doanh jm Việc trì hoạt động liên tục hệ thống ứng dụng ngân hàng điện tử k đóng vai trị quan trọng, to lớn trường hợp có nhu cầu giao dịch cao, gm vào lúc cao điểm Ngoài ra, yêu cầu cung cấp dịch vụ liên tục (24giờ X 7ngày) l.c a Lu ngân hàng om cho thấy cần thiết hệ thống dự phịng, để trì kinh doanh n Ngân hàng đại phải trì hoạt động liên tục, đảm bảo chu chuyển va n vốn không ngừng nghỉ Chúng ta quen thuộc với phương châm “The ac không câu sáo rỗng đầy phô trương th trời không lặn) Chúng ta hiểu điều thành thực y te re city never sleeps” (Thành phố không ngủ) hay “The sun never sets” (Mặt 66 ng hi Tất nhiên ngân hàng phải xử lý hàng loạt hệ lụy liên quan đến Luật lao ep động bố trí ca kíp, thiết kế hệ thống tự động (Auto banking) w dạng ngân hàng điện tử n lo Để cung cấp dịch vụ ngân hàng điện tử cách liên tục theo kỳ ad vọng khách hàng, Vietinbank cần đảm bảo: y th ju - Phân tích lực hệ thống ngân hàng điện tử khả nâng yi cấp tương lai dựa phát triển tổng thể thị trường tỷ lệ pl ua al khách hàng tiềm chấp nhận sử dụng dịch vụ Vietinbank at Home n - Xây dựng khả xử lý giao dịch Vietinbank at Home đặc biệt khả va n chịu sức ép lúc cao điểm cần kiểm tra đánh giá định kỳ khả ll fu m oi - Có phương án dự phịng, đưa qui trình phục hồi thay khả at nh xử lý Vietinbank at Home, phục hồi thông tin hỗ trợ giao dịch z bao gồm biện pháp cần áp dụng để khôi phục lại hệ thống ứng z ht vb dụng quan trọng Vietinbank at Home trường hợp gián đoạn kinh jm doanh phải kiểm tra thử nghiệm thường xuyên k 3.2.2.5 Thường xun dị tìm, phát lỗ hổng hệ thống, thiết lập hệ l.c gm thống cung cấp vá lỗ hổng bảo mật om Các lỗ hổng bảo mật thường xuyên xuất tất khâu, từ a Lu trình xử lý liệu đầu vào, môi trường hệ thống lỏng lẻo, sách n bảo mật ngân hàng Nhằm đảm bảo đối phó với kiện bất thường xảy n va lỗ hổng bảo mật, Vietinbank cần: ac th khai hệ thống áp dụng tiêu chuẩn an ninh mạng cách đồng y te re - Xây dựng qui trình đánh giá bảo mật độc lập an ninh mạng triển 67 ng hi - Theo dõi phận hỗ trợ kỹ thuật hoạt động hỗ trợ khách hàng ep Việc đánh giá thường xuyên khiếu nại khách hàng giúp xác w định lỗ hổng hệ thống an ninh, từ có biện pháp khắc phục n lo - Xây dựng hệ thống Vietinbank at Home hồn chỉnh mơ giống ad với môi trường thực tế để tiến hành thử nghiệm bảo mật, phát y th ju lỗ hổng khả khai thác lỗ hổng tin tặc (hacker) yi Xin lưu ý đối đầu tin tặc chuyên gia chịu trách nhiệm an pl ua al toàn hệ thống chưa đến hồi kết Tin tặc khơng có ý đồ xấu, cố sức bẻ n khóa an tồn để tự khẳng định tài năng, sau kẻ khác lợi dụng lỗ hỏng vừa tạo va n để xâm nhập làm chuyện xấu, để lại hậu nặng nề ll fu 3.2.3 Giải pháp giáo dục đào tạo m oi - Xây dựng đào tạo đội ngũ cán công nhân viên Vietinbank nghiệp at nh vụ ngân hàng công nghệ thông tin Bảo đảm cho nguồn nhân lực hệ z thống Vietinbank cập nhật kiến thức mới, tiếp cận tiến khoa z ht vb học kỹ thuật công nghệ mới, đặc biệt công nghệ ngân hàng, góp phần với chất lượng, độ tin cậy ngày cao k jm nâng cao an toàn hệ thống, đem lại cho khách hàng nhiều dịch vụ gm - Với nỗ lực chuẩn hoá hạ tầng, phân vùng kiểm soát truy cập mạng, l.c om kiểm soát cửa ngõ, phân vùng quan trọng thường xuyên giám a Lu sát, phản ứng kịp thời cán kỹ thuật, nguy xâm nhập n truyền thống ngăn chặn đẩy lùi, đảm bảo vận hành thông va n suốt tồn hệ thống Tất nhiên, cịn nhờ việc tăng cường giáo dục, ac Các quy định, yêu cầu bảo mật người sử dụng, quy trình cho th phải bảo mật biện pháp, quy định bảo mật ngân hàng y te re đào tạo, thường xuyên kiểm tra, nhắc nhở cán nhân viên cần thiết 68 ng hi đội ngũ cán công nghệ thông tin rà soát/chỉnh sửa theo ep hướng chuẩn hóa, nâng cao tính bảo mật w - Xây dựng quy trình bảo mật theo chuẩn ISO 9001:2008, đưa bảo mật n lo an tồn thơng tin trở thành phần hữu quy trình dịch vụ ad Khi nhân viên ngân hàng, dù phận nào, làm khâu nào, y th ju hiểu tầm quan trọng vấn đề bảo mật an tồn thơng tin cho khách yi hàng biện pháp mà họ cần thực để đạt tới mục đích pl ua al chất lượng dịch vụ nâng cao, giúp khách hàng hài lòng, yên tâm n đưa bảo mật trở thành lợi cạnh tranh cho ngân hàng va n 3.2.4 Giải pháp từ phía khách hàng ll fu Vấn đề bảo mật an tồn thơng tin khơng thực từ phía ngân m oi hàng mà cịn phải thực từ phía khách hàng – người trực tiếp sử at nh dụng sản phẩm dịch vụ Vietinbank at Home Tuy nhiên nay, hầu hết cá z nhân sử dụng sản phẩm Vietinbank at Home chưa nhận thức quan tâm z ht vb mức đến vấn đề Nhận thức phía người sử dụng quan trọng, góp jm phần làm giảm đáng kể rủi ro giao dịch thông qua Internet k - Vietinbank cần triển khai bước phù hợp nhằm thông báo với khách gm hàng sử dụng dịch vụ Vietinbank at Home riêng tư bảo mật thông om l.c tin khách hàng a Lu - Hướng dẫn khách hàng cần thiết phải bảo vệ mật khẩu, mã số nhận n dạng cá nhân (PIN) liệu cá nhân liệu ngân hàng va n - Cung cấp cho khách hàng thông tin tổng quát an ninh máy tính ac tĩnh th sốt truy cập máy tính tường lửa cá nhân kết nối Internet y te re cá nhân, bao gồm lợi ích sử dụng phầm mềm chống virus, kiểm 69 ng hi Về phía khách hàng, người dùng cần quan tâm tới an tồn máy tính cá nhân ep Hầu hết máy tính cá nhân bị xâm nhập qua lỗ hổng bảo mật, máy tính w chạy phần mềm Windows Nếu tin tặc (hacker) xâm nhập máy tính n người dùng, kiểm sốt tồn máy tính truy cập tài khoản ngân lo ad hàng qua Internet Để giảm thiểu rủi ro, máy tính cá nhân nên cài đặt y th ju phần mềm hãng cơng ty có uy tín, tường lửa tối thiểu, yi phần mềm chặn virus mật đủ khó mật dùng lần cho pl ua al giao dịch liên quan đến chuyển tiền cung cấp thiết bị riêng n biệt (Token card) Thiết bị giúp người dùng an toàn giao dịch trực va n tuyến, người dùng lưu ý bảo quản, phải báo cho nhà cung cấp ll fu khóa tài khoản m oi Khi gặp tượng đáng ngờ xuất cửa sổ thông báo (pop- at nh up) dai dẳng, máy tính kết nối chậm đáng kể, khởi động lặp lặp lại, chuột hay z bàn phím bị treo thông điệp cảnh báo lạ, người dùng nên dừng tất việc z k jm ht vb làm, ngắt kết nối Internet, quét virus máy tính phần mềm độc hại om l.c gm n a Lu n va y te re ac th 70 ng hi KẾT LUẬN CHƯƠNG ep Trong điều kiện nay, để phát triển dịch vụ ngân hàng điện tử, hầu hết w ngân hàng phải thực số bước thích hợp theo giải pháp cụ n lo thể Chương đưa giải pháp giảm thiểu rủi ro dịch vụ ngân hàng ad điện tử, đặc biệt vấn đề an tồn bảo mật thơng tin dịch vụ Vietinbank at y th ju home ngân hàng TMCP Công Thương Việt Nam Các giải pháp hỗ trợ yi cho hoạt động ngân hàng điện tử tương thích với mức độ nguy rủi ro pl ua al phương thức quản trị rủi ro phù hợp với Vietinbank, góp phần đảm bảo tính n an tồn, khả thi Vietinbank at home, đưa sản phẩm Vietinbank at home va n tiếp cận khách hàng cách an toàn, nhanh chóng, xác hiệu Có ll fu thể nói, Vietinbank at home phát huy tối đa hiệu ứng dụng Vietinbank m oi giải pháp đề xuất thực đồng trình at nh triển khai phát triển z z k jm ht vb om l.c gm n a Lu n va y te re ac th 71 ng hi KẾT LUẬN ep Công nghệ ngày phát triển với cạnh tranh ngân hàng w tạo điều kiện cho khách hàng tiếp cận ngày nhiều sản phẩm dịch vụ ngân n lo hàng thông qua kênh cung cấp dịch vụ điện tử gọi chung dịch vụ ngân ad hàng điện tử Ngồi lợi ích mang đến, phát triển nhanh chóng loại y th yi tin ju hình dịch vụ chứa nhiều rủi ro, bật vấn đề bảo mật an tồn thơng pl ua al Dịch vụ Vietinbank at home kết tất yếu trình phát triển công n nghệ thông tin ngân hàng Dịch vụ đóng góp vai trị quan trọng mang va n lại nguồn lợi nhuận cao nhóm dịch vụ ngân hàng điện tử ll fu Vietinbank Trên sở vận dụng tổng hợp phương pháp nghiên cứu khoa học, từ m oi lý luận sở dịch vụ ngân hàng điện tử đề cập chương 1, luận at nh văn trình bày cụ thể tình hình thực triển khai dịch vụ Vietinbank at z home ngân hàng TMCP Cơng Thương Việt Nam Từ nêu lên vấn đề z jm riêng - vấn đề bảo mật an tồn thơng tin ht vb nóng bỏng dịch vụ ngân hàng điện tử nói chung Vietinbank at home nói k Trên phân tích nhận định chương 2, chương nêu lên giải gm pháp bảo mật an tồn thơng tin Tuy nhiên giải pháp mang tính l.c om thời điểm, khơng có tính trường cửu giải pháp nhanh chóng lỗi thời a Lu trước tốc độ thay đổi công nghệ sáng kiến dịch vụ khách hàng Do đề n tài nêu lên vấn đề an tồn bảo mật thơng tin sản phẩm Vietinbank at va n home, nhằm tăng cường tính an tồn hiệu dịch vụ ngân hàng điện te re tử hệ thống Vietinbank, bảo toàn động cần thiết ac th nghệ thông tin y trình triển khai thực tế xuất phát từ tốc độ thay đổi lĩnh vực công 72 ng hi Mặc dù có nhiều nỗ lực cơng tác tìm tịi nghiên cứu, ep kinh nghiệm thân kiến thức hạn chế sản phẩm dịch w vụ công nghệ mẻ này, đề tài nghiên cứu không tránh khỏi thiếu sót n Kính mong nhận đóng góp Quý Thầy Cô, đồng nghiệp lo ad quan, độc giả quan tâm đến vấn đề Xin chân thành cảm ơn./ ju y th yi pl n ua al n va ll fu oi m at nh z z k jm ht vb om l.c gm n a Lu n va y te re ac th