ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Đỗ Minh Hưng NGHIÊN CỨU CÁC PHƯƠNG PHÁP BẢO MẬT TRONG INTERNET BANKING VÀ MOBILE BANKING KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Các Hệ Thống Thông Tin HÀ NỘI - 2010 ĐẠI HỌC QUỐC GIA HÀ NỘI TRƯỜNG ĐẠI HỌC CÔNG NGHỆ Đỗ Minh Hưng NGHIÊN CỨU CÁC PHƯƠNG PHÁP BẢO MẬT TRONG INTERNET BANKING VÀ MOBILE BANKING KHOÁ LUẬN TỐT NGHIỆP ĐẠI HỌC HỆ CHÍNH QUY Ngành: Các Hệ Thống Thông Tin Cán bộ hướng dẫn: TS Lê Phê Đô HÀ NỘI - 2010 Lời tóm tắt Trong bối cảnh mạng máy tính đã bao phủ toàn thế giới, người ta có thể thực hiện rất nhiều việc trên mạng trong đó có các giao dịch với ngân hàng. Hệ thống dịch vụ của ngân hàng cung cấp cho khách hàng các giao dịch trực tuyến là hệ thống Internet Banking và Mobile Banking cũng đã phát triển rộng khắp và cung cấp rất sản phẩm đem lại lợi ích cho cả ngân hàng cũng như khách hàng. Tuy nhiên cùng với sự phát triển của Internet Bankingvà Mobile Banking thì cũng đồng thời với sự phát triển của các mối đe dọa về bảo mật của dịch vụ này làm đau đầu cả các ngân hàng lẫn các khách hàng sử dụng dịch vụ. Trước thách thức đó tôi đã lựa chọn đề tài “Nghiên cứu các phương pháp bảo mật trong Internet Banking và Mobile Banking” làm khóa luận tốt nghiệp của mình. Trong khóa luận tôi đã nghiên cứu tổng quan chung về tình hình triển khai Internet Banking tại Việt Nam, các mối đe dọa với ngân hàng và khách hàng khi sử dụng dịch vụ và trọng tâm là một số phương pháp bảo mật được áp dụng để bảo đảm an toàn của hệ thống Internet Banking và một phần tìm hiểu khái quát về Mobile Banking. Thông qua khóa luận tôi muốn mọi người hiểu thêm và thực trạng cũng như các biện pháp bảo mật được áp dụng tại các ngân hàng, từ đó có những kiến thức để tự tin sử dụng dịch vụ Internet Banking và Mobile Banking một cách an toàn. Mặc dù đã hết sức cố gắng nhưng do hoàn cảnh nghiên cứu còn hạn hẹp, chưa có điều kiện trực tiếp nghiên cứu tại các ngân hàng nên không tránh khỏi những thiếu xót, tôi rất mong những ý kiến đóng góp của người đọc quan tâm đến lĩnh vực này. Tôi xin gửi lời cảm ơn chân thành nhất Tiến sỹ Lê Phê Đô, giảng viên trường đại học Công Nghệ, đại học Quốc Gia Hà Nội, người đã tận tình hướng dẫn và cho tôi những nhận xét quý báu giúp tôi hoàn thành khóa luận này. Tôi cũng xin cảm ơn toàn thể gia đình, người thân, bạn bè đã nhiệt tình giúp đỡ và động viên tôi rất nhiều trong quá trình làm khóa luận này. Mục lục Lời mở đầu 1 Chương 1: Internet Banking và thực trạng ở Việt Nam 2 1.1. Internet Banking 2 1.1.1. Khái niệm 2 1.1.2. Các chức năng cơ bản của Internet Banking 2 1.1.3. Lịch sử 2 1.2. Thực trạng Internet Banking tại Việt Nam 4 1.2.1. Tình hình triển khai Internet Banking tại Việt Nam 4 1.2.2. Những khó khăn thuận lợi cho việc phát triển Internet Banking tại Việt Nam 8 Chương 2: Những thách thức với an toàn của Internet Banking 11 2.1. Thách thức phía ngân hàng 11 2.1.1. Nguy cơ rò rỉ thông tin khách hàng 11 2.1.2. Nguy cơ bị chiếm đoạt tiền 13 2.1.3. Nguy cơ tấn công từ chối dịch vụ 14 2.2. Thách thức phía khách hàng 15 2.2.1. Nguy cơ từ phishing 15 2.2.2. Nguy cơ từ pharming 24 2.2.3. Nguy cơ từ các phần mềm mã độc, virus, trojan 30 Chương 3 : Các giải pháp an toàn trong Internet Banking 35 3.1. Xây dựng hệ thống xác thực mạnh 35 3.1.1. Khái niệm 35 3.1.2. Hệ thống xác thực bằng mật khẩu sử dụng một lần (One time password OTP) 36 3.2. Xây dựng hệ thống tường lửa 40 3.2.1. Cơ bản về tường lửa 40 3.2.2. Lựa chọn hệ thống tường lửa cho internet banking như thế nào ? 42 3.2.3. Mô hình tường lửa cho hệ thống internet banking 46 3.3. Xây dựng hệ thống phòng chống xâm nhập (Intrusion Prevention System IPS)46 3.3.1. Thiết bị phòng chống xâm nhập IPS là gì ? 47 3.3.2. Hoạt động của IPS 47 3.3.3. Lựa chọn IPS cho hệ thống internet banking 49 3.4. Xây dựng tường lửa ứng dụng web (Web Application Firewall WAF) 52 3.4.1. Tại sao phải xây dựng tường lửa ứng dụng web ? 52 3.4.2.Khái niệm về hệ thống tường lửa ứng dụng web 52 3.4.3. Hoạt động của tường lửa ứng dụng web 53 3.4.4. Lưa chọn WAF thích hợp cho hệ thống internet banking 55 3.5. Triển khai hệ thống phòng chống mã độc 56 3.5.1. Chiến lược phòng chống mã độc EPS thế hệ thứ 3 56 3.5.2. Một số công cụ phòng chống mã độc theo chiến lược EPS của Trend Micro 58 3.6. Triển khai chữ ký số và chứng thực số 60 3.6.1. Yêu cầu an toàn trong giao dịch Internet Banking 60 3.6.2. Lợi ích của việc áp dụng chữ ký số và chứng thực số trong giao dịch Internet Banking 60 3.6.3. Áp dụng chữ kí số và chứng thực số 61 3.7. Mã hóa thông tin 62 3.7.1. Mã hóa một phần thông tin trong máy tính 62 3.7.2. Mã hóa toàn bộ thông tin trong máy tính 63 3.8. Triển khai các phương pháp bảo vệ dữ liệu ở người dùng cuối 64 3.9. Triển khai mạng riêng ảo VPN (Virtual Private Network) 66 3.9.1. Khái niệm, phân loại các hình thức mạng riêng ảo 66 3.9.2. Thiết lập VPN cho hệ thống Internet Banking 70 Chương 4: Mobile Banking 74 4.1. Tổng quan về Mobile Banking 74 4.2. Một số hình thức triển khai Mobile Banking 75 4.3. Các nguy cơ về bảo mật khi sử dụng dịch vụ Mobile Banking 77 4.4. Giải pháp an toàn cho Mobile Banking 79 Danh sách tài liệu và nguồn tham khảo 82 Phụ Lục: Chương trình demo sinh mật khẩu một lần (One Time Password) dựa trên hệ thống S/Key One Time Password System 83 Bảng ký hiệu và chữ viết tắt STT Chữ viết tắt Chữ viết đầy đủ Nghĩa tiếng Việt 1 EPS Enterprise Protection Strategy Chiến lược bảo vệ toàn diện 2 IPS Intruction Prevention System Hệ thống phòng chống xâm nhập 3 VPN Virtual Private Network Mạng riêng ảo 4 OTP One Time Password Mật khẩu một lần 5 WAF Web Application Firewall Tường lửa ứng dụng web Danh mục hình vẽ STT Tên hình 1 Ảnh thiết bị videotex 2 Ảnh thẻ xác thực của DongA bank 3 Mô tả thời gian đáp ứng của trang web US bank khi bị tấn công 4 Ví dụ về một email phishing 5 Biểu tượng an toàn trên trình duyệt 6 Hình minh họa thể hiện trang web của Paypal được chứng thực bới tổ chức VerySign 7 Xác định cơ quan cấp chứng chỉ số 8 Cảnh báo của trình duyệt web 9 DNS cache poisioning 10 Mô tả kịch bản tấn công DNS 11 Host file 12 Website của ngân hàng tạm ngừng hoạt động 13 Hai yếu tố xác thực thường được sử dụng 14 Sử dụng mật khẩu một lần để đăng nhập 15 Các thiết bị phân phối OTP 16 Các máy chủ dịch vụ web đặt ở vùng DMZ, Data center đặt ở vùng Intranet 17 Mô tả cơ chế hoạt động của một IPS 18 Chúc năng bản vá ảo 19 Thị phần IPS trên thị trường thiết bị an ninh mạng 20 Mô phỏng tường lửa ứng dụng web của SecuresPhere bảo vệ máy chủ cơ sở dữ liệu và vùng DMZ 21 Mô tả hoạt động của môt tường lửa ứng dụng hãng Netcontinuum 22 Tập hợp các sản phầm phòng chống mã độc của Trend Micro 23 Website ngân hàng sử dụng chứng chỉ số của VerySign cấp 24 Mã hóa một phần thông tin 25 Mã hóa toàn bộ thông tin 26 Intranet VPN 27 Extranet VPN 28 Remote Access VPN 29 Tổng hợp các hình thức VPN 30 IPSec VPN 31 SSL VPN 32 VPN tích hợp với Firewall 33 Biểu đồ về Mobile Banking so với Online Banking trong giai đoạn 1995- 2006 và dự đoán trong tương lai đến 2016 tại Mỹ. 34 Hoạt động của một software client trên mobile 35 Hình ảnh mô tả hoạt động của chương trình OTP 1 Lời mở đầu Internet Banking và Mobile Banking đã đang và sẽ trở thành những dịch vụ thiết yếu với cuộc sống của con người trong xã hội hiện đại ngày nay, tuy nhiên cùng với sự tiện lợi mà các dịch vụ này đem lại thì các ngân hàng cũng như khách hàng sử dụng dịch vụ phải đối mặt với nhiều nguy cơ thách thức về mặt bảo mật. Cuộc chiến với tội phạm công nghệ cao là cuộc chiến mang tính chất rượt đuổi không ngừng nghỉ đòi hỏi trình độ khoa học kỹ thuật ngày càng cao. Vì nguyên nhân ấy tôi quyết định nghiên cứu về đề tài “Các phương pháp bảo mật trong Internet Banking và Mobile Banking” nhằm mục tiêu tìm hiểu các biện pháp và nguyên tắc bảo mật được áp dụng để chống lại các nguy cơ và thách thức từ phía tội phạm. Các kiến thức trong đề tài cung cấp các giải pháp công nghệ cho phía ngân hàng đồng thời cũng nâng cao nhận thức của khách hàng nhằm giúp họ có thể tự bảo vệ mình trước những hình thức tấn công phổ biến. Khóa luận bao gồm 4 chương và phần phụ lục, chương 1 “Internet Banking và thực trạng ở Việt Nam”, chương 2 “Những thách thức với an toàn của Internet Banking”, chương 3 “Triển khai các giải pháp an toàn cho Internet Banking”, chương 4 “Mobile Banking”, và phần phụ lục “Chương trình sinh mật khẩu một lần”. Các biện pháp kỹ thuật trong đề tài mang tính thực tiễn cao và đang được áp dụng trên thực tế tại một số ngân hàng tại Việt Nam đồng thời cũng mở ra hướng nghiên cứu phát triển trong tương lai. [...]... hiểu về giải pháp Internet Banking của hai ngân hàng này *Ngân hàng á châu ACB Trang web chính thức: http://www.acb.com.vn/index.jsp ACB triển khai Internet Banking vào năm 2003 ACB cung cấp giải pháp Internet Banking với nhiều phương 4 thức bảo mật khác nhau phù hợp với điều kiện và mục đích sử dụng của từng đối tượng khách hàng, hiện ACB có 6 tùy chọn bảo mật cho dịch vụ Internet Banking với các hạn... hạng có nguy cơ, ngân hàng đứng cuối về bảo mật là Sparda-Bank Hamburg eG c.Tìm hiểu về phishing trong Internet Banking *Khái niệm phishing Trong phạm vi Internet Banking, phishing (lừa đảo) là quá trình gian lận để cố gắng có được các thông tin nhạy cảm của người dùng như tên tài khoản, mật khẩu, các chi tiết thẻ tín dụng bằng cách giả mạo một thực thể tin cậy trong quá trình giao tiếp điện tử Việc... mạng Internet tốc độ cao trở lên phổ biến trên toàn thế giới b Các dịch vụ được triển khai Về cơ bản thì Internet Banking tại Việt Nam cũng đã triển khai các dịch vụ chính như các nước trên thế giới, điểm khác biệt lớn nhất của Internet Banking tại Việt Nam so với nước ngoài là quy mô chất lượng dịch vụ cũng như các biện pháp bảo mật ACB và DongA là hai ngân hàng đã triển khai dịch vụ Internet Banking. .. hàng trực tuyến phong phú) 3 1.2 Thực trạng Internet Banking tại Việt Nam 1.2.1 Tình hình triển khai Internet Banking tại Việt Nam a Khái quát Internet Banking đem lại nhiều thuận lợi cho cả ngân hàng và khách hàng nên là vấn đề được nhiều ngân hàng tại Việt Nam quan tâm Hầu hết các ngân hàng tại Việt Nam đến thời điểm hiện tại đều đã triển khai Internet Banking nhưng mức độ và số lượng dịch vụ còn... lợi cho việc phát triển Internet Banking tại Việt Nam a Khó khăn *Khó khăn từ phía ngân hàng Việt Nam đi lên từ một nước nông nghiệp trình độ khoa học kỹ thuật còn nhiều hạn chế trong khi triển khai Internet Banking lại cần nhiều biện pháp công nghệ tiên tiến nhằm bảo đảm an toàn cho cả khách hàng lẫn ngân hàng , đây là trở ngại lớn nhất của các ngân hàng khi triển khai Internet Banking Để giải quyết... công ty trong nước chưa đáp ứng được yêu cầu khắt khe của các ngân hàng  Các ngân hàng đang phân vân lựa chọn giải pháp bảo mật phù hợp với yêu cầu và điều kiện của mình *Khó khăn phía khách hàng: Internet Banking là dịch vụ mới với đa số khách hàng, cần tốn thời gian tìm hiểu và làm quen Nhiều khách hàng không tin tưởng vào khả năng bảo mật cũng như lo sợ rủi ro khi thực hiện các giao dịch trên Internet. .. vụ Internet Banking ngày càng phong phú, phù hợp với những yêu cầu của cuộc sống, giúp khách hàng tiết kiệm được thời gian tiền bạc và công sức nên được đông đảo khách hàng lựa chọn Nhờ áp dụng các biện pháp bảo mật tiên tiến, khách hàng có thể tin tưởng khi thực hiện các giao dịch trên hệ thống Internet Banking của các ngân hàng Kết luận: Chương 1 cung cấp thông tin khái quát về dịch vụ Internet Banking, ...Chương 1: Internet Banking và thực trạng ở Việt Nam 1.1 Internet Banking 1.1.1 Khái niệm Internet Banking là một hệ thống cho phép khách hàng truy cập đến tài khoản ngân hàng, các thông tin và dịch vụ mà ngân hàng cung cấp thông qua một máy tính có kết nối mạng hay thông qua các thiết bị thông minh khác 1.1.2 Các chức năng cơ bản của Internet Banking Tra cứu thông tin tài khoản:... động cũng gây ra những thiệt hại rất lớn Nhiệm vụ đặt ra cho những người thiết kế và quản trị hệ thống internet banking của các ngân hàng là phải đảm bảo cho hệ thống phục vụ được cùng lúc nhiều người dùng và chạy ổn định trong thời gian dài Tuy nhiên trong thực tế nhiều trường hợp các dịch vụ Internet Banking của ngân hàng đã phải dừng hoạt động do bị tấn công từ bên ngoài Có nhiêu hình thức tấn công... Yêu cầu sử dụng: Khách hàng đăng kí dịch vụ Internet Banking, sử dụng trình duyệt web trên máy tính truy cập Internet vào địa chỉ https://internetbanking.acb.com.vn/ là có thể sử dụng dịch vụ này mọi lúc mọi nơi Đăng kí dịch vụ: Nếu đã có tài khoản tại ACB, khách hàng chỉ cần đến điểm giao dịch đăng kí theo mẫu có sẵn là có thể sử dụng được dịch vụ Internet Banking, mọi vướng mắc về dịch vụ sẽ được các . pháp bảo mật trong Internet Banking và Mobile Banking làm khóa luận tốt nghiệp của mình. Trong khóa luận tôi đã nghiên cứu tổng quan chung về tình hình triển khai Internet Banking tại Việt. nghiên cứu phát triển trong tương lai. 2 Chương 1: Internet Banking và thực trạng ở Việt Nam 1.1. Internet Banking 1.1.1. Khái niệm Internet Banking là một hệ thống. thực số 60 3.6.1. Yêu cầu an toàn trong giao dịch Internet Banking 60 3.6.2. Lợi ích của việc áp dụng chữ ký số và chứng thực số trong giao dịch Internet Banking 60 3.6.3. Áp dụng chữ kí số