AN TOÀN THÔNG TIN CHO CÁC CÔNG TY CHỨNG KHOÁN Theo các báo cáo về thị trường tài chính, ngân hàng, chứng khoán của Việt Nam cuối năm 2006, thị trường Chứng khoán là một trong những lĩnh vực tài chính hoạt động sôi động nhất và có sự phát triển rất nhanh. Sau hơn 6 năm đi vào hoạt động từ 7/2000, TTCK tập trung của Việt Nam đã chứng kiến sự phát triển mạnh mẽ đặc biệt là trong năm 2006 và dự đoán sẽ còn tăng mạnh trong năm 2007 cả về quy mô cũng như chất lượng. Cho đến nay, trên Trung tâm GD Chứng khoán TP.HCM đã có tới 106 loại cổ phiếu, sàn CK Hà Nội cũng đã đạt tới con số 87 loại cổ phiếu. Theo các chuyên gia dự báo, trong thời gian tới, số lượng các công ty chờ đăng kí niêm yết sẽ tăng lên rất nhanh đồng thời với số lượng các nhà đầu tư càng nhiều và mang tính chuyên nghiệp hơn. Thị trường Chứng khoán ngày càng phát triển thì số lượng giao dịch và nhu cầu tìm hiểu thông tin của các nhà đầu tư ngày càng tăng. Để đáp ứng được các yêu cầu đó, ngày càng nhiều các công ty Chứng khoán được thành lập để giúp cho các nhà đầu tư dễ dàng hơn trong việc tìm hiểu thông tin và tiếp cận tới các cổ phiếu đang được niêm yết. Theo báo cáo tổng kết cuối năm 2006, hiện nay đã có 55 công ty Chứng khoán đi vào hoạt động, 6 tổ chức lưu kí chứng khoán và 18 ngân hàng thanh toán. Các công ty chứng khoán sẽ cạnh tranh mạnh mẽ để thu hút nhiều nhà đầu tư về phía mình bằng cách đưa ra nhiều phương thức cung cấp dịch vụ đảm bảo, tiện lợi và đầy đủ hơn. Phương thức giao dịch chứng khoán trước đây yêu cầu nhà đầu tư phải đến các trung tâm giao dịch chứng khoán (TTGDCK) hoặc quầy môi giới của công ty chứng khoán đặt lệnh thì nay đã mở rộng qua các hình thức như đặt lệnh qua điện thoại, Internet. Các dịch vụ này ngày càng được các nhà đầu tư luôn bận bịu với công việc kinh doanh ưa chuộng, và không ít trong số họ là những nhà đầu tư rất lớn. Họ mong chờ sự xuất hiện của các hình thức dịch vụ trực tuyến để có thể dễ dàng ở bất kì đâu, tại bất kì thời điểm nào đều có thể nhanh chóng tra cứu cập nhật thông tin, thực hiện giao dịch mua bán chứng khoán. Chúng ta hãy nhìn lại quy trình mua bán chứng khoán được niêm yết tại các Trung tâm giao dịch chứng khoán. Toàn bộ quy trình này được tiến hành theo 5 bước: • Bước 1: Nhà đầu tư đến mở tài khoản và đặt lệnh mua hay bán chứng khoán tại một công ty chứng khoán. • Bước 2: Công ty chứng khoán chuyển lệnh đó cho đại diện của công ty tại Trung tâm giao dịch chứng khoán để nhập vào hệ thống giao dịch của Trung tâm. • Bước 3: Trung tâm giao dịch chứng khoán thực hiện ghép lệnh và thông báo kết quả giao dịch cho công ty chứng khoán. • Bước 4: Công ty chứng khoán thông báo kết quả giao dịch cho nhà đầu tư. • Bước 5: Nhà đầu tư nhận chứng khoán (nếu là người mua) hoặc tiền (nếu là người bán) trên tài khoản của mình tại công ty chứng khoán sau 3 ngày làm việc kể từ ngày mua bán. Bước 1 trong quy trình được các công ty Chứng khoán đa dạng hoá phương thức dịch vụ, làm chìa khoá cạnh tranh để có thể thu hút được nhiều nhà đầu tư đến với mình. Tuy vậy bên cạch các hình thức dịch vụ, các công ty chứng khoán cần phải đảm bảo uy tính cũng như chất lượng của các thông tin mà họ cung cấp cho nhà đầu tư. Mô hình trao đổi thông tin điển hình của công ty chứng khoán: 1 Hoạt động cung cấp thông tin của một công ty chứng khoán không chỉ nằm trong phạm vi cung cấp các dịch vụ tài chính và môi giới mua bán chứng khoán mà còn liên quan tới các hệ thống thông tin của hai sàn giao dịch chứng khoán Hà nội và Tp.HCM, liên quan tới trao đổi thông tin với các ngân hàng lưu kí Chứng khoán và thanh toán bù trừ. Do vậy, để vận hành tốt các hoạt động này, hạ tầng CNTT của công ty Chứng khoán luôn phải đảm bảo tính sẵn sàng cao. Hệ thống đó phải có khả năng ngăn chặn và phòng chống các nguy cơ tiềm ẩn về mất an toàn của hệ thống CNTT khi dữ liệu xử lý được truyền chủ yếu qua hệ thống mạng công cộng là Internet và mạng thoại. Các nguy cơ tiềm ẩn đó là gì? Nói một các tổng quát có thể phân loại các nguy cơ đó như sau: 1. Nguy cơ ngưng trệ hoạt động của hệ thống mạng do tắc ngẽn đường truyền. Các máy tính bị nhiễm virus sẽ nhanh chóng chiếm toàn bộ băng thông và làm tê liệt toàn bộ các hoạt động trao đổi thông tin trong mạng máy tính, các giao dịch mua bán chứng khoán điện tử. 2 2. Nguy cơ các hệ thống dịch vụ giao dịch trực tuyến bị kẻ xấu tấn công từ ngoài mạng Internet bằng nhiều hình thức tấn công từ chối dịch vụ (DoS) khác nhau 3. Nguy cơ bị kẻ xấu làm sai lệch thông tin khi thực hiện các giao dịch chứng khoán điện tử: - Thông tin giao dịch bị bắt khi truyền từ ‘nguồn’ tới ‘đích’ qua mạng Internet. Kẻ xấu có thể thay đổi thông tin hoặc chèn thêm các đoạn mã độc hại. Hiện nay nguy cơ này đã được các hãng bảo mật khuyến cáo sử dụng các phương pháp mã hoá dữ liệu trong khi truyền. 4. Nguy cơ bị lấy cắp các thông tin nhạy cảm như mã số đăng nhập tài khoản, username/password, số PIN, số thẻ tín dụng . qua các kĩ thuật lừa đảo ‘phishing’ và ‘farming‘ ngày càng được tin tặc cải tiến tinh vi. Khi các dịch vụ trực tuyến ngày càng mở rộng thì nguy cơ phá hoại, tấn công của tin tắc ngày càng nhiều với độ tinh vi ngày càng cao. Các công ty Chứng khoán cần phải nhận thức rõ khi mở rộng các loại hình dịch vụ sẽ phải đi đôi với việc đầu tư một hạ tầng CNTT đảm bảo và an toàn. Từ mô hình trao đổi thông tin của các công ty chứng khoán, hạ tầng công nghệ thông tin của công ty dưới góc nhìn của các chuyên gia bảo mật sẽ được phân làm năm vùng chính. Các vùng này được bảo vệ bởi các hệ thống an ninh thông tin. Tất cả chúng hoạt động dưới sự quản lý của những quy định và chính sách an toàn thông tin được điều chỉnh phủ hợp theo đặc thù của từng công ty. 3 Thiết bị an ninh tích hợp Crossbeam C6 Năm phân vùng trong mô hình bảo mật tổng thể là: 1. Vùng mạng LAN bên trong toà nhà của công ty Chứng khoán, vùng này bao gồm a. Mạng LAN các PC của khối văn phòng, khối tài chính, khối nghiệp vụ tư vấn tài chính, môi giới mua bán chứng khoán. b. Hệ thống tổng đài IP phục vụ liên lạc của công ty Chứng khoán 2. Vùng các máy chủ DMZ cung cấp các dịch vụ trực tuyến được truy cập qua Internet như: E-Mail, Web site thông tin thị trường, Online Brokerage, Online OTC… 3. Vùng các máy chủ cơ sở dữ liệu và ứng dụng quan trọng vận hành hệ thống quản lý các giao dịch chứng khoán. 4. Vùng người dùng truy cập từ xa qua Internet vào hệ thống mạng, ứng dụng của công ty, vùng này bao gồm: a. Nhân viên của công ty chứng khoán hoạt động tại 2 trung tâm GDCK Hà Nội và tp. Hồ Chí Minh truy cập VPN (Client to Site) về mạng của công ty. b. Các nhà đầu tư truy cập vào Web site và dịch vụ chứng khoán trực tuyến (Online Brokerage, Online OTC) của công ty. 5. Vùng các đại lý, chi nhánh của công ty kết nối VPN Site to Site hoặc WAN vào hệ thống mạng của công ty. Đây cũng là vùng kết nối mạng thông tin từ công ty Chứng khoán tới mạng của các Ngân hàng thanh toán, lưu kí trong tương lai. Để đảm bảo an toàn cho các kết nối, trao đổi thông tin và ngăn chặn các tấn công cả từ bên trong trong và bên ngoài mạng, giải pháp bảo mật tổng thể và sản phẩm bảo mật cho hạ tầng công nghệ thông tin được chúng tôi đề xuất như sau: 1. Phân tách các vùng mạng và bảo vệ bằng hệ thống Firewall Mạng trong phạm vi toà nhà của công ty sẽ được chia làm ba vùng chính:  Vùng DMZ gồm các Server cho các dịch vụ trực tuyến như Web site, Email, các ứng dụng Online Brokerage, Online OTC…  Vùng các Server cơ sở dữ liệu và ứng dụng quan trọng như BackOffice, CSDL khách hàng, giao dịch, lưu kí… Đây là vùng các Servers chính vận hành toàn bộ hệ thống phần mềm và CSDL liên quan tới giao dịch mua bán chứng khoán.  Vùng mạng LAN bao gồm khối văn phòng, nghiệp vụ và hệ thống tổng đài IP. Các vùng mạng sẽ được quy hoạch trên các dải IP riêng biệt. Hệ thống Firewall sẽ kiểm soát luồng dữ liệu đi qua bao gồm: Truy cập từ ngoài Internet vào vùng dịch vụ trực tuyến, người dùng ở mạng LAN truy cập Internet qua đường LeasedLine, ADSL hoặc Wireless, người dùng ở mạng LAN truy cập vào vùng Server ứng dụng và cơ sở dữ liệu. Firewall sẽ kiểm soát, xác thực và ngăn chặn những truy cập không hợp lệ, những tấn công của hacker từ ngoài Internet hoặc trực tiếp xuất phát từ bên trong mạng vào các vùng servers. Với kinh nghiệm triển khai của công ty Misoft, kết hợp với sự phát triển của công nghệ, chúng tôi đề xuất hệ thống Firewall sẽ là sự kết hợp giữa Firewall VPN1- UTM của hãng Check Point chạy trên phần cứng chuyên dụng của hãng Crossbeam System. Check Point Firewall VPN1-UTM hội đủ các yêu tố bảo vệ mạng bao gồm các tính năng Firewall, AntiVirus, IPS và VPN server chỉ trong 4 một sản phẩm. Check Point Firewall được cài trên một cặp thiết bị an ninh tích hợp chuyên dụng của hãng Crossbeam System chạy clustering ở chế độ HA (High availability) đảm bảo tính sẵn sàng cao và hiệu năng hoạt động của toàn mạng. 2. Thiết lập và bảo vệ các kết nối VPN. Hệ thống Check Point Firewall VPN1-UTM đặt tại trụ sở chính của công ty chứng khoán bên cạnh chức năng kiểm soát các luồng thông tin ra vào mạng còn là hệ thống VPN Server cho các kết nối theo cả 2 mô hình Client to Site và Site to Site. Với mô hình kết nối VPN Site to Site, tại mỗi chi nhánh hoặc đại lý sẽ sử dụng thiết bị Firewall VPN chuyên dụng loại nhỏ VPN1-Edge của hãng Check Point. Thiết bị này có đầy đủ tính năng Firewall và thiết lập kênh kết nối Site to Site qua đường Leaseline hoặc ADSL. Với mô hình này, hệ thống VPN Server tại Headquater sẽ tự động xác thực giữa 2 đầu thiết bị và kiểm tra tính an toàn trước khi cho phép thiết lập kênh kết nối. Check Point VPN1-Edge khi thiết lập VPN tunnel sẽ sử dụng các công nghệ mã hoá sau • (AES) 128-256 bit • Triple DES 56-168 bit • SSL – Secure Sockets Layer Mô hình Client to Site áp dụng cho các nhân viên của công ty làm việc tại các TTGDCK thiết lập kênh kết nối qua Internet, dial-up và hỗ trợ xác thực người dùng bằng nhiều phương thức như Certificate, Token, Smartcard… trước khi cho phép kết nối. Tại các máy của nhân viên sẽ cài phần mếm thiết lập kết nối VPN client của Check Point. 3. Thiết lập các hệ thống phòng chống xâm nhập cho các vùng thông tin quan trọng. Trong mô hình bảo mật tổng thể cho công ty chứng khoán, vùng máy chủ cơ sở dữ liệu và máy chủ ứng dụng là quan trọng nhất trong hoạt động trao đổi thông tin của công ty chứng khoán. Nếu một trong các máy chủ này bị tấn công hoặc có sự cố, hoạt động kinh doanh của các công ty sẽ bị ảnh hưởng trực tiếp. Do vậy bên cạnh hệ thống Firewall bảo vệ hạ tầng network của công ty, nhất thiết cần trang bị bổ sung hệ thống phòng chống xâm nhập (IPS) để bảo vệ riêng cho vùng các Server ứng dụng này. Khác với Network Firewall, hệ thống IPS sẽ phát hiện và ngăn chặn các xâm nhập ở tầng ứng dụng, can thiệp trực tiếp vào các protocols, các traffice mà hệ thống Firewall không phát hiện được. Hệ thống IPS được đặt trong vùng mạng LAN, do vậy hệ thống phải đảm bảo được tốc độ xử lý để không làm nghẽn luồng thông tin được trao đổi với mật độ cao tại đây. Với mức độ quan trọng như trên, chúng tôi đề xuất triển khai thiết bị phòng chống xâm nhập Proventia Network IPS chuyên dụng của hãng Internet Security Systems –ISS. Thiết bị này cho phép ngăn chặn trước các cuộc tấn công chưa biết cũng như các cuộc tấn công đã biết như DoS, trojan, peer to peer download, backdoor, malicious http và file đính kèm e-mail mà không ảnh 5 Thi t b b o m t VPN-1 UTM Edge b o v k t n i gi a công ty ế ị ả ậ ả ệ ế ố ữ Ch ng khoán v i chi nhánh, đ i lý và v n phòng ứ ớ ạ ă Proventia Network IPS G400 Thiết bị chuyên dụng chống Virus tại Internet Gateway(IGSA) hưởng đến hoạt động của mạng. Đặc biệt, thiết bị Proventia Network IPS có khả năng phân tích và nhận dạng các giao thức được sử dụng trong VoIP như SIP, MGCP, H.323, H.225, H.245, Q.931, T.120 và SCCP để xác định các cuộc tấn công. Thiết bị này sẽ được đặt trước vùng Server farm bảo vệ cho cả vùng, kiểm soát toàn bộ các yêu cầu truy cập dữ liệu cả ở mức Network và mức ứng dụng trên các Server. Cơ sở dữ liệu về các mẫu tấn công (attacking Signatures) sẽ luôn được hệ thống update từ Internet Security Systems X-Force theo thời gian thực, đảm bảo ngăn chặn tối đa các tấn công có thể xảy ra hiện nay. Proventia Network IPS có tính năng Fail-open và hỗ trợ cấu hình dạng Active/Active, Active/Passive do vậy đảm bảo tính sẵn sàng cao của toàn mạng. 4. Ngăn chặn tấn công của Virus tại Gateway và trong các vùng mạng. Các con đường mà virus có thể tấn công và bùng phát vào mạng của công ty chứng khoán tương đối đa dạng, xuất phát từ Internet, từ người dùng bên trong, bên ngoài mạng và đặc biệt qua email. Để có một hệ thống phòng chống có hiệu quả cao thì cần phòng và chống Virus va ̀ Spyware tại cả 4 lớp mạng: gateway, mailserver, server, PCs. Hệ thống này phải được quản lý tập trung, thống nhất và luôn luôn được cập nhật mẫu Virus va ̀ Spyware từ những trung tâm phòng chống Virus va ̀ Spyware lớn trên thế giới. Ngoài ra cần phải có một chính sách bảo mật chung và kết hợp với các giải pháp bảo mật khác để phòng chống Virus va ̀ Spyware hiệu quả hơn. Giải pháp tổng thể được chúng tôi đề xuất dựa trên công nghệ và sản phẩm phòng chống virus của hãng Trend Micro. Các sản phẩm bao gồm: • Trend Micro™ Client/Server/Messaging Suite for SMB • Trend Micro Internet Security • InterScan Gateway Security Appliance Đối với ngăn chặn và phòng chống AntiVirus tại Internet Gateway, chúng tôi sử dụng thiết bị chuyên dụng InterScan Gateway Appliance (ISGA) của hãng Trend Micro. Đây là thiết bị quét virus, spyware, phishing tại Internet Gateway trên các luồng: SMTP, POP3, HTTP, FTP và đặc biệt đảm bảo được tốc độ tại 6 Trend Micro Client/Server bảo vệ mailserver, server và PC khỏi sự lây nhiễm của Virus Entrust IdentityGuard kết hợp nhiều phương pháp xác thực trong cùng một sản phẩm điểm Gateway mà hầu hết các traffice trao đổi thông tin giữa mạng trong và mạng ngoài đều phải đi qua. 5. Xác thực mạnh và chữ kí số để đảm bảo các giao dịch mua bán chứng khoán trực tuyến. Trước sự sôi động của thị trường chứng khoán và số lượng các nhà đầu tư ngày càng tăng nhanh, các công ty đang rất cố gắng thu hút được nhiều nhà đầu tư đến với mình bằng cách cung cấp các dịch vụ thuận lợi nhất như mở tài khoản, giao dịch qua mạng, qua phone. Một trong những yếu tố thành công của các hình thức dịch vụ Online là tính an toàn, nhanh chóng và không làm nhà đầu tư mất các cơ hội mua bán. Xác thực mạnh danh tính trực tuyến và ứng dụng công nghệ Hạ tầng mã khoá công cộng (PKI) để mã hoá dữ liệu nhằm đảm bảo tối đa tính toàn vẹn, bí mật và chống từ chối của các giao dịch điện tử. Hãng Entrust và hãng VASCO là 2 công ty chuyên cung cấp các giải pháp, sản phẩm xác thực mạnh và mã hoá dữ liệu cho lĩnh vực tài chính, ngân hàng. Trong lĩnh vực chứng khoán, giải pháp của Entrust và VASCO được tích hợp vào các ứng dụng giao dịch mua bán chứng khoá trưc tuyến thực hiện nhằm các mục đính: • Xác thực mạnh 2 yếu tố khi người dùng truy cập tài khoản trực tuyến, sử dụng các phương thức xác thực như One-Time-Password token, Grid token, Mobile • Xác thực 2 chiều giữa ứng dụng chứng khoán trực tuyến và các nhà đầu tư. Các nhà đầu tư có khả năng xác thực lại Web site, ứng dụng có đúng là Web site thật của nhà cung cấp hay không. Kĩ thuật này giúp cho nhà đầu tư chống lại các kĩ thuật tấn công phishing hoặc Farming để ăn cắp thông tin của tin tặc. • Tích hợp chữ kí số vào các giao dịch quan trọng, đảm bảo tính toàn vẹn, tính mật, tính chống từ chối trong các giao dịch mua bán chứng khoán online. Công nghệ này cũng được các cty chứng khoán ứng dụng làm trọng tài phân xử trong trường hợp nảy sinh các vấn đề chối bỏ hoặc sai sót trong giao dịch. Thông thường, các giải pháp xác thực truyền thống sẽ đòi hỏi hàng trăm đô-la đầu tư cho mỗi một khách hàng, vậy các công ty chứng khoán sẽ chịu chi phí này hay nhà đầu tư sẽ chịu để bảo 7 Mỗi lần truy cập hoặc thực hiện giao dịch, nhà đầu tư nhập ô 3 giá trị được sinh ngẫu nhiên để xác thực Quy trình dò quét lỗ hổng bảo mật trong ứng dụng của Watchfire mật thông tin của họ? Giải pháp xác thực mạnh IdentityGuard của Entrust sẽ giúp các công ty chứng khoán giải quyết bài toán này với một chi phí tối ưu nhất. Mỗi một nhà đầu tư sẽ được cấp một thẻ xác thực in ma trận một bảng như hình vẽ, mỗi một lần giao dịch, thay vì (hoặc thêm vào) việc hỏi mật khẩu, ứng dụng chứng khoán sẽ hỏi vài giá trị trong một số ô ngẫu nhiên trên thẻ. Ví dụ: A3=? B5=? C2=? . Nếu giả sử lần giao dịch đó bị lộ, kẻ xấu c ũng không thể lợi dụng được lần sau. Tất nhiên bảng giá trị này sẽ thường xuyên được thay đổi và gửi đến khách. Thẻ xác thực có thể cấp cho các nhà đầu tư khi sử dụng giao dịch điện tử, giao dịch qua phone, trang bị cho các nhân viên của công ty tại trung tâm giao dịch truy cập VPN về mạng của công ty, trang bị cho các nhân viên trong công ty khi muốn truy cập vào một số ứng dụng nội bộ hoặc server quan trọng. Giải pháp xác thực IdentityGuard của Entrust rất phù hợp khi triển khai với một số lượng lớn bởi chi phí thấp và tính tiện dụng cao. 6. Kiểm tra, phát hiện các lỗ hổng trong ứng dụng phát triển Hầu hết các ứng dụng chứng khoán trực tuyến hiện nay đều do các công ty phần mềm trong nước phát triển và chạy trên môi trường Web. Các ứng dụng đó được lập trình bằng các công cụ và ngôn ngữ lập trình phổ biến như .NET, Oracle và trên thực tế các ứng dụng đó luôn tiềm ẩn rất nhiều những lỗ hổng bảo mật xuất phát từ bản thân các phần mềm cơ sở dữ liệu, trong các Web server và trong các đoạn code lập trình của lập trình viên. Các lỗ hổng đó sẽ tạo ra các Backdoor để tin tặc lợi dụng làm sai lệch thông tin, chiếm đoạt quyền điều khiển của các account quản trị của ứng dụng hoặc thậm chí chiếm đoạt luôn quyền điều khiển Server. Đối với những lỗ hổng bảo mật loại này, các hệ thống như Network Firewall, IPS cũng khó có thể phát hiện ra. Để phát hiện và ngăn chặn các lỗ hổng bảo mật trong ứng dụng Web, có 2 phương pháp được áp dụng là: • Sử dụng chương trình phát hiện điểm yếu để rà soát tất cả các đoạn code lập trình, các hệ điều hành, các web server mà ứng dụng Web đang hoạt động. Chương trình sẽ chỉ ra những lỗ hổng và đề xuất các phương án xử lý. Giải pháp AppScan 7.0 của hãng WatchFire cho phép tự động hoá tiến trình phân tích, giúp cho thời gian phát hiện lỗ hổng, nguồn gốc phát sinh và đề xuất phương hướng ngăn chặn giảm 80% so với việc sử dụng các chuyên gia đánh giá lỗ hổng. Giải pháp này là cầu nối giữa giữa chuyên viên bảo mật với nhà phát triển ứng dụng để đem lại tính an toàn bảo mật nhất cho ứng dụng Web. Phương pháp này có thể được áp dụng ngay khi ứng dụng đang trong giai đoạn phát triển hoặc sau khi ứng dụng đã đi vào hoạt động. 8 Netcontinuum che các lỗ hổng bảo mật trong ứng dụng trước các tấn công từ bên ngoài • Phương pháp thứ hai được sử dụng để kiểm soát và che các lỗ hổng bảo mật trong ứng dụng là sử dụng một thế hệ Firewall mới chuyên dụng để bảo vệ cho các ứng dụng Web. Netcontinnum Application Security là một sản phẩm tường lửa ứng dụng Web của hãng Netcontinuum với mục đích phát hiện ra các lỗ hổng bảo mật, sau đó sẽ kiểm soát và ngăn chặn các tấn công tới lỗ hổng đó. Khác với giải pháp của WatchFire, Netcontinnum không yêu cầu phải ra soát toàn bộ các mã lệnh lập trình mà sẽ được đặt trước ứng dụng để kiểm soát các yêu cầu từ phía người dùng gửi tới ứng dụng Web. Netcontinuum có khả năng phát hiện và xử lý trên 70 loại lỗ hổng và nguy cơ mất an toàn nằm bên trong các ứng dụng. Các loại lỗ hổng này đều nằm trong top 10 lỗ hổng tinh vi nhất được hiệp hội phát triển và bảo vệ ứng dụng “Open Web Application Security Project” (OWASP: www.owasp.org) nêu ra. Kết luận: Theo kế hoạch phát triển của ngành tài chính, ngành chứng khoán sẽ đạt 30% GPD của Việt nam đến năm 2010. Theo đúng kế hoạch này thì thị trường chứng khoán việt nam sẽ rất sôi động và phát triển nhanh chóng. Khi đó giao dịch chứng khoán trực tuyến trở thành yếu tố quan trọng làm chìa khoá cạnh tranh giữa các công ty chứng khoán. Đây cũng là yếu tố thúc đẩy sự phát triển chung của ngành chứng khoán Việt Nam tương tự như đối với thị trường chứng khoán quốc tế. Tuy vậy việc đầu tư và triển khai một hệ thống CNTT đảo bảm cho các hoạt động chứng khoán, 9 nhất thiết cần phải đầu tư một cách đồng bộ giữa hạ tầng thông tin và hệ thống bảo mật một cách đầy đủ. Nếu hệ thống vẫn còn tồn tại những lỗ hổng chưa được bảo vệ thì có thể đó sẽ là các điểm yếu để tin tặc, hoặc thậm chí là những đối thủ cạnh tranh lợi dụng để tấn công. Hậu quả xảy ra ảnh hưởng đến hoạt động kinh doanh là khó có thể lường trước được. Song song với việc đầu tư về công nghệ, các công ty chưng khoán sẽ phải xây dựng được riêng cho mình một hệ thống quản lý an toàn thông tin bao gồm các chính sách ATTT, các hướng dẫn cụ thể trong việc thực thi chính sách và bố trí tài nguyên con người cùng với trách nhiệm và quyền lợi cụ thể. Hệ thống quản lý này sẽ giúp cho các công ty chứng khoán có thể thích ứng linh hoạt với sự thay đổi của các rủi ro trong hệ thống CNTT. Hệ thống này được mô tả kỹ lưỡng trong chuẩn ISO17799- chuẩn quốc tế về an toàn thông tin- mà các công ty chứng khoán có thể xem xét áp dụng. Với tư cách làm một trong các công ty hàng đầu của Việt Nam trong lĩnh vực an toàn thông tin, chúng tôi có thể cung cấp tới các công ty chứng khoán các dịch vụ về an toàn thông tin sau: • Tư vấn giải pháp tổng thể an toàn, an ninh thông tin • Đánh giá, kiểm định rủi ro và lên phương án xử lý trong hệ thống CNTT • Cung cấp phần mềm, phần cứng và triển khai các giải pháp an toàn thông tin tổng thể. • Đạo tạo về lĩnh vực an toàn, an ninh thông tin trong và ngoài nước. Chúng tôi hi vọng kinh nghiệm và các giải pháp an toàn thông tin của chúng tôi sẽ góp phần vào sự phát triển của ngành tài chính nói chung và thị trường chứng khoán nói riêng. Tham khảo: Các web site thông tin về các sản phẩm bảo mật được đề xuất trong giải pháp tổng thể về an toàn thông tin cho các công ty chứng khoán: Các sản phẩm của hệ thống Firewall/VPN • Firewall cho hạ tầng mạng Check Point: www.checkpoint.com Crossbeam System www.crossbeamsystems.com • Firewall cho ứng dụng Netcontinuum: www.netcontiuum.com Các sản phẩm của hệ thống phòng chống xâm nhập (IPS) • Internet Security Systems: www.iss.net Các sản phẩm của hệ thống phòng chống Virus • Trend Micro: www.trendmicro.com Các sản phẩm của hệ thống xác thực và hạ tần mã khoá công cộng (PKI) • VASCO Data Security: www.vasco.com • Entrust: www.entrust.com Sản phẩm dò quét lỗ hổng bảo mật trong ứng dụng • Watchfire: www.watchfire.com 10 . toàn thông tin, chúng tôi có thể cung cấp tới các công ty chứng khoán các dịch vụ về an toàn thông tin sau: • Tư vấn giải pháp tổng thể an toàn, an ninh thông. về an toàn thông tin- mà các công ty chứng khoán có thể xem xét áp dụng. Với tư cách làm một trong các công ty hàng đầu của Việt Nam trong lĩnh vực an toàn