1. Trang chủ
  2. » Luận Văn - Báo Cáo

Bảo mật và ứng dụng bảo mật internet banking

121 59 1

Đang tải... (xem toàn văn)

Tài liệu hạn chế xem trước, để xem đầy đủ mời bạn chọn Tải xuống

THÔNG TIN TÀI LIỆU

Thông tin cơ bản

Định dạng
Số trang 121
Dung lượng 1,2 MB

Nội dung

HỒ XUÂN HUY BỘ GIÁO DỤC VÀ ĐÀO TẠO TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI -*** LUẬN VĂN THẠC SĨ KHOA HỌC NGÀNH KỸ THUẬT ĐIỆN TỬ KHÓA 2007 - 2009 NGÀNH: KỸ THUẬT ĐIỆN TỬ BẢO MẬT VÀ ỨNG DỤNG BẢO MẬT INTERNET BANKING HỒ XUÂN HUY Hà Nội 2009 HÀ NỘI 2009 LỜI CAM ĐOAN Tôi xin cam đoan tồn nội dung Luận văn tơi không chép y nguyên từ luận văn tác giả khác Tôi xin cam đoan tham khảo, trích dẫn luận văn rõ nguồn danh mục Tài liệu tham khảo luận văn Nếu hội đồng phát có điều khơng với tơi cam đoan tơi xin chịu hồn tồn trách nhiệm Hà Nội, tháng 11 năm 2009 Học viên HỒ XUÂN HUY MỤC LỤC LỜI CAM ĐOAN MỤC LỤC TÓM TẮT LUẬN VĂN ABSTRACT DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ MỞ ĐẦU CHƯƠNG TỔNG QUAN VỀ BẢO MẬT 12 1.1 Bảo mật – Các mối đe dọa 12 1.1.1 Bảo mật 12 1.1.2 Mối đe dọa bảo mật 13 1.1.3 Đánh giá, phân tích nguy 15 1.1.4 Biện pháp bảo vệ 21 1.2 Mã hóa bảo mật 22 1.2.1 Hệ thống mã hóa sở mã cơng khai 23 1.2.2 Phương pháp mã hóa 24 1.2.3 Các giai đoạn phát triển mã hóa 26 1.2.4 Những điểm yếu mã hóa 27 1.2.5 Các thuật tốn mã hóa thường dùng 28 1.2.6 Ứng dụng mã hóa để bảo mật thông tin 29 1.3 Cơ chế quản lý khóa 32 1.3.1 Vị trí lưu trữ khóa 32 1.3.2 Kiểm soát truy cập khóa 32 1.4 Các kiểu công giai đoạn 33 1.4.1 Các kiểu công 33 1.4.2 Các giai đoạn công 35 CHƯƠNG 2.1 CÁC DỊCH VỤ NGÂN HÀNG VÀ INTERNET BANKING 38 Các dịch vụ ngân hàng 38 2.1.1 Kinh doanh ngoại tệ 38 2.1.2 Dịch vụ nhận tiền gửi 39 2.1.3 Dịch vụ cho vay 40 2.1.4 Dịch vụ toán 40 2.2 Các dịch vụ ngân hàng khác 42 2.2.1 Bảo lãnh ngân hàng 42 2.2.2 Kinh doanh vàng bạc, đá quý 43 2.2.3 Tài trợ hoạt động Chính phủ 44 2.2.4 Dịch vụ ngân hàng đại lý 44 2.3 Các dịch vụ tài khác 44 2.3.1 Dịch vụ thông tin, tư vấn 44 2.3.2 Kinh doanh chứng khoán 44 2.3.3 Dịch vụ ủy thác 45 2.3.4 Dịch vụ bảo hiểm 45 2.3.5 Quản lý ngân quỹ 46 2.4 Các dịch vụ ngân hàng điện tử 46 2.4.1 Thương mại điện tử 46 2.4.2 Dịch vụ ngân hàng điện tử 47 2.4.3 Sự phát triển ngân hàng điện tử Việt Nam 49 2.5 Một số dịch vụ ngân hàng điện tử Việt Nam 49 2.5.1 Dịch vụ ngân hàng nhà 50 2.5.2 Dịch vụ ngân hàng tự động qua điện thoại cố định 52 2.5.3 Dịch vụ ngân hàng tự động qua điện thoại di động 53 2.5.4 2.6 Dịch vụ Kiosk Banking 55 Dịch vụ Internet banking 56 CHƯƠNG 3.1 YÊU CẦU BẢO MẬT TRONG NGÂN HÀNG 58 Yêu cầu chung 58 3.1.1 Yêu cầu bảo mật điều kiện vật lý môi trường 60 3.1.2 An toàn bảo mật cho thiết bị 62 3.1.3 Yêu cầu kiểm soát truy nhập 64 3.2 Yêu cầu thiết bị bảo mật tường lửa 73 3.2.1 Kiểm soát truy cập 73 3.2.2 Xác thực người dùng 74 3.2.3 Phòng chống virus bảo mật đa tầng 76 3.2.4 Phòng chống thâm nhập: ID, IDS, IPS, IDP 77 3.3 Yêu cầu bảo mật an toàn liệu phần mềm ứng dụng 79 3.4 Yêu cầu bảo mật trang thông tin điện tử Internet Banking 80 CHƯƠNG 4.1 ỨNG DỤNG BẢO MẬT INTERNET BANKING 81 Hoạt động ngân hàng điện tử Việt Nam 81 4.1.1 Vấn đề rủi ro giao dịch điện tử Việt Nam 81 4.1.2 Chính sách khắc phục 82 4.2 Các giải pháp bảo mật giao dịch Internet Banking 83 4.2.1 Bảo mật sử dụng Tường lửa / Mạng riêng ảo 83 4.2.2 Bảo mật mã hóa đường truyền 83 4.2.3 Bảo mật mức Database 92 4.2.4 Bảo mật chống key logger sử dụng bàn phím ảo 105 4.2.5 Giải pháp an ninh bảo mật sử dụng Token RSA 106 KẾT LUẬN 118 TÀI LIỆU THAM KHẢO 120 TÓM TẮT LUẬN VĂN Đề tài xuất phát từ thực tế bùng nổ dịch vụ Internet đặc biệt ứng dụng Internet giao dịch thương mại điện tử Có nhiều hình thức cung cấp dịch vụ ngày đa dạng vào nhiều lĩnh vực khác có dịch vụ ngân hàng Ngoài Internet Banking, số dịch vụ khác Phone Banking, SMS Banking, Mobile Banking Home Banking ngân hàng Việt Nam giới thiệu rầm rộ Luận văn trước hết đưa tổng quan bảo mật nói chung sâu nghiên cứu yêu cầu bảo mật giao dịch ngân hàng điện tử Từ yêu cầu bảo mật luận văn đưa giải pháp bảo mật mà đặc biệt bảo mật Internet Banking Không Việt Nam mà giới, Internet Banking thu hút khách hàng Tuy nhiên, dịch vụ phải đối diện với "phishing", "pharming" hình thức lừa đảo trực tuyến khác nhằm đánh cắp thông tin cá nhân, đánh cắp tài khoản Vì khách hàng ln nhà cung cấp dịch vụ cảnh báo Trong đó, hầu hết ngân hàng Việt Nam chưa có dịng khuyến cáo vấn đề truy cập dịch vụ online banking Internet Banking Luận văn tập trung vào việc phân tích, đưa giải pháp xây dựng giải pháp bảo mật cho dịch vụ Internet banking, hạn chế tối đa nguy công dịch vụ này, đồng thời phải đảm bảo phù hợp với thực tế môi trường kinh doanh Ngân hàng Việt Nam để đưa vào ứng dụng thực tế ABSTRACT This thesis is originated from the recent bursting up in internet service application, especially the internet application in internet trading (or commercial) transaction Multi Internet service supplies are applicated in various aspects of life and one of them is banking.Together with Internet Banking, Phone banking, SMS banking, Mobile Banking and Home banking are the others service which are being introduced noisily by Bank in Vietnam Internet banking is attracted the customer not only in Vietnam but in the world However, this service is face up with phishing, pharming, as well as other online defrauding customers of stealing personal information and account Althought, The customer always receive warning message from supplier, almost Banks in Vietnam not give any recommendation about this matter when they enter online banking service This thesis present an overview of internet banking security generally and deeply study about the requirements in internet banking transaction’s security Basing on the requirements, this thesis gives solutions for security aspects, especially internet banking security The thesis futher study on analyzing, Giving and building up the solution for internet banking service security, Limiting maximally the risk of online attack as well as keep the appropriate service to come up with the reality of banks in vietnam in real business environment DANH MỤC CÁC KÝ HIỆU, CÁC CHỮ VIẾT TẮT Ký hiệu Từ viết tắt Ý nghĩa OTP One Time Password Phương pháp mật lần PKI Public Key Infastructure Hạ tầng khóa cơng khai USB Universal Serial Bus Chuẩn kết nối IDS Intrusion Detection System Hệ thống phát xâm nhập ACL Access Control Lists Danh sách kiểm soát truy cập DoS Denial of Service Tấn công từ chối dịch vụ FTP File Transfer Protocol Giao thức truyền tập tin Simple Mail Transfer Protocol Giao thức truyền tải thư tín đơn giản Virtual private network Mạng riêng ảo SMTP VPN DANH MỤC CÁC HÌNH VẼ, ĐỒ THỊ Hình 4.1 Sử dụng bàn phím ảo …… 105 Hình 4.2 Xác thực yếu tố …………………………………………………… 110 Hình 4.3 Các thành phần RSA SecurID ……………………………………… 110 Hình 4.4 Một số tiết bị Token ………………………………………………… 111 Hình 4.5 Mơ hình hoạt động RSA SecurID …………………………………… 113 MỞ ĐẦU Tổng quan bảo mật Internet Banking Internet Banking hay online banking dùng để việc thực giao dịch toán ngân hàng Internet thông qua Website ngân hàng Phương thức hoạt động vô tiện lợi cho phép ngân hàng phục vụ khách hàng thời điểm (kể hành chính) nơi có kết nối Internet Áp dụng triển khai Internet Banking mang lại nhiều giá trị cho Ngân hàng khách hàng Là giải pháp cho ngân hàng trực tuyến, Internet Banking cho phép khách hàng có tài khoản Ngân hàng thực giao dịch Ngân hàng trực tuyến thông qua Internet Internet Banking cung cấp tiện ích: Truy vấn số dư, kê giao dịch nhiều dịch vụ mang lại nhiều tiện ích cho khách hàng (Chuyển khoản, chuyển tiền, toán hoá đơn, toán điện tử, đặt chỗ, mua vé máy bay, nạp tài khoản di động trả trước…) Chính nhờ thuận tiện mà số lượng người sử dụng Internet Banking tăng lên nhanh chóng nhiều ngân hàng đầu tư, phát triển ứng dụng kênh giao dịch Với hệ thống Internet Banking, khách hàng thay đến ngân hàng giao dịch họ ngồi nhà, quan, quán café để thực giao dịch với ngân hàng Điều quan trọng giao dịch ngân hàng trực tuyến đòi hỏi phải bảo mật cao Nếu hệ thống Internet Banking ngân hàng không đáp ứng yêu cầu cao tính an tồn bảo mật rủi ro kênh giao dịch khơng nhỏ Chính vậy, có nhiều ngân hàng Việt Nam triển khai Internet Banking phần lớn hệ thống Internet Banking Việt Nam chủ yếu cung cấp dịch vụ vấn tin, tỷ giá, số dư kê giao dịch Chỉ giải tốt u cầu bảo mật an tồn thơng tin, hệ thống Internet Banking phát huy mạnh ngân hàng “ảo”, cung cấp dịch vụ liên quan đến việc thay đổi (Ghi nợ/ có) số dư tài khoản, chuyển tiền tốn hố đơn 106 giám sát em sử dụng máy vi tính Tuy nhiên ngày có khơng trường hợp kẻ lợi dụng key logger vào mục đích cá nhân để trục lợi cho thân Vậy key logger thực trở thành "kẻ sát nhân giấu mặt” Để bảo vệ an toàn cho máy tính mình, bạn nên cài đặt chương trình phịng chống key logger Tuy nhiên số mơi trường cơng sở, phịng net việc phòng chống trở nên “lỏng lẻo” sơ ý nguy rị rỉ thơng tin cá nhân cao Nếu gặp vào trường hợp mà tay bạn lại cơng cụ phần mềm bạn sử dụng mẹo nhỏ đạt hiệu suất thành cơng 100% để phịng chống key logger sau: Do key logger ghi nhận thông tin nhập vào từ bàn phím mà khơng thể ghi nhận di chuyển trỏ chuột dịng, để “qua mặt” key logger bạn nhập mật cách kết hợp thơng tin nhập từ bàn phím cộng với di chuyển “khôn khéo” thao tác click chuột Ví dụ mật bạn để vào yahoo mail thanhnienonline nhập chữ "nien" trước, dùng chuột di chuyển trỏ lên đầu dòng nhập chữ "thanh" vào Tiếp tục thực việc di chuyển trỏ chuột đến cuối dòng nhập nốt chữ online vào Trong trường hợp này, máy có cài trình key logger trình key logger ghi nhận thơng tin sai lệch hồn tồn nienthanhonline Nếu bạn khôn khéo di chuyển trỏ chuột nhiều lần cho dù chuỗi mật bị lộ, việc phán đốn mật xác điều khó khăn.h di chuyển 4.2.5 Giải pháp an ninh bảo mật sử dụng Token RSA Với phát triển mạng Internet nay, doanh nghiệp nhanh chóng nhận thấy lợi ích việc sử dụng mạng Internet để mở rộng thêm mạng doanh nghiệp bao gồm đối tác, nhà cung cấp thông qua Internet, doanh nghiệp cung cấp dịch vụ đến với khách hàng thơng qua ứng dụng web Tuy nhiên, với việc mở rộng mạng doanh nghiệp đến nhiều đối tượng, doanh nghiệp bắt buộc phải cung cấp liệu thơng tin cho đối tượng Do vậy, vấn đề đặt khả đảm bảo an ninh mạng yếu 107 tố sống cho doanh nghiệp áp dụng mơ hình thương mại điện tử An ninh mạng bao gồm nhiều khía cạnh khác Một khía cạnh quan tâm xem xét hệ thống an ninh mạng giải pháp xác thực (Authentication) người dùng Xác thực trình mà đảm bảo cho thực thể phía đầu bên kết nối đối tượng mà thực thể cần giao tiếp Trong giới thực, hồn tồn nhận biết thơng qua đặc điểm sinh học khn mặt, giọng nói chí hình dáng hay dấu hiệu khác Tuy nhiên, xác thực mạng lại vấn đề hồn tồn khác hai người làm việc với mạng qua khoảng cách lớn địa lý, cần có giải pháp xác thực mạng Các doanh nghiệp mở rộng hệ thống mạng đến với nhiều đối tượng cần phải có khả phân quyền (Authorization) cách thích hợp xác Phân quyền quy định khả truy cập liệu tổ chức hay nối cách khác quy định việc đối tượng truy cập vào thông tin Ở đây, lại thấy vai trị vấn đề xác thực Nếu khơng có giải pháp xác thực đảm bảo việc phân quyền thực cách đắn 4.2.5.1 Giải pháp xác thực mật Có lẽ hầu hết số sử dụng Internet, E-Mail đăng nhập (Login) hệ thống mạng Khi đăng nhập vào hệ thống trên, tất mà cần Tên truy cập (Username) Mật (Password) gắn với tên truy cập Để đăng nhập vào hệ thống, cần cung cấp cho hệ thống tên truy cập mật đủ Tên truy cập hồn tồn cơng khai mật thiết phải giữ kín Giải pháp xác thực có ưu nhược điểm Ưu điểm là: - Đơn giản, dễ sử dụng - Không cần thêm phần mềm phần cứng Tuy nhiên, giải pháp xác thực có nhược điểm sau: 108 - Dễ bị giả mạo: cần biết mật đó, hacker hồn tồn mạo danh người để thực giao dịch mạng đăng nhập vào hệ thống để tiến hành phá hoại hay đánh cắp thông tin - Dễ bị đánh cắp: mật thông thường dùng nhiều lần, cần phần mềm đơn giản (có thể tải cách dễ dàng từ Internet), hacker chặn bắt gói tin mạng lấy cắp mật người sử dụng Người dùng hay có xu hướng sử dụng mật đơn giản, dễ nhớ có vài mật để sử dụng quay vòng kết dễ bị đoán biết Các phần mềm spyware phổ biến nguỵ trang kỹ nên đa số người sử dụng khó nhận biết Những chương trình Keyboard logging ghi lại người dùng gõ từ bàn phím gửi đến cho chủ nhân - Quản lý khó khăn: với nhiều hệ thống, người sử dụng phải sử dụng nhiều mật khẩu, vậy, vấn đề quản lý mật trở nên phức tạp Một hệ thống mạng bao gồm nhiều ứng dụng dịch vụ chạy (VD: phần mềm kế tốn, quản lý, , dịch vụ E-Mail, nhắn tin, ) Với ứng dụng dịch vụ đó, thường người sử dụng lại cần phải có thêm mật để sử dụng Do vậy, với số lượng mật nhiều, người sử dụng hay ghi lại (save password) máy tính, viết giấy chí khơng sử dụng mật Điều đặc biệt nguy hiểm môi trường sử dụng chung máy tính - Chi phí cao: mạng doanh nghiệp lớn, có nhiều yêu cầu tới phận hỗ trợ kỹ thuật vấn đề liên quan đến mật hầu hết số người sử dụng quên mật khẩu, mật bị hết hạn sử dụng, Trước phận hỗ trợ kỹ thuật giải vấn đề, người sử dụng đăng nhập vào hệ thống làm việc dẫn đến giảm 109 suất lao động Tất điều làm chi phí giải pháp xác thực mật thực tế cao Với tất nhược điểm trên, thấy xác thực mật đảm bảo an toàn độ tin cậy lĩnh vực nhậy cảm ngành ngân hàng, tài chính, bưu điện, dịch vụ y tế, nơi mà thơng tin cần phải giữ bí mật tuyệt đối Người sử dụng chí khởi kiện tổ chức cung cấp dịch vụ thông tin cá nhân họ bị tiết lộ Trong hội thảo an ninh mạng hãng RSA tổ chức vào tháng năm 2004, chủ tịch Microsoft, Bill Gate phát biểu xác thực người dùng mật khơng an tồn 4.2.5.2 Giải pháp xác thực hai yếu tố SecurID RSA Với việc sử dụng giải pháp xác thực truyền thống khơng an tồn, người ta cần giải pháp xác thực tốt môi trường kinh doanh Một giải pháp xác thực gọi tốt mà đáp ứng yêu cầu chủ yếu sau: - Chi phí thấp - Dễ dàng, thuận tiện cho người sử dụng sử dụng nhiều hệ thống - Khả mở rộng tương thích với hệ thống khác tốt Để đáp ứng yêu cầu an ninh mạng nay, RSA đưa giải pháp xác thực người dùng gọi giải pháp xác thực dựa hai yếu tố SecurID Chúng ta xem xét ví dụ sau 110 Hình 4.2 Xác thực yếu tố Một muốn rút tiền từ máy ATM, anh/chị ta cần phải có đủ hai yếu tố: thẻ ATM (ATM card) mã số cá nhân hay gọi PIN (Personal Identification Number) Ở đây, muốn rút tiền người khác bắt buộc phải có đủ hai yếu tố thẻ ATM số PIN Nếu chủ sở hữu có bị thẻ người cầm thẻ khơng thể rút tiền hay có đánh cắp số PIN phải có thẻ ATM tiến hành rút tiền Đây giải pháp xác thực người dùng hai yếu tố Hai yếu tố là: thẻ ATM (cái mà bạn có) số PIN (cái mà có bạn biết) Giải pháp xác thực hai yếu tố SecurID RSA hoạt động theo nguyên tắc trên: để đăng nhập vào hệ thống, bạn phải có đủ hai yếu tố: mà bạn biết mà bạn có Giải pháp RSA SecurID® gồm có ba thành phần: Hình 4.3 Các thành phần RSA SecurID 111 - RSA SecurID® Authenticators: Là thiết bị gắn với người sử dụng Chúng phần cứng phần mềm gọi Token Nếu phần mềm, chúng cài đặt lên máy tính xách tay thiết bị cầm thay khác PDA, Wireless Phone, Các thiết bị tạo số khác khoảng thời gian định Khách hàng lựa chọn thiết bị phù hợp với nhu cầu Hình 4.4 Một số thiết bị Token - RSA ACE/Agent Software: phần mềm cài lên điểm truy cập vào mạng (Ví dụ: gateway, VPN, Remote Access Server, ), máy chủ (server) tài nguyên thông tin cần bảo vệ doanh nghiệp Nó hoạt động giống người gác cửa Khi có yêu cầu đăng nhập người sử dụng gửi đến, tiếp nhận chuyển thông tin đăng nhập tới máy chủ có thành phần RSA ACE/Server để thực xác thực Hầu hết sản phẩm router, remote access server, firewall, VPN, wireless access, hãng sản xuất hàng đầu giới tích hợp sẵn thành phần sản phẩm Đây lợi ích vơ quan trọng cho giải pháp RSA SecurID 112 - RSA ACE/Server: thành phần quản trị giải pháp RSA SecurID sử dụng để kiểm tra yêu cầu xác thực quản trị tập trung sách xác thực tồn mạng doanh nghiệp.RSA ACE/Server mở rộng theo nhu cầu doanh nghiệp RSA ACE/Server có khả xác thực hàng triệu người sử dụng, xác thực người dùng mạng cục bộ, người dùng truy cập từ xa, người dùng qua VPN, RSA ACE/Server tương thích hồn tồn với thiết bị mạng, RAS, VPN, Access Point, tất hãng sản xuất lớn giới Do vậy, với giải pháp SecurID RSA, người dùng hồn tồn khơng phải lo lắng tới vấn đề tương thích a Hoạt động xác thực RSA SecurID Như đề cập trên, SecurID bao gồm ba thành phần Thành phần RSA SecurID Authenticator hay gọi Token trao cho người sử dụng Thành phần có nhiều loại khác (là hardware token software token) có chức tạo chuỗi số khác sau khoảng thời gian định (Thông thường phút) Giả sử người sử dụng hệ thống cấp phát Token, đăng nhập vào hệ thống, người sử dụng yêu cầu nhập tên đăng nhập (VD: JSMITH) dẫy số gọi Passcode Dẫy số gồm có hai thành phần số PIN dẫy số xuất token (Token code) người vào thời điểm đăng nhập Tất thông tin (Tên đăng nhập Passcode) thành phần RSA ACE/Agent tiếp nhận thành phần lại gửi thơng tin đến RSA ACE/Server Server có số PIN người sử dụng sở liệu Ngồi ra, có chế cho phép tính tốn dẫy số ACE/Server ghép số PIN sở liệu dẫy số với sau 113 Hình 4.5 Mơ hình hoạt động RSA SecurID So sánh với Passcode người sử dụng cung cấp Nếu hai dẫy số giống nhau, người dùng xác thực hợp lệ quyền đăng nhập vào mạng Trong trường hợp ngược lại, quyền truy cập bị từ chối Hoặc chấp nhận truy cập không, thông tin RSA ACE/Server gửi đến người sử dụng thông qua thành phần RSA ACE/Agent Cơ chế để RSA ACE/Server tính tốn dẫy số để so khớp với dẫy số token người sử dụng tương đối đơn giản Như minh hoạ hình 4, để tạo dẫy số thay đổi sau khoảng thời gian, token có thành phần sau: - Một đồng hồ bên (Tính theo UTC) - Một số Seed có độ dài 64 128 bits - Thuật toán tạo số giả ngẫu nhiên Với hai yếu tố thời gian số seed, sau áp dụng thuật toán tạo số giả ngẫu nhiên, token có số xuất hình (token code) sau khoảng thời gian xác định, thuật toán lại tạo số khác ứng với thời gian Thuật tốn ln tạo số thay đổi theo thời gian không lặp lại Do vậy, việc dự đoán trước số xuất 114 số xuất thời điểm tương lai khơng thể (chỉ thực có số seed thuật toán) Khi gán token cho người sử dụng, quản trị mạng phải cập nhật số seed token vào sở liệu RSA ACE/Server tương ứng với người dùng Trên RSA ACE/Server có chương trình chạy thuật tốn tạo số giả ngẫu nhiên giống với token Khi có yêu cầu đăng nhập người sử dụng, vào tên đăng nhập, vào đồng hồ hệ thống, vào số seed lưu sở liệu, chạy thuật toán tạo số giả ngẫu nhiên, RSA ACE/Server có dẫy số giống với dẫy số token người sử dụng thời điểm Dãy số ghép với số PIN người sử dụng sở liệu, RSA ACE/Server kiểm tra người sử dụng có hợp lệ hay khơng Điều xảy đồng hồ token đồng hồ RSA ACE/Server không giống nhau? Trong thực tế điều ln ln xảy Tuy vậy, RSA ACE/Server ghi nhận lại sai lệch thời gian token đăng nhập RSA ACE/Server chấp nhận passcode người sử dụng nằm khoảng thời gian sai lệch Ví dụ, RSA ACE/Server ghi nhận sai lệch token với phút chấp nhận passcode người sử dụng mà rơi vào khoảng thời gian trước thời điểm đăng nhập phút, thời điểm sau thời điểm phút Khoảng thời gian sai lệch tối đa cho phép thay đổi RSA ACE/Server Như mơ tả hình 2, token người sử dụng có nhiều loại khác Căn vào nhu cầu thực tế, tổ chức triển khai giải pháp xác thực RSA SecurID lựa chon thiết bị phù hợp với u cầu Thành phần RSA ACE/Agent cài lên nhiều điểm khác hệ thống Nó cài lên điểm truy cập vào mạng gateway, RAS, VPN, cài lên server Windows, Novell, tích hợp sẵn tất sản phẩm hãng sản xuất lớn Microsoft, Nokia, CheckPoint, Cisco, Nortel Thành phần RSA ACE/Server thực thành phần quan trọng giải pháp Để hoạt động liên tục thuận lợi cho trình xác thực 115 người sử dụng, RSA ACE/Server cài lên nhiều server có máy đóng vai trị (ACE/Server Primary ) máy cịn lại đóng vai trị (ACE/Server Replica) Các máy đặt phân tán ln đồng với máy Khi máy khơng thể hoạt động, máy nâng cấp lên thành máy Q trình hoạt động khơng bị dán đoạn b Ưu điểm giải pháp RSA SecurID - Độ an toàn cao: xác thực dựa hai yếu tố (PIN + Token code) thay đổi, có chặn bắt passcode người sử dụng thể sử dụng để đăng nhập vào hệ thống Do vậy, khắc phục nhược điểm lớn xác thực password cần chặn bắt password sử dụng để đăng nhập - Quản lý password: nhược điểm cố hữu password Nhưng SercurID, xác thực tập trung RSA ACE/Server ACE/Agent cài đặt nhiều điểm, chí cần sử dụng token người sử dụng xác thực đâu mạng, tránh việc phải sử dụng nhiều password - Thuận tiện: với nhiều lựa chọn cho thành phần RSA SecurID Authenticator, người sử dụng lựa chọn thành phần thích hợp cho - Khả mở rộng: với việc cài đặt RSA ACE/Server lên nhiều máy chủ, tổ chức có nhiều chi nhánh cung cấp khả xác thực thơng qua máy chủ đặt chi nhánh thay phải sử dụng kết nối đắt tiền trung tâm để xác thực Người dùng SecurID tổ chức đăng nhập thơng qua tổ chức khác miễn RSA ACE/Server hai tổ chức tin cậy (Trusted) lẫn 116 - Tích hợp với hệ điều hành MS Windows: không bảo vệ người dùng truy cập vào mạng, truy cập vào máy tính cá nhân (Windows logon), RSA SecurID kích hoạt để bảo vệ máy tính người dùng Giờ đây, password để truy cập vào máy tính cá nhân thay passcode Đây tính giải pháp điều đảm bảo tài nguyên thông tin doanh nghiệp bảo vệ Hình 4.6 Tích hợp với HĐH Window - Hoạt động liên tục: máy chủ hoạt động được, máy chủ nâng cấp lên thành máy chủ Điều đảm bảo hệ thống hoạt động liên tục ổn định - Chi phí thấp: với việc khơng phải sử dụng quản lý nhiều password, người sử dụng yêu cầu hỗ trợ từ phận kỹ thuật, vậy, chi phí cho hỗ trợ kỹ thuật giảm suất lao động tăng lên Với ưu điểm trên, thấy giải pháp xác thực người sử dụng RSA SecurID thực giải pháp tối ưu Trong hệ thống, với cá nhân có quyền truy cập vào thông tin quan trọng nhậy cảm lãnh đạo tổ 117 chức, phịng kế tốn, quản trị hệ thống, sử dụng giải pháp xác thực giảm thiểu đến mức thấp nguy bị đánh cắp thông tin hay phá hoại xuống đến mức thấp 118 KẾT LUẬN Kết luận Sau trình học cao học em hệ thống hóa kiến thức học để thực luận văn “Bảo mật ứng dụng bảo mật Internet Banking” Luận văn thể việc nghiên cứu giải pháp bảo mật tiên tiến ứng dụng cho dịch vụ Internet Banking Ngân hàng như: Sử dụng bàn phím ảo, phương pháp mật lần (OTP - One Time Password), xác thực hai phương thức (Two Factor Authentication), hay dùng thiết bị khóa phần cứng (Hardware Token), thẻ thơng minh có chữ ký số (PKI Smartcard) dựa giải pháp xác thực an tồn giao dịch dựa hạ tầng khóa cơng khai (PKI) với tham gia Hardware Token (Thẻ thơng minh tích hợp sẵn đầu đọc cổng USB) hay thẻ thơng minh (PKI Smartcard) Cùng với việc nghiên cứu sử dụng thiết bị phần cứng Firewall tích hợp nhiều tính tiên tiến phòng chống thâm nhập trái phép (IDS), phòng chống virus đa tầng, Qua trình tham gia xây dựng cài đặt sử dụng hệ thống Internet Banking Ngân hàng TMCP Xăng Dầu Petrolimex em thấy hệ thống chạy ổn định, đáp ứng yêu cầu chung khách hàng dịch vụ đó, đồng thời đáp ứng yêu cầu độ bảo mật đặt Ngân hàng Hướng phát triển luận văn Hiện với phát triển Ngân hàng loạt dịch vụ gia tăng tương lai đời Hầu hết Ngân hàng đưa dịch vụ Internet Banking nhằm đáp ứng thu hút khách hàng Tuy nhiên điều quan trọng giao dịch ngân hàng trực tuyến đòi hỏi phải bảo mật cao Chính vậy, có nhiều ngân hàng Việt Nam triển khai Internet Banking phần lớn hệ thống Internet Banking Việt Nam chủ yếu cung cấp dịch vụ vấn tin, xem kê, xem cân đối tài khoản tháng, chuyển tiền hệ thống Do để đảm bảo hệ thống Internet Banking chạy ổn định thực dịch vụ khác tương lai mở tiết kiệm online, chuyển tiền 119 từ tài khoản vào thẻ trả trước, vấn tin khoản vay, xem kê lịch trả nợ, vấn tin khoản bảo lãnh, vấn tin LC,… cần phải đảm tính bảo mật an tồn liệu, độ sẵn sàng đường truyền thông kết nối, thiết bị phần cứng phần mềm ứng dụng Khi việc xây dựng hệ thống phức tạp nhiều, cần phải hoạch định kế hoạch tổng thể nhiều năm tới… Sau quãng thời gian thực với giúp đỡ bảo tận tình TS Nguyễn Nam Quân PGS.TS Nguyễn Thị Việt Hương, đề tài: “Bảo mật ứng dụng bảo mật Internet Banking” hoàn thành tốt với thời gian quy định Trong trình làm đồ án, thân tơi khơng vận dụng kiến thức kinh nghiệm sẵn có mà thu kiến thức kinh nghiệm quý báu để xây dựng hệ thống hoàn chỉnh Ngồi tơi cịn có hội tìm hiểu sâu giải pháp có sẵn thị trường để học hỏi hoàn thiện giải pháp Luận văn tốt nghiệp khơng thể hồn thành thiếu giúp đỡ người hiểu biết đáng mến Tôi xin chân thành cảm ơn TS Nguyễn Nam Quân, PGS.TS Nguyễn Thị Việt Hương tạo điều kiện giải vướng mắc, khuyến khích, động viên chỗ dựa tinh thần, tạo điều kiện thuận lợi giúp đỡ em nghiên cứu thực suốt thời gian làm luận văn tốt nghiệp Đồng thời xin cảm ơn anh chị phịng Cơng nghệ thơng tin - Ngân hàng TMCP Xăng dầu Petrolimex có ý kiến đóng góp, giải đáp thắc mắc q trình em thực luận văn 120 TÀI LIỆU THAM KHẢO [1] D N Hoover and B N Kausik, “Software Smart Cards via Cryptographic Camouflage,” IEEE Symposium on Security and Privacy, 1999 [2] Mudge and Kingpin, “Initial Cryptanalysis of the RSA SecurID Algorithm” January 2001, http://www.atstake.com/research/reports/ [3] B Schneier, “Secrets & Lies,” Chapter 19: Threat Modeling and Risk Assessment, John Wiley & Sons, 2000 [4] Thông tin từ trang web Ngân hàng Thế giới Việt Nam: http://www.worldbank.org.vn [5] Thơng tin từ trang web Cơ quan Kiểm sốt Tiền tệ Hoa kỳ: http://www.occ.treas.gov [6] Thông tin từ trang web Học viện Ngân hàng http://www.hvnh.edu.vn/ [7] Thông tin từ trang web http://www.securityfocus.com/ [8] Thông tin từ trang web http://quantrimang.com.vn/ ... 4: Ứng dụng bảo mật Internet Banking Chương giới thiệu phát triển thương mại điện tử dịch vụ ứng dụng Việt Nam home -banking, Phone -Banking, Mobile -Banking, Kiosk banking hay Internet Banking. .. dịch vụ Internet Banking đáp ứng nhu cầu khách hàng PG Bank Qua trình tìm hiểu tham gia xây dựng hệ thống em định chọn đề tài làm luận văn tốt nghiệp, là: ? ?Bảo mật ứng dụng bảo mật Internet Banking? ??... bảo mật Ngân hàng Chương sâu vào việc phân tích yêu cầu bảo mật Ngân hàng Từ yêu cầu chung địa lý, vật lý,… đến yêu cầu bảo mật thiết bị phần cứng phần mềm ứng sử dụng Ngân hàng ƒ Chương 4: Ứng

Ngày đăng: 28/02/2021, 07:31

TỪ KHÓA LIÊN QUAN

TÀI LIỆU CÙNG NGƯỜI DÙNG

TÀI LIỆU LIÊN QUAN

w