CHƯƠNG 3- HỆ THỐNG BẢO MẬT INTERNET BANKING NHCT VN
3.1 Giới thiệu hệ thống thông tin NHCT VN
3.1.1 Giới thiệu về NHCT VN
Ngân hàng Công thương Việt nam (NHCT VN), tên giao dịch tiếng Anh viết tắt là Incombank of Vietnam, là một trong bốn ngân hàng thương mại quốc doanh lớn nhất nước ta. Được thành lập từ năm 1988, đến nay NHCT VN đã có mạng lưới hoạt động gồm 120 chi nhánh và 522 điểm giao dịch trên 47 tỉnh thành trong nước.
NHCT VN còn có mạng lưới đại lý với 623 ngân hàng trên thế giới [7,8].
Sơ đồ dưới đây mô tả mô hình quản lý của hệ thống NHCT VN:
Hình 6 - Mô hình tổ chức quản lý của Ngân hàng Công thương Việt nam
Tổng mƣ́c cho vay và đầu tƣ của NHCTVN là trên 81 ngàn tỷ VNĐ, chiếm 20% thị phần tín dụng và đầu tư trong cả nước . Quy mô tăng trưở ng hàng năm của NHCT VN từ 20-30% [7,8]. Các lĩnh vực hoạt động chính của NHCT VN:
Huy động vốn
Cho vay và đầu tƣ
Tài trợ thương mại Xuất-Nhập khẩu
Kinh doanh chứng khoán và các chứng từ có giá
Mua bán ngoại tệ
Cho thuê tài chính (Leasing)
Bảo hiểm tài chính
Bảo lãnh
Cung cấp các dịch vụ thanh toán và dịch vụ về tài khoản
Cung cấp các dịch vụ khác (dịch vụ kho quỹ)
.v.v...
Trong những năm đầu thành lập, đối tƣợng khách hàng chủ yếu của NHCT VN là các doanh nghiệp công thương nghiệp quốc doanh, kế đó là các doanh nghiệp tư nhân và tầng lớp tiểu thương. Nhờ có chính sách đổi mới phát triển kinh tế thị trường của Nhà nước, phạm vi hoạt động của NHCT VN ngày càng mở rộng để phục vụ những đối tƣợng khách hàng đa dạng hơn, đặc biệt là khách hàng cá nhân.
Mở rộng đối tƣợng khách hàng phục vụ cũng có nghĩa là phải phát triển thêm các sản phẩm dịch vụ Ngân hàng. Do đó, ngoài các nghiệp vụ kinh doanh truyền thống nhƣ huy động vốn, cho vay, kinh doanh ngoại hối .v.v... tạo lợi nhuận và sức cạnh tranh từ lãi suất và tỷ giá, NHCT VN đã nhanh chóng phát triển các dịch vụ Ngân hàng khác nhƣ nghiệp vụ bảo lãnh, bảo hiểm và cho thuê tài chính, trong đó đặc biệt quan trọng là phát triển các dịch vụ thanh toán.
3.1.2 Hệ thống thông tin NHCT VN
NHCT VN là ngân hàng thương mại quốc doanh tiên phong trong ứng dụng Công nghệ thông tin để phát triển các hệ thống thanh toán và giao dịch Ngân hàng.
Từ năm 1991, NHCT VN đã trang bị máy tính và mạng LAN cho tất cả các chi nhánh. Một số hệ thống tiêu biểu đã đƣợc triển khai trong hệ thống NHCT VN:
hệ thống thanh toán Liên hàng (1992), Hệ thống Kế toán SIBA (1993), tham gia hệ thống Truyền thông Tài chính Liên ngân hàng Toàn cầu SWIFT (the Society for Worldwide Interbank Financial Telecommunications) (1995), hệ thống Thanh toán điện tử (1996), hệ thống Ngân hàng bán lẻ OSFA (2002) ... Hầu hết các hệ thống này do Trung tâm Công nghệ Thông tin NHCT VN tự xây dựng và triển khai.
Hạ tầng kỹ thuật hệ thống thông tin NHCT VN khá ổn định từ năm 1996, khi NHCT VN hoàn thành việc xây dựng mạng WAN với mạng lưới xấp xỉ 160 đường thuê bao cho các chi nhánh, sử dụng công nghệ Cisco Router, hệ điều hành Unix, Windows2000/NT và hệ quản trị CSDL Oracle.
Hình 7 - Hệ thống thông tin NHCT VN
Trên cơ sở hạ tầng kỹ thuật vẫn đang đƣợc mở rộng và nâng cấp, NHCT VN đang tiếp tục xây dựng các hệ thống ứng dụng trên mạng diện rộng, trong đó trọng tâm trong 5 năm tới là phát triển các hệ thống thanh toán ứng dụng công nghệ hiện đại.
3.2 Hệ thống IncomeBank và các dịch vụ cung cấp
Trong khuôn khổ dự án Thương mại điện tử và dự án Hiện đại hóa hệ thống thanh toán, NHCT VN đã nghiên cứu và xây dựng hệ thống Internet Banking có tên IncomeBank. Trên cơ sở phân tích thị trường và các nghiệp vụ ngân hàng điện tử, hệ thống IncomeBank đƣợc xây dựng để cung cấp các dịch vụ chia thành 4 nhóm sau:
1. Internet Banking dành cho các nhân: Dịch vụ Internet Banking dành cho các nhân cho phép khách hàng là cá nhân giao dịch ngân hàng thông qua mạng Internet
2. Internet Banking dành cho doanh nghiệp: Dịch vụ Internet Banking dành cho doanh nghiệp cho phép khách hàng là doanh nghiệp giao dịch ngân hàng thông qua mạng Internet
3. Quản trị doanh nghiệp: Dịch vụ quản trị doanh nghiệp cho phép các cán bộ doanh nghiệp khởi tạo các nguyên tắc, quy định và quản lý giao dịch ngân hàng khi sử dụng dịch vụ Internet Banking.
4. Quản trị ngân hàng: Dịch vụ quản trị ngân hàng cho phép nhân viên ngân hàng quản lý các ứng dụng Internet Banking.
Các dịch vụ khách hàng có thể khai thác từ IncomeBank gồm:
Cung cấp thông tin (tỷ giá, biểu phí dịch vụ, biểu lãi suất tiền gửi, tiền vay, hướng dẫn thủ tục sử dụng dịch vụ, các văn bản về chính sách kinh doanh của Ngân hàng, các thông tin quảng cáo, các chuyên mục tin tức ...)
Các dịch vụ tài khoản: Vấn tin số dƣ tài khoản và các thông tin trên tài khoản, yêu cầu sao kê, liệt kê giao dịch trên tài khoản. (Tài khoản tiền gửi thanh toán, thẻ, tiết kiệm, tiền vay ...)
Các dịch vụ về séc thanh toán: yêu cầu cấp sổ séc, kiểm tra tình trạng của từng tấm séc đã phát hành, dừng thanh toán từng tấm séc.
Các dịch vụ thanh toán: chuyển tiền từ tài khoản này sang tài khoản khác, thanh toán hóa đơn mua hàng, hóa đơn sử dụng dịch vụ (điện thoại, điện, nước), trả nợ vay (gốc, lãi) ...
Dịch vụ Thƣ điện tử (e-mail): đăng ký mở hộp thƣ điện tử, sử dụng hộp thƣ điện tử, đổi mật khẩu, đổi địa chỉ e-mail, đóng hộp thƣ ...
Các dịch vụ truy cập: đăng nhập, đăng ký hoặc đổi mật khẩu truy nhập, đăng ký sử dụng dịch vụ, thống kê các hoạt động liên quan tới Internet Banking (eBanking Activity Log), lựa chọn cách chào hỏi theo ý muốn, ...
3.3 Thiết kế logic hệ thống bảo mật IncomeBank
3.3.1 Yêu cầu bảo mật đối với IncomeBank
Một hệ thống bảo mật InternetBanking nào cũng cần phải đƣợc thiết lập ở 3 mức 2:
Mức thứ nhất là bảo mật thông tin khách hàng khi những thông tin này đƣợc gửi từ máy tính của khách hàng lên máy chủ Web Server.
Mức thứ hai là bảo mật môi trường đặt máy chủ Internet Banking và cơ sở dữ liệu thông tin khách hàng.
Cuối cùng là hệ thống ngăn chặn việc cố ý thâm nhập trái phép vào hệ thống, can thiệp vào quá trình giao dịch trực tuyến đang diễn ra trên trang web.
2 Theo www.digitalinsight.com và Alicia Iles, Internet Bankingh Security, www.pigseye.kennesaw.edu
IncomeBank là hệ thống Internet Banking cung cấp sản phẩm dịch vụ trực tuyến của NHCT VN qua Internet, để đảm bảo đƣợc 3 mức bảo mật nói trên, yêu cầu đặt ra là xây dựng hệ thống bảo mật cho chính hệ thống IncomeBank và đảm bảo an toàn các cổng giao tiếp giữa IncomeBank với hệ thống thông tin nội bộ của NHCT VN.
3.3.2 Thiết kế logic và lựa chọn giải pháp
Đối với hệ thống IncomeBank, các vấn đề về bảo mật và an toàn hệ thống bao gồm việc kiểm soát truy cập mạng, an toàn hoạt động và truy cập tại máy trạm, an toán máy chủ, an toàn cơ sở dữ liệu riêng, mã hóa dữ liệu, xác thực người dùng, phòng chống virus, sao lưu và phục hồi hệ thống sau sự cố.
3.3.2.1 Frirewall, hệ thống kiểm soát truy cập mạng:
Hệ thống IncomeBank có thể đƣợc truy cập qua Internet, qua Intranet (đối với khách hàng sử dụng dịch vụ giao dịch tại nhà/công ty) hoặc ngay từ mạng nội bộ của NHCT (người lập trình ...). IncomeBank cần sử dụng một Firewall để kiểm soát truy cập từ tầng các dịch vụ chung (DMZ-Domain Zone) của Internet, một Firewall bảo vệ vùng cơ sở dữ liệu riêng của IncomeBank. Ngoài ra, một Firewall cũng đƣợc thiết lập cho tầng các dịch vụ chung DMZ của Internet. Nhƣ vậy để thâm nhập đƣợc vào cơ sở dữ liệu riêng của IncomeBank, một kẻ tấn công từ Internet cần phải vƣợt qua 3 Firewall. Các Firewall này cần đƣợc lập cấu hình khác nhau hoặc sử dụng các công nghệ khác nhau.
Hình 8 - Hệ thống bảo mật Internet Banking NHCT VN
Hệ thống Firewall của IncomeBank đƣợc xây dựng dựa trên công nghệ kiểm duyệt trạng thái (Stateful Inspection Technology) của CheckPoint. Kiểm duyệt trạng thái, còn gọi là phương pháp lọc gói tin động, là phương pháp bảo mật tiên tiến, thực hiện lưu lại dấu vết các gói tin truyền nhận trong một khoảng thời gian nhất định, so sánh để phát hiện những hoạt động đáng ngờ trên mạng. Không chỉ kiểm tra header hay nguồn và đích của các gói tin như trong phương pháp lọc tĩnh, kỹ thuật kiểm duyệt trạng thái phân tích nội dung gói tin ngay tại tầng mạng và quy tắc lọc gói tin có thể do người quản trị mạng thiết lập. Một cổng mạng sẽ chỉ được mở sau khi gói tin cần đi qua nó đƣợc xác định là hợp lệ, việc này ngăn chặn đƣợc kẻ tấn công sử dụng kỹ thuật quét cổng mạng để thâm nhập.
3.3.2.2 Mạng riêng ảo VPN:
Để khách hàng có thể sử dụng dịch vụ Internet Banking thông qua mạng Intranet, IncomeBank cung cấp dịch vụ mạng riêng ảo VPN (Virtual Private Network) thông qua môi trường mạng dùng chung và sử dụng một hệ thống kiểm soát truy cập từ xa (Access List Control Server). VPN-1 là giải pháp dựa trên công nghệ IPSec sử dụng các kỹ thuật mã hóa mạnh và hệ mã hóa khóa công khai, thực hiện bảo mật dữ liệu và xác thực trên mạng công cộng hoặc mạng riêng. Các giao thức, giải thuật băm và mã hóa đƣợc sử dụng trong IPSec: IKE, ISAKMP, ESP, AH, STS, HMAC, MD5, SHA-1, 3DES, EXAUTH, AES. IPSec đƣợc sử dụng phổ biến trong các Firewall, mạng riêng ảo VPN và các hệ thống xác thực. VPN-1 đƣợc cài đặt trong IncomeBank để kiểm soát truy cập của khách hàng kết nối hệ thống từ nhà, từ công ty để sử dụng dịch vụ mà không phải kết nối Internet.
3.3.2.3 Hệ thống phát hiện xâm nhập trái phép IDS:
Mặc dù rất có hiệu quả đối với các nguy cơ tấn công truyền thông giữa các mạng, Firewall không có khả năng bảo vệ hệ thống trước các hoạt động tấn công từ bên trong. Để bù đắp khoảng trống này, hệ thống phát hiện xâm nhập trái phép IDS (Intrusion Detection System) cần đƣợc thiết lập trong mỗi tầng mạng.
Hệ thống IDS có chức năng phát hiện xâm nhập, xác định một cuộc xâm nhập là trái phép hay không, vô hiệu hóa xâm nhập trái phép và có khả năng phân tích các dấu hiệu nguy hiểm có thể dẫn đến xâm nhập trái phép, cụ thể:
Quản lý và phân tích các hoạt động của hệ thống và người dùng.
Phân tích các yếu điểm cấu hình hệ thống.
Đánh giá sự toàn vẹn của hệ thống.
Phân tích các dạng hoạt động bất bình thường của hệ thống.
Phát hiện người dùng vi phạm chính sách bảo mật.
RealSecure IDS sản phẩm của ISS (Internet Security System), sử dụng kiến trúc client-server phân tán và có 3 loại: Network-base IDS (NIDS), Host-base IDS (HIDS), Application-base IDS. Mỗi loại có những thuộc tính và khả năng khác nhau trong quá trình kiểm soát bảo mật.
Một hệ thống RealSecure IDS có hai thành phần chính là: Thành phần cảm ứng phát hiện (sensors) kiểm soát lưu thông mạng (network sensor) và hệ thống (server sensor), phát hiện tấn công, kiểm soát và phân tích hoạt động của hệ thống, chỉ ra sự xâm nhập, tấn công vào các thông tin có giá trị ở mức hệ điều hành;
Thành phần quản lý (management console) quản lý trực quan các sự kiện đƣợc thu thập và lưu trữ từ thành phần cảm ứng phát hiện.
RealSecure IDS của CheckPoint hỗ trợ cho các hệ điều hành mà NHCT VN đang sử dụng: WindowsNT/ Windows 2000, Solaris, cho phép đặt cấu hình linh hoạt từ hệ thống quản lý (console), dễ dàng cài đặt và triển khai.
3.3.2.4 Hệ thống phòng chống Virus:
Kết hợp với các giải pháp Firewall và IDS, hệ thống phòng chống virus có vai trò quan trọng trong việc tạo nên một hệ thống thông tin an toàn. Trend Micro là hệ thống phòng chống virus không chỉ cho các máy tính cá nhân mà còn cho hệ thống các máy chủ và các cổng thanh toán. Sau đây là các thành phần chính của TrendMicro:
InterScan VirusWall: bảo vệ virus tại cổng Internet Gateway, gồm 3 thành phần chính: InterScan Email VirusWall, InterScan FTP VirusWall, InterScan HTTP VirusWall. Ngoài ra, module InterScan eManager đƣợc cài đặt thêm, có nhiệm vụ lọc e-mail theo nội dung.
InterScan AppletTrap: chặn các vi trình Java (Java applet), các HTML script cũng nhƣ là các điều khiển ActiveX không an toàn hoặc có khả năng phá hoại trên cổng Internet. InterScan AppletTrap có 2 phiên bản: Bản Standard HTTP proxy và bản Check Point FireWall-1.
InterScan WebManager: hoạt động tại các cổng Internet, quản lý việc truy cập của các máy trạm vào Internet, dò tìm và loại bỏ virus lây nhiễm trong các File trước khi đi vào mạng LAN/WAN. InterScan WebManager còn giám sát lưu thông HTTP.
ScanMail - Phần mềm này đƣợc thiết kế dành riêng cho các Mail Server.
Nó dò tìm virus trong các hộp thƣ máy chủ và có thể đƣợc sử dụng cho các Mail Server nhƣ MS Exchange, HP OpenMail,… ScanMail eManager cũng đƣợc cài đặt để tăng khả năng chống bom thƣ cho các Mail Server.
ServerProtect - dò tìm, ngăn chặn virus cho các máy chủ. ServerProtect quản trị hệ thống tập trung từ xa theo mô hình 3 lớp (Information Server, Normal Server, Management Console). Chức năng của ServerProtect gồm: Cảnh báo, quét virus trên các máy chủ, lập từ xa cấu hình chế độ diệt virus trên từng máy chủ, cập nhật các phiên bản, ghi nhật ký và lập báo cáo.
PC-Cillin - diệt virus cho các máy tính cá nhân sử dụng các hệ điều hành Windows9x/2000/XP.
3.3.2.5 Hệ thống an ninh máy chủ:
Hệ thống an ninh máy chủ là hệ thống bảo đảm an ninh cho các máy chủ trong hệ thống, gồm máy chủ ứng dụng và máy chủ cơ sở dữ liệu. Hệ thống an ninh máy chủ IncomeBank có chức năng kiểm soát truy nhập vào máy chủ, thực hiện mã hóa dữ liệu, quản lý các khóa mã hóa của hệ thống và xác thực các giao dịch trên máy chủ. Đây là hệ thống bảo mật trọng yếu không chỉ đối với hệ thống IncomeBank mà còn đối với hệ thống thông tin chung của NHCT VN.
3.3.2.6 An toàn mạng nội bộ NHCT VN:
Tầng mạng nội bộ NHCT VN bao gồm các hệ thống ứng dụng, cơ sở dữ liệu tại Trung tâm dữ liệu và Trung tâm dự phòng, đƣợc truy cập trực tiếp từ hệ thống Internet Banking, các phòng ban Trung tâm CNTT và các phòng ban tại Trụ sở chính. Hệ thống FireWall đƣợc thiết lập giữa tầng Internet Banking và mạng nội bộ
NHCT, FireWall giữa Trung tâm dữ liệu và các chi nhánh trong mạng nội bộ của NHCT.