Ngõn hàng Cụng thƣơng Việt nam (NHCT VN), tờn giao dịch tiếng Anh viết tắt là Incombank of Vietnam, là một trong bốn ngõn hàng thƣơng mại quốc doanh
lớn nhất nƣớc ta. Đƣợc thành lập từ năm 1988, đến nay NHCT VN đó cú mạng lƣới hoạt động gồm 120 chi nhỏnh và 522 điểm giao dịch trờn 47 tỉnh thành trong nƣớc. NHCT VN cũn cú mạng lƣới đại lý với 623 ngõn hàng trờn thế giới [7,8].
Sơ đồ dƣới đõy mụ tả mụ hỡnh quản lý của hệ thống NHCT VN:
Tụ̉ng mƣ́c cho vay và đõ̀u tƣ của NHCTVN là trờn 81 ngàn tỷ VNĐ, chiờ́m 20% thị phần tớn dụng và đầu tƣ trong cả nƣớc . Quy mụ tăng trƣở ng hàng năm của NHCT VN từ 20-30% [7,8]. Cỏc lĩnh vực hoạt động chớnh của NHCT VN:
Huy động vốn Cho vay và đầu tƣ
Tài trợ thƣơng mại Xuất-Nhập khẩu
Kinh doanh chứng khoỏn và cỏc chứng từ cú giỏ Mua bỏn ngoại tệ
Cho thuờ tài chớnh (Leasing) Bảo hiểm tài chớnh
Bảo lónh
Cung cấp cỏc dịch vụ thanh toỏn và dịch vụ về tài khoản Cung cấp cỏc dịch vụ khỏc (dịch vụ kho quỹ)
.v.v...
Trong những năm đầu thành lập, đối tƣợng khỏch hàng chủ yếu của NHCT VN là cỏc doanh nghiệp cụng thƣơng nghiệp quốc doanh, kế đú là cỏc doanh nghiệp tƣ nhõn và tầng lớp tiểu thƣơng. Nhờ cú chớnh sỏch đổi mới phỏt triển kinh tế thị trƣờng của Nhà nƣớc, phạm vi hoạt động của NHCT VN ngày càng mở rộng để phục vụ những đối tƣợng khỏch hàng đa dạng hơn, đặc biệt là khỏch hàng cỏ nhõn. Mở rộng đối tƣợng khỏch hàng phục vụ cũng cú nghĩa là phải phỏt triển thờm cỏc sản phẩm dịch vụ Ngõn hàng. Do đú, ngoài cỏc nghiệp vụ kinh doanh truyền thống nhƣ huy động vốn, cho vay, kinh doanh ngoại hối .v.v... tạo lợi nhuận và sức cạnh tranh từ lói suất và tỷ giỏ, NHCT VN đó nhanh chúng phỏt triển cỏc dịch vụ Ngõn hàng khỏc nhƣ nghiệp vụ bảo lónh, bảo hiểm và cho thuờ tài chớnh, trong đú đặc biệt quan trọng là phỏt triển cỏc dịch vụ thanh toỏn.
3.1.2 Hệ thống thụng tin NHCT VN
NHCT VN là ngõn hàng thƣơng mại quốc doanh tiờn phong trong ứng dụng Cụng nghệ thụng tin để phỏt triển cỏc hệ thống thanh toỏn và giao dịch Ngõn hàng.
Từ năm 1991, NHCT VN đó trang bị mỏy tớnh và mạng LAN cho tất cả cỏc chi nhỏnh. Một số hệ thống tiờu biểu đó đƣợc triển khai trong hệ thống NHCT VN: hệ thống thanh toỏn Liờn hàng (1992), Hệ thống Kế toỏn SIBA (1993), tham gia hệ thống Truyền thụng Tài chớnh Liờn ngõn hàng Toàn cầu SWIFT (the Society for
Worldwide Interbank Financial Telecommunications) (1995), hệ thống Thanh toỏn
điện tử (1996), hệ thống Ngõn hàng bỏn lẻ OSFA (2002) ... Hầu hết cỏc hệ thống này do Trung tõm Cụng nghệ Thụng tin NHCT VN tự xõy dựng và triển khai.
Hạ tầng kỹ thuật hệ thống thụng tin NHCT VN khỏ ổn định từ năm 1996, khi NHCT VN hoàn thành việc xõy dựng mạng WAN với mạng lƣới xấp xỉ 160 đƣờng thuờ bao cho cỏc chi nhỏnh, sử dụng cụng nghệ Cisco Router, hệ điều hành Unix, Windows2000/NT và hệ quản trị CSDL Oracle.
Trờn cơ sở hạ tầng kỹ thuật vẫn đang đƣợc mở rộng và nõng cấp, NHCT VN đang tiếp tục xõy dựng cỏc hệ thống ứng dụng trờn mạng diện rộng, trong đú trọng tõm trong 5 năm tới là phỏt triển cỏc hệ thống thanh toỏn ứng dụng cụng nghệ hiện đại.
3.2 Hệ thống IncomeBank và cỏc dịch vụ cung cấp
Trong khuụn khổ dự ỏn Thƣơng mại điện tử và dự ỏn Hiện đại húa hệ thống thanh toỏn, NHCT VN đó nghiờn cứu và xõy dựng hệ thống Internet Banking cú tờn IncomeBank. Trờn cơ sở phõn tớch thị trƣờng và cỏc nghiệp vụ ngõn hàng điện tử, hệ thống IncomeBank đƣợc xõy dựng để cung cấp cỏc dịch vụ chia thành 4 nhúm sau:
1. Internet Banking dành cho cỏc nhõn: Dịch vụ Internet Banking dành cho cỏc nhõn cho phộp khỏch hàng là cỏ nhõn giao dịch ngõn hàng thụng qua mạng Internet
2. Internet Banking dành cho doanh nghiệp: Dịch vụ Internet Banking dành cho doanh nghiệp cho phộp khỏch hàng là doanh nghiệp giao dịch ngõn hàng thụng qua mạng Internet
3. Quản trị doanh nghiệp: Dịch vụ quản trị doanh nghiệp cho phộp cỏc cỏn bộ doanh nghiệp khởi tạo cỏc nguyờn tắc, quy định và quản lý giao dịch ngõn hàng khi sử dụng dịch vụ Internet Banking.
4. Quản trị ngõn hàng: Dịch vụ quản trị ngõn hàng cho phộp nhõn viờn ngõn hàng quản lý cỏc ứng dụng Internet Banking.
Cỏc dịch vụ khỏch hàng cú thể khai thỏc từ IncomeBank gồm:
Cung cấp thụng tin (tỷ giỏ, biểu phớ dịch vụ, biểu lói suất tiền gửi, tiền vay, hƣớng dẫn thủ tục sử dụng dịch vụ, cỏc văn bản về chớnh sỏch kinh doanh của Ngõn hàng, cỏc thụng tin quảng cỏo, cỏc chuyờn mục tin tức ...)
Cỏc dịch vụ tài khoản: Vấn tin số dƣ tài khoản và cỏc thụng tin trờn tài khoản, yờu cầu sao kờ, liệt kờ giao dịch trờn tài khoản. (Tài khoản tiền gửi thanh toỏn, thẻ, tiết kiệm, tiền vay ...)
Cỏc dịch vụ về sộc thanh toỏn: yờu cầu cấp sổ sộc, kiểm tra tỡnh trạng của từng tấm sộc đó phỏt hành, dừng thanh toỏn từng tấm sộc.
Cỏc dịch vụ thanh toỏn: chuyển tiền từ tài khoản này sang tài khoản khỏc, thanh toỏn húa đơn mua hàng, húa đơn sử dụng dịch vụ (điện thoại, điện, nƣớc), trả nợ vay (gốc, lói) ...
Dịch vụ Thƣ điện tử (e-mail): đăng ký mở hộp thƣ điện tử, sử dụng hộp thƣ điện tử, đổi mật khẩu, đổi địa chỉ e-mail, đúng hộp thƣ ...
Cỏc dịch vụ truy cập: đăng nhập, đăng ký hoặc đổi mật khẩu truy nhập, đăng ký sử dụng dịch vụ, thống kờ cỏc hoạt động liờn quan tới Internet Banking (eBanking Activity Log), lựa chọn cỏch chào hỏi theo ý muốn, ...
3.3 Thiết kế logic hệ thống bảo mật IncomeBank 3.3.1 Yờu cầu bảo mật đối với IncomeBank 3.3.1 Yờu cầu bảo mật đối với IncomeBank
Một hệ thống bảo mật InternetBanking nào cũng cần phải đƣợc thiết lập ở 3 mức 2:
Mức thứ nhất là bảo mật thụng tin khỏch hàng khi những thụng tin này đƣợc gửi từ mỏy tớnh của khỏch hàng lờn mỏy chủ Web Server.
Mức thứ hai là bảo mật mụi trƣờng đặt mỏy chủ Internet Banking và cơ sở dữ liệu thụng tin khỏch hàng.
Cuối cựng là hệ thống ngăn chặn việc cố ý thõm nhập trỏi phộp vào hệ thống, can thiệp vào quỏ trỡnh giao dịch trực tuyến đang diễn ra trờn trang web.
2
IncomeBank là hệ thống Internet Banking cung cấp sản phẩm dịch vụ trực tuyến của NHCT VN qua Internet, để đảm bảo đƣợc 3 mức bảo mật núi trờn, yờu cầu đặt ra là xõy dựng hệ thống bảo mật cho chớnh hệ thống IncomeBank và đảm bảo an toàn cỏc cổng giao tiếp giữa IncomeBank với hệ thống thụng tin nội bộ của NHCT VN.
3.3.2 Thiết kế logic và lựa chọn giải phỏp
Đối với hệ thống IncomeBank, cỏc vấn đề về bảo mật và an toàn hệ thống bao gồm việc kiểm soỏt truy cập mạng, an toàn hoạt động và truy cập tại mỏy trạm, an toỏn mỏy chủ, an toàn cơ sở dữ liệu riờng, mó húa dữ liệu, xỏc thực ngƣời dựng, phũng chống virus, sao lƣu và phục hồi hệ thống sau sự cố.
3.3.2.1 Frirewall, hệ thống kiểm soỏt truy cập mạng:
Hệ thống IncomeBank cú thể đƣợc truy cập qua Internet, qua Intranet (đối với khỏch hàng sử dụng dịch vụ giao dịch tại nhà/cụng ty) hoặc ngay từ mạng nội bộ của NHCT (ngƣời lập trỡnh ...). IncomeBank cần sử dụng một Firewall để kiểm soỏt truy cập từ tầng cỏc dịch vụ chung (DMZ-Domain Zone) của Internet, một
Firewall bảo vệ vựng cơ sở dữ liệu riờng của IncomeBank. Ngoài ra, một Firewall cũng đƣợc thiết lập cho tầng cỏc dịch vụ chung DMZ của Internet. Nhƣ vậy để thõm nhập đƣợc vào cơ sở dữ liệu riờng của IncomeBank, một kẻ tấn cụng từ Internet cần phải vƣợt qua 3 Firewall. Cỏc Firewall này cần đƣợc lập cấu hỡnh khỏc nhau hoặc sử dụng cỏc cụng nghệ khỏc nhau.
Hỡnh 8 - Hệ thống bảo mật Internet Banking NHCT VN
Hệ thống Firewall của IncomeBank đƣợc xõy dựng dựa trờn cụng nghệ kiểm duyệt trạng thỏi (Stateful Inspection Technology) của CheckPoint. Kiểm duyệt trạng thỏi, cũn gọi là phƣơng phỏp lọc gúi tin động, là phƣơng phỏp bảo mật tiờn tiến, thực hiện lƣu lại dấu vết cỏc gúi tin truyền nhận trong một khoảng thời gian nhất định, so sỏnh để phỏt hiện những hoạt động đỏng ngờ trờn mạng. Khụng chỉ kiểm tra header hay nguồn và đớch của cỏc gúi tin nhƣ trong phƣơng phỏp lọc tĩnh, kỹ
thuật kiểm duyệt trạng thỏi phõn tớch nội dung gúi tin ngay tại tầng mạng và quy tắc lọc gúi tin cú thể do ngƣời quản trị mạng thiết lập. Một cổng mạng sẽ chỉ đƣợc mở sau khi gúi tin cần đi qua nú đƣợc xỏc định là hợp lệ, việc này ngăn chặn đƣợc kẻ tấn cụng sử dụng kỹ thuật quột cổng mạng để thõm nhập.
3.3.2.2 Mạng riờng ảo VPN:
Để khỏch hàng cú thể sử dụng dịch vụ Internet Banking thụng qua mạng Intranet, IncomeBank cung cấp dịch vụ mạng riờng ảo VPN (Virtual Private
Network) thụng qua mụi trƣờng mạng dựng chung và sử dụng một hệ thống kiểm
soỏt truy cập từ xa (Access List Control Server). VPN-1 là giải phỏp dựa trờn cụng nghệ IPSec sử dụng cỏc kỹ thuật mó húa mạnh và hệ mó húa khúa cụng khai, thực hiện bảo mật dữ liệu và xỏc thực trờn mạng cụng cộng hoặc mạng riờng. Cỏc giao thức, giải thuật băm và mó húa đƣợc sử dụng trong IPSec: IKE, ISAKMP, ESP, AH, STS, HMAC, MD5, SHA-1, 3DES, EXAUTH, AES. IPSec đƣợc sử dụng phổ biến trong cỏc Firewall, mạng riờng ảo VPN và cỏc hệ thống xỏc thực. VPN-1 đƣợc cài đặt trong IncomeBank để kiểm soỏt truy cập của khỏch hàng kết nối hệ thống từ nhà, từ cụng ty để sử dụng dịch vụ mà khụng phải kết nối Internet.
3.3.2.3 Hệ thống phỏt hiện xõm nhập trỏi phộp IDS:
Mặc dự rất cú hiệu quả đối với cỏc nguy cơ tấn cụng truyền thụng giữa cỏc mạng, Firewall khụng cú khả năng bảo vệ hệ thống trƣớc cỏc hoạt động tấn cụng từ bờn trong. Để bự đắp khoảng trống này, hệ thống phỏt hiện xõm nhập trỏi phộp IDS (Intrusion Detection System) cần đƣợc thiết lập trong mỗi tầng mạng.
Hệ thống IDS cú chức năng phỏt hiện xõm nhập, xỏc định một cuộc xõm nhập là trỏi phộp hay khụng, vụ hiệu húa xõm nhập trỏi phộp và cú khả năng phõn tớch cỏc dấu hiệu nguy hiểm cú thể dẫn đến xõm nhập trỏi phộp, cụ thể:
Quản lý và phõn tớch cỏc hoạt động của hệ thống và ngƣời dựng. Phõn tớch cỏc yếu điểm cấu hỡnh hệ thống.
Đỏnh giỏ sự toàn vẹn của hệ thống.
Phõn tớch cỏc dạng hoạt động bất bỡnh thƣờng của hệ thống. Phỏt hiện ngƣời dựng vi phạm chớnh sỏch bảo mật.
RealSecure IDS sản phẩm của ISS (Internet Security System), sử dụng kiến
trỳc client-server phõn tỏn và cú 3 loại: Network-base IDS (NIDS), Host-base IDS (HIDS), Application-base IDS. Mỗi loại cú những thuộc tớnh và khả năng khỏc nhau trong quỏ trỡnh kiểm soỏt bảo mật.
Một hệ thống RealSecure IDS cú hai thành phần chớnh là: Thành phần cảm ứng phỏt hiện (sensors) kiểm soỏt lƣu thụng mạng (network sensor) và hệ thống (server sensor), phỏt hiện tấn cụng, kiểm soỏt và phõn tớch hoạt động của hệ thống, chỉ ra sự xõm nhập, tấn cụng vào cỏc thụng tin cú giỏ trị ở mức hệ điều hành; Thành phần quản lý (management console) quản lý trực quan cỏc sự kiện đƣợc thu thập và lƣu trữ từ thành phần cảm ứng phỏt hiện.
RealSecure IDS của CheckPoint hỗ trợ cho cỏc hệ điều hành mà NHCT VN đang sử dụng: WindowsNT/ Windows 2000, Solaris, cho phộp đặt cấu hỡnh linh hoạt từ hệ thống quản lý (console), dễ dàng cài đặt và triển khai.
3.3.2.4 Hệ thống phũng chống Virus:
Kết hợp với cỏc giải phỏp Firewall và IDS, hệ thống phũng chống virus cú vai trũ quan trọng trong việc tạo nờn một hệ thống thụng tin an toàn. Trend Micro là hệ thống phũng chống virus khụng chỉ cho cỏc mỏy tớnh cỏ nhõn mà cũn cho hệ thống cỏc mỏy chủ và cỏc cổng thanh toỏn. Sau đõy là cỏc thành phần chớnh của TrendMicro:
InterScan VirusWall: bảo vệ virus tại cổng Internet Gateway, gồm 3 thành phần chớnh: InterScan Email VirusWall, InterScan FTP VirusWall, InterScan HTTP VirusWall. Ngoài ra, module InterScan eManager đƣợc cài đặt thờm, cú nhiệm vụ lọc e-mail theo nội dung.
InterScan AppletTrap: chặn cỏc vi trỡnh Java (Java applet), cỏc HTML script cũng nhƣ là cỏc điều khiển ActiveX khụng an toàn hoặc cú khả năng phỏ hoại trờn cổng Internet. InterScan AppletTrap cú 2 phiờn bản: Bản Standard HTTP proxy và bản Check Point FireWall-1.
InterScan WebManager: hoạt động tại cỏc cổng Internet, quản lý việc truy cập của cỏc mỏy trạm vào Internet, dũ tỡm và loại bỏ virus lõy nhiễm trong cỏc File trƣớc khi đi vào mạng LAN/WAN. InterScan WebManager cũn giỏm sỏt lƣu thụng HTTP.
ScanMail - Phần mềm này đƣợc thiết kế dành riờng cho cỏc Mail Server. Nú dũ tỡm virus trong cỏc hộp thƣ mỏy chủ và cú thể đƣợc sử dụng cho cỏc Mail Server nhƣ MS Exchange, HP OpenMail,…ScanMail eManager cũng đƣợc cài đặt để tăng khả năng chống bom thƣ cho cỏc Mail Server.
ServerProtect - dũ tỡm, ngăn chặn virus cho cỏc mỏy chủ. ServerProtect quản trị hệ thống tập trung từ xa theo mụ hỡnh 3 lớp (Information Server, Normal Server, Management Console). Chức năng của ServerProtect gồm: Cảnh bỏo, quột virus trờn cỏc mỏy chủ, lập từ xa cấu hỡnh chế độ diệt virus trờn từng mỏy chủ, cập nhật cỏc phiờn bản, ghi nhật ký và lập bỏo cỏo.
PC-Cillin - diệt virus cho cỏc mỏy tớnh cỏ nhõn sử dụng cỏc hệ điều hành Windows9x/2000/XP.
3.3.2.5 Hệ thống an ninh mỏy chủ:
Hệ thống an ninh mỏy chủ là hệ thống bảo đảm an ninh cho cỏc mỏy chủ trong hệ thống, gồm mỏy chủ ứng dụng và mỏy chủ cơ sở dữ liệu. Hệ thống an ninh mỏy chủ IncomeBank cú chức năng kiểm soỏt truy nhập vào mỏy chủ, thực hiện mó húa dữ liệu, quản lý cỏc khúa mó húa của hệ thống và xỏc thực cỏc giao dịch trờn mỏy chủ. Đõy là hệ thống bảo mật trọng yếu khụng chỉ đối với hệ thống IncomeBank mà cũn đối với hệ thống thụng tin chung của NHCT VN.
3.3.2.6 An toàn mạng nội bộ NHCT VN:
Tầng mạng nội bộ NHCT VN bao gồm cỏc hệ thống ứng dụng, cơ sở dữ liệu tại Trung tõm dữ liệu và Trung tõm dự phũng, đƣợc truy cập trực tiếp từ hệ thống Internet Banking, cỏc phũng ban Trung tõm CNTT và cỏc phũng ban tại Trụ sở chớnh. Hệ thống FireWall đƣợc thiết lập giữa tầng Internet Banking và mạng nội bộ
NHCT, FireWall giữa Trung tõm dữ liệu và cỏc chi nhỏnh trong mạng nội bộ của NHCT.
3.4 Xõy dựng hệ thống an ninh mỏy chủ IncomeBank 3.4.1 Mục đớch xõy dựng và chức năng hệ thống 3.4.1 Mục đớch xõy dựng và chức năng hệ thống
Hệ thống mỏy chủ là trỏi tim của bất kỳ một hệ thống thụng tin nào. Cỏc mỏy chủ thƣờng là mục tiờu của những kẻ tấn cụng, phỏ hoại. Đối với cỏc mỏy chủ phục vụ cho mục đớch thƣơng mại, kinh doanh, đặc biệt là cỏc mỏy chủ của Ngõn hàng, nếu bị tấn cụng sẽ gõy ra những thiệt hại to lớn, do vậy việc bảo đảm an toàn cho hệ thống cỏc mỏy chủ là hết sức cần thiết.
Hệ thống an ninh mỏy chủ IncomeBank (từ đõy gọi tắt là ANMC) là hệ thống đƣợc xõy dựng nhằm chống lại sự tấn cụng xõm nhập trỏi phộp và giả mạo, cung cấp cỏc phƣơng tiện mó húa cần thiết cho việc bảo mật hệ thống mạng thụng tin Ngõn hàng và hệ thống IncomeBank. Hệ thống ANMC cần chứa đựng nhiều thuật mó húa và cỏc chuẩn bảo mật đang đƣợc sử dụng phổ biến trong lĩnh vực Ngõn hàng Tài chớnh quốc tế hiện nay, tớch hợp để bảo mật cho nhiều ứng dụng của NHCT VN, nhƣ hệ thống thanh toỏn thẻ ATM, hệ thống chuyển tiền liờn Ngõn hàng và hệ thống IncomeBank.
Hệ thống an ninh mỏy chủ là hệ thống hoạt động độc lập tƣơng đối với cỏc mỏy chủ trong hệ thống. Nú thực hiện cỏc tiến trỡnh mó húa trờn mụi trƣờng bảo mật vật lý thay cho cỏc mỏy chủ.
Hệ thống ANMC đƣợc sử dụng trờn mụi trƣờng trực tuyến thời gian thực, cú cỏc chức năng: quản lý khúa mó húa; tạo, mó húa và xỏc thực số PIN (Personal