Đối với hệ thống IncomeBank, cỏc vấn đề về bảo mật và an toàn hệ thống bao gồm việc kiểm soỏt truy cập mạng, an toàn hoạt động và truy cập tại mỏy trạm, an toỏn mỏy chủ, an toàn cơ sở dữ liệu riờng, mó húa dữ liệu, xỏc thực ngƣời dựng, phũng chống virus, sao lƣu và phục hồi hệ thống sau sự cố.
3.3.2.1 Frirewall, hệ thống kiểm soỏt truy cập mạng:
Hệ thống IncomeBank cú thể đƣợc truy cập qua Internet, qua Intranet (đối với khỏch hàng sử dụng dịch vụ giao dịch tại nhà/cụng ty) hoặc ngay từ mạng nội bộ của NHCT (ngƣời lập trỡnh ...). IncomeBank cần sử dụng một Firewall để kiểm soỏt truy cập từ tầng cỏc dịch vụ chung (DMZ-Domain Zone) của Internet, một
Firewall bảo vệ vựng cơ sở dữ liệu riờng của IncomeBank. Ngoài ra, một Firewall cũng đƣợc thiết lập cho tầng cỏc dịch vụ chung DMZ của Internet. Nhƣ vậy để thõm nhập đƣợc vào cơ sở dữ liệu riờng của IncomeBank, một kẻ tấn cụng từ Internet cần phải vƣợt qua 3 Firewall. Cỏc Firewall này cần đƣợc lập cấu hỡnh khỏc nhau hoặc sử dụng cỏc cụng nghệ khỏc nhau.
Hỡnh 8 - Hệ thống bảo mật Internet Banking NHCT VN
Hệ thống Firewall của IncomeBank đƣợc xõy dựng dựa trờn cụng nghệ kiểm duyệt trạng thỏi (Stateful Inspection Technology) của CheckPoint. Kiểm duyệt trạng thỏi, cũn gọi là phƣơng phỏp lọc gúi tin động, là phƣơng phỏp bảo mật tiờn tiến, thực hiện lƣu lại dấu vết cỏc gúi tin truyền nhận trong một khoảng thời gian nhất định, so sỏnh để phỏt hiện những hoạt động đỏng ngờ trờn mạng. Khụng chỉ kiểm tra header hay nguồn và đớch của cỏc gúi tin nhƣ trong phƣơng phỏp lọc tĩnh, kỹ
thuật kiểm duyệt trạng thỏi phõn tớch nội dung gúi tin ngay tại tầng mạng và quy tắc lọc gúi tin cú thể do ngƣời quản trị mạng thiết lập. Một cổng mạng sẽ chỉ đƣợc mở sau khi gúi tin cần đi qua nú đƣợc xỏc định là hợp lệ, việc này ngăn chặn đƣợc kẻ tấn cụng sử dụng kỹ thuật quột cổng mạng để thõm nhập.
3.3.2.2 Mạng riờng ảo VPN:
Để khỏch hàng cú thể sử dụng dịch vụ Internet Banking thụng qua mạng Intranet, IncomeBank cung cấp dịch vụ mạng riờng ảo VPN (Virtual Private
Network) thụng qua mụi trƣờng mạng dựng chung và sử dụng một hệ thống kiểm
soỏt truy cập từ xa (Access List Control Server). VPN-1 là giải phỏp dựa trờn cụng nghệ IPSec sử dụng cỏc kỹ thuật mó húa mạnh và hệ mó húa khúa cụng khai, thực hiện bảo mật dữ liệu và xỏc thực trờn mạng cụng cộng hoặc mạng riờng. Cỏc giao thức, giải thuật băm và mó húa đƣợc sử dụng trong IPSec: IKE, ISAKMP, ESP, AH, STS, HMAC, MD5, SHA-1, 3DES, EXAUTH, AES. IPSec đƣợc sử dụng phổ biến trong cỏc Firewall, mạng riờng ảo VPN và cỏc hệ thống xỏc thực. VPN-1 đƣợc cài đặt trong IncomeBank để kiểm soỏt truy cập của khỏch hàng kết nối hệ thống từ nhà, từ cụng ty để sử dụng dịch vụ mà khụng phải kết nối Internet.
3.3.2.3 Hệ thống phỏt hiện xõm nhập trỏi phộp IDS:
Mặc dự rất cú hiệu quả đối với cỏc nguy cơ tấn cụng truyền thụng giữa cỏc mạng, Firewall khụng cú khả năng bảo vệ hệ thống trƣớc cỏc hoạt động tấn cụng từ bờn trong. Để bự đắp khoảng trống này, hệ thống phỏt hiện xõm nhập trỏi phộp IDS (Intrusion Detection System) cần đƣợc thiết lập trong mỗi tầng mạng.
Hệ thống IDS cú chức năng phỏt hiện xõm nhập, xỏc định một cuộc xõm nhập là trỏi phộp hay khụng, vụ hiệu húa xõm nhập trỏi phộp và cú khả năng phõn tớch cỏc dấu hiệu nguy hiểm cú thể dẫn đến xõm nhập trỏi phộp, cụ thể:
Quản lý và phõn tớch cỏc hoạt động của hệ thống và ngƣời dựng. Phõn tớch cỏc yếu điểm cấu hỡnh hệ thống.
Đỏnh giỏ sự toàn vẹn của hệ thống.
Phõn tớch cỏc dạng hoạt động bất bỡnh thƣờng của hệ thống. Phỏt hiện ngƣời dựng vi phạm chớnh sỏch bảo mật.
RealSecure IDS sản phẩm của ISS (Internet Security System), sử dụng kiến
trỳc client-server phõn tỏn và cú 3 loại: Network-base IDS (NIDS), Host-base IDS (HIDS), Application-base IDS. Mỗi loại cú những thuộc tớnh và khả năng khỏc nhau trong quỏ trỡnh kiểm soỏt bảo mật.
Một hệ thống RealSecure IDS cú hai thành phần chớnh là: Thành phần cảm ứng phỏt hiện (sensors) kiểm soỏt lƣu thụng mạng (network sensor) và hệ thống (server sensor), phỏt hiện tấn cụng, kiểm soỏt và phõn tớch hoạt động của hệ thống, chỉ ra sự xõm nhập, tấn cụng vào cỏc thụng tin cú giỏ trị ở mức hệ điều hành; Thành phần quản lý (management console) quản lý trực quan cỏc sự kiện đƣợc thu thập và lƣu trữ từ thành phần cảm ứng phỏt hiện.
RealSecure IDS của CheckPoint hỗ trợ cho cỏc hệ điều hành mà NHCT VN đang sử dụng: WindowsNT/ Windows 2000, Solaris, cho phộp đặt cấu hỡnh linh hoạt từ hệ thống quản lý (console), dễ dàng cài đặt và triển khai.
3.3.2.4 Hệ thống phũng chống Virus:
Kết hợp với cỏc giải phỏp Firewall và IDS, hệ thống phũng chống virus cú vai trũ quan trọng trong việc tạo nờn một hệ thống thụng tin an toàn. Trend Micro là hệ thống phũng chống virus khụng chỉ cho cỏc mỏy tớnh cỏ nhõn mà cũn cho hệ thống cỏc mỏy chủ và cỏc cổng thanh toỏn. Sau đõy là cỏc thành phần chớnh của TrendMicro:
InterScan VirusWall: bảo vệ virus tại cổng Internet Gateway, gồm 3 thành phần chớnh: InterScan Email VirusWall, InterScan FTP VirusWall, InterScan HTTP VirusWall. Ngoài ra, module InterScan eManager đƣợc cài đặt thờm, cú nhiệm vụ lọc e-mail theo nội dung.
InterScan AppletTrap: chặn cỏc vi trỡnh Java (Java applet), cỏc HTML script cũng nhƣ là cỏc điều khiển ActiveX khụng an toàn hoặc cú khả năng phỏ hoại trờn cổng Internet. InterScan AppletTrap cú 2 phiờn bản: Bản Standard HTTP proxy và bản Check Point FireWall-1.
InterScan WebManager: hoạt động tại cỏc cổng Internet, quản lý việc truy cập của cỏc mỏy trạm vào Internet, dũ tỡm và loại bỏ virus lõy nhiễm trong cỏc File trƣớc khi đi vào mạng LAN/WAN. InterScan WebManager cũn giỏm sỏt lƣu thụng HTTP.
ScanMail - Phần mềm này đƣợc thiết kế dành riờng cho cỏc Mail Server. Nú dũ tỡm virus trong cỏc hộp thƣ mỏy chủ và cú thể đƣợc sử dụng cho cỏc Mail Server nhƣ MS Exchange, HP OpenMail,…ScanMail eManager cũng đƣợc cài đặt để tăng khả năng chống bom thƣ cho cỏc Mail Server.
ServerProtect - dũ tỡm, ngăn chặn virus cho cỏc mỏy chủ. ServerProtect quản trị hệ thống tập trung từ xa theo mụ hỡnh 3 lớp (Information Server, Normal Server, Management Console). Chức năng của ServerProtect gồm: Cảnh bỏo, quột virus trờn cỏc mỏy chủ, lập từ xa cấu hỡnh chế độ diệt virus trờn từng mỏy chủ, cập nhật cỏc phiờn bản, ghi nhật ký và lập bỏo cỏo.
PC-Cillin - diệt virus cho cỏc mỏy tớnh cỏ nhõn sử dụng cỏc hệ điều hành Windows9x/2000/XP.
3.3.2.5 Hệ thống an ninh mỏy chủ:
Hệ thống an ninh mỏy chủ là hệ thống bảo đảm an ninh cho cỏc mỏy chủ trong hệ thống, gồm mỏy chủ ứng dụng và mỏy chủ cơ sở dữ liệu. Hệ thống an ninh mỏy chủ IncomeBank cú chức năng kiểm soỏt truy nhập vào mỏy chủ, thực hiện mó húa dữ liệu, quản lý cỏc khúa mó húa của hệ thống và xỏc thực cỏc giao dịch trờn mỏy chủ. Đõy là hệ thống bảo mật trọng yếu khụng chỉ đối với hệ thống IncomeBank mà cũn đối với hệ thống thụng tin chung của NHCT VN.
3.3.2.6 An toàn mạng nội bộ NHCT VN:
Tầng mạng nội bộ NHCT VN bao gồm cỏc hệ thống ứng dụng, cơ sở dữ liệu tại Trung tõm dữ liệu và Trung tõm dự phũng, đƣợc truy cập trực tiếp từ hệ thống Internet Banking, cỏc phũng ban Trung tõm CNTT và cỏc phũng ban tại Trụ sở chớnh. Hệ thống FireWall đƣợc thiết lập giữa tầng Internet Banking và mạng nội bộ
NHCT, FireWall giữa Trung tõm dữ liệu và cỏc chi nhỏnh trong mạng nội bộ của NHCT.