Để đảm bảo an ninh, an toàn cho hệ thống ta thiết kế hệ thống với nhiều lớp, nhiều mức đảm bảo khác nhau. Chúng ta sẽ từng bước phân tích và chỉ ra những đặc tính kỹ thuật của các lớp, các mức an ninh và an toàn của giải pháp. Ta bắt đầu xét từ mức thấp nhất trong mô hình là tại client của các CI cho đến mức cao nhất của hệ thống là trung tâm thanh toán quốc gia NPSC. Ta có mô hình an ninh, an
Mức Mô hình Kỹ thuật sử dụng
NPSC
(Trung tâm thanh toán điện tử quốc gia) -Cơ sở dữ liệu: quản lí user truy cập đến DB, table,… -Ứng dụng NPSC:Giải mã, kiểm tra tính toàn vẹn, tính chính xác các ký hiệu, qui ước dữ liệu của giao dịch.
-OS, Tuxedo: quản lí, phân quyền truy cập user đến các tài nguyên, dịch vụ FTP, Telnet, Chạy IBPC, …
-Mức mạng: Phân VLAN, Kiểm soát truy cập Firewall
PPCa
(Trung tâm thanh toán khu vực) -Cơ sở dữ liệu: quản lí user truy cập đến DB, table,… -Ứng dụng PPC:Giải mã, kiểm tra tính toàn vẹn, tính chính xác các ký hiệu, qui ước dữ liệu của giao dịch.
-OS, Tuxedo: quản lí, phân quyền truy cập user đến các tài nguyên, dịch vụ FTP, Telnet, Chạy IBPC, …
-Mức mạng: Phân VLAN, Kiểm soát truy cập Firewall
Communication (Truyền thông giữa CIÆPPC, PPC Æ NPSC) -Mã ký dữ liệu trên đường truyền: nhằm tránh mất mát & sai lệch thông tin trên đường truyền. -Quản lí, ngăn chặn: các kết nối trái phép vào hệ thống. CI (Tại các chi nhánh tổ chức tín dụng) -Cơ sở dữ liệu: quản lí user truy cập đến DB, table,… -Ứng dụng CI:Ký mã, tuân theo qui ước dữ liệu của giao dịch. Xác thực, phân quyền truy cập ứng dụng CI.
-Hệ điều hành OS: quản lí user, file dữ liệu…
-Mức mạng: Cấp quyền sử dụng CI-Communication. CSDL CI-Client Ứng dụng CI Hệđiều hành Win Mức mạng LAN Mã hoá dữ liệu Xác thực dữ liệu Quản lí truy cập Cơ sở dữ liệu Ứng dụng NPSC OS Tuxedo Mức mạng Leased Dial Up Cơ sở dữ liệu Ứng dụng PPC OS, Tuxedo Mức mạng Leased
2.1.2.2.1.1. Tại các chi nhánh tổ chức tín dụng.
Chi nhánh tổ chức tín dụng là một điểm yếu lớn của hệ thống thanh toán. Tại đây, lệnh thanh toán được khởi tạo, ký duyệt và chuyển vào hệ thống. Bất kỳ một vi phạm đến an ninh, bảo mật ở đây sẽ gây tổn hại cho hệ thống.
Những xâm phạm ở đây có thể thuộc các loại như làm giả mạo lệnh thanh toán, ăn cắp khoá ký, khoá duyệt hoặc làm sai lệch dữ liệu nhằm đánh cắp tiền trong hệ thống. Điều này có thể được thực hiện khi một khi kẻ xâm nhập có thể khởi tạo lệnh thanh toán giả, ăn cắp các khoá mã, khoá ký để ký duyệt lệnh thanh toán giả này và chuyển vào hệ thống. Hay khi thông tin về lệnh thanh toán bị làm sai lệch về số liệu sau đó vẫn được ký duyệt và gửi vào hệ thống như một lệnh thanh toán đúng đắn. Khi đó, toàn bộ hệ thống thanh toán ở các mức khác sẽ không thể phát hiện được lệnh thanh toán này là bất hợp pháp. Do đó, mọi quá trình thanh toán vẫn diễn ra bình thường, tiền sẽ bị lấy khỏi hệ thống một cách hợp pháp mà không hề bị phát hiện.
Như vậy, CI là điểm rất quan trọng trong hệ thống nhưng lại là điểm rất yếu của hệ thống. Giải pháp đề xuất các biện pháp an ninh, bảo mật hệ thống tại CI bao gồm:
- Các biện pháp đảm bảo an ninh, an toàn cho cơ sở dữ liệu được cài đặt tại chi nhánh các tổ chức tín dụng, chi nhánh Ngân hàng nhà nước có vai trò như thành viên của hệ thống ví dụ như: cài đặt các hệ quản trị cơ sở dữ liệu có độ ổn định, an toàn và bảo mật cao; quản lí người sử dụng cũng như quyền truy nhập vào các thông tin được lưu trữ trong cơ sở dữ liệu này; không cấp khoá admin của cơ sở dữ liệu cho người sử dụng tại CI; tiến hành sao lưu dữ liệu theo một thời gian nhất định để đảm bảo an toàn cho cơ sở dữ liệu chứa thông tin thanh toán trong hệ thống.
- Các biện pháp áp dụng cho chương trình ứng dụng CI-TAD: tại chương
trình phần mềm ứng dụng CI-TAD cần áp dụng nhiều biện pháp đồng thời như: bảo mật sử dụng bằng tên/mật khẩu truy nhập; xác thực thông qua các thông tin sinh trắc học như sử dụng máy quét bàn tay, hoặc kiểm tra tròng mắt, vân tay (biện pháp thiết thực nhất được đề xuất là xác định qua nhận dạng bàn tay); phân quyền sử dụng từng chức năng của chương trình cho những người sử dụng khác nhau; sử dụng khoá ký của từng người sử dụng để ký lên thông tin được tạo lập; mã hoá thông tin truyền lên PPC thông qua hệ mã 3DES; mỗi phiên truyền nhận dữ liệu đều sử dụng khoá phiên để xác định; qui định qui trình thay đổi mật khẩu truy nhập theo những khoảng thời gian nhất định và bảo mật khoá ký, khoá giải thông qua các thiết bị lưu trữ điện tử như joykeys.
- Biện pháp áp dụng tại mức hệđiều hành OS: chương trình CI-TAD được
viết và chạy trên nền hệ điều hành phổ biến ở Việt Nam là Windows. Giải pháp này đề xuất CI-TAD chạy trên nền hệ điều hành Windows với phiên bản bắt buộc là Windows trên nền NT, XP, 2x với các bảng partition NTFS, có phân quyền sử dụng cho các user khác nhau, có quản lí các dịch vụ truyền nhận file, phân khu trên đĩa lưu trữ file dữ liệu chứa lệnh thanh toán của CI. Phân các máy trạm tại CI theo một group riêng để dễ bảo vệ. Khoá máy tính và đặt mật khẩu CMOS trong lúc khởi động máy.
- Biện pháp áp dụng tại mức mạng chứa các máy tính kết nối mạng với PPC: Chỉ cấp quyền kết nối cho 2 máy tính với các thông số xác định như: serial
của CPU, HDD, network card và kết nối thông qua số điện thoại xác định. Các máy tính chạy chương trình CI-TAD khác sử dụng chung kết nối với 2 máy tính truyền thông này. Các máy tính tham gia thanh toán liên Ngân hàng của CI cần được quản lí trong một VLAN riêng biệt, có firewall bảo vệ các xâm nhập mạng từ các máy PC khác trong mạng của CI.
2.1.2.2.1.2. Trên đường truyền giữa CI tới PPC khu vực.
Do đặc điểm là số lượng các CI-TAD tham gia không quá lớn, ta đề xuất sử dụng thiết bị mã hoá cứng giữa hai đầu từ CI-TAD và PPC khu vực. Các thiết bị mã hoá cứng này sẽ thực hiện mã hoá và xác thực các gói tin truyền từ CI qua mạng PSTN đến PPC khu vực.
2.1.2.2.1.3. Truyền từ PPC đến NPSC, giữa NPSC và NPSC-Backup:
Cũng giống như đường truyền từ CI-TAD lên PPC, ta cũng đề xuất sử dụng các thiết bị mã hoá và xác thực tính toàn vẹn của các gói tin trên đường truyền giữa PPC tới NPSC hoặc giữa NPSC và NPSC-Backup. Kèm thêm vào các thiết bị mã hoá này là các mức mã hoá khác của các router ở hai đầu đường truyền…
2.1.2.2.1.4. Đảm bảo an ninh, an toàn, bảo mật tại NPSC.
Các lớp đảm bảo, các mức đảm bảo tại NPSC cũng giống như tại CI. Tuy nhiên, NPSC có qui mô lớn hơn rất nhiều do đó các biện pháp áp dụng tại đây cũng đòi hỏi cao hơn. Do NPSC là cốt lõi của cả hệ thống, tất cả các giao dịch trong hệ thống đều được tập trung về và xử lí tại đây. Chính vì vậy, NPSC gặp sự cố thì cả hệ thống IBPS sẽ bị ngừng trệ. Do đó, độ an toàn, an ninh và bảo mật của NPSC là tuyệt đối.
Để đảm bảo an toàn và sự sẵn sàng đến 99% của hệ thống IBPS, NPSC được thiết kế làm 2 trung tâm vật lí tách xa nhau trong bán kính hơn 30km. Đó là NPSC tại Hà nội và NPSC-Backup tại Sơn Tây, cả 2 NPSC này cùng hoạt động, cũng xử lí các yêu cầu thanh toán của một hệ thống NPSC logic duy nhất. Vị trí của chúng, cách thức kết nối đến chúng là hoàn toàn trong suốt đối với các PPC, CI. Hai trung tâm này được thiết kế trong cùng một domain của Tuxedo để đảm bảo sự chia sẻ tài nguyên, cân bằng tải cho nhau cho toàn hệ thống. Nếu sự cố xẩy ra tại một trong hai NPSC này và xoá sổ hoàn toàn 1 trong 2 NPSC đó thì hệ thống vẫn sẵn sàng thực hiện được nhiệm vụ cho cả hệ thống NPSC lớn mà không hề gây ra sự ngưng trệ nào.
Các biện pháp đảm bảo an ninh, bảo mật của NPSC bao gồm:
- Biện pháp đảm bảo lớp Cơ sở dữ liệu: quản lí user truy cập đến Hệ quản
trị CSDL, CSDL, bảng DL, thực hiện quản trị các giao dịch phân tán, Backup/Recovery DL trong hệ thống…
- Lớp ứng dụng NPSC: Quản lí, cấp phát quyền truy cập tới các tài nguyên
của hệ thống; Quản lí cấp phát khoá mã, khoá ký cho từng người sử dụng của hệ thống tại CI; Giải mã, kiểm tra tính toàn vẹn, tính chính xác các ký hiệu, qui ước dữ liệu của giao dịch;
- Lớp OS, Tuxedo: quản lí, phân quyền truy cập user đến các tài nguyên,
dịch vụ FTP, Telnet, Chạy NPSC, sử dụng các sản phẩm security của các hãng khác tích hợp vào OS, hệ thống ứng dụng thông qua cơ chế của Tuxedo…
- Lớp mạng: Phân VLAN, Kiểm soát truy cập từng vùng qua Firewall…
2.1.2.2.1.5. Đảm bảo an ninh, an toàn, bảo mật tại PPC khu vực.