GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
DỰ ÁN
GIẢI PHÁP BẢO MẬT MẠNG
NGÂN HÀNG
Nhóm sinh viên thực hiện :
Phạm Thế Thao – 507101065.
Nguyễn Thị Hạnh Trang –
507104042.
Chu Công Thái – 507104033.
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
1) Các mục chính :
- Mục đích yêu cầu , sơ đồ logic
- Cái Nhìn Tổng Quan Về Bảo Mật
- Một Số Loại Tấn Công Thường Gặp
- Security Blueprint
- Firewall và IDS
- Antivirus System
- Security Scanner System
- Security Central Managament Sysment
- Kết Luận
2) Yêu cầu và sơ đồ logic của ngân hàng
- Bảo đảm an toàn cho toàn bộ thông tin trên mạng, chống lại mọi sự truy
nhập bất hợp pháp vào mạng khi ngân hàng kết nối ra internet.
- Kiểm soát được mọi hành động truy nhập vào mạng của người sử dụng.
Đảm bảo an ninh từ những người sử dụng bên trong ngân hàng.
- Có khả năng bảo đảm an toàn dữ liệu truyền, nhận qua các dịch vụ đường
truyền do bưu điện cung cấp (PSTN).
- Chi phí phù hợp với dự trù kinh phí của ngân hàng.
- Đáp ứng được khả năng mở rộng của mạng trong tương lai: mở rộng về số
lượng máy trạm, số lượng máy chủ, các mạng LAN và các ứng dụng.

Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
Sơ đồ logic mạng ngân hàng :
Hình 1 : Sơ đồ logic của ngân hàng sau thiết kế
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
Phân tích sơ đồ
Năm phân vùng trong mô hình bảo mật tổng thể là:
- Vùng mạng LAN bên trong toà nhà của ngân hàng , vùng này bao gồm:
o Mạng LAN các PC của khối văn phòng, khối tài chính, khối nghiệp
vụ tư vấn tài chính, môigiới mua bán ngân hàng.
o Hệ thống tổng đài IP phục vụ liên lạc của công ty
- Vùng các máy chủ DMZ cung cấp các dịch vụ trực tuyến được truy cập qua
Internet như: E-Mail, Web site thông tin thị trường, Online Brokerage,
Online OTC…
- Vùng các máy chủ cơ sở dữ liệu và ứng dụng quan trọng vận hành hệ thống
quản lý các giao dịch ngân hàng.
- Vùng người dùng truy cập từ xa qua Internet vào hệ thống mạng, ứng dụng
của công ty, vùng này bao gồm:
o Nhân viên của ngân hànghoạt động tại 2 trung tâm 1 và các nơi khác
truy cập VPN (Client to Site) về mạng của công ty.
o Các nhà đầu tư truy cập vào Web site và dịch vụ ngân hàng trực tuyến
(Online Brokerage, Online OTC) của công ty.
- Vùng các đại lý, chi nhánh của công ty kết nối VPN Site to Site hoặc WAN
vào hệ thống mạng của công ty. Đây cũng là vùng kết nối mạng thông tin từ
ngân hàngtới mạng của các Ngân hàng thanh toán, lưu kí trong tương lai.
a) Phân tách các vùng mạng và bảo vệ bằng hệ thống Firewall
Mạng trong phạm vi toà nhà của công ty sẽ được chia làm ba vùng chính:
- Vùng DMZ gồm các Server cho các dịch vụ trực tuyến như Web site, Email,
các ứng dụng Online Brokerage, Online OTC…

- Vùng các Server cơ sở dữ liệu và ứng dụng quan trọng như BackOffice,
CSDL khách hàng, giao dịch, lưu kí… Đây là vùng các Servers chính vận
hành toàn bộ hệ thống phần mềm và CSDL liên quan tới giao dịch mua bán
ngân hàng.
- Vùng mạng LAN bao gồm khối văn phòng, nghiệp vụ và hệ thống tổng đài
IP.
b) Thiết lập và bảo vệ các kết nối VPN
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
Hình 4 : Sơ đồ diễn tả cho Topology
3) Cái nhìn tổng quan về bảo mật
- Là một tiến trình dần hoàn thiện chứ không phải một sản phần hoàn thiện
100%
- An ninh mạng là một hệ thống tích hợp của nhiều yếu tố chứ không phải
riếng 1 thiết bị
- An ninh mạng bao gồm các yếu tố
o Firewalls - router access control lists (ACLs)
o Mạng – Hệ thống phát hiện xâm nhập trên máy chủ (NIDS and HIDS)
o Trung tâm bảo mật và các chính sách quản lý
o Chứng thực , ủy quyển , cấp phép (AAA) điều khiển truy cập
o Mã hóa và các mạng riêng ảo (VPNs)
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
- Tất cả đều là mục tiêu tấn công
o Routers , switches , hosts , networks , applications , information,
management tools
o Tất cả các tấn công không thể bị chặn bởi 1 thiết bị
o An ninh mạng đòi hỏi hệ thống tích hợp
o Yêu cầu bảo mật mạng theo nhiều lớp
o Nhúng bảo mật trên toàn mạng

o Bảo mật trên từng thiết bị
o Mạng của quản lý và người dùng phải luôn được an toàn
4) Một số phương pháp tấn công thường gặp
- Phương Pháp Listener
o Khai thác lỗi và sửa hệ thống (Bugs SQL)
o Làm tràn bộ nhớ (Buffer Overflow)
o Đánh lừa khách hàng (Trojan)
- Tấn công ngăn xếp vào các gói tin bị hỏng
(Oversize, Fragmentation)
- Lan tràn (DDoS , SYN)
5) Sercurity Blueprint (Đưa ra giải pháp dự kiến)
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
Hình 2 : Vòng tròn an ninh mạng mà các doanh nghiệp gặp phải
a) Đưa ra các vùng dữ liệu cần bảo vệ
Vấn đề quan trọng là phải xác định được các tài nguyên của mạng ngân hàng có
thể bị tác động bởi hệ thống bảo mật. Các tài nguyên cần được bảo vệ:
- Phần cứng: Các máy chủ của mạng, các máy trạm, các thiết bị mạng
(Routers, Access Servers).
- Phần mềm: Do đặc thù của ngân hàng là phục vụ hoạt động kinh doanh
tiền tệ trên toàn lãnh thổ Việt Nam và liên hệ chặt chẽ với các ngân hàng
nước ngoài, các tổ chức tín dụng quốc tế nên các phần mềm cần được bảo
vệ: Hệ điều hành của các máy chủ UNIX, Windows NT, Novell. Ngoài ra
các chương trình ứng dụng: quản lý hệ thống tài khoản, tín dụng, các
chương trình kế toán, tự động hoá văn phòng, truyền dữ liệu, ATM
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
- Dữ liệu: Đây là phần quan trọng cân được bảo vệ nhất của ngân hàng. Dữ
liệu này sẽ gồm có các dữ liệu tài khoản liên quan đến khách hàng, dữ
liệu kế toán, thẻ tín dụng, ATM. Các dữ liệu này rất quan trọng đối với

ngân hàng nên sẽ phải được bảo vệ an toàn nhất.
- Tài liệu: Các công văn, báo cáo, tài liệu, sách vở, tài liệu hướng dẫn sử
dụng,
b) Các nguy cơ tấn công hệ thống
Sau khi xác định tất cả các tài nguyên phải được bảo vệ,cần phải xác định mối đe
dọa đối với các tài nguyên đó. Các mối đe doạ đó gồm có:
- Những truy nhập bất hợp pháp. Đặc thù của mối đe doạ này là sử dụng
tên của người khác để truy nhập vào mạng và tài nguyên của nó. Có thể
có một số kiểu truy nhập bất hợp pháp như:
o Sử dụng những chương trình dò tìm mật khẩu. Những chương trình
này nằm thường trú và bị che khuất trên mạng, nó ghi lại những lần
người sử dụng vào mạng cùng với các mật khẩu. Các mật khẩu này
sau đó được cất giữ trong một tệp tin bí mật, sau một tuần lễ, tệp này
có thể chứa tới hàng trăm tên người dùng tin và các mật khẩu riêng để
sau này có thể lấy cắp những thông tin bí mật.
o Hút nạp dữ liệu (Spooling): Đây là kỹ thuật nhằm có được sự truy
nhập mạng từ xa bằng cách bịa ra một địa chỉ của một máy đã có tín
nhiệm hay "thân quen". Bằng cách này, việc khai thác những nhược
điểm về an ninh từ bên trong của hệ thống trở nên dễ dàng hơn nhiều
so với từ phía ngoài. ở trạng thái này, kẻ xâm nhập trái phép có thể cài
đặt được một chương trình dò tìm mật khẩu hay một phần mềm giả,
giống như một "ô cửa hậu" - là một đường dẫn ngược lại vào trong
máy tính.
o Sử dụng lỗ hổng trong phần mềm: Không có phần mềm nào là không
có lỗi. Một lỗi trong phần mềm là mối đe doạ chung của việc truy
nhập bất hợp pháp. Chính đây là lỗ hổng cho phép những kẻ thâm
nhập trái phép làm được bất kể những gì mà người chủ máy tính đã
làm. Cách này hay áp dụng với hệ điều hành UNIX vì mã nguồn của
nó được phổ biến rộng rãi.
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông

GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
- Mối đe doạ bởi sự khai thác rộng rãi thông tin. Trước khi công bố hay
cho phép mọi người khai thác rộng rãi vào một nguồn thông tin nào cần
phải xác định giá trị của các thông tin đó.Việc công bố file chứa mật
khẩu của người truy nhập vào mạng sẽ gây ra một mối đe doạ lớn cho
mạng. Thông tin có thể bị xâm phạm khi:
o Thông tin được lưu giữ trên máy tính.
o Thông tin được truyền từ hệ thống này sang hệ thống khác.
o Thông tin được lưu giữ trong tệp sao lưu (backup).
- Mối đe doạ ảnh hưởng đến hoạt động bình thường của hệ thống (Denial
of Service). Mạng thông tin ngân hàng Ngân hàng kết nối các tài nguyên
có giá trị như máy tính, CSDL và cung cấp dịch vụ cho mọi thành viên
của mạng. Tất cả người sử dụng của mạng đều tin rằng mọi hoạt động
của mạng đều làm cho công việc của họ trở nên có hiệu quả. Nếu mạng
không làm việc thì sẽ có những mất mát trong hoạt động kinh doanh. Do
đó mối đe doạ ảnh hưởng đến hoạt động bình thường của mạng cũng cần
được xem xét:
o Mạng trở nên không hoạt động được bởi một khối dữ liệu lang thang.
o Mạng trở nên kém hiệu quả bởi quá tải của dữ liệu.
o Mạng có thể bị chia nhỏ do sự ngừng hoạt động của một thiết bị
mạng.
o Virus làm phá hoại dữ liệu hay hỏng một máy nào đó.
o Thiết bị dùng để bảo vệ mạng có thể bị phá vỡ.
- Mối đe doạ từ bên trong. Người sử dụng bên trong mạng có nhiều cơ hội
hơn để truy nhập vào các tài nguyên của hệ thống. Đối với ngân hàng có
đặc thù lớn là do nhiều mạng LAN của trung tâm, chi nhánh kết nối vào,
do đó nếu người sử dụng trong mạng có ý muốn truy cập vào những tài
nguyên của hệ thống thì họ sẽ gây nên một mối đe doạ cho mạng. Người
sử dụng bên trong có thể được gán những quyền không cần thiết, có thể
bị mất mật khẩu và đó sẽ là mối đe doạ lớn đối với hệ thống an toàn

mạng.
- Nguy cơ bị nghe trộm, thay đổi thông tin truyền đi trên mạng công cộng
(PSTN). Đây là một nguy cơ tiềm ẩn và ảnh hưởng trực tiếp đến hoạt
động kinh doanh của ngân hàng. Hacker có thể sử dụng các công cụ, thiết
bị đặc biệt để móc nối vào hệ thống cáp truyền thông của ngân hàng để
nghe trộm thông tin nguy hiểm hơn hacker có thể sửa chữa, thay đổi nội
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
dung thông tin đó - ví dụ nội dung của điện chuyển tiền, thanh toán gây
ra những tổn thất, mất mát nghiêm trọng.
6) Giải pháp bảo mật.
- Bảo mật mức mạng: Bảo mật đường truyền - bảo mật các thông tin lưu
truyền trên mạng, việc này được thực hiện bằng các hình thức mã hoá
thông tin trên đường truyền, các công cụ xác định tính toàn vẹn và xác
thực của thông tin.
- Bảo mật lớp truy cập bao gồm:
o Bảo mật cho các đường truy nhập của người dùng quay số (dial-up):
thường áp dụng các hình thức xác thực người dùng, tạo các kênh VPN
cho các kết nối dial-up …
o Firewall/IDS : Tại các khu vực cung cấp các máy chủ truy nhập cần
bố trí các bức tường lửa (Firewall) kèm các bộ dò tìm tấn công (IDS)
đảm bảo ngăn chặn các truy nhập trái phép hay các dạng tấn công
ngay từ cổng vào mạng, điều này là rất cần thiết bởi việc sử dụng các
thiết bị hỗ trợ cho các kết nối truy nhập đồng thời lại có kết nối đi
Internet.
- Bảo mật mức thiết bị: Các thiết bị mạng như Router và switch, firewall…
là các điểm nút của mạng hết sức quan trọng và cần được bảo vệ, sử dụng
các ACL để điều khiển truy nhập trên toàn bộ các thiết bị này, đồng thời
sử dụng các thiết bị dò tìm lỗ hổng (IDS) để dò tìm xác định các dấu hiệu
tấn công vào các thiết bị mạng và các nguồn tài nguyên khác và có các

biện pháp ngăn chặn kịp thời
- Bảo mật mức máy chủ: Hệ thống máy chủ thực hiện các công việc dịch
vụ khác nhau trong mạng, có thể nói đây là nguồn tài nguyên chính hết
sức quan trọng và là mục tiêu của nhiều cuộc tấn công từ bên trong cũng
như bên ngoài cũng như ăn cắp hay phá huỷ các thông tin có giá trị được
chứa trong các máy chủ này. Việc bảo mật hệ thống máy chủ liên quan
tới các công việc như:
o Bảo mật thông tin trên máy chủ : đảm bảo tính mã hoá, tính toàn vẹn
và xác thực của thông tin
o Quản trị truy nhập vào máy chủ: áp dụng các công nghệ tiên tiến như
smart card, Token…
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
o Chống truy nhập trái phép: sử dụng các bộ dò tìm IDS để phát hiện và
báo động kịp thời khi có tấn công hay truy nhập trái phép vào hệ
thống máy chủ.
- Bảo mật mức Hệ Điều Hành(HĐH): Việc bảo mật cho HĐH máy chủ
đảm bảo cho hệ thống làm việc ổn định,việc hoạch định xây dựng các
chính sách cài đặt, cập nhật, backup dữ liệu hay sử dụng các phần mềm
bổ sung (Patch) bịt lỗ hổng trên các HĐH là hết sức cần thiết để đảm bảo
cho các HĐH và các ứng dụng chạy trên nó được bảo vệ an ninh ngăn
chặn các cuộc tấn công có thể xảy ra.
- Bảo mật ở mức ứng dụng: Đảm bảo việc truy nhập vào các dịch vụ và
phần mềm (WEB, Email, CSDL), nên thực hiện các kênh bảo mật từ
người dùng đầu cuối tới các máy chủ ứng dụng để đảm bảo các tính bảo
mật, toàn vẹn và xác thực của thông tin.
- Bảo mật mức CSDL: Có thể nói CSDL là lõi của toàn bộ hệ thống bảo
mật thông tin, toàn bộ thông tin quan trọng mang tính chất sống còn được
tập trung trên các CSDL, trong thiết kế của chúng tôi CSDL được đặt ở
mức ưu tiên cao nhất.

7) Firewall và IDS
a) Công nghệ firewall
Có rất nhiều loại Firewall khác nhau như Firewall dựa trên phần mềm cho các
hệ điều hành Windows NT, Unix, Firewall dựa trên phần mềm tích hợp trên các
Router, Firewall dựa trên thiết bị phần cứng… Vì thế việc chọn lựa một Firewall
thích hợp cho hệ thống với yêu cầu về khả năng hoạt động mạnh, bảo đảm tính an
ninh, độ tin cậy cao, khả năng dễ mở rộng trong tương lai.
b) PIX Firewall 525E
Sử dụng hệ thống Pix firewall phiên bản 525E cho phân hệ mạng lớp ngoài và
phân mạng của trung tâm ngân hàng làm 3 vùng mạng riêng
1. Vùng mạng DMZ : Web server(Public), mail server
2. Vùng server farm chứa server quan trọng của hệ thống như Database
server, Application server, Report server, Web Server (Dự kiến vùng
này sẽ sữ dụng Firewall riêng )
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
3. Vùng mạng Lan :bao gồm các máy trạm đặt tại trung tâm và các truy
cập từ các chi nhánh về
Sơ đồ PIX Firewall (ver.525E)
Hình 3 : PIX Firewall Topology
Giao diện sử dụng
Hình 5 : Giao diện sử dụng PIX Firewall
PIX Firewall 525E gần 100% các giao thức và giải pháp có trên thị trường :
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
- Nhúng Software hoạt động không phụ thuộc bên ngoài
- Sử dụng giao tiếp vật lý
- Hỗ trợ các thủ tục DNS, HTTP, HTTPS, FTP, SMTP,POP, SNMPv2,
Database, SIP, H323.
- Hỗ trợ tất cả các giao thức : TCP/IP , HTTPS , DNS . . .

- Chống tấn công và tự bịt các lỗ hổng an ninh
- Giao diện quản lý bằng Soft
c) PIX Firewall 525E cho các Server
- Giải pháp sử dụng Checkpoint FW1/VPN1
- Giải pháp sử dụng Sidewinder G2
d) Intrusion Detection System
Hệ thống kiểm tra xâm nhập (Intrusion Detection System - IDS) kiểm soát
tài nguyên và hoạt động của hệ thống hay mạng, sử dụng thông tin thu thập được
từ những nguồn này, thông báo cho những người có trách nhiệm khi nó xác định
được khả năng có sự xâm nhập.
Nếu coi Firewall là hệ thống bảo vệ của cổng truy cập mạng chính thì IDS
(Intruder Detection System) là các camera giám sát, theo dõi và phát hiện các hành
động tấn công xâm nhập.
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
Để đảm bảo an toàn cho hệ thống ,Ngân hàng nên trang bị thêm thiết bị
Proventia
TM
201 của công ty hàng đầu về phần mềm và thiết bị giám sát, phát hiện
và ngăn chặn xâm nhập: Internet Security System (ISS). Dựa trên kỹ thuật như
phân tích protocol, đánh dấu mẫu, kỹ thuật phát hiện thông minh để đánh giá và
kiểm soát các gói dữ liệu lưu thông qua mạng của Ngân hàng nhằm phát hiện,
phòng chống và đưa ra những cảnh báo đối người quản trị hệ thống thông qua phần
mềm trực quan SiteProtector
TM
.
Giải pháp IDS tích hợp có thể giới thiệu giải pháp chuẩn tích hợp phần mềm IDS
Real-secure của ISS với phần cứng của hãng Nokia và Proventia.
Giải pháp tích hợp trên được đánh giá cao trong thực tế triển khai về mặt bảo mật
và khả năng thực thi.

- Thiết bị Proventia A201 được tổ chức NSS xếp loại 1 trong các dòng sản
phẩm Appliant tích hợp với phần mềm IDS hoạt động trên đường truyền tốc
độ 100MB.
- Thiết bị Proventia A201 hoạt động thử nghiệm trên mạng 100Mbps do NSS
Group thực hiện, có thể phát hiện 100% các kiểu tấn công.
- Tương tự khi sử dụng phần mềm ISS Real-secure trên server sẽ sử dụng
phần mềm SiteProtector để quản lý tập trung, thiết bị Appliant cho ISS Real-
secure dễ dàng quản lý bằng phần mềm SiteProtector.
- Có khả năng cập nhật thường xuyên với hệ thống lưu trữ các đặc điểm bảo
mật mới nhất X-Force của tổ chức ISS
- Các dòng sản phẩm Proventia A có khả năng hổ trợ tốc từ 100Mb/s đến
2000Mb/s và phục
Giải pháp phát hiện chống xâm nhập mạng sử dụng Proventia
TM
A201
Đặt điểm của thiết bị Proventia
TM
A201
- Hoạt động trong môi trường tốc độ cao Gbps
- Được phát triển dựa trên kỹ thuật RealSecure nên có khả năng phát hiện
khoảng 1700 dấu hiệu tấn công biết được đồng thời hỗ trợ phát hiện
những dấu hiệu tấn công chưa được biết trước đó.
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
- Phát hiện và tự động đáp trả các hành động tấn công
- Phân tích gói tin ở mức application
- Đảm bảo tính toàn vẹn
- Nhận diện tấn công một cách chính xác
- Không làm giảm thông luợng
- Dễ dàng triển khai và quản lý

- Phân tích và lọc các gói đã được mã hóa
- Được quản lý tập trung và thiết lập policy dễ dàng bằng phần mềm
SiteProtectorTM
Giải pháp bảo vệ và phát hiện xâm nhập cho máy chủ
Module phần mềm RealSecure

Server Sensor đảm bảo phát hiện xâm nhập và bảo
vệ máy chủ khỏi xâm nhập trái phép
- Theo dõi file log để phát hiện xâm nhập
- Theo dõi hoạt động của các tiến trình và các user trên hệ thống
- Chống lại các tấn công vào hệ điều hành của server
- Phát hiện các dò tìm bất hợp pháp, các thay đổi cấu hình dẫn tới mất an
toàn hệ thống, các hành vi thay đổi nội dung trang Web, các cuộc tấn
công DoS, các hành vi tạo ra backdoor
- Không làm ảnh hưởng đến tốc độ xử lý của CPU
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
Hoạt động của RealSecure Server Sensor
- Làm cứng hệ thống để chống lại các hành động tấn công
- Chặn các tấn công không theo giao thức IP
- Chống các tấn công dạng DoS, DDoS
- Chống lại các hành vi trinh sát tấn công, thu thập thông tin bất hợp pháp.
- Các hình thức đáp trả tấn công:
- Ngắt session gây ra tấn công
- Cấm user hoạt động
- Thực hiện các chương trình được định nghĩa trước để chống tấn công
- Block các gói tin bị nghi là dùng để tấn công, trinh sát
Giải pháp dò tìm bảo vệ cho máy truy cập từ xa và máy tính
quan trọng trong mạng
Module phần mềm RealSecure


Desktop đảm bảo dò tìm và bảo vệ máy truy cập
từ xa hay máy có nguy cơ bị tấn công trong hệ thống mạng ngân hàng
- Tường lửa cá nhân
- Ngăn chăn các tấn công phá họai.
- Ngăn chặn đánh cắp mật khẩu.
- Ngăn chặn việc kích hoạt các ứng dụng không được phép
- Ngặn chặn các phá hoại đã vượt qua được hệ thống FW và anti-virus
Giải pháp dò tìm lỗ hỗng trong hệ thống mạng
Module phần mềm Internet Scanner
TM
thành phần này đảm bảo việc phân tích dò
tìm lỗ hỗng của hệ thống mạng trung tâm Ngân hàng
- Dò quét và phân tích các nguy cơ bảo mật của các thiết bị trong hệ thống
mạng
- Internet Scanner thực hiện việc quét các dịch vụ truyền thông, hệ điều
hành, routers, e-mail, Web servers, firewalls và các ứng dụng.
- Đảm bảo độ chính xác của cấu hình an ninh, ngăn ngừa việc user bỏ qua
các qui định về an ninh
- Giải pháp dò tìm điểm yếu cơ sở dữ liệu
- Module phần mềm Database Scanner™ Thành phần này đảm bảo việc dò
tìm lỗ hỗng bảo vệ
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
- Thiết lập và bắt buộc thực hiện chính sách an ninh đối với database
- Xác định các điểm yếu bảo mật của hệ thống database
- Kiểm tra trước các hành động xâm nhập.
8) Hệ Thống Antivirus
Sử dụng giải pháp KOSS R2 của Kaspersky trong doanh nghiệp
- KOSS hỗ trợ quản lý tập trung , điều tối cần thiết cho doanh nghiệp

- Kiểm soát chặt trẽ hơn các giao thức truyền (FTP , HTTP . . .)
- Lọc thông tin hông minh
- Chặn Spam và file đính kèm
- Quản lý truyền thư
Được thiết kế để quản lý hoạt động của email server, eManager có
khả năng kiểm soát dòng SMTP, nó có thể bắt tạm ngừng thao tác truyền file
có kích thước lớn để không làm ảnh hưởng tới tốc độ mạng.
- Cảnh báo người dùng và nhật ký hành động
- Các giải pháp khác như :
o InterScan WebManager
o InterScan Messaging Security Suite (IMSS)
o ScanMail
o ServerProtect
o OfficeScan Corporate Edition
9) Security Scanner System
Scanner là sản phẩm có tính năng quét các lỗ hổng trên mạng và sắp xếp lại
hệ thống. Scanner cho phép chẩn đoán và xử lý các vấn đề an ninh trong môi
trường mạng. Scanner trợ giúp Người quản trị mạng xác định và thông báo các
lỗ hổng trên các máy chủ như các dịch vụ, các patch của hệ điều hành, CSDL,
… và chính nhờ những lỗ hổng này mà Hacker có thể tận dụng để thâm nhập
trái phép.
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
Giải pháp Scanner của NetIQ (Security Analyzer)
Các chức năng tiến tiến của hệ thống Security Analyzer:
- Nếu hệ thống có kết nối Internet, chức năng AutoSync sẽ tự động kết nối với
trung tâm để cập nhật thư viện Security test mới nhất cùng với các phần cập
nhật của hệ thống.
- An toàn tối đa cho hệ thống sử dụng NetBIOS
- Scans OS

- Kiểm tra, phán đoán và bịt các lỗ hổng. Bỏ các dịch vụ không cần thiết trên
hệ thống, chỉ cho phép chạy các dịch vụ cần thiết hoạt động.
- Exports data sang XML dùng cho database và reporting tools tuỳ chọn
- Cross-references CVE, CERT®/CC, BugTraq và Microsoft Bulletin ID
systems
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
10) Security Central Managament Sysment
Sử dụng Solsoft Security
- Thực hiện các chính sách bảo mật thay vì mã hóa phức tạp
- Hình ảnh hướng đối tượng tạo tư duy chiều sâu về mô hình mạng , dễ dàng
tìm ra các phương hướng bảo mật .
- Quan sát cùng lúc nhiều phân cấp mạng để quản lý truy cập , tự chặn và
khoanh vùng truy cập nếu có tấn công.
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông
GIẢI PHÁP BẢO MẬT MẠNG NGÂN HÀNG
11) Kết luận
a) Đánh giá dự án :
- Dự án đã đưa ra được các giải pháp phòng thủ các tấn công thường gặp vào
các ngân hàng .
- Ứng dụng các thiết bị và công nghệ mới nhất cho ngân hàng năm 2010
(ISO17799)
- Tính linh hoạt trong việc phát hiện tấn công và khôi phục hệ thống nhanh
tróng nếu bị tấn công .
- Giữ an toàn thông tin ở mức cao nhất có thể cho doanh nghiệp .
- Hi vọng kinh nghiệm và các giải pháp an toàn thông tin của chúng tôi sẽ góp
phần vào sự phát triển của ngân hàng nói riêng và tài chính nói chung.
b) Nhóm thiết kế và đưa ra giải pháp bảo mật :
- Phạm Thế Thao
- Nguyễn Thị Hạnh Trang

- Chu Công Thái
Lớp 507104 (K14) – Quản Trị Mạng – CNTT Phương Đông