AN TOÀN THÔNG TIN CHO CÁC CÔNG TY CHỨNG KHOÁN
Theo các báo cáo về thị trường tài chính, ngân hàng, chứng khoán của Việt Nam cuối năm
2006, thị trường Chứng khoán là một trong những lĩnh vực tài chính hoạt ñộng sôi ñộng nhất và
có sự phát triển rất nhanh. Sau hơn 6 năm ñi vào hoạt ñộng từ 7/2000, TTCK tập trung của Việt
Nam ñã chứng kiến sự phát triển mạnh mẽ ñặc biệt là trong năm 2006 và dự ñoán sẽ còn tăng
mạnh trong năm 2007 cả về quy mô cũng như chất lượng. Cho ñến nay, trên Trung tâm GD
Chứng khoán TP.HCM ñã có tới 106 loại cổ phiếu, sàn CK Hà Nội cũng ñã ñạt tới con số 87 loại
cổ phiếu. Theo các chuyên gia dự báo, trong thời gian tới, số lượng các công ty chờ ñăng kí niêm
yết sẽ tăng lên rất nhanh ñồng thời với số lượng các nhà ñầu tư càng nhiều và mang tính
chuyên nghiệp hơn.
Thị trường Chứng khoán ngày càng phát triển thì số lượng giao dịch và
nhu cầu tìm hiểu thông tin của các nhà ñầu tư ngày càng tăng. ðể ñáp ứng
ñược các yêu cầu ñó, ngày càng nhiều các công ty Chứng khoán ñược thành
lập ñể giúp cho các nhà ñầu tư dễ dàng hơn trong việc tìm hiểu thông tin và
tiếp cận tới các cổ phiếu ñang ñược niêm yết. Theo báo cáo tổng kết cuối
năm 2006, hiện nay ñã có 55 công ty Chứng khoán ñi vào hoạt ñộng, 6 tổ
chức lưu kí chứng khoán và 18 ngân hàng thanh toán. Các công ty chứng
khoán sẽ cạnh tranh mạnh mẽ ñể thu hút nhiều nhà ñầu tư về phía mình bằng cách ñưa ra nhiều
phương thức cung cấp dịch vụ ñảm bảo, tiện lợi và ñầy ñủ hơn. Phương thức giao dịch chứng
khoán trước ñây yêu cầu nhà ñầu tư phải ñến các trung tâm giao dịch chứng khoán (TTGDCK)
hoặc quầy môi giới của công ty chứng khoán ñặt lệnh thì nay ñã mở rộng qua các hình thức như
ñặt lệnh qua ñiện thoại, Internet. Các dịch vụ này ngày càng ñược các nhà ñầu tư luôn bận bịu với
công việc kinh doanh ưa chuộng, và không ít trong số họ là những nhà ñầu tư rất lớn. Họ mong
chờ sự xuất hiện của các hình thức dịch vụ trực tuyến ñể có thể dễ dàng ở bất kì ñâu, tại bất kì
thời ñiểm nào ñều có thể nhanh chóng tra cứu cập nhật thông tin, thực hiện giao dịch mua bán
chứng khoán.
Chúng ta hãy nhìn lại quy trình mua bán chứng khoán ñược niêm yết tại các Trung tâm giao
dịch chứng khoán. Toàn bộ quy trình này ñược tiến hành theo 5 bước:
•

Bước 1: Nhà ñầu tư ñến mở tài khoản và ñặt lệnh mua hay bán chứng khoán tại một công

ty chứng khoán.

•

Bước 2: Công ty chứng khoán chuyển lệnh ñó cho ñại diện của công ty tại Trung tâm
giao dịch chứng khoán ñể nhập vào hệ thống giao dịch của Trung tâm.

•

Bước 3: Trung tâm giao dịch chứng khoán thực hiện ghép lệnh và thông báo kết quả giao
dịch cho công ty chứng khoán.

•

Bước 4: Công ty chứng khoán thông báo kết quả giao dịch cho nhà ñầu tư.

•

Bước 5: Nhà ñầu tư nhận chứng khoán (nếu là người mua) hoặc tiền (nếu là người bán)
trên tài khoản của mình tại công ty chứng khoán sau 3 ngày làm việc kể từ ngày mua bán.

Bước 1 trong quy trình ñược các công ty Chứng khoán ña dạng hoá phương thức dịch vụ,
làm chìa khoá cạnh tranh ñể có thể thu hút ñược nhiều nhà ñầu tư ñến với mình. Tuy vậy bên
cạch các hình thức dịch vụ, các công ty chứng khoán cần phải ñảm bảo uy tính cũng như chất
lượng của các thông tin mà họ cung cấp cho nhà ñầu tư.
Mô hình trao ñổi thông tin ñiển hình của công ty chứng khoán:
Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56

1



Hoạt ñộng cung cấp thông tin của một công ty chứng khoán không chỉ nằm trong phạm vi
cung cấp các dịch vụ tài chính và môi giới mua bán chứng khoán mà còn liên quan tới các hệ
thống thông tin của hai sàn giao dịch chứng khoán Hà nội và Tp.HCM, liên quan tới trao ñổi
thông tin với các ngân hàng lưu kí Chứng khoán và thanh toán bù trừ. Do vậy, ñể vận hành tốt
các hoạt ñộng này, hạ tầng CNTT của công ty Chứng khoán luôn phải ñảm bảo tính sẵn sàng cao.
Hệ thống ñó phải có khả năng ngăn chặn và phòng chống các nguy cơ tiềm ẩn về mất an toàn của
hệ thống CNTT khi dữ liệu xử lý ñược truyền chủ yếu qua hệ thống mạng công cộng là Internet
và mạng thoại.
Các nguy cơ tiềm ẩn ñó là gì?
Nói một các tổng quát có thể phân loại các nguy cơ ñó như sau:
1. Nguy cơ ngưng trệ hoạt ñộng của hệ thống mạng do tắc ngẽn ñường truyền. Các máy tính
bị nhiễm virus sẽ nhanh chóng chiếm toàn bộ băng thông và làm tê liệt toàn bộ các hoạt
ñộng trao ñổi thông tin trong mạng máy tính, các giao dịch mua bán chứng khoán ñiện tử.
Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56

2


2. Nguy cơ các hệ thống dịch vụ giao dịch trực tuyến bị kẻ xấu tấn công từ ngoài mạng
Internet bằng nhiều hình thức tấn công từ chối dịch vụ (DoS) khác nhau
3. Nguy cơ bị kẻ xấu làm sai lệch thông tin khi thực hiện các giao dịch chứng khoán ñiện tử:
-

Thông tin giao dịch bị bắt khi truyền từ ‘nguồn’ tới ‘ñích’ qua mạng Internet. Kẻ
xấu có thể thay ñổi thông tin hoặc chèn thêm các ñoạn mã ñộc hại. Hiện nay nguy
cơ này ñã ñược các hãng bảo mật khuyến cáo sử dụng các phương pháp mã hoá dữ
liệu trong khi truyền.


4. Nguy cơ bị lấy cắp các thông tin nhạy cảm như mã số ñăng nhập tài khoản,
username/password, số PIN, số thẻ tín dụng ... qua các kĩ thuật lừa ñảo ‘phishing’ và
‘farming‘ ngày càng ñược tin tặc cải tiến tinh vi.
Khi các dịch vụ trực tuyến ngày càng mở rộng thì nguy cơ phá hoại, tấn công của tin tắc
ngày càng nhiều với ñộ tinh vi ngày càng cao. Các công ty Chứng khoán cần phải nhận thức rõ
khi mở rộng các loại hình dịch vụ sẽ phải ñi ñôi với việc ñầu tư một hạ tầng CNTT ñảm bảo và
an toàn.
Từ mô hình trao ñổi thông tin của các công ty chứng khoán, hạ tầng công nghệ thông tin
của công ty dưới góc nhìn của các chuyên gia bảo mật sẽ ñược phân làm năm vùng chính. Các
vùng này ñược bảo vệ bởi các hệ thống an ninh thông tin. Tất cả chúng hoạt ñộng dưới sự quản lý
của những quy ñịnh và chính sách an toàn thông tin ñược ñiều chỉnh phủ hợp theo ñặc thù của
từng công ty.

Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56

3


Năm phân vùng trong mô hình bảo mật tổng thể là:
1. Vùng mạng LAN bên trong toà nhà của công ty Chứng khoán, vùng này bao gồm
a. Mạng LAN các PC của khối văn phòng, khối tài chính, khối nghiệp vụ tư vấn tài
chính, môi giới mua bán chứng khoán.
b. Hệ thống tổng ñài IP phục vụ liên lạc của công ty Chứng khoán
2. Vùng các máy chủ DMZ cung cấp các dịch vụ trực tuyến ñược truy cập qua Internet như:
E-Mail, Web site thông tin thị trường, Online Brokerage, Online OTC…
3. Vùng các máy chủ cơ sở dữ liệu và ứng dụng quan trọng vận hành hệ thống quản lý các
giao dịch chứng khoán.
4. Vùng người dùng truy cập từ xa qua Internet vào hệ thống mạng, ứng dụng của công ty,

vùng này bao gồm:
a. Nhân viên của công ty chứng khoán hoạt ñộng tại 2 trung tâm GDCK Hà Nội và
tp. Hồ Chí Minh truy cập VPN (Client to Site) về mạng của công ty.
b. Các nhà ñầu tư truy cập vào Web site và dịch vụ chứng khoán trực tuyến (Online
Brokerage, Online OTC) của công ty.
5. Vùng các ñại lý, chi nhánh của công ty kết nối VPN Site to Site hoặc WAN vào hệ thống
mạng của công ty. ðây cũng là vùng kết nối mạng thông tin từ công ty Chứng khoán tới
mạng của các Ngân hàng thanh toán, lưu kí trong tương lai.
ðể ñảm bảo an toàn cho các kết nối, trao ñổi thông tin và ngăn chặn các tấn công cả từ bên
trong trong và bên ngoài mạng, giải pháp bảo mật tổng thể và sản phẩm bảo mật cho hạ tầng công
nghệ thông tin ñược chúng tôi ñề xuất như sau:
1. Phân tách các vùng mạng và bảo vệ bằng hệ thống Firewall
Mạng trong phạm vi toà nhà của công ty sẽ ñược chia làm ba vùng chính:
Vùng DMZ gồm các Server cho các dịch vụ trực tuyến như Web site, Email, các
ứng dụng Online Brokerage, Online OTC…
Vùng các Server cơ sở dữ liệu và ứng dụng quan trọng như BackOffice, CSDL
khách hàng, giao dịch, lưu kí… ðây là vùng các Servers chính vận hành toàn bộ
hệ thống phần mềm và CSDL liên quan tới giao dịch mua bán chứng khoán.
Vùng mạng LAN bao gồm khối văn phòng, nghiệp vụ và hệ thống tổng ñài IP.
Các vùng mạng sẽ ñược quy hoạch trên các dải IP riêng biệt. Hệ thống Firewall sẽ kiểm
soát luồng dữ liệu ñi qua bao gồm: Truy cập từ ngoài Internet vào vùng dịch vụ trực tuyến, người
dùng ở mạng LAN truy cập Internet qua ñường LeasedLine, ADSL hoặc Wireless, người dùng ở
mạng LAN truy cập vào vùng Server ứng dụng và cơ sở dữ liệu. Firewall sẽ kiểm soát, xác thực
và ngăn chặn những truy cập không hợp lệ, những
tấn công của hacker từ ngoài Internet hoặc trực tiếp
xuất phát từ bên trong mạng vào các vùng servers.
Với kinh nghiệm triển khai của công ty
Misoft, kết hợp với sự phát triển của công nghệ,
chúng tôi ñề xuất hệ thống Firewall sẽ là sự kết hợp
Thiết bị an ninh tích hợp Crossbeam C6

giữa Firewall VPN1- UTM của hãng Check Point
chạy trên phần cứng chuyên dụng của hãng Crossbeam System. Check Point Firewall VPN1Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56

4


UTM hội ñủ các yêu tố bảo vệ mạng bao gồm các tính năng Firewall, AntiVirus, IPS và VPN
server chỉ trong một sản phẩm. Check Point Firewall ñược cài trên một cặp thiết bị an ninh tích
hợp chuyên dụng của hãng Crossbeam System chạy clustering ở chế ñộ HA (High availability)
ñảm bảo tính sẵn sàng cao và hiệu năng hoạt ñộng của toàn mạng.
2. Thiết lập và bảo vệ các kết nối VPN.
Hệ thống Check Point Firewall VPN1-UTM ñặt tại trụ sở chính của công ty chứng khoán
bên cạnh chức năng kiểm soát các luồng thông tin ra vào mạng còn là hệ thống VPN Server cho
các kết nối theo cả 2 mô hình Client to Site và Site to Site.
Với mô hình kết nối VPN Site to Site, tại mỗi chi nhánh hoặc ñại lý sẽ sử dụng thiết bị
Firewall VPN chuyên dụng loại
nhỏ VPN1-Edge của hãng Check
Point. Thiết bị này có ñầy ñủ tính
năng Firewall và thiết lập kênh
kết nối Site to Site qua ñường
Leaseline hoặc ADSL. Với mô
hình này, hệ thống VPN Server
tại Headquater sẽ tự ñộng xác
thực giữa 2 ñầu thiết bị và kiểm
tra tính an toàn trước khi cho
phép thiết lập kênh kết nối.
Check Point VPN1-Edge khi
thiết lập VPN tunnel sẽ sử dụng
các công nghệ mã hoá sau

•

(AES) 128-256 bit

•

Triple DES 56-168 bit

•

SSL – Secure Sockets Layer

Thiết bị bảo mật VPN-1 UTM Edge bảo vệ kết nối giữa công ty Chứng
khoán với chi nhánh, ñại lý và văn phòng

Mô hình Client to Site áp dụng cho các nhân viên của công ty làm việc tại các TTGDCK
thiết lập kênh kết nối qua Internet, dial-up và hỗ trợ xác thực người dùng bằng nhiều phương thức
như Certificate, Token, Smartcard… trước khi cho phép kết nối. Tại các máy của nhân viên sẽ cài
phần mếm thiết lập kết nối VPN client của Check Point.
3. Thiết lập các hệ thống phòng chống xâm nhập cho các vùng thông tin quan trọng.
Trong mô hình bảo mật tổng thể cho công ty chứng khoán, vùng máy chủ cơ sở dữ liệu và
máy chủ ứng dụng là quan trọng nhất trong hoạt ñộng trao ñổi thông tin của công ty chứng
khoán. Nếu một trong các máy chủ này bị tấn công hoặc có sự cố, hoạt ñộng kinh doanh của các
công ty sẽ bị ảnh hưởng trực tiếp. Do vậy bên cạnh hệ thống Firewall bảo vệ hạ tầng network của
công ty, nhất thiết cần trang bị bổ sung hệ thống phòng chống xâm nhập (IPS) ñể bảo vệ riêng
cho vùng các Server ứng dụng này. Khác với Network Firewall, hệ thống IPS sẽ phát hiện và
ngăn chặn các xâm nhập ở tầng ứng dụng, can thiệp trực tiếp vào các protocols, các traffice mà
hệ thống Firewall không phát hiện ñược. Hệ thống IPS ñược ñặt trong vùng mạng LAN, do vậy
hệ thống phải ñảm bảo ñược tốc ñộ xử lý ñể không làm nghẽn luồng thông tin ñược trao ñổi với
mật ñộ cao tại ñây.

Với mức ñộ quan trọng như trên, chúng tôi ñề xuất triển khai thiết bị phòng chống xâm
nhập Proventia Network IPS chuyên dụng của hãng Internet Security Systems –ISS. Thiết bị này
cho phép ngăn chặn trước các cuộc tấn công chưa biết cũng như các cuộc tấn công ñã biết như
Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA 5
CERC – www.athena.com.vn . Tel : 1900 54 54 56


DoS, trojan, peer to peer download, backdoor, malicious http và file ñính kèm e-mail mà không
ảnh hưởng ñến hoạt ñộng của mạng. ðặc biệt, thiết bị Proventia Network IPS có khả năng phân
tích và nhận dạng các giao thức ñược sử dụng trong VoIP như SIP, MGCP, H.323, H.225, H.245,
Q.931, T.120 và SCCP ñể xác ñịnh các cuộc tấn công.
Thiết bị này sẽ ñược ñặt trước vùng Server farm bảo vệ cho cả vùng, kiểm soát toàn bộ các
yêu cầu truy cập dữ liệu cả ở mức Network và mức ứng dụng
trên các Server. Cơ sở dữ liệu về các mẫu tấn công (attacking
Signatures) sẽ luôn ñược hệ thống update từ Internet Security
Systems X-Force theo thời gian thực, ñảm bảo ngăn chặn tối ña
các tấn công có thể xảy ra hiện nay. Proventia Network IPS có
tính năng Fail-open và hỗ trợ cấu hình dạng Active/Active,
Proventia Network IPS G400
Active/Passive do vậy ñảm bảo tính sẵn sàng cao của toàn mạng.
4. Ngăn chặn tấn công của Virus tại Gateway và trong các vùng mạng.
Các con ñường mà virus có thể tấn công và bùng phát vào mạng của công ty chứng khoán
tương ñối ña dạng, xuất phát từ Internet, từ người dùng bên trong, bên ngoài mạng và ñặc biệt
qua email. ðể có một hệ thống phòng chống có hiệu quả cao thì cần phòng và chống Virus và
Spyware tại cả 4 lớp mạng: gateway, mailserver, server, PCs. Hệ thống này phải ñược quản lý
tập trung, thống nhất và luôn luôn ñược cập nhật mẫu Virus và Spyware từ những trung tâm
phòng chống Virus và Spyware lớn trên thế giới. Ngoài ra cần phải có một chính sách bảo mật
chung và kết hợp với các giải pháp bảo mật khác ñể phòng chống Virus và Spyware hiệu quả
hơn.


Trend Micro Client/Server bảo vệ mailserver, server và PC khỏi sự lây nhiễm của Virus

Giải pháp tổng thể ñược chúng tôi ñề xuất dựa trên công nghệ và sản phẩm phòng chống
virus của hãng Trend Micro. Các sản phẩm bao gồm:
•

Trend Micro™ Client/Server/Messaging Suite for SMB

•

Trend Micro Internet Security

•

InterScan Gateway Security Appliance

ðối với ngăn chặn và phòng chống AntiVirus tại Internet
Gateway, chúng tôi sử dụng thiết bị chuyên dụng InterScan
bị chuyên
dụng chống Virus
Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh MạngThiết
ATHENA
– ATHENA
6
tại
Internet
Gateway(IGSA)
CERC – www.athena.com.vn . Tel : 1900 54 54 56



Gateway Appliance (ISGA) của hãng Trend Micro. ðây là thiết bị quét virus, spyware, phishing
tại Internet Gateway trên các luồng: SMTP, POP3, HTTP, FTP và ñặc biệt ñảm bảo ñược tốc ñộ
tại ñiểm Gateway mà hầu hết các traffice trao ñổi thông tin giữa mạng trong và mạng ngoài ñều
phải ñi qua.
5. Xác thực mạnh và chữ kí số ñể ñảm bảo các giao dịch mua bán chứng khoán trực
tuyến.
Trước sự sôi ñộng của thị trường chứng khoán và số lượng các nhà ñầu tư ngày càng tăng
nhanh, các công ty ñang rất cố gắng thu hút ñược nhiều nhà ñầu tư ñến với mình bằng cách cung
cấp các dịch vụ thuận lợi nhất như mở tài khoản, giao dịch qua mạng, qua phone. Một trong
những yếu tố thành công của các hình thức dịch vụ Online là tính an toàn, nhanh chóng và không
làm nhà ñầu tư mất các cơ hội mua bán. Xác thực mạnh danh tính trực tuyến và ứng dụng công
nghệ Hạ tầng mã khoá công cộng (PKI) ñể mã hoá dữ liệu nhằm ñảm bảo tối ña tính toàn vẹn, bí
mật và chống từ chối của các giao dịch ñiện tử.
Hãng Entrust và hãng VASCO là 2 công ty chuyên cung cấp các giải pháp, sản phẩm xác
thực mạnh và mã hoá dữ liệu cho lĩnh vực tài chính, ngân hàng. Trong lĩnh vực chứng khoán, giải
pháp của Entrust và VASCO ñược tích hợp vào các ứng dụng giao dịch mua bán chứng khoá trưc
tuyến thực hiện nhằm các mục ñính:
•

Xác thực mạnh 2 yếu tố khi người dùng truy cập tài khoản trực tuyến, sử dụng các
phương thức xác thực như One-Time-Password token, Grid token, Mobile
Entrust IdentityGuard kết hợp nhiều phương pháp xác thực
trong cùng một sản phẩm

•

Xác thực 2 chiều giữa ứng dụng chứng khoán trực tuyến và các nhà ñầu tư. Các nhà
ñầu tư có khả năng xác thực lại Web site, ứng dụng có ñúng là Web site thật của nhà
cung cấp hay không. Kĩ thuật này giúp cho nhà ñầu tư chống lại các kĩ thuật tấn
công phishing hoặc Farming ñể ăn cắp thông tin của tin tặc.


•

Tích hợp chữ kí số vào các giao dịch quan trọng, ñảm bảo tính toàn vẹn, tính mật,
tính chống từ chối trong các giao dịch mua bán chứng khoán online. Công nghệ này

Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56

7


cũng ñược các cty chứng khoán ứng dụng làm trọng tài phân xử trong trường hợp
nảy sinh các vấn ñề chối bỏ hoặc sai sót trong giao dịch.
Thông thường, các giải pháp xác thực truyền thống sẽ ñòi hỏi hàng trăm ñô-la ñầu tư cho
mỗi một khách hàng, vậy các công ty chứng khoán sẽ chịu chi phí này hay nhà ñầu tư sẽ chịu ñể
bảo mật thông tin của họ? Giải pháp xác thực mạnh IdentityGuard của Entrust sẽ giúp các công
ty chứng khoán giải quyết bài toán này với một chi phí tối ưu nhất. Mỗi một nhà ñầu tư sẽ ñược
cấp một thẻ xác thực in ma trận một bảng như hình vẽ, mỗi một lần giao dịch, thay vì (hoặc thêm
vào) việc hỏi mật khẩu, ứng dụng chứng khoán sẽ
hỏi vài giá trị trong một số ô ngẫu nhiên trên thẻ.
Ví dụ: A3=? B5=? C2=?... Nếu giả sử lần giao
dịch ñó bị lộ, kẻ xấu c ũng không thể lợi dụng
ñược lần sau. Tất nhiên bảng giá trị này sẽ thường
xuyên ñược thay ñổi và gửi ñến khách.
Thẻ xác thực có thể cấp cho các nhà ñầu
tư khi sử dụng giao dịch ñiện tử, giao dịch qua
phone, trang bị cho các nhân viên của công ty tại
trung tâm giao dịch truy cập VPN về mạng của
công ty, trang bị cho các nhân viên trong công ty

khi muốn truy cập vào một số ứng dụng nội bộ Mỗi lần truy cập hoặc thực hiện giao dịch, nhà ñầu
hoặc server quan trọng. Giải pháp xác thực tư nhập ô 3 giá trị ñược sinh ngẫu nhiên ñể xác thực
IdentityGuard của Entrust rất phù hợp khi triển
khai với một số lượng lớn bởi chi phí thấp và tính tiện dụng cao.
6. Kiểm tra, phát hiện các lỗ hổng trong ứng dụng phát triển
Hầu hết các ứng dụng chứng khoán trực tuyến hiện nay ñều do các công ty phần mềm trong
nước phát triển và chạy trên môi trường Web. Các ứng dụng ñó ñược lập trình bằng các công cụ
và ngôn ngữ lập trình phổ biến như .NET, Oracle và trên thực tế các ứng dụng ñó luôn tiềm ẩn rất
nhiều những lỗ hổng bảo mật xuất phát từ bản thân các phần mềm cơ sở dữ liệu, trong các Web
server và trong các ñoạn code lập trình của lập trình viên. Các lỗ hổng ñó sẽ tạo ra các Backdoor
ñể tin tặc lợi dụng làm sai lệch thông tin, chiếm ñoạt quyền ñiều khiển của các account quản trị
của ứng dụng hoặc thậm chí chiếm ñoạt luôn quyền ñiều khiển Server. ðối với những lỗ hổng
bảo mật loại này, các hệ thống như Network Firewall, IPS cũng khó có thể phát hiện ra.
ðể phát hiện và ngăn chặn các lỗ hổng bảo mật trong ứng dụng Web, có 2 phương pháp
ñược áp dụng là:
•

Sử dụng chương trình phát hiện ñiểm
yếu ñể rà soát tất cả các ñoạn code lập
trình, các hệ ñiều hành, các web server
mà ứng dụng Web ñang hoạt ñộng.
Chương trình sẽ chỉ ra những lỗ hổng
và ñề xuất các phương án xử lý. Giải
pháp AppScan 7.0 của hãng WatchFire
cho phép tự ñộng hoá tiến trình phân
tích, giúp cho thời gian phát hiện lỗ
hổng, nguồn gốc phát sinh và ñề xuất
phương hướng ngăn chặn giảm 80%
so với việc sử dụng các chuyên gia
ñánh giá lỗ hổng. Giải pháp này là cầu


Quy trình dò quét lỗ hổng bảo mật trong ứng
dụng của Watchfire

Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA
CERC – www.athena.com.vn . Tel : 1900 54 54 56

8


nối giữa giữa chuyên viên bảo mật với nhà phát triển ứng dụng ñể ñem lại tính an
toàn bảo mật nhất cho ứng dụng Web. Phương pháp này có thể ñược áp dụng ngay
khi ứng dụng ñang trong giai ñoạn phát triển hoặc sau khi ứng dụng ñã ñi vào hoạt
ñộng.
•

Phương pháp thứ hai ñược sử dụng ñể kiểm
soát và che các lỗ hổng bảo mật trong ứng
dụng là sử dụng một thế hệ Firewall mới
chuyên dụng ñể bảo vệ cho các ứng dụng
Web. Netcontinnum Application Security là
một sản phẩm tường lửa ứng dụng Web của
hãng Netcontinuum với mục ñích phát hiện
ra các lỗ hổng bảo mật, sau ñó sẽ kiểm soát
và ngăn chặn các tấn công tới lỗ hổng ñó.
Khác với giải pháp của WatchFire,
Netcontinnum không yêu cầu phải ra soát
toàn bộ các mã lệnh lập trình mà sẽ ñược
ñặt trước ứng dụng ñể kiểm soát các yêu
cầu từ phía người dùng gửi tới ứng dụng Web.


Netcontinuum che các lỗ hổng bảo mật
trong ứng dụng trước các tấn công từ
bên ngoài

Netcontinuum có khả năng phát hiện và xử lý trên 70 loại lỗ hổng và nguy cơ mất an toàn
nằm bên trong các ứng dụng. Các loại lỗ hổng này ñều nằm trong top 10 lỗ hổng tinh vi nhất
ñược hiệp hội phát triển và bảo vệ ứng dụng “Open Web Application Security Project” (OWASP:
www.owasp.org) nêu ra.
Kết luận: Theo kế hoạch phát triển của ngành tài chính, ngành chứng khoán sẽ ñạt 30%
GPD của Việt nam ñến năm 2010. Theo ñúng kế hoạch này thì thị trường chứng khoán việt nam
sẽ rất sôi ñộng và phát triển nhanh chóng. Khi ñó giao dịch chứng khoán trực tuyến trở thành yếu
tố quan trọng làm chìa khoá cạnh tranh giữa các công ty chứng khoán. ðây cũng là yếu tố thúc
ñẩy sự phát triển chung của ngành chứng khoán Việt Nam tương tự như ñối với thị trường chứng
khoán quốc tế. Tuy vậy việc ñầu tư và triển khai một hệ thống CNTT ñảo bảm cho các hoạt ñộng
chứng khoán, nhất thiết cần phải ñầu tư một cách ñồng bộ giữa hạ tầng thông tin và hệ thống bảo
mật một cách ñầy ñủ. Nếu hệ thống vẫn còn tồn tại những lỗ hổng chưa ñược bảo vệ thì có thể ñó
sẽ là các ñiểm yếu ñể tin tặc, hoặc thậm chí là những ñối thủ cạnh tranh lợi dụng ñể tấn công.
Hậu quả xảy ra ảnh hưởng ñến hoạt ñộng kinh doanh là khó có thể lường trước ñược.
Song song với việc ñầu tư về công nghệ, các công ty chưng khoán sẽ phải xây dựng ñược
riêng cho mình một hệ thống quản lý an toàn thông tin bao gồm các chính sách ATTT, các hướng
dẫn cụ thể trong việc thực thi chính sách và bố trí tài nguyên con người cùng với trách nhiệm và
Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA 9
CERC – www.athena.com.vn . Tel : 1900 54 54 56


quyền lợi cụ thể. Hệ thống quản lý này sẽ giúp cho các công ty chứng khoán có thể thích ứng linh
hoạt với sự thay ñổi của các rủi ro trong hệ thống CNTT. Hệ thống này ñược mô tả kỹ lưỡng
trong chuẩn ISO17799- chuẩn quốc tế về an toàn thông tin- mà các công ty chứng khoán có thể
xem xét áp dụng.

Với tư cách làm một trong các công ty hàng ñầu của Việt Nam trong lĩnh vực an toàn thông
tin, chúng tôi có thể cung cấp tới các công ty chứng khoán các dịch vụ về an toàn thông tin sau:
•

Tư vấn giải pháp tổng thể an toàn, an ninh thông tin

•

ðánh giá, kiểm ñịnh rủi ro và lên phương án xử lý trong hệ thống CNTT

•

Cung cấp phần mềm, phần cứng và triển khai các giải pháp an toàn thông tin tổng
thể.

•

ðạo tạo về lĩnh vực an toàn, an ninh thông tin trong và ngoài nước.

Chúng tôi hi vọng kinh nghiệm và các giải pháp an toàn thông tin của chúng tôi sẽ góp phần
vào sự phát triển của ngành tài chính nói chung và thị trường chứng khoán nói riêng.
Tham khảo:
Các web site thông tin về các sản phẩm bảo mật ñược ñề xuất trong giải pháp tổng thể về an
toàn thông tin cho các công ty chứng khoán:
Các sản phẩm của hệ thống Firewall/VPN
•

•

Firewall cho hạ tầng mạng

Check Point:

www.checkpoint.com

Crossbeam System

www.crossbeamsystems.com

Firewall cho ứng dụng
Netcontinuum:

www.netcontiuum.com

Các sản phẩm của hệ thống phòng chống xâm nhập (IPS)
•

Internet Security Systems: www.iss.net

Các sản phẩm của hệ thống phòng chống Virus
•

Trend Micro:

www.trendmicro.com

Các sản phẩm của hệ thống xác thực và hạ tần mã khoá công cộng (PKI)
•

VASCO Data Security: www.vasco.com


•

Entrust:

www.entrust.com

Sản phẩm dò quét lỗ hổng bảo mật trong ứng dụng
•

Watchfire:

www.watchfire.com

Tài liệu tham khảo _Trung tâm Ứng Cứu Máy Tinh& An Ninh Mạng ATHENA – ATHENA 10
CERC – www.athena.com.vn . Tel : 1900 54 54 56