AN TOÀN THÔNG TIN CHO CÁC CÔNG TY CHỨNG KHOÁN
Theo các báo cáo về thị trường tài chính, ngân hàng, chứng khoán của Việt Nam cuối năm
2006, thị trường Chứng khoán là một trong những lĩnh vực tài chính hoạt động sôi động nhất và có
sự phát triển rất nhanh. Sau hơn 6 năm đi vào hoạt động từ 7/2000, TTCK tập trung của Việt Nam
đã chứng kiến sự phát triển mạnh mẽ đặc biệt là trong năm 2006 và dự đoán sẽ còn tăng mạnh
trong năm 2007 cả về quy mô cũng như chất lượng. Cho đến nay, trên Trung tâm GD Chứng khoán
TP.HCM đã có tới 106 loại cổ phiếu, sàn CK Hà Nội cũng đã đạt tới con số 87 loại cổ phiếu. Theo
các chuyên gia dự báo, trong thời gian tới, số lượng các công ty chờ đăng kí niêm
yết sẽ tăng lên rất nhanh đồng thời với số lượng các nhà đầu tư càng nhiều và mang tính
chuyên nghiệp hơn.
Thị trường Chứng khoán ngày càng phát triển thì số lượng giao dịch và
nhu cầu tìm hiểu thông tin của các nhà đầu tư ngày càng tăng. Để đáp ứng
được các yêu cầu đó, ngày càng nhiều các công ty Chứng khoán được thành
lập để giúp cho các nhà đầu tư dễ dàng hơn trong việc tìm hiểu thông tin và
tiếp cận tới các cổ phiếu đang được niêm yết. Theo báo cáo tổng kết cuối năm
2006, hiện nay đã có 55 công ty Chứng khoán đi vào hoạt động, 6 tổ chức lưu
kí chứng khoán và 18 ngân hàng thanh toán. Các công ty chứng khoán sẽ cạnh
tranh mạnh mẽ để thu hút nhiều nhà đầu tư về phía mình bằng cách đưa ra nhiều phương thức cung
cấp dịch vụ đảm bảo, tiện lợi và đầy đủ hơn. Phương thức giao dịch chứng khoán trước đây yêu
cầu nhà đầu tư phải đến các trung tâm giao dịch chứng khoán (TTGDCK) hoặc quầy môi giới của
công ty chứng khoán đặt lệnh thì nay đã mở rộng qua các hình thức như đặt lệnh qua điện thoại,
Internet. Các dịch vụ này ngày càng được các nhà đầu tư luôn bận bịu với công việc kinh doanh ưa
chuộng, và không ít trong số họ là những nhà đầu tư rất lớn. Họ mong chờ sự xuất hiện của các
hình thức dịch vụ trực tuyến để có thể dễ dàng ở bất kì đâu, tại bất kì thời điểm nào đều có thể
nhanh chóng tra cứu cập nhật thông tin, thực hiện giao dịch mua bán chứng khoán.
Chúng ta hãy nhìn lại quy trình mua bán chứng khoán được niêm yết tại các Trung tâm giao
dịch chứng khoán. Toàn bộ quy trình này được tiến hành theo 5 bước:
• Bước 1: Nhà đầu tư đến mở tài khoản và đặt lệnh mua hay bán chứng khoán tại một công
ty chứng khoán.
• Bước 2: Công ty chứng khoán chuyển lệnh đó cho đại diện của công ty tại Trung tâm giao
dịch chứng khoán để nhập vào hệ thống giao dịch của Trung tâm.
• Bước 3: Trung tâm giao dịch chứng khoán thực hiện ghép lệnh và thông báo kết quả giao
dịch cho công ty chứng khoán.
• Bước 4: Công ty chứng khoán thông báo kết quả giao dịch cho nhà đầu tư.
• Bước 5: Nhà đầu tư nhận chứng khoán (nếu là người mua) hoặc tiền (nếu là người bán)
trên tài khoản của mình tại công ty chứng khoán sau 3 ngày làm việc kể từ ngày mua bán.
Bước 1 trong quy trình được các công ty Chứng khoán đa dạng hoá phương thức dịch vụ, làm
chìa khoá cạnh tranh để có thể thu hút được nhiều nhà đầu tư đến với mình. Tuy vậy bên cạch các
hình thức dịch vụ, các công ty chứng khoán cần phải đảm bảo uy tính cũng như chất lượng của các
thông tin mà họ cung cấp cho nhà đầu tư.
Mô hình trao đổi thông tin điển hình của công ty chứng khoán:
1
Hoạt động cung cấp thông tin của một công ty chứng khoán không chỉ nằm trong phạm vi
cung cấp các dịch vụ tài chính và môi giới mua bán chứng khoán mà còn liên quan tới các hệ thống
thông tin của hai sàn giao dịch chứng khoán Hà nội và Tp.HCM, liên quan tới trao đổi thông tin
với các ngân hàng lưu kí Chứng khoán và thanh toán bù trừ. Do vậy, để vận hành tốt các hoạt động
này, hạ tầng CNTT của công ty Chứng khoán luôn phải đảm bảo tính sẵn sàng cao. Hệ thống đó
phải có khả năng ngăn chặn và phòng chống các nguy cơ tiềm ẩn về mất an toàn của hệ thống
CNTT khi dữ liệu xử lý được truyền chủ yếu qua hệ thống mạng công cộng là Internet và mạng
thoại.
Các nguy cơ tiềm ẩn đó là gì?
Nói một các tổng quát có thể phân loại các nguy cơ đó như sau:
1. Nguy cơ ngưng trệ hoạt động của hệ thống mạng do tắc ngẽn đường truyền. Các máy tính
bị nhiễm virus sẽ nhanh chóng chiếm toàn bộ băng thông và làm tê liệt toàn bộ các hoạt
động trao đổi thông tin trong mạng máy tính, các giao dịch mua bán chứng khoán điện tử.
2
2. Nguy cơ các hệ thống dịch vụ giao dịch trực tuyến bị kẻ xấu tấn công từ ngoài mạng
Internet bằng nhiều hình thức tấn công từ chối dịch vụ (DoS) khác nhau
3. Nguy cơ bị kẻ xấu làm sai lệch thông tin khi thực hiện các giao dịch chứng khoán điện tử:
- Thông tin giao dịch bị bắt khi truyền từ ‘nguồn’ tới ‘đích’ qua mạng Internet. Kẻ
xấu có thể thay đổi thông tin hoặc chèn thêm các đoạn mã độc hại. Hiện nay nguy
cơ này đã được các hãng bảo mật khuyến cáo sử dụng các phương pháp mã hoá dữ
liệu trong khi truyền.
4. Nguy cơ bị lấy cắp các thông tin nhạy cảm như mã số đăng nhập tài khoản,
username/password, số PIN, số thẻ tín dụng ... qua các kĩ thuật lừa đảo ‘phishing’ và
‘farming‘ ngày càng được tin tặc cải tiến tinh vi.
Khi các dịch vụ trực tuyến ngày càng mở rộng thì nguy cơ phá hoại, tấn công của tin tắc ngày
càng nhiều với độ tinh vi ngày càng cao. Các công ty Chứng khoán cần phải nhận thức rõ khi mở
rộng các loại hình dịch vụ sẽ phải đi đôi với việc đầu tư một hạ tầng CNTT đảm bảo và an toàn.
Từ mô hình trao đổi thông tin của các công ty chứng khoán, hạ tầng công nghệ thông tin của
công ty dưới góc nhìn của các chuyên gia bảo mật sẽ được phân làm năm vùng chính. Các vùng
này được bảo vệ bởi các hệ thống an ninh thông tin. Tất cả chúng hoạt động dưới sự quản lý của
những quy định và chính sách an toàn thông tin được điều chỉnh phủ hợp theo đặc thù của từng
công ty.
3
Thiết bị an ninh tích hợp Crossbeam C6
Năm phân vùng trong mô hình bảo mật tổng thể là:
1. Vùng mạng LAN bên trong toà nhà của công ty Chứng khoán, vùng này bao gồm
a. Mạng LAN các PC của khối văn phòng, khối tài chính, khối nghiệp vụ tư vấn tài
chính, môi giới mua bán chứng khoán.
b. Hệ thống tổng đài IP phục vụ liên lạc của công ty Chứng khoán
2. Vùng các máy chủ DMZ cung cấp các dịch vụ trực tuyến được truy cập qua Internet như:
E-Mail, Web site thông tin thị trường, Online Brokerage, Online OTC…
3. Vùng các máy chủ cơ sở dữ liệu và ứng dụng quan trọng vận hành hệ thống quản lý các
giao dịch chứng khoán.
4. Vùng người dùng truy cập từ xa qua Internet vào hệ thống mạng, ứng dụng của công ty,
vùng này bao gồm:
a. Nhân viên của công ty chứng khoán hoạt động tại 2 trung tâm GDCK Hà Nội và tp.
Hồ Chí Minh truy cập VPN (Client to Site) về mạng của công ty.
b. Các nhà đầu tư truy cập vào Web site và dịch vụ chứng khoán trực tuyến (Online
Brokerage, Online OTC) của công ty.
5. Vùng các đại lý, chi nhánh của công ty kết nối VPN Site to Site hoặc WAN vào hệ thống
mạng của công ty. Đây cũng là vùng kết nối mạng thông tin từ công ty Chứng khoán tới
mạng của các Ngân hàng thanh toán, lưu kí trong tương lai.
Để đảm bảo an toàn cho các kết nối, trao đổi thông tin và ngăn chặn các tấn công cả từ bên
trong trong và bên ngoài mạng, giải pháp bảo mật tổng thể và sản phẩm bảo mật cho hạ tầng công
nghệ thông tin được chúng tôi đề xuất như sau:
1. Phân tách các vùng mạng và bảo vệ bằng hệ thống Firewall
Mạng trong phạm vi toà nhà của công ty sẽ được chia làm ba vùng chính:
Vùng DMZ gồm các Server cho các dịch vụ trực tuyến như Web site, Email, các
ứng dụng Online Brokerage, Online OTC…
Vùng các Server cơ sở dữ liệu và ứng dụng quan trọng như BackOffice, CSDL
khách hàng, giao dịch, lưu kí… Đây là vùng các Servers chính vận hành toàn bộ hệ
thống phần mềm và CSDL liên quan tới giao dịch mua bán chứng khoán.
Vùng mạng LAN bao gồm khối văn phòng, nghiệp vụ và hệ thống tổng đài IP.
Các vùng mạng sẽ được quy hoạch trên các dải IP riêng biệt. Hệ thống Firewall sẽ kiểm soát
luồng dữ liệu đi qua bao gồm: Truy cập từ ngoài Internet vào vùng dịch vụ trực tuyến, người dùng
ở mạng LAN truy cập Internet qua đường LeasedLine, ADSL hoặc Wireless, người dùng ở mạng
LAN truy cập vào vùng Server ứng dụng và cơ sở dữ liệu. Firewall sẽ kiểm soát, xác thực và ngăn
chặn những truy cập không hợp lệ, những tấn công
của hacker từ ngoài Internet hoặc trực tiếp xuất phát
từ bên trong mạng vào các vùng servers.
Với kinh nghiệm triển khai của công ty
Misoft, kết hợp với sự phát triển của công nghệ,
chúng tôi đề xuất hệ thống Firewall sẽ là sự kết hợp
giữa Firewall VPN1- UTM của hãng Check Point chạy trên
phần cứng chuyên dụng của hãng Crossbeam System. Check Point Firewall VPN1-UTM hội đủ
các yêu tố bảo vệ mạng bao gồm các tính năng Firewall, AntiVirus, IPS và VPN server chỉ trong
4
một sản phẩm. Check Point Firewall được cài trên một cặp thiết bị an ninh tích hợp chuyên dụng
của hãng Crossbeam System chạy clustering ở chế độ HA (High availability) đảm bảo tính sẵn
sàng cao và hiệu năng hoạt động của toàn mạng.
2. Thiết lập và bảo vệ các kết nối VPN.
Hệ thống Check Point Firewall VPN1-UTM đặt tại trụ sở chính của công ty chứng khoán bên
cạnh chức năng kiểm soát các luồng thông tin ra vào mạng còn là hệ thống VPN Server cho các kết
nối theo cả 2 mô hình Client to Site và Site to Site.
Với mô hình kết nối VPN
Site to Site, tại mỗi chi nhánh
hoặc đại lý sẽ sử dụng thiết bị
Firewall VPN chuyên dụng loại
nhỏ VPN1-Edge của hãng Check
Point. Thiết bị này có đầy đủ tính
năng Firewall và thiết lập kênh
kết nối Site to Site qua đường
Leaseline hoặc ADSL. Với mô
hình này, hệ thống VPN Server
tại Headquater sẽ tự động xác
thực giữa 2 đầu thiết bị và kiểm
tra tính an toàn trước khi cho
phép thiết lập kênh kết nối.
Check Point VPN1-Edge khi thiết
lập VPN tunnel sẽ sử dụng các
công nghệ mã hoá sau
• (AES) 128-256 bit
• Triple DES 56-168 bit
• SSL – Secure Sockets Layer
Mô hình Client to Site áp dụng cho các nhân viên của công ty làm việc tại các TTGDCK thiết
lập kênh kết nối qua Internet, dial-up và hỗ trợ xác thực người dùng bằng nhiều phương thức như
Certificate, Token, Smartcard… trước khi cho phép kết nối. Tại các máy của nhân viên sẽ cài phần
mếm thiết lập kết nối VPN client của Check Point.
3. Thiết lập các hệ thống phòng chống xâm nhập cho các vùng thông tin quan trọng.
Trong mô hình bảo mật tổng thể cho công ty chứng khoán, vùng máy chủ cơ sở dữ liệu và
máy chủ ứng dụng là quan trọng nhất trong hoạt động trao đổi thông tin của công ty chứng khoán.
Nếu một trong các máy chủ này bị tấn công hoặc có sự cố, hoạt động kinh doanh của các công ty
sẽ bị ảnh hưởng trực tiếp. Do vậy bên cạnh hệ thống Firewall bảo vệ hạ tầng network của công ty,
nhất thiết cần trang bị bổ sung hệ thống phòng chống xâm nhập (IPS) để bảo vệ riêng cho vùng các
Server ứng dụng này. Khác với Network Firewall, hệ thống IPS sẽ phát hiện và ngăn chặn các xâm
nhập ở tầng ứng dụng, can thiệp trực tiếp vào các protocols, các traffice mà hệ thống Firewall
không phát hiện được. Hệ thống IPS được đặt trong vùng mạng LAN, do vậy hệ thống phải đảm
bảo được tốc độ xử lý để không làm nghẽn luồng thông tin được trao đổi với mật độ cao tại đây.
Với mức độ quan trọng như trên, chúng tôi đề xuất triển khai thiết bị phòng chống xâm nhập
Proventia Network IPS chuyên dụng của hãng Internet Security Systems –ISS. Thiết bị này cho
phép ngăn chặn trước các cuộc tấn công chưa biết cũng như các cuộc tấn công đã biết như DoS,
trojan, peer to peer download, backdoor, malicious http và file đính kèm e-mail mà không ảnh
5
Thi t b b o m t VPN-1 UTM Edge b o v k t n i gi a công ty ế ị ả ậ ả ệ ế ố ữ
Ch ng khoán v i chi nhánh, đ i lý và v n phòng ứ ớ ạ ă