Nhipsongcongnghe.net
Bảo mật mạng cho công ty chứng khoán



Bài viết dưới đây sẽ trình bày các nguy cơ và một số
giải pháp an toàn thông tin khi tiến hành các hoạt
động giao dịch chứng khoán.


Sau hơn 6 năm đi vào hoạt động từ 7/2000, TTCK
tập trung của Việt Nam đã chứng kiến sự phát triển mạnh mẽ, đặc biệt
trong năm 2006 và dự đoán sẽ còn tăng mạnh trong năm 2007 về quy
mô cũng như chất lượng. Số lượng các công ty chờ đăng ký niêm yết
sẽ tăng lên rất nhanh đồng thời số lượng các nhà đầu tư càng nhiều và
mang tính chuyên nghiệp hơn.

Phát triển “nóng” đi cùng nguy cơ

TTCK ngày càng phát triển thì số lượng giao dịch và nhu cầu tìm hiểu
thông tin của các nhà đầu tư ngày càng tăng. Để đáp ứng các yêu cầu
đó, ngày càng nhiều các công ty CK (CTCK) được thành lập để giúp các
nhà đầu tư dễ dàng hơn trong việc tìm hiểu thông tin và tiếp cận tới
các cổ phiếu đang được niêm yết.

Theo báo cáo tổng kết cuối năm 2006, hiện nay đã có 55 CTCK đi vào
hoạt động, 6 tổ chức lưu ký CK và 18 NH thanh toán. Các CTCK sẽ
cạnh tranh mạnh mẽ để thu hút nhiều nhà đầu tư về phía mình bằng
cách đưa ra nhiều phương thức cung cấp dịch vụ đảm bảo, tiện lợi và

đầy đủ hơn như đặt lệnh qua điện thoại, Internet. Nhà đầu tư luôn
mong chờ các dịch vụ trực tuyến để mọi lúc, mọi nơi đều có thể dễ
dàng tra cứu cập nhật thông tin, thực hiện giao dịch mua bán CK
(MBCK).

Chúng ta hãy nhìn lại quy trình MBCK được niêm yết tại các TTGDCK.
Toàn bộ quy trình này được tiến hành theo 5 bước:

• Bước 1: Nhà đầu tư đến mở tài khoản và đặt lệnh mua hay bán CK
tại một CTCK.

• Bước 2: CTCK chuyển lệnh đó cho đại diện của công ty tại TTGDCK
để nhập vào hệ thống giao dịch của trung tâm.

Nhipsongcongnghe.net
• Bước 3: TTGDCK thực hiện khớp lệnh và thông báo kết quả giao dịch
cho CTCK.

• Bước 4: CTCK thông báo kết quả giao dịch cho nhà đầu tư.

• Bước 5: Nhà đầu tư nhận CK(nếu là người mua) hoặc tiền (nếu là
người bán) trên tài khoản của mình tại CTCK sau một thời gian qui
định.

Bước 1 trong quy trình được các CTCK đa dạng hoá phương thức dịch
vụ, làm chìa khóa cạnh tranh để có thể thu hút được nhiều nhà đầu tư
đến với mình. Tuy vậy bên cạnh các hình thức dịch vụ, các CTCK cần
phải đảm bảo uy tín cũng như chất lượng của các thông tin mà họ
cung cấp cho nhà đầu tư.


Hoạt động cung cấp thông tin của một CTCK không chỉ nằm trong
phạm vi cung cấp các dịch vụ tài chính và môi giới mua bán CK
(MBCK) mà còn liên quan tới các hệ thống thông tin của hai sàn giao
dịch CK Hà Nội và TP.HCM, liên quan tới trao đổi thông tin với các NH
lưu ký CK và thanh toán bù trừ. Do vậy, để vận hành tốt các hoạt
động này, hạ tầng CNTT của CTCK phải luôn đảm bảo tính sẵn sàng
cao. Hệ thống đó phải có khả năng ngăn chặn và phòng chống các
nguy cơ tiềm ẩn về mất an toàn của hệ thống CNTT khi dữ liệu xử lý
được truyền chủ yếu qua hệ thống mạng công cộng là Internet và
mạng điện thoại.
Nhipsongcongnghe.net


Các nguy cơ tiềm ẩn

1. Nguy cơ ngưng trệ hoạt động của hệ thống mạng do tắc ngẽn
đường truyền. Các máy tính bị nhiễm virus sẽ nhanh chóng chiếm toàn
bộ băng thông và làm tê liệt toàn bộ các hoạt động trao đổi thông tin
trong mạng máy tính, các giao dịch MBCK điện tử.

2. Nguy cơ các hệ thống dịch vụ giao dịch trực tuyến bị kẻ xấu tấn
công từ mạng Internet bằng nhiều hình thức tấn công từ chối dịch vụ
(DoS) khác nhau

3. Nguy cơ bị kẻ xấu làm sai lệch thông tin khi thực hiện các giao dịch
CK điện tử: Thông tin giao dịch bị bắt khi truyền từ “nguồn” tới “đích”
qua mạng Internet. Kẻ xấu có thể thay đổi thông tin hoặc chèn thêm
Nhipsongcongnghe.net
các đoạn mã độc hại. Hiện nay nguy cơ này đã được các hãng bảo mật
khuyến cáo sử dụng các phương pháp mã hóa dữ liệu trong khi truyền.


4. Nguy cơ bị lấy cắp các thông tin nhạy cảm như mã số đăng nhập tài
khoản, username/password, số PIN, số thẻ tín dụng qua các kỹ
thuật lừa đảo ‘phishing’ và ‘farming‘ ngày càng được tin tặc cải tiến
tinh vi.

Khi các dịch vụ trực tuyến ngày càng mở rộng thì nguy cơ phá hoại,
tấn công của tin tặc ngày càng nhiều, với độ tinh vi ngày càng cao.
Các CTCK cần phải nhận thức rõ khi mở rộng các loại hình dịch vụ và
phải đi đôi với việc đầu tư một hạ tầng CNTT đảm bảo và an toàn.

Từ mô hình trao đổi thông tin của các CTCK, hạ tầng CNTT của công ty
dưới góc nhìn của các chuyên gia bảo mật sẽ được phân làm năm vùng
chính. Các vùng này được bảo vệ bởi các hệ thống an ninh thông tin và
hoạt động dưới sự quản lý của những quy định và chính sách an toàn
thông tin được điều chỉnh phù hợp theo đặc thù của từng công ty.

Năm phân vùng trong mô hình bảo mật tổng thể
1. Vùng mạng LAN bên trong toà nhà của CTCK, bao gồm
a. Mạng LAN các PC của khối văn phòng, khối tài chính, khối nghiệp vụ
tư vấn tài chính, môi giới MBCK.
b. Hệ thống tổng đài IP phục vụ liên lạc của CTCK
2. Vùng các máy chủ DMZ cung cấp các dịch vụ trực tuyến được truy
cập qua Internet như: E-Mail, Web site thông tin thị trường, Online
Brokerage, Online OTC
3. Vùng các máy chủ CSDL và ứng dụng quan trọng vận hành hệ
thống quản lý các giao dịch CK.
4. Vùng người dùng truy cập từ xa qua Internet vào hệ thống mạng,
ứng dụng của CTCK, vùng này bao gồm:
a. Nhân viên của CTCK hoạt động tại 2 TTGDCK Hà Nội và TP.HCM truy

cập mạng riêng ảo(VPN) về mạng của công ty.
b. Các nhà đầu tư truy cập vào website và dịch vụ CK trực tuyến
(Online Brokerage, Online OTC) của công ty.
5. Vùng các đại lý, chi nhánh của công ty kết nối VPN Site to Site hoặc
WAN vào hệ thống mạng của công ty. Đây cũng là vùng kết nối mạng
thông tin từ CTCK tới mạng của các NH thanh toán, lưu ký trong tương
lai.

Nhipsongcongnghe.net
Giải pháp

Để đảm bảo an toàn cho các kết nối, trao đổi thông tin và ngăn chặn
các tấn công cả từ bên trong và bên ngoài mạng, giải pháp bảo mật
tổng thể và sản phẩm bảo mật cho hạ tầng công nghệ thông tin được
chúng tôi đề xuất như sau:

Phân tách các vùng mạng và bảo vệ bằng hệ thống Firewall

Mạng trong phạm vi tòa nhà của công ty CK được chia làm ba vùng
chính:

• Vùng DMZ gồm các Server cho các dịch vụ trực tuyến như website,
email, các ứng dụng Online Brokerage, Online OTC…

• Vùng các Server cơ sở dữ liệu (CSDL) và ứng dụng quan trọng như
BackOffice, CSDL khách hàng, giao dịch, lưu ký… Đây là vùng các
Servers chính vận hành toàn bộ hệ thống PM và CSDL liên quan tới
giao dịch mua bán CK.

• Vùng mạng LAN bao gồm khối văn phòng, nghiệp vụ và hệ thống

tổng đài IP.

Các vùng mạng sẽ được quy hoạch trên các dải IP riêng biệt. Hệ thống
Firewall sẽ kiểm soát luồng dữ liệu đi qua bao gồm: Truy cập từ
Internet vào vùng dịch vụ trực tuyến, người dùng ở mạng LAN truy cập
Internet qua đường LeasedLine, ADSL hoặc Wireless, người dùng ở
mạng LAN truy cập vào vùng Server ứng dụng và CSDL. Firewall sẽ
kiểm soát, xác thực và ngăn chặn những truy cập không hợp lệ, những
tấn công của hacker từ ngoài Internet hoặc trực tiếp xuất phát từ bên
trong mạng vào các vùng servers.

Với kinh nghiệm triển khai của công ty Misoft, kết hợp với sự phát triển
của công nghệ, chúng tôi đề xuất hệ thống Firewall kết hợp giữa
Firewall VPN1- UTM của hãng Check Point chạy trên phần cứng chuyên
dụng của hãng Crossbeam System. Check Point Firewall VPN1-UTM hội
đủ các yếu tố bảo vệ mạng bao gồm các tính năng Firewall, AntiVirus,
IPS và VPN server chỉ trong một sản phẩm. Check Point Firewall được
cài trên một cặp thiết bị an ninh tích hợp chuyên dụng của hãng
Crossbeam System chạy clustering ở chế độ HA (High Availability) đảm
bảo tính sẵn sàng cao và hiệu năng hoạt động của toàn mạng.

Thiết lập và bảo vệ các kết nối mạng riêng ảo (VPN).

Nhipsongcongnghe.net
Hệ thống Check Point Firewall VPN1-UTM đặt tại trụ sở chính của CTCK
ngoài chức năng kiểm soát các luồng thông tin ra vào mạng còn là hệ
thống VPN Server cho các kết nối theo cả 2 mô hình Client to Site và
Site to Site.

Với mô hình kết nối VPN Site to Site, tại mỗi chi nhánh hoặc đại lý sẽ

sử dụng thiết bị Firewall VPN chuyên dụng loại nhỏ VPN1-Edge của
hãng Check Point. Thiết bị này có đầy đủ tính năng Firewall và thiết
lập kênh kết nối Site to Site qua đường Leaseline hoặc ADSL. Với mô
hình này, hệ thống VPN Server tại trụ sở chính sẽ tự động xác thực
giữa 2 đầu thiết bị và kiểm tra tính an toàn trước khi cho phép thiết
lập kênh kết nối.

Check Point VPN1-Edge khi thiết lập VPN tunnel sẽ sử dụng các công
nghệ mã hóa sau

• (AES) 128-256 bit

• Triple DES 56-168 bit

• SSL – Secure Sockets Layer

Mô hình Client to Site áp dụng cho các nhân viên của công ty làm việc
tại các TTGDCK thiết lập kênh kết nối qua Internet, dial-up và hỗ trợ
xác thực người dùng bằng nhiều phương thức như Certificate, Token,
Smartcard trước khi cho phép kết nối. Tại các máy của nhân viên sẽ
cài PM thiết lập kết nối VPN client của Check Point.
Nhipsongcongnghe.net

Thiết bị bảo mật VPN-1UTM Egdebảo vệ kết nối giữa công ty chứng
khoán với các đại lý, chi nhánh, văn phòng.


Theo PCWorld