Tiểu luận “ Các nhóm giải pháp bảo mật và
an toàn thông tin tại VietinBank “
Trong những năm gần đây, vấn đề bảo mật đang trở thành một vấn đề nóng, đặc
biệt với hệ thống ngân hàng, nơi mà hệ thống công nghệ thông tin (CNTT) chi
phối mọi hoạt động kinh doanh thì có thể nói vấn đề bảo mật và an toàn (BMAT)
thông tin mang tính sống còn.
Là một ngân hàng có truyền thống về ứng dụng CNTT, Ngân hàng Công thương
Việt Nam (VietinBank) sớm nhận thức được tầm quan trọng của công tác bảo mật
và quan tâm đầu tư nghiêm túc cho lĩnh vực này.
Vai trò của công tác bảo mật và an toàn thông tin
Sự phát triển bùng nổ của công nghệ và mức độ phức tạp ngày càng tăng có thể
dẫn đến khả năng không kiểm soát nổi hệ thống CNTT, làm tăng số điểm yếu và
nguy cơ mất an toàn của hệ thống. Các nguy cơ bảo mật ngày càng nở rộ đã và
đang đe doạ ngành ngân hàng về nhiều mặt: thiệt hại về tài chính do các giao dịch
giả mạo, do bị gián đoạn giao dịch và quan trọng hơn cả là ảnh hưởng đến hình
ảnh cũng như uy tín của ngân hàng. Trong khi đó, các ngân hàng vẫn phải liên tục
mở rộng dịch vụ, đặc biệt là các dịch vụ ngân hàng điện tử và sử dụng công nghệ
để cạnh tranh với những đối thủ cạnh tranh trong cũng như ngoài ngành - điều này
đồng nghĩa với việc chấp nhận nguy cơ mất an toàn cao hơn. Chính vì vậy, Ban
lãnh đạo VietinBank xác định BMAT là ưu tiên hàng đầu khi thiết kế, xây dựng và
cung cấp các hệ thống, dịch vụ.
Do không có hệ thống nào là an toàn tuyệt đối nên vấn đề bảo mật phải được xem
xét trong mối quan hệ hữu cơ với công tác quản lý rủi ro của cả ngân hàng: bảo
mật không chỉ là đảm bảo hệ thống vận hành an toàn thông suốt mà còn phải giúp
rà soát, quản trị hiệu quả mọi rủi ro trong các hoạt động, dịch vụ ngân hàng. Xét
trên một phương diện khác, quan điểm chỉ đạo đó còn giúp Ngân hàng tránh được
sai lầm coi bảo mật như một “cỗ máy” tiêu tốn tiền của, cản trở quá trình kinh
doanh, triển khai “vừa đủ” để đáp ứng các quy định bắt buộc của các tổ chức hữu
quan hay “chữa cháy” khi bị khách hàng phàn nàn quá nhiều. Một trong những
điểm mấu chốt trong chiến lược đảm bảo an ninh thông tin của VietinBank là gắn
BMAT thông tin với việc củng cố và phát triển niềm tin của khách hàng, đem lại

qua rất nhiều khó khăn vướng mắc, với nhiều bài học kinh nghiệm cũng như
những vướng mắc không tránh khỏi. Đến nay, mặc dù còn không ít việc phải làm
nhưng có thể khẳng định rằng những định hướng chung về bảo mật của
VietinBank đã được triển khai thành những giải pháp đồng bộ từ cả thiết bị, công
nghệ, con người cho đến quy trình. Với sự quan tâm, ủng hộ từ cấp lãnh đạo cao
nhất và đội ngũ cán bộ chuyên trách được đào tạo, tôi luyện trong môi trường thực
tế, VietinBank đã áp dụng các nhóm giải pháp sau:
1. Về quản lý và tổ chức
1.1. Xây dựng hành lang pháp lý đối với các hoạt động Ngân hàng bao gồm các
quy chế, chính sách, các tiêu chuẩn về an toàn bảo mật thông tin.
1.2. Xây dựng một cơ chế quản lý tài nguyên hệ thống và các nguy cơ tương ứng
đối với các tài nguyên đó.
1.3. Xây dựng cơ chế quản lý và kiểm soát an toàn thông tin với quy trình quản trị
hệ thống và ứng dụng các phần mềm quản lý chính sách.
2. Về công nghệ
2.1. Kiểm soát truy cập: Thiết lập cơ chế kiểm soát chứng thực người dùng nhiều
vòng trước khi cho phép truy cập vào hệ thống. Không chỉ giới hạn trong việc xác
thực người dùng, VietinBank còn triển khai hệ thống NAC (Network Admission
Control) Cisco để kiểm soát mọi máy tính truy cập vào hệ thống mạng. Tất cả các
máy móc thiết bị kết nối mạng chưa đảm bảo các tiêu chuẩn về mặt an ninh (do
VietinBank quy định) đều bị chặn lại hoặc cô lập và thông báo với người quản trị.
2.2. Firewall: Hiện VietinBank có gần 100 firewall các loại được triển khai ở vùng
core banking, vùng ngân hàng điện tử và tại các chi nhánh tạo ra các vùng biên
giữa các hệ thống để hạn chế và giám sát luồng thông tin giữa các hệ thống, ngăn
chặn các kết nối bất hợp pháp. Các firewall được sử dụng và triển khai hiệu quả
với các chính sách kết nối khắt khe nhằm đảm bảo an toàn hệ thống.
2.3. Lọc nội dung: sử dụng các công cụ phần mềm lọc bỏ và cấm các truy xuất vào
các nguồn thông tin hoặc tài liệu không thích hợp cho công việc.
2.4. Xây dựng các hệ thống phòng chống và phát hiện xâm nhập.
Các hệ thống quét Virus, antispyware, antispam...