http://www.timsach.com.vn
http://booksearch.vn
Nhipsongcongnghe.net
Bảo mật mạng cho công ty chứng khoán
Bài viết dưới đây sẽ trình bày các nguy cơ và một số
giải pháp an toàn thông tin khi tiến hành các hoạt
động giao dịch chứng khoán. Sau hơn 6 năm đi vào hoạt động từ 7/2000, TTCK
tập trung của Việt Nam đã chứng kiến sự phát triển mạnh mẽ, đặc biệt
trong năm 2006 và dự đoán sẽ còn tăng mạnh trong năm 2007 về quy
mô cũng như chất lượng. Số lượng các công ty chờ đăng ký niêm yết
sẽ tăng lên rất nhanh đồng thời số lượng các nhà đầu tư càng nhiều và
mang tính chuyên nghiệp hơn.

Phát triển “nóng” đi cùng nguy cơ

TTCK ngày càng phát triển thì số lượng giao dịch và nhu cầu tìm hiểu
thông tin của các nhà đầu tư ngày càng tăng. Để đáp ứng các yêu cầu
đó, ngày càng nhiều các công ty CK (CTCK) được thành lập để giúp các
nhà đầu tư dễ dàng hơn trong việc tìm hiểu thông tin và tiếp cận tới
các cổ phiếu đang được niêm yết.

Theo báo cáo tổng kết cuối năm 2006, hiện nay đã có 55 CTCK đi vào
hoạt động, 6 tổ chức lưu ký CK và 18 NH thanh toán. Các CTCK sẽ
cạnh tranh mạnh mẽ để thu hút nhiều nhà đầu tư về phía mình bằng
cách đưa ra nhiều phương thức cung cấp dịch vụ đảm bảo, tiện lợi và

Hoạt động cung cấp thông tin của một CTCK không chỉ nằm trong
phạm vi cung cấp các dịch vụ tài chính và môi giới mua bán CK
(MBCK) mà còn liên quan tới các hệ thống thông tin của hai sàn giao
dịch CK Hà Nội và TP.HCM, liên quan tới trao đổi thông tin với các NH
lưu ký CK và thanh toán bù trừ. Do vậy, để vận hành tốt các hoạt
động này, hạ tầng CNTT của CTCK phải luôn đảm bảo tính sẵn sàng
cao. Hệ thống đó phải có khả năng ngăn chặn và phòng chống các
nguy cơ tiềm ẩn về mất an toàn của hệ thống CNTT khi dữ liệu xử lý
được truyền chủ yếu qua hệ thống mạng công cộng là Internet và
mạng điện thoại.
Nhipsongcongnghe.net Các nguy cơ tiềm ẩn

1. Nguy cơ ngưng trệ hoạt động của hệ thống mạng do tắc ngẽn
đường truyền. Các máy tính bị nhiễm virus sẽ nhanh chóng chiếm toàn
bộ băng thông và làm tê liệt toàn bộ các hoạt động trao đổi thông tin
trong mạng máy tính, các giao dịch MBCK điện tử.

2. Nguy cơ các hệ thống dịch vụ giao dịch trực tuyến bị kẻ xấu tấn
công từ mạng Internet bằng nhiều hình thức tấn công từ chối dịch vụ
(DoS) khác nhau

3. Nguy cơ bị kẻ xấu làm sai lệch thông tin khi thực hiện các giao dịch
CK điện tử: Thông tin giao dịch bị bắt khi truyền từ “nguồn” tới “đích”
qua mạng Internet. Kẻ xấu có thể thay đổi thông tin hoặc chèn thêm
Nhipsongcongnghe.net
các đoạn mã độc hại. Hiện nay nguy cơ này đã được các hãng bảo mật
khuyến cáo sử dụng các phương pháp mã hóa dữ liệu trong khi truyền.

cập mạng riêng ảo(VPN) về mạng của công ty.
b. Các nhà đầu tư truy cập vào website và dịch vụ CK trực tuyến
(Online Brokerage, Online OTC) của công ty.
5. Vùng các đại lý, chi nhánh của công ty kết nối VPN Site to Site hoặc
WAN vào hệ thống mạng của công ty. Đây cũng là vùng kết nối mạng
thông tin từ CTCK tới mạng của các NH thanh toán, lưu ký trong tương
lai.

Nhipsongcongnghe.net
Giải pháp

Để đảm bảo an toàn cho các kết nối, trao đổi thông tin và ngăn chặn
các tấn công cả từ bên trong và bên ngoài mạng, giải pháp bảo mật
tổng thể và sản phẩm bảo mật cho hạ tầng công nghệ thông tin được
chúng tôi đề xuất như sau:

Phân tách các vùng mạng và bảo vệ bằng hệ thống Firewall

Mạng trong phạm vi tòa nhà của công ty CK được chia làm ba vùng
chính:

• Vùng DMZ gồm các Server cho các dịch vụ trực tuyến như website,
email, các ứng dụng Online Brokerage, Online OTC…

• Vùng các Server cơ sở dữ liệu (CSDL) và ứng dụng quan trọng như
BackOffice, CSDL khách hàng, giao dịch, lưu ký… Đây là vùng các
Servers chính vận hành toàn bộ hệ thống PM và CSDL liên quan tới
giao dịch mua bán CK.

• Vùng mạng LAN bao gồm khối văn phòng, nghiệp vụ và hệ thống

sử dụng thiết bị Firewall VPN chuyên dụng loại nhỏ VPN1-Edge của
hãng Check Point. Thiết bị này có đầy đủ tính năng Firewall và thiết
lập kênh kết nối Site to Site qua đường Leaseline hoặc ADSL. Với mô
hình này, hệ thống VPN Server tại trụ sở chính sẽ tự động xác thực
giữa 2 đầu thiết bị và kiểm tra tính an toàn trước khi cho phép thiết
lập kênh kết nối.

Check Point VPN1-Edge khi thiết lập VPN tunnel sẽ sử dụng các công
nghệ mã hóa sau

• (AES) 128-256 bit

• Triple DES 56-168 bit

• SSL – Secure Sockets Layer

Mô hình Client to Site áp dụng cho các nhân viên của công ty làm việc
tại các TTGDCK thiết lập kênh kết nối qua Internet, dial-up và hỗ trợ
xác thực người dùng bằng nhiều phương thức như Certificate, Token,
Smartcard trước khi cho phép kết nối. Tại các máy của nhân viên sẽ
cài PM thiết lập kết nối VPN client của Check Point.
Nhipsongcongnghe.net

Thiết bị bảo mật VPN-1UTM Egdebảo vệ kết nối giữa công ty chứng
khoán với các đại lý, chi nhánh, văn phòng. Theo PCWorld