Tiểu luận Các nhóm giải pháp bảo mật và an toàn thông tin tại VietinBank

Sựphát triển bùng nổcủa công nghệvà mức độphức tạp ngày càng tăng có thể dẫn đến khảnăng không kiểm soát nổi hệthống CNTT, làm tăng số điểm yếu và nguy cơmất an toàn của hệthống. Các nguy cơbảo mật ngày càng nởrộ đã và đang đe doạngành ngân hàng vềnhiều mặt: thiệt hại vềtài chính do các giao dịch giảmạo, do bịgián đoạn giao dịch và quan trọng hơn cảlà ảnh hưởng đến hình ảnh cũng nhưuy tín của ngân hàng. Trong khi đó, các ngân hàng vẫn phải liên tục mởrộng dịch vụ, đặc biệt là các dịch vụngân hàng điện tửvà sửdụng công nghệ đểcạnh tranh với những đối thủcạnh tranh trong cũng nhưngoài ngành - điều này đồng nghĩa với việc chấp nhận nguy cơmất an toàn cao hơn. Chính vì vậy, Ban lãnh đạo VietinBank xác định BMAT là ưu tiên hàng đầu khi thiết kế, xây dựng và cung cấp các hệthống, dịch vụ.

pdf6 trang | Chia sẻ: tuandn | Lượt xem: 3192 | Lượt tải: 2download
Bạn đang xem nội dung tài liệu Tiểu luận Các nhóm giải pháp bảo mật và an toàn thông tin tại VietinBank, để tải tài liệu về máy bạn click vào nút DOWNLOAD ở trên
Tiểu luận “ Các nhóm giải pháp bảo mật và an toàn thông tin tại VietinBank “ Trong những năm gần đây, vấn đề bảo mật đang trở thành một vấn đề nóng, đặc biệt với hệ thống ngân hàng, nơi mà hệ thống công nghệ thông tin (CNTT) chi phối mọi hoạt động kinh doanh thì có thể nói vấn đề bảo mật và an toàn (BMAT) thông tin mang tính sống còn. Là một ngân hàng có truyền thống về ứng dụng CNTT, Ngân hàng Công thương Việt Nam (VietinBank) sớm nhận thức được tầm quan trọng của công tác bảo mật và quan tâm đầu tư nghiêm túc cho lĩnh vực này. Vai trò của công tác bảo mật và an toàn thông tin Sự phát triển bùng nổ của công nghệ và mức độ phức tạp ngày càng tăng có thể dẫn đến khả năng không kiểm soát nổi hệ thống CNTT, làm tăng số điểm yếu và nguy cơ mất an toàn của hệ thống. Các nguy cơ bảo mật ngày càng nở rộ đã và đang đe doạ ngành ngân hàng về nhiều mặt: thiệt hại về tài chính do các giao dịch giả mạo, do bị gián đoạn giao dịch và quan trọng hơn cả là ảnh hưởng đến hình ảnh cũng như uy tín của ngân hàng. Trong khi đó, các ngân hàng vẫn phải liên tục mở rộng dịch vụ, đặc biệt là các dịch vụ ngân hàng điện tử và sử dụng công nghệ để cạnh tranh với những đối thủ cạnh tranh trong cũng như ngoài ngành - điều này đồng nghĩa với việc chấp nhận nguy cơ mất an toàn cao hơn. Chính vì vậy, Ban lãnh đạo VietinBank xác định BMAT là ưu tiên hàng đầu khi thiết kế, xây dựng và cung cấp các hệ thống, dịch vụ. Do không có hệ thống nào là an toàn tuyệt đối nên vấn đề bảo mật phải được xem xét trong mối quan hệ hữu cơ với công tác quản lý rủi ro của cả ngân hàng: bảo mật không chỉ là đảm bảo hệ thống vận hành an toàn thông suốt mà còn phải giúp rà soát, quản trị hiệu quả mọi rủi ro trong các hoạt động, dịch vụ ngân hàng. Xét trên một phương diện khác, quan điểm chỉ đạo đó còn giúp Ngân hàng tránh được sai lầm coi bảo mật như một “cỗ máy” tiêu tốn tiền của, cản trở quá trình kinh doanh, triển khai “vừa đủ” để đáp ứng các quy định bắt buộc của các tổ chức hữu quan hay “chữa cháy” khi bị khách hàng phàn nàn quá nhiều. Một trong những điểm mấu chốt trong chiến lược đảm bảo an ninh thông tin của VietinBank là gắn BMAT thông tin với việc củng cố và phát triển niềm tin của khách hàng, đem lại lợi thế so sánh trong cạnh tranh. An toàn bảo mật là một khái niệm rất rộng và được xác định theo từng môi trường cụ thể. Không có một mô hình chính xác phù hợp cho tất cả các hệ thống. VietinBank đã áp dụng giải pháp là thừa nhận 2 điểm mang tính kết hợp: Thứ nhất, để đảm bảo an toàn bảo mật phải kết hợp cả công nghệ và chính sách; Thứ hai, an toàn bảo mật là một quá trình, không có kết thúc, nó không phải là một vấn đề có thể giải quyết một lần. Từ năm 2001, VietinBank đã triển khai một chiến lược đảm bảo BMAT tổng thể, bảo vệ theo chiều sâu. Đó là sự kết hợp của nhiều thành phần bảo mật khác nhau: Bảo mật vật lý, Bảo mật hạ tầng mạng, bảo mật hệ thống, bảo mật host, bảo mật ứng dụng, bảo mật dữ liệu, bảo mật cho người dùng, ... Các hệ thống BMAT thông tin được đội ngũ chuyên trách về an toàn thông tin liên tục xem xét và thực hiện theo một quá trình bảo mật thông tin khép kín gồm 4 bước, tạo thành một chu trình được lặp lại nhằm liên tục hoàn thiện hệ thống BMAT thông tin cho VietinBank. Do bản chất phức tạp của hệ thống CNTT (ngay cả khi chưa tính đến những yêu cầu khắt khe về an toàn bảo mật), việc đảm bảo tính tin cậy, toàn vẹn và sẵn sàng cho hệ thống thông tin cũng như các dịch vụ của ngân hàng là cực kỳ khó khăn. Ngoài ra, vì yêu cầu bảo mật luôn có khả năng xung đột với mong muốn thực hiện các công việc một cách đơn giản, dễ dàng, nhanh chóng nên ngay từ đầu VietinBank đã xác định tính khả khi là yêu cầu bắt buộc của mọi giải pháp, chính sách bảo mật. Tính khả thi được xem xét dựa trên những tiêu chí căn bản sau: - Phức tạp ở mức chấp nhận được - Độ trễ do các hoạt động bảo mật chấp nhận được - Dễ quản lý - Có cơ chế tạo báo cáo, giám sát - Có cơ chế cảnh báo rõ ràng - Chi phí tương ứng với đối tượng cần bảo vệ. Các nhóm giải pháp Để có được chiến lược bảo đảm an toàn bảo mật hiện nay, VietinBank đã phải trải qua rất nhiều khó khăn vướng mắc, với nhiều bài học kinh nghiệm cũng như những vướng mắc không tránh khỏi. Đến nay, mặc dù còn không ít việc phải làm nhưng có thể khẳng định rằng những định hướng chung về bảo mật của VietinBank đã được triển khai thành những giải pháp đồng bộ từ cả thiết bị, công nghệ, con người cho đến quy trình. Với sự quan tâm, ủng hộ từ cấp lãnh đạo cao nhất và đội ngũ cán bộ chuyên trách được đào tạo, tôi luyện trong môi trường thực tế, VietinBank đã áp dụng các nhóm giải pháp sau: 1. Về quản lý và tổ chức 1.1. Xây dựng hành lang pháp lý đối với các hoạt động Ngân hàng bao gồm các quy chế, chính sách, các tiêu chuẩn về an toàn bảo mật thông tin. 1.2. Xây dựng một cơ chế quản lý tài nguyên hệ thống và các nguy cơ tương ứng đối với các tài nguyên đó. 1.3. Xây dựng cơ chế quản lý và kiểm soát an toàn thông tin với quy trình quản trị hệ thống và ứng dụng các phần mềm quản lý chính sách. 2. Về công nghệ 2.1. Kiểm soát truy cập: Thiết lập cơ chế kiểm soát chứng thực người dùng nhiều vòng trước khi cho phép truy cập vào hệ thống. Không chỉ giới hạn trong việc xác thực người dùng, VietinBank còn triển khai hệ thống NAC (Network Admission Control) Cisco để kiểm soát mọi máy tính truy cập vào hệ thống mạng. Tất cả các máy móc thiết bị kết nối mạng chưa đảm bảo các tiêu chuẩn về mặt an ninh (do VietinBank quy định) đều bị chặn lại hoặc cô lập và thông báo với người quản trị. 2.2. Firewall: Hiện VietinBank có gần 100 firewall các loại được triển khai ở vùng core banking, vùng ngân hàng điện tử và tại các chi nhánh tạo ra các vùng biên giữa các hệ thống để hạn chế và giám sát luồng thông tin giữa các hệ thống, ngăn chặn các kết nối bất hợp pháp. Các firewall được sử dụng và triển khai hiệu quả với các chính sách kết nối khắt khe nhằm đảm bảo an toàn hệ thống. 2.3. Lọc nội dung: sử dụng các công cụ phần mềm lọc bỏ và cấm các truy xuất vào các nguồn thông tin hoặc tài liệu không thích hợp cho công việc. 2.4. Xây dựng các hệ thống phòng chống và phát hiện xâm nhập. Các hệ thống quét Virus, antispyware, antispam... 2.5. Thực hiện các cơ chế mã hoá thông tin, xây dựng hạ tầng PKI. 2.6. Thường xuyên dò tìm, phát hiện lỗ hổng hệ thống. 2.7. Thiết lập hệ thống cung cấp bản vá lỗ hổng bảo mật. 2.8. Xây dựng cơ chế dự phòng và phục hồi hệ thống đảm bảo tính liên tục của hệ thống. 3. Về giáo dục, đào tạo Với nỗ lực chuẩn hoá hạ tầng, phân vùng/kiểm soát truy cập mạng, kiểm soát các các cửa ngõ, các phân vùng quan trọng và thường xuyên giám sát, phản ứng kịp thời của các cán bộ kỹ thuật, những nguy cơ bảo mật truyền thống đã được ngăn chặn và đẩy lùi có hiệu quả, góp phần đảm bảo sự vận hành thông suốt của toàn bộ hệ thống. Tất nhiên, đó còn là nhờ việc tăng cường giáo dục, đào tạo, thường xuyên kiểm tra, nhắc nhở cán bộ nhân viên về sự cần thiết của bảo mật cũng như các biện pháp, quy định bảo mật của ngân hàng. Các quy định, chính sách bảo mật cho người dùng cuối, các quy trình cho đội ngũ cán bộ CNTT cũng được rà soát/chỉnh sửa theo hướng chuẩn hóa, nâng cao tính bảo mật. Kết hợp với biện pháp triển khai các giải pháp xác thực mạnh như PalmSecure, thẻ sinh mã dùng một lần SecurId của RSA, việc cập nhật kiến thức về lập trình bảo mật cho các cán bộ phát triển ứng dụng và bổ sung chức năng kiểm soát của bộ phận chuyên trách trước cũng như sau khi cập nhật chương trình đã góp phần nâng cao độ an toàn của hệ thống, giúp đem lại cho khách hàng nhiều dịch vụ mới với chất lượng, độ tin cậy cao hơn. Để tránh việc đội ngũ bảo mật và các giải pháp bảo mật bị biến thành những ốc đảo trong sa mạc của sự thờ ơ, VietinBank đã thúc đẩy việc xây dựng các quy trình bảo mật theo chuẩn ISO 17799 và tăng cường giáo dục cho cán bộ nhân viên về sự cần thiết của bảo mật cũng như các biện pháp, quy định bảo mật của ngân hàng, cố gắng biến BMAT thông tin trở thành một phần hữu cơ trong mỗi quy trình dịch vụ. Khi mỗi một nhân viên ngân hàng, dù ở bộ phận nào, làm trong khâu nào của quá trình cung cấp dịch vụ, cũng hiểu được tầm quan trọng của vấn đề BMAT thông tin cho khách hàng và những biện pháp mà họ cần thực hiện để đạt tới mục đích đó thì chất lượng dịch vụ sẽ được nâng cao, giúp khách hàng hài lòng, yên tâm hơn và biến bảo mật trở thành một lợi thế cạnh tranh cho ngân hàng. Tuy đã đạt được những kết quả đáng khích lệ trong việc nâng cao an toàn bảo mật của hệ thống, góp phần triển khai nhiều ứng dụng mới nhưng vẫn còn nhiều công việc đang chờ đợi vì “bảo mật là một quá trình” và quá trình đó sẽ không có điểm dừng. Trên con đường gian khó, đầy thử thách thú vị để bảo vệ sự phát triển của các dịch vụ ngân hàng, đội ngũ cán bộ CNTT VietinBank tự tin vì trong hành trang của mình đã có những giải pháp được đúc kết qua nhiều năm, trong đó quan trọng nhất là sự kết hợp hài hoà giữa công nghệ, con người và quy trình.