Tiu lun “ Các nhóm gii pháp bo mt và
an toàn thông tin ti VietinBank “
Trong nhng năm gn đây, vn đề bo mt đang tr thành mt vn đề nóng, đặc
bit vi h thng ngân hàng, nơi mà h thng công ngh thông tin (CNTT) chi
phi mi hot động kinh doanh thì có th nói vn đề bo mt và an toàn (BMAT)
thông tin mang tính sng còn.
Là mt ngân hàng có truyn thng v ng dng CNTT, Ngân hàng Công thương
Vit Nam (VietinBank) sm nhn thc được tm quan trng ca công tác bo mt
và quan tâm đầu tư nghiêm túc cho lĩnh vc này.
Vai trò ca công tác bo mt và an toàn thông tin
S phát trin bùng n ca công ngh và mc độ phc tp ngày càng tăng có th
dn đến kh năng không kim soát ni h thng CNTT, làm tăng s đim yếu và
nguy cơ mt an toàn ca h thng. Các nguy cơ bo mt ngày càng n r đã và
đang đe do ngành ngân hàng v nhiu mt: thit hi v tài chính do các giao dch
gi mo, do b gián đon giao dch và quan trng hơn cnh hưởng đến hình
nh cũng như uy tín ca ngân hàng. Trong khi đó, các ngân hàng vn phi liên tc
m rng dch v, đặc bit là các dch v ngân hàng đin t và s dng công ngh
để cnh tranh vi nhng đối th cnh tranh trong cũng như ngoài ngành - điu này
đồng nghĩa vi vic chp nhn nguy cơ mt an toàn cao hơn. Chính vì vy, Ban
lãnh đạo VietinBank xác định BMAT là ưu tiên hàng đầu khi thiết kế, xây dng và
cung cp các h thng, dch v.
Do không có h thng nào là an toàn tuyt đối nên vn đề bo mt phi được xem
xét trong mi quan h hu cơ vi công tác qun lý ri ro ca c ngân hàng: bo
mt không chđảm bo h thng vn hành an toàn thông sut mà còn phi giúp
rà soát, qun tr hiu qu mi ri ro trong các hot động, dch v ngân hàng. Xét
trên mt phương din khác, quan đim ch đạo đó còn giúp Ngân hàng tránh được
sai lm coi bo mt như mt “c máy” tiêu tn tin ca, cn tr quá trình kinh
doanh, trin khai “va đủđể đáp ng các quy định bt buc ca các t chc hu
quan hay “cha cháy” khi b khách hàng phàn nàn quá nhiu. Mt trong nhng
đim mu cht trong chiến lược đảm bo an ninh thông tin ca VietinBank là gn
BMAT thông tin vi vic cng c và phát trin nim tin ca khách hàng, đem li
li thế so sánh trong cnh tranh.
An toàn bo mt là mt khái nim rt rng và được xác định theo tng môi trường
c th. Không có mt mô hình chính xác phù hp cho tt c các h thng.
VietinBank đã áp dng gii pháp là tha nhn 2 đim mang tính kết hp:
Th nht, để đảm bo an toàn bo mt phi kết hp c công ngh và chính sách;
Th hai, an toàn bo mt là mt quá trình, không có kết thúc, nó không phi là mt
vn đề có th gii quyết mt ln.
T năm 2001, VietinBank đã trin khai mt chiến lược đảm bo BMAT tng th,
bo v theo chiu sâu. Đó là s kết hp ca nhiu thành phn bo mt khác nhau:
Bo mt vt lý, Bo mt h tng mng, bo mt h thng, bo mt host, bo mt
ng dng, bo mt d liu, bo mt cho người dùng, ...
Các h thng BMAT thông tin được đội ngũ chuyên trách v an toàn thông tin liên
tc xem xét và thc hin theo mt quá trình bo mt thông tin khép kín gm 4
bước, to thành mt chu trình được lp li nhm liên tc hoàn thin h thng
BMAT thông tin cho VietinBank.
Do bn cht phc tp ca h thng CNTT (ngay c khi chưa tính đến nhng yêu
cu kht khe v an toàn bo mt), vic đảm bo tính tin cy, toàn vn và sn sàng
cho h thng thông tin cũng như các dch v ca ngân hàng là cc k khó khăn.
Ngoài ra, vì yêu cu bo mt luôn có kh năng xung đột vi mong mun thc hin
các công vic mt cách đơn gin, d dàng, nhanh chóng nên ngay t đầu
VietinBank đã xác định tính kh khi là yêu cu bt buc ca mi gii pháp, chính
sách bo mt. Tính kh thi được xem xét da trên nhng tiêu chí căn bn sau:
- Phc tp mc chp nhn được
- Độ tr do các hot động bo mt chp nhn đưc
- D qun lý
- Có cơ chế to báo cáo, giám sát
- Có cơ chế cnh báo rõ ràng
- Chi phí tương ng vi đối tượng cn bo v.
Các nhóm gii pháp
Đểđược chiến lược bo đảm an toàn bo mt hin nay, VietinBank đã phi tri
qua rt nhiu khó khăn vướng mc, vi nhiu bài hc kinh nghim cũng như
nhng vướng mc không tránh khi. Đến nay, mc dù còn không ít vic phi làm
nhưng có th khng định rng nhng định hướng chung v bo mt ca
VietinBank đã được trin khai thành nhng gii pháp đồng b t c thiết b, công
ngh, con người cho đến quy trình. Vi s quan tâm, ng h t cp lãnh đạo cao
nht và đội ngũ cán b chuyên trách được đào to, tôi luyn trong môi trường thc
tế, VietinBank đã áp dng các nhóm gii pháp sau:
1. V qun lý và t chc
1.1. Xây dng hành lang pháp lý đối vi các hot động Ngân hàng bao gm các
quy chế, chính sách, các tiêu chun v an toàn bo mt thông tin.
1.2. Xây dng mt cơ chế qun lý tài nguyên h thng và các nguy cơ tương ng
đối vi các tài nguyên đó.
1.3. Xây dng cơ chế qun lý và kim soát an toàn thông tin vi quy trình qun tr
h thng và ng dng các phn mm qun lý chính sách.
2. V công ngh
2.1. Kim soát truy cp: Thiết lp cơ chế kim soát chng thc người dùng nhiu
vòng trước khi cho phép truy cp vào h thng. Không ch gii hn trong vic xác
thc người dùng, VietinBank còn trin khai h thng NAC (Network Admission
Control) Cisco để kim soát mi máy tính truy cp vào h thng mng. Tt c các
máy móc thiết b kết ni mng chưa đảm bo các tiêu chun v mt an ninh (do
VietinBank quy định) đều b chn li hoc cô lp và thông báo vi người qun tr.
2.2. Firewall: Hin VietinBank có gn 100 firewall các loi được trin khai vùng
core banking, vùng ngân hàng đin t và ti các chi nhánh to ra các vùng biên
gia các h thng để hn chế và giám sát lung thông tin gia các h thng, ngăn
chn các kết ni bt hp pháp. Các firewall được s dng và trin khai hiu qu
vi các chính sách kết ni kht khe nhm đảm bo an toàn h thng.
2.3. Lc ni dung: s dng các công c phn mm lc b và cm các truy xut vào
các ngun thông tin hoc tài liu không thích hp cho công vic.
2.4. Xây dng các h thng phòng chng và phát hin xâm nhp.
Các h thng quét Virus, antispyware, antispam...
2.5. Thc hin các cơ chế mã hoá thông tin, xây dng h tng PKI.
2.6. Thường xuyên dò tìm, phát hin l hng h thng.
2.7. Thiết lp h thng cung cp bn vá l hng bo mt.
2.8. Xây dng cơ chế d phòng và phc hi h thng đảm bo tính liên tc ca h
thng.
3. V giáo dc, đào to
Vi n lc chun hoá h tng, phân vùng/kim soát truy cp mng, kim soát các
các ca ngõ, các phân vùng quan trng và thường xuyên giám sát, phn ng kp
thi ca các cán b k thut, nhng nguy cơ bo mt truyn thng đã được ngăn
chn và đẩy lùi có hiu qu, góp phn đảm bo s vn hành thông sut ca toàn b
h thng. Tt nhiên, đó còn là nh vic tăng cường giáo dc, đào to, thường
xuyên kim tra, nhc nh cán b nhân viên v s cn thiết ca bo mt cũng như
các bin pháp, quy định bo mt ca ngân hàng. Các quy định, chính sách bo mt
cho người dùng cui, các quy trình cho đội ngũ cán b CNTT cũng được rà
soát/chnh sa theo hướng chun hóa, nâng cao tính bo mt.
Kết hp vi bin pháp trin khai các gii pháp xác thc mnh như PalmSecure, th
sinh mã dùng mt ln SecurId ca RSA, vic cp nht kiến thc v lp trình bo
mt cho các cán b phát trin ng dng và b sung chc năng kim soát ca b
phn chuyên trách trước cũng như sau khi cp nht chương trình đã góp phn nâng
cao độ an toàn ca h thng, giúp đem li cho khách hàng nhiu dch v mi vi
cht lượng, độ tin cy cao hơn.
Để tránh vic đội ngũ bo mt và các gii pháp bo mt b biến thành nhng c
đảo trong sa mc ca s th ơ, VietinBank đã thúc đẩy vic xây dng các quy
trình bo mt theo chun ISO 17799 và tăng cường giáo dc cho cán b nhân viên
v s cn thiết ca bo mt cũng như các bin pháp, quy định bo mt ca ngân
hàng, c gng biến BMAT thông tin tr thành mt phn hu cơ trong mi quy