Triển khai IBM INFOSPHERE GUARDIUM cho ngân hàng TMCP công thương Việt Nam

I.GIỚI THIỆU

Ngân hàng TMCP Công Thương Việt Nam – Vietinbank là một trong những Ngân hàng TMCP lớn nhất Việt Nam hiện nay, giữ vai trò quan trọng, trụ cột của ngành Ngân hàng Việt Nam. Trong những năm qua, Vietinbank đã không ngừng phát triển với số lượng các khách hàng doanh nghiệp, khách hàng cá nhân không ngừng tăng cao. Không chỉ hoạt động trong nước, Vietinbank cũng là Ngân hàng đầu tiên có chi nhánh hoạt động tại Châu Âu. Với quy mô hoạt động rộng lớn, Vietinbank có hàng triệu giao dịch tài chính mỗi ngày, vì vậy Vietinbank luôn coi trọng việc đầu tư hạ tầng Công nghệ thông tin cho hoạt động của toàn Ngân hàng với chiến lược cụ thể và có lộ trình rõ ràng.

II. YÊU CẦU


Nhằm mục đích bảo đảm tốt hơn vấn đề an ninh thông tin mà cụ thể là tăng cường bảo mật các hệ thống cơ sở dữ liệu (CSDL) quan trọng đang được vận hành, VietinBank đặt ra các mục tiêu cụ thể trong việc trang bị hệ thống CNTT có khả năng đáp ứng các yêu cầu sau:

- Giám sát hành động trên CSDL: Thu thập, phân tích và giám sát mọi hành động theo thời gian thực trên CSDL được triển khai bảo mật.

- Phát hiện và ngăn chặn các xâm nhập vào CSDL từ các nguồn/ kênh trái phép, phát hiện và ngăn chặn theo thời gian thực mọi hành vi trái phép trên CSDL.

- Ngăn chặn mất mát dữ liệu và che dấu dữ liệu với những truy cập trái phép, không thẩm quyền.

- Cảnh báo theo thời gian thực và báo cáo đánh giá theo các chuẩn quốc tế.

III.GIẢI PHÁP

Để đáp ứng các mục tiêu trên, HPT đã lựa chọn và đề xuất giải pháp Bảo mật Dữ liệu IBM InfoSphere Guardium với các khả năng vượt trội và toàn diện trong việc đảm bảo an toàn cho hệ thống dữ liệu của VietinBank như:

Cung cấp các tính năng bảo mật tiên tiến:

- Giám sát hành động trên CSDL và cảnh báo theo thời gian thực.

- Ngăn chặn truy cập CSDL trái phép. Ngăn chặn mất mát dữ liệu và che dấu dữ liệu. Tự động hóa quy trình kiểm toán tuân theo các chuẩn bảo mật quốc tế.

- Rà soát và đánh giá các lỗ hổng bảo mật liên quan đến CSDL.

- Dễ dàng trong việc xây dựng chính sách bảo mật và báo cáo hậu kiểm.

- Hỗ trợ hầu hết các hệ thống CSDL phổ biến trên thế giới hiện nay như Oracle, DB2, Netezza, Informix, MS SQL Server, MySQL, Sybase…

- Hỗ trợ môi trường đa nền tảng hệ điều hành như MS Windows, Sun Solaris, Linux, AIX, HP-UX, Exadata, z/OS…

- Giải pháp nằm tách biệt và không tác động làm thay đổi đến cấu hình, nội dung CSDL được giám sát, bảo vệ. Khả năng triển khai linh hoạt: Có thể triển khai dưới hình thức Appliance sử dụng máy chủ IBM được cài đặt sẵn giải pháp nhằm giảm bớt công đoạn cài đặt ban đầu và bảo đảm hiệu năng hoạt động ổn định trên nền tảng thiết bị phần cứng vật lý. Hoặc có thể sử dụng Software Appliance để triển khai trên các máy chủ vật lý sử dụng vi xử lý Intel Xeon hoặc trên nền tảng ảo hóa VMware ESX.

- Đảm bảo an toàn dữ liệu cho Hệ thống quản lý tài chính nội (Oracle EBS) và Hệ thống thẻ (Tranzware) của Vietin- bank

Ngoài ra, giải pháp IBM Guardium còn có khả năng tích hợp với các hệ thống khác của VietinBank nhằm nâng cao hiệu quả trong công tác giám sát bảo mật tập trung cho toàn bộ hạ tầng CNTT của Ngân hàng, đưa ra các cảnh báo kịp thời khi có những hành vi truy cập bất thường tới các hệ thống CSDL quan trọng của Vietinbank.

IV. TÍNH NĂNG

Giám sát

- Quyền truy cập của người dùng và các hoạt động trên nội tại máy chủ (local server) mà không thông qua kết nối mạng, tránh những hành vi trái phép được thực hiện ngay trên máy chủ.

- Các tác truy cập vào Store Procedure/ Trigger/User-de†ned như tạo, sửa, thực thi… Các hành động đặc quyền sử dụng các câu lệnh DDL (Data De†nition Language), các thay đổi Schema của CSDL (Create, Alter, Drop…), các tác vụ sửa đổi tài khoản (Account), vai trò (Roles) và các đặc quyền Grant, Revoke.

- Các câu lệnh thao tác tới nội dung dữ liệu DML (Data Manipulation Language) như thêm mới dữ liệu (Insert), cập nhật dữ liệu (Update), xóa bỏ dữ liệu (Delete).

Ngăn chặn

- Theo thời gian và nguồn gốc của hành vi.

- Những đối tượng (chương trình, quản trị viên) không có quyền truy cập vùng dữ liệu cần bảo vệ bằng cách che dấu (masking data) các dữ liệu quan trọng.

- Các dữ liệu quan trọng bị lộ trên các báo cáo kiểm toán, màn hình giám sát, dữ liệu tạm thời, bộ lưu trữ của giải pháp và các dữ liệu lưu trữ trong các bản ghi (Log) của hệ thống.

- Thất thoát dữ liệu thông qua các biểu thức hoặc mẫu.

Báo cáo và cảnh báo

- Tổng hợp các hoạt động diễn ra trên CSDL.

- Các lỗi do người dùng gây ra trên CSDL.

- Chi tiết về các câu lệnh SQL được thực hiện trong một khoảng thời gian nhất định nào đó.

- Thông số, trạng thái hoạt động tải của các thành phần trên máy chủ CSDL như: CPU, Băng thông (Throughput), số lượng kết nối trên giây (Connection/second), số lượng câu truy vấn SQL tới CSDL.

V. CHÍNH SÁCH BẢO MẬT

Đáp ứng các yêu cầu theo nội dung triển khai, các chính sách bảo mật được áp dụng trên hệ thống IBM Guardium đối với các hệ thống Cơ sở dữ liệu quan trọng của Vietinbank như sau:

- Ghi lại toàn bộ các hoạt động của người dùng trên hệ thống cơ sở dữ liệu

- Ghi lại toàn bộ những lần thực hiện đăng nhập sai của người dùng tới hệ thống Cơ sở dữ liệu

- Thực hiện cảnh báo (Alert) khi người dùng đăng nhập vào hệ thống CSDL sai 03 lần trong thời gian 05 phút.

- Thực hiện cảnh báo (Alert) khi có truy vấn tới các Dữ liệu nhạy cảm.

- Thực hiện cảnh báo (Alert) khi có các sửa đổi về cấu trúc của các bảng Dữ liệu nhạy cảm (Sử dụng các câu lệnh DDL)

- Thực hiện cảnh báo (Alert) khi có các sửa đổi về quyền hạn của người dùng, quản trị viên CSDL (Sử dụng các câu lệnh DCL)

- Thực hiện cảnh báo (Alert) khi có các sửa đổi về nội dung của các bảng Dữ liệu nhạy cảm (Sử dụng các câu lệnh DML)

VI. LỢI ÍCH


- Đảm bảo an toàn dữ liệu giúp doanh nghiệp dành được niềm tin của khách hàng, tăng uy tín của Ngân hàng và tăng cường năng lực cạnh tranh trên thị trường.

- Đơn giản hóa, tự động hóa quy trình bảo đảm an toàn cho hệ thống thông tin của doanh nghiệp, tăng khả năng bảo mật hệ thống, nhanh chóng phát hiện các lỗ hổng bảo mật để có biện pháp vá lỗi kịp thời. Tuân thủ các chuẩn quốc tế về bảo mật như PCI-DSS, SOX.

- Tách biệt quyền hạn và trách nhiệm của người dùng trong hệ thống giúp giảm thiểu các nguy cơ tấn công từ bên ngoài và thất thoát dữ liệu từ bên trong hệ thống mà không cần thay đổi ứng dụng hay các hệ thống dữ liệu được bảo vệ.

- Tăng khả năng bảo mật đối với các thông tin tài chính, tài khoản, giảm thiểu chi phí cho kiểm toán và báo cáo. Dễ dàng vận hành, thiết lập và sửa đổi các chính sách bảo mật, tạo các báo cáo hậu kiểm. Hệ thống được giám sát và cảnh báo theo thời gian thực giúp phát hiện và ngăn chặn tức thì các hành vi trái phép trên hệ thống CSDL.