Đánh giá bảo mật hệ thống Internet banking cho Ngân hàng Maruhan Japan (Cambodia)

I. Giới thiệu

Maruhan Japan bank – là ngân hàng lớn với 100% vốn đầu tư từ Nhật Bản, là một trong những ngân hàng nổi tiếng tại thủ đô Phnôm-Pênh, Campuchia. Maruhan cung cấp nhiều dịch vụ ngân hàng chuyên nghiệp, hướng tới nhiều đối tượng người dùng như cá nhân, tổ chức, doanh nghiệp, chính phủ. Maruhan luôn không ngừng phát triển, áp dụng những kinh nghiệm ở thị trường quốc tế vào thị trường Campuchia với mong muốn đóng góp cho sự phát triển của Campuchia với sứ mệnh nâng cao chất lượng và phát triển đời sống cộng đồng cho nhân dân Campuchia, mang đến chất lượng dịch vụ đạt chuẩn quốc tế.

II. Thách thức yêu cầu

Năm 2011, tiếp bước cho sự phát triển vượt bậc, ngân hàng Maruhan đầu tư xây dựng hệ thống Internet banking – hệ thống ngân hàng trực tuyến cung cấp các dịch vụ trực tuyến cho khách hàng, đưa Internet banking thành thế mạnh, chiến lược phát triển quan trọng song song với sự phát triển của ngân hàng. Trước khi đưa hệ thống Internet banking vào hoạt động, Maruhan mong muốn toàn bộ hệ thống phải trải qua các quy trình an ninh thông tin, các quy trình đánh giá bảo mật độc lập và tin cậy để đảm bảo an toàn, ổn định và tính toàn vẹn cho các dịch vụ ngân hàng trực tuyến khi đưa vào hoạt động, giảm thiểu tối đa nguy cơ bị tấn công bởi tội phạm mạng

- Hệ thống Internet Banking của ngân hàng cần được đánh giá các thành phần sau:

- Đánh giá hệ thống website để phát hiện các nguy cơ từ phía ngoài internet.

- Kiểm định các thành phần của hệ thống để phát hiện các nguy cơ từ bên trong thông qua việc kiểm định mã nguồn ứng dụng và hệ thống máy chủ.

- Đánh giá hệ thống website theo chuẩn PCI DSS.

III. Giải pháp

Đáp ứng tất cả những yêu cầu trên của khách hàng, HPT được tin cậy lựa chọn là nhà cung cấp dịch vụ đánh giá bảo mật cho hệ thống Internet Banking của ngân hàng Maruhan. Hệ thống Internet Banking của ngân hàng cần được đánh giá các thành phần sau:

- Dịch vụ bảo mật HPT cung cấp cho ngân hàng Maruhan gồm 02 dịch vụ chính:

- Dịch vụ đánh giá bảo mật – Penetration Testing

- Dịch vụ kiểm tra bảo mật – Secu- rity Auditing.

Dịch vụ Đánh giá Bảo mật – Penetration Testing

Phạm vi của việc đánh giá bảo mật hệ thống bao gồm việc đánh giá bảo mật tất cả các thành phần của hệ thống dưới các góc độ sau : Blackbox, Greybox và Whitebox.

- Blackbox : Giả lập tầm nhìn của Hacker, tấn công vào hệ thống từ phía ngoài

- Greybox : Với vai trò là nhân viên/người dùng có quyền hạn trong hệ thống, thực hiện các kỹ thuật đánh giá bảo mật leo thang, kiểm tra khả năng tấn công vượt quyền hạn của người dùng của hệ thống

- Whitebox: Với vai trò là người quản trị hệ thống, đánh giá toàn bộ thành phần và đưa ra báo cáo chi tiết trên từng thiết bị.

-Trong gói dịch vụ sử dụng, Maruhan đã chọn dịch vụ đánh giá Blackbox và Greybox.
Báo cáo cho quá trình đánh giá bảo mật cung cấp chi tiết và độc lập theo chuẩn OWASP và PCI DSS thể hiện các nội dung:

+ Mô tả công việc

+ Phạm vi công việc

+ Phương pháp tiếp cận

Phương pháp sử dụng

Mô tả chi tiết lỗ hổng

+ Đưa ra khuyến nghị khắc phục

Dịch vụ kiểm tra bảo mật – Security Auditing


Phạm vi của việc kiểm tra bảo mật trên hệ thống Internet Banking bao gồm các công tác kiểm định sau:

- Kiểm tra bảo mật mã nguồn ứng dụng

- Kiểm tra bảo mật các cấu hình trên hệ thống máy chủ Internet Banking

Báo cáo chi tiết được cung cấp thể hiện rõ: Mô tả công việc

- Phạm vi công việc

- Các le cấu hình bị lỗi và cụ thể tham số gây lỗi

- Ảnh hưởng đến hệ thống

- Khuyến nghị cách khắc phục

III. Lợi ích mang đến

- HPT là đơn vị cung cấp dịch vụ thông tin có nhiều kinh nghiệm trong dịch vụ đánh giá bảo mật. Kỹ sư HPT có đầy đủ các chứng chỉ bảo mật danh giá như CEH, CCIE, CISSP, CISA….

- Dịch vụ đánh giá bảo mật của HPT được thực hiện theo các quy trình, tiêu chuẩn bảo mật tổi tiếng như OWASP-2010, PCI DSS, OSTMM, ISO 27001…

- Sau khi hệ thống Internet Banking của ngân hàng Maruhan được đánh giá và kiểm tra bảo mật, Phòng CNTT của ngân hàng đã tiến hành khắc phục các lỗ hổng còn tồn tại, tối ưu bảo mật hệ thống và sẵn sàng đưa hệ thống vào chạy thực tế và giới thiệu với khách hàng Lợi ích mang lại

IV. Nhận xét của khách hàng


Phụ trách bộ phận CNTT của ngân hàng, ông Vongsa Neou bày tỏ sự hài lòng với đội ngũ kỹ thuật có trình độ chuyên môn cao và tác phong làm việc chuyên nghiệp, nhiệt tình của HPT. Việc thực hiện thành công dịch vụ bảo mật ở ngân hàng Nhật Bản với những yêu cầu cao về mặt chất lượng đã thể hiện khả năng chuyên môn tốt và hứa hẹn sự phát triển của dịch vụ an ninh hệ thống trong lĩnh vực đánh giá bảo mật cho hệ thống Internet Banking nói riêng và hệ thống mạng nói chung của doanh nghiệp. Nhận xét của khách hàng