English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Giải pháp bảo mật toàn diện cho 1 cổng thanh toán điện tử  XML
  [Discussion]   Giải pháp bảo mật toàn diện cho 1 cổng thanh toán điện tử 13/03/2011 21:23:26 (+0700) | #1 | 232991
[Avatar]
 punkrock
Member
[Minus]    0    [Plus]
Joined: 22/03/2007 19:15:25
Messages: 9
Offline
[Profile] [PM] [Email]
Hi các bác,
Em mở topic này để các bác ai có kinh nghiệm thì tham gia thảo luận về các giải pháp bảo mật cho 1 cổng thanh toán điện tử.
Như chúng ta đã biết thì bảo mật chính là vấn đề khó khăn nhất khi một doanh nghiệp tham gia vào thương mại điện tử, mà nhất là thanh toán điện tử liên quan đến tiền nong. Hiện nay việc hack tài khoản, thông tin cá nhân trên mạng khá dễ dàng. Người dùng thì luôn muốn sử dụng dịch vụ thuận tiện, nhanh gọn, nhưng nhà cung cấp dịch vụ thì có trách nhiệm bảo vệ người dùng nên luôn phải áp dụng các giải pháp bảo mật, chính sách bảo mật loàng ngoằng dẫn đến việc khó sử dụng dịch vụ với những người dùng không thông thạo IT. Em muốn mọi người thảo luận xem đâu là giải pháp toàn diện nhất và áp dụng cho những ai muốn tham gia thương mại điện tử mà cụ thể là cổng thanh toán đem lại sự tiện lợi cho mọi người.
Em xin mở màn với những hiểu biết nho nhỏ của em.
1. Áp dụng chuẩn
Em nghĩ trước khi mình nghĩ ra điều gì đó hay ho, thì mình cứ áp dụng chuẩn quốc tế trước smilie. Chuẩn mà em nghĩ nên theo ở đây là PCI-DSS (https://www.pcisecuritystandards.org/security_standards/index.php) bởi vì mục tiêu của em là xây dựng cổng thanh toán, nó sẽ xử lý thông tin thẻ, thông tin ngân hàng nhạy cảm. Việc đạt theo chuẩn này không nhất thiết là mình cần 1 bên thứ 3 chứng nhận vì thực chất mình có thể tự verify bằng cách Self-Assessment Questionnaire.
Việc áp dụng chuẩn của em có thể nói chi tiết như sau:

1.1. Sử dụng Firewall để bảo vệ dữ liệu khỏi việc truy cập bất hợp pháp
Chúng ta cần làm giảm các rủi ro cũng như nguy hại tiềm tàng bằng cách bảo vệ hệ thống và mạng của chúng ta khỏi các vụ tấn công cố ý nhằm khai thác các lỗ hổng bảo mật. Firewall là lựa chọn ưu tiên đầu tiên vì nó sẽ như là một bộ lọc các gói tin không mong muốn từ bên ngoài đi vào mạng nội bộ và ngược lại, cách ly vùng nhậy cảm với những vùng khác trong nội bộ.

1.2. Sử dụng mã hóa đối xứng, mã hóa bất đối xứng khi trao đổi dữ liệu với đối tác hay truyền tải ra ngoài mạng.
Bất kì khi nào trao đổi dữ liệu ra ngoài mạng (Internet, Wifi, GSM, GPRS, 3G), chúng ta đều cần phải sử dụng các giải thuật mã hóa và giao thức bảo mật thật mạnh ví dụ như SSL/TLS, và IPSec, VPN để bảo vệ các thông tin nhạy cảm.

1.3. Việc lưu trữ các thông tin nhạy cảm của khách hàng vào DB, file... phải được mã hóa khóa bí mật.
- File- or folder-level encryption
- Full disk encryption
- Database (column-level) encryption

1.4. Sử dụng các giải pháp bằng vật lý kết hợp phần mềm (HSM, chương trình diệt virus...) để nâng cao tình bảo mật.
HSM: thiết bị mã hóa bằng phần cứng, có thể lưu trữ key một cách an toàn, ngoài ra còn có khả năng mã hóa và giải mã rất nhanh.
Chương trình diệt virus sẽ giúp hệ thống an toàn bởi sự rình rập của trojan, virus, spyware có thể phá hủy hoặc ăn trộm thông tin cá nhân.

1.5. Đưa ra các chính sách bảo mật (hạn chế truy cập, gắn ID cho mỗi thành viên có quyền truy cập...).
Access control: áp dụng nguyên tắc need-to-know, authentication-authorization-audit (xác định cá nhân là ai – quyền làm gì – đã làm gì).
Gắn Id riêng cho mỗi thành viên khi truy cập vào hệ thống.
Nắm và thay hết các default config của hệ thống và của các ứng dụng thứ 3.
Hủy các cổng, giao thức, service không cần thiết.

1.6. Lưu lại một số thông tin khách hàng nhằm mục đích bảo vệ và chăm sóc khách hàng
Lưu Ip truy nhập, nếu khách hàng truy nhập từ Ip khác, có cảnh báo.

1.7. Luôn lưu log và giám sát toàn bộ các tiến trình hệ thống, các thao tác truy cập tài nguyên, dữ liệu nhạy cảm.
Chú ý đến các nguồn có thể sinh ra log để có thể xác định log một cách chính xác khi có sự cố xả ra.
Đưa ra các cảnh báo run-time khi gặp lỗi, sự cố (SMS, call,...).
Có xuất báo cáo hằng ngày, hàng tuần về hoạt động của hệ thống.

2. Các chính sách bảo mật:
Sử dụng giải pháp bảo mật 2-factor để xác thực người dùng, tránh giả mạo
Sử dụng token cứng, OTP qua SMS hoặc IVR, như vậy dù người dùng có bị mất thẻ hay thông tin thẻ thì vẫn còn 1 factor nữa để xác thực vd như token cứng, số điện thoại...

Em mới đưa ra được chừng này, các bác xem có nhiều lỗ hổng không smilie
Mong mọi người góp ý bổ sung. Em nghĩ, cần phải thêm nhiều penetration test nữa mới biết hệ thống mạnh ra sao smilie
[Up] [Print Copy]
  [Discussion]   Giải pháp bảo mật toàn diện cho 1 cổng thanh toán điện tử 18/03/2011 15:13:02 (+0700) | #2 | 233427
[Avatar]
 punkrock
Member
[Minus]    0    [Plus]
Joined: 22/03/2007 19:15:25
Messages: 9
Offline
[Profile] [PM] [Email]
Có phải vì em viết nhiều chữ quá không nhỉ smilie
Hay là do chủ để + nội dung nhàm chán smilie
[Up] [Print Copy]
  [Discussion]   Giải pháp bảo mật toàn diện cho 1 cổng thanh toán điện tử 18/03/2011 16:25:14 (+0700) | #3 | 233436
[Avatar]
 Phó Hồng Tuyết
Member
[Minus]    0    [Plus]
Joined: 20/04/2007 20:02:10
Messages: 275
Location: Nơi Sâu Thẳm Tâm Hồn
Offline
[Profile] [PM] [WWW] [Yahoo!]
vấn đề bạn đưa ra rất rộng. Nên không ai có thể trao đổi cùng bạn được.

mình cũng mạo muội góp một chút kiến thức.

Các vấn đề bạn nêu ở trên mới chỉ dừng lại ở mức độ ứng dụng & công nghệ.

mà công nghệ chỉ chiếm 1/3 trong phần bảo mật cho một cổng thanh toán điện tử (theo mình hiểu ).

Riêng việc sử lý thẻ có hai vấn đề bạn cần quan tâm:

1. sử lý thẻ trực tiếp trong thanh toán.
2. sử lý thẻ gián tiếp trong thanh toán.

còn rất nhiều vấn đề mà mình không thể nói ra hết được. và mình cũng thật sự không biết

smilie
"Một người thành công không có ý nghĩ đổ thừa thất bại do ...."
[Up] [Print Copy]
  [Discussion]   Giải pháp bảo mật toàn diện cho 1 cổng thanh toán điện tử 21/03/2011 13:49:52 (+0700) | #4 | 233636
[Avatar]
 punkrock
Member
[Minus]    0    [Plus]
Joined: 22/03/2007 19:15:25
Messages: 9
Offline
[Profile] [PM] [Email]
nó lớn thì mình xây dựng dần, ai am hiểu lĩnh vực nào, nhánh nào thì tư vấn, bàn luận về lĩnh vực đó. xong rồi tổng hợp lại, mình sẽ được 1 vấn đề lớn. Những gì phức tạp, mình chia nhỏ để giải quyết smilie
Mọi ý kiến đều welcome, mình nghĩ vậy smilie
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|