English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thảo luận bảo mật Dự thảo Quy định về yêu cầu hệ thống CNTT của công ty chứng khoán,  XML
  [Question]   Dự thảo Quy định về yêu cầu hệ thống CNTT của công ty chứng khoán, 25/03/2009 13:18:10 (+0700) | #1 | 174627
berserkbot
Member
[Minus]    0    [Plus]
Joined: 20/06/2003 19:15:47
Messages: 18
Offline
[Profile] [PM]
Chào cả nhà, lâu quá không ghé diễn đàn mình!

BTC, đang có dự thảo về yêu cầu hệ thống CNTT của công ty chứng khoán. Đã là dự thảo thì mọi người đều có thể tham gia, vì thế mà mình đặt ra topic này tại box này(tìm mãi box mà không thấy có box nào thích hợp hơn, nếu bạn Mod nào thấy có box thích hợp hơn thì move sang nhé).

Link file dự thảo: http://www.ssc.gov.vn/portal/pls/portal/shared_app.UTILS.download_file?p_file=798936.PDF hoặc mọi người vào UBCKNN để xem cũng được.

Mọi người hãy bình luận và cho ý kiến về dự thảo nhé,
[Up] [Print Copy]
  [Question]   Re: Dự thảo Quy định về yêu cầu hệ thống CNTT của công ty chứng khoán, 25/03/2009 13:21:16 (+0700) | #2 | 174628
berserkbot
Member
[Minus]    0    [Plus]
Joined: 20/06/2003 19:15:47
Messages: 18
Offline
[Profile] [PM]
Chào cả nhà, tớ xin bình luận mở màn, với kiến thức về bảo mật của mình thì tớ nghĩ chắc chỉ có lỗi bảo mật theo dạng 0-day thì mới có thể vượt qua dự thảo này. smilie. Có bạn nào có ý kiến tranh luận gì không ạ?
[Up] [Print Copy]
  [Question]   Re: Dự thảo Quy định về yêu cầu hệ thống CNTT của công ty chứng khoán, 25/03/2009 18:21:32 (+0700) | #3 | 174643
choc_
Member
[Minus]    0    [Plus]
Joined: 27/01/2009 06:46:01
Messages: 122
Offline
[Profile] [PM]
mình đọc sơ qua, thấy yêu cầu mật khẩu phải mã hóa bằng block cipher hay public-key crypto system là mình thấy cái dự thảo này có vấn đề rồi. lại còn khuyến nghị sử dụng 3DES nữa chứ lol. mình không biết đồng chí viết cái này có hiểu những gì mà đồng chí đang viết không?

nhìn kỹ lại, dự thảo này chỉ nói chung chung, mà không đi vào chi tiết, thành ra mình nghĩ giá trị của nó cũng chỉ ở mức chung chung, kiểu như làm kiểu nào thì cũng có thể hiểu là làm đúng theo dự thảo, hoặc ngược lại.

thí dụ đi vào chi tiết là thế nào?

với cái khuyến nghị sử dụng AES, 3DES, RSA để mã hóa mật khẩu (mình cứ giải sử đây là khuyến nghị đúng), thì người soạn cái dự thảo này nên có những đoạn nói về việc sử dụng AES, 3DES hay RSA sao cho đúng. Ví dụ key thì phải dài bao nhiêu, nên chọn mode nào cho block cipher, hay cần tham khảo code thì tham khảo ở đâu.

mà mình thấy tếu một đều (cái này mình thấy hoài) là tài liệu này chẳng hề có reference gì cả. giống như tác giả rất siêu phàm, tự nghĩ ra hết những thứ này từ đầu.

còn nhớ ngày đầu tiên mình đi học, việc đầu tiên mình được dạy là: phải tôn trọng công sức lao động của người khác, tham khảo cái gì thì phải cite cái đó, ghi rõ vào ai đã giúp mình làm cái gì, mình đã đọc đoan này ở đâu, mình đã chép đoạn kia ở chỗ nào. reference còn giúp người đọc mở rộng thêm tầm mắt, dạng như muốn đào sâu chỗ đó thì nên đọc cái gì, của ai.

anyway, mình thấy về tiêu chuẩn cho hệ thống thông tin, thì nên tham khảo cái đã có sẵn của bọn NIST.
[Up] [Print Copy]
  [Question]   Re: Dự thảo Quy định về yêu cầu hệ thống CNTT của công ty chứng khoán, 25/03/2009 21:08:32 (+0700) | #4 | 174650
mfeng
Researcher
Joined: 29/10/2004 15:16:29
Messages: 243
Offline
[Profile] [PM]
Vấn đề choc_ nói nằm ở chỗ VN chưa có một cơ quan chính thức chuyên ngành có trách nhiệm đưa ra các tiêu chuẩn an toàn thông tin (một dạng tương tự của NIST). Văn bản ở trên xuất phát từ một cơ quan hành chính công thông thường, vì thế người tư vấn kĩ thuật thường khó có đủ năng lực và tầm nhìn để viết một tài liệu kĩ thuật đủ tốt.
[Up] [Print Copy]
  [Question]   Re: Dự thảo Quy định về yêu cầu hệ thống CNTT của công ty chứng khoán, 25/03/2009 21:29:30 (+0700) | #5 | 174651
khi3mkp
Member
[Minus]    0    [Plus]
Joined: 21/11/2008 14:13:13
Messages: 27
Location: Und3rGr0unD
Offline
[Profile] [PM]
Code:
Vấn đề choc_ nói nằm ở chỗ VN chưa có một cơ quan chính thức chuyên ngành có trách nhiệm đưa ra các tiêu chuẩn an toàn thông tin (một dạng tương tự của NIST)

hehe cái này thì ở vn có BCY đó. Nhưng so với NIST thì vẫn còn thua xa, giống như ở sao hỏa và trái đất vậy. Trong cái bản dự thảo có vài vấn đề nhạy cảm nên E không comment thêm gì nữa.
[Up] [Print Copy]
  [Question]   Re: Dự thảo Quy định về yêu cầu hệ thống CNTT của công ty chứng khoán, 28/03/2009 13:56:02 (+0700) | #6 | 175069
thangdiablo
HVA Friend
Joined: 11/05/2003 17:31:58
Messages: 734
Offline
[Profile] [PM] [WWW]
Hôm nay vừa làm việc với 1 đồng chí thuộc ban pháp chế bên SSC. Có gọi điện hỏi về việc điều chưa rõ trong thông tư 50/2009 từ bộ tài chính.

Đồng chí trả lời rất chung chung, thông tư mà toàn đưa những ví dụ như làn xe, đường... không có 1 quy định hay chuẩn nào cụ thể cả.

Trong thông tư có đoạn

5.2.1. Công ty chứng khoán phải áp dụng những giải pháp kỹ thuật toàn diện và chặt chẽ để đảm bảo rằng hệ thống dịch vụ giao dịch trực tuyến được tách biệt về mặt kỹ thuật với các hệ thống kinh doanh khác; ngăn chặn việc truy cập bất hợp pháp vào hệ thống kinh doanh nội bộ của công ty chứng khoán thông qua hoạt động giao dịch trực tuyến. 


Mình có hỏi về giao dịch trực tuyến phải tách biệt về mặt kỹ thuật với hệ thống kinh doanh khác cụ thể là thế nào?
Tách server riêng? Vlan riêng?
Đồng chí này lại yêu cầu mình tưởng tượng làn xe với làn đường????

Một cái thông tư mà chính người viết ra nó cũng không nắm rõ cụ thể nó thế nào thì làm sao kiểm tra được các công ty CK Thành viên?

Đến cái đoạn
5.2.9. Các thiết bị kỹ thuật chính liên quan đến việc truyền tải và nhận dạng dữ liệu an toàn trong hệ thống dịch vụ giao dịch trực tuyến sẽ phải qua kiểm định và chứng nhận về độ an toàn của cơ quan quản lý nhà nước có thẩm quyền. Dịch vụ giao dịch trực tuyến phải sử dụng chữ ký số; trường hợp chưa có dịch vụ chứng thực chữ ký số công cộng, các bên tham gia giao dịch có thể thỏa thuận với nhau bằng văn bản về việc sử dụng chữ ký điện tử để đảm bảo an toàn trong quá trình thực hiện giao dịch. 


Mình đang tính hỏi yêu cầu này cần áp dụng cụ thể vào phần nào trong gd trực tuyến??? Chưa kịp hỏi thì đồng chí đấy đã làm 1 tràng giải thích thế nào là chữ ký số với mình smilie. Giải thích 1 hồi thấy càng nói càng sai hắn kêu mình đi đọc nghị định 26 smilie . Chán chẳng muốn nói tiếp

Còn cái dự thảo yêu cầu CNTT cho các công ty CK thì hôm nay vừa tổ chức họp rồi, bị chửi ghê quá nên chắc các bác soạn ra cái dự thảo này phải viết lại.



Hãy sống có Tuệ Giác.
[Up] [Print Copy]
  [Question]   Re: Dự thảo Quy định về yêu cầu hệ thống CNTT của công ty chứng khoán, 01/07/2009 10:32:50 (+0700) | #7 | 185100
summerlant
Member
[Minus]    0    [Plus]
Joined: 06/11/2004 21:26:36
Messages: 9
Offline
[Profile] [PM]

choc_ wrote:

mà mình thấy tếu một đều (cái này mình thấy hoài) là tài liệu này chẳng hề có reference gì cả. giống như tác giả rất siêu phàm, tự nghĩ ra hết những thứ này từ đầu.

còn nhớ ngày đầu tiên mình đi học, việc đầu tiên mình được dạy là: phải tôn trọng công sức lao động của người khác, tham khảo cái gì thì phải cite cái đó, ghi rõ vào ai đã giúp mình làm cái gì, mình đã đọc đoan này ở đâu, mình đã chép đoạn kia ở chỗ nào. reference còn giúp người đọc mở rộng thêm tầm mắt, dạng như muốn đào sâu chỗ đó thì nên đọc cái gì, của ai.
 

Không biết trong suốt cuộc đời, bạn đã đọc văn bản luật nào chưa?
Nếu đọc rồi thì làm ơn chỉ ra 1 cái (của Việt Nam cũng được, của nước ngoài cũng được) mà có "Tài liệu tham khảo". Tôi đọc mấy cái rồi mà chưa thấy cái nào như vậy.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|