Giải pháp bảo mật thông tin

Hệ thống mạng

• Firewall

• Đường truyền Internet

• Đường truyền leased line kết nối sang ngân hàng (nếu có)

• Router

• Switch

Hệ thống thiết bị (phần cứng, phần mềm) giám sát hoạt động hệ thống cung cấp dịch vụ, sao lưu dữ liệu

Máy chủ giám sát

• Cấu hình máy chủ: Cloud Server: 4 GB RAM, 2 vCPUs, 80 GB SSD

• Chức năng: Giám sát tình trạng của máy chủ, các dịch vụ chạy trên máy chủ, tự động gửi cảnh báo cho người quản trị khi phát hiện ra sự cố (dịch vụ ngừng phục vụ, máy chủ quá tải…). Dùng phần mềm Zabbix và cụm giải pháp Icinga2-InfluxDB-Grafana để giám sát. Kết nối đến máy chủ giám sát được bảo mật bằng cách mã hóa dữ liệu trước khi truyền đi trên đường truyền.

• Địa điểm đặt server: AWS Singapore

Thao tác

• Hệ thống giám sát Zabbix có thể theo dõi trạng thái máy chủ, thiết bị mạng, số lượng tài nguyên máy chủ, hệ thống lưu trữ và mạng kết nối. Đồng thời hệ thống giám sát có chức năng tự động cảnh báo khi tài nguyên sử dụng tăng đột biến, gửi cảnh báo thông qua SMS, Email, dịch vụ tin nhắn (như Slack, Skype) cho các quản trị viên khi phát sinh sự cố một cách tức thì.

• Giám sát trực tiếp trên máy chủ: khi phát hiện sự cố, quản trị viên sẽ đăng nhập vào máy chủ và xem nhật ký trên máy chủ (log), nhật ký truy cập (access log), nhật ký lỗi (error log), trạng thái của hệ thống. Dựa trên những thông tin trên sẽ đưa ra những đánh giá và xử lý sự cố một cách kịp thời.

Máy chủ giám sát liên tục nhận dữ liệu về tình trạng máy chủ và dịch vụ từ các máy trạm gửi đến theo thời gian thực (real time), sau đó lưu dữ liệu này vào cơ sở dữ liệu (CSDL) giám sát để sử dụng lâu dài, phục vụ mục đích điều tra lỗi sau này. Khi người dùng truy cập vào máy chủ giám sát yêu cầu xem thông tin nào thì máy chủ giám sát sẽ truy xuất dữ liệu từ CSDL giám sát và hiển thị lại cho người dùng. Hệ thống bảo đảm an toàn, an ninh thông tin, bảo đảm bí mật thông tin cá nhân của người dùng: từ mạng Internet công cộng chỉ truy cập được đến máy chủ giám sát khi được cấp tài khoản VPN (mạng riêng ảo) và tài khoản đăng nhập dịch vụ giám sát; từ trong mạng nội bộ chỉ truy cập được vào máy chủ giám sát khi được cấp tài khoản sử dụng dịch vụ giám sát. Tài khoản sử dụng dịch vụ được phân quyền giám sát những máy chủ hoặc dịch vụ tương ứng với nhu cầu từng tài khoản. Chỉ có tài khoản người quản trị mới có đầy đủ quyền. Mục đích tách riêng CSDL giám sát và máy chủ giám sát là để dự phòng sau này khi dữ liệu về giám sát, nhật ký hệ thống lớn vẫn có thể xử lý nhanh chóng, dễ dàng mở rộng được. Ngoài ra, công ty còn tổ chức quản lý tài khoản để đảm bảo việc truy cập vào hệ thống thông tin chỉ được trao một cách có giới hạn tới một số lượng đơn vị truy cập nhất định nhằm đảm bảo truy cập, chia sẻ thông tin mà không có sự cho phép chấp nhận của công ty:

• Hệ thống quản trị máy chủ: Phân cấp các máy chủ, chia sẻ, sao lưu dữ liệu trên máy chủ, quyền truy cập máy chủ

• Hạn chế địa chỉ IP: Chỉ cấp quyền truy cập hệ thống hoặc một phần hệ thống cho một số địa chỉ IP số hiệu nhất định, nhằm ngăn chặn sự xâm nhập trái phép của nhiều địa chỉ IP khác nhau

• Quản lý nhật ký (log): quản lý đăng nhập hệ thống, ghi nhận quá trình đăng nhập, thao tác trên hệ thống, lưu trữ lại toàn bộ thao tác và thay đổi trên hệ thống (đến từ bất kỳ đối tượng truy cập và vận hành nào). Từ nhật ký, công ty sẽ quản lý được các hành vi khả nghi để đảm bảo an toàn an ninh mạng cũng như quyền lợi của khách hàng và chính mình.

Kế hoạch sao lưu

Triển khai sao lưu dữ liệu đồng thời theo 4 cách khác nhau để đảm bảo dữ liệu an toàn và toàn vẹn nhất:

• Replication (nhân bản)

• Sao lưu toàn bộ định kỳ: hàng ngày vào 2 giờ sáng

• Sao lưu toàn bộ khi triển khai phiên bản mới của ứng dụng

• Point In Time Recovery (sao lưu phục hồi vào thời gian bất kỳ)

Nhân bản: Dữ liệu mỗi khi có sự thay đổi trên máy chủ CSDL chính (master) sẽ được nhân bản ngay lập tức sang máy chủ CSDL phụ (slave). Với cách này, hệ thống đảm bảo được dữ liệu giữa CSDL chính và phụ luôn giống hệt nhau, và khi máy chủ CSDL chính gặp sự cố, máy chủ CSDL phụ có thể sẵn sàng phục vụ các dịch vụ tầng ứng dụng.

Sao lưu toàn bộ định kỳ: sao lưu được thực hiện vào 2 giờ sáng hàng ngày bằng cách sao lưu toàn bộ dữ liệu sang máy chủ sao lưu dự phòng. Khi sao lưu hoàn tất sẽ gửi thông báo cho người quản trị biết, người quản trị sẽ thực hiện chuyển bản sao lưu trên máy chủ sao lưu về máy chủ đặt tại văn phòng để dự phòng. Sao lưu loại này sẽ giữ 7 bản sao mới nhất trên máy chủ sao lưu dữ liệu để dự phòng khi có sự cố.

Sao lưu toàn bộ khi triển khai phiên bản mới: Bản backup sẽ được thực hiện trước khi deploy ứng dụng, mục đích là để dự phòng trường hợp source code thay đổi làm dữ liệu trên master thay đổi dẫn đến dữ liệu trên các slave cũng bị thay đổi theo. Do vậy dữ liệu từ thời điểm full backup đến thời điểm deployment sẽ không bị mất. Bản backup này cũng được lưu trên server log sau đó được backup về văn phòng và cũng giữ 7 lần gần nhất.

Sao lưu Point-in-time-Recovery: Được tạo ra liên tục mỗi khi dữ liệu trong CSDL có sự thay đổi. Có thể sử dụng bản sao này để phục hồi CSDL về bất cứ thời điểm nào trong quá khứ. Cách thức sao lưu Sao lưu tự động bằng cách lập lịch (crontab) trên máy chủ sao lưu. Sử dụng hệ thống giám sát để kiểm tra, cảnh báo khi ổ cứng sao lưu bị đầy, sẽ xóa bớt những tập tin sao lưu cũ hơn 03 tháng. Cách thức phục hồi khi có sự cố

• Mất dữ liệu do trường hợp cập nhật phiên bản ứng dụng lỗi thì sẽ dùng bản backup được tạo ra trước khi cập nhật ứng dụng để phục hồi lại.

• Mất do trường hợp lỗi của người quản trị thao tác trực tiếp với CSDL thì sẽ phục hồi lại CSDL vào thời điểm trước thao tác thông qua point-in-time recovery.

• Trường hợp dữ liệu bị mất do máy chủ CSDL hỏng, chuyển qua máy chủ CSDL phụ (ở trạng thái sẵn sàng phục vụ nhờ cơ chế sao lưu nhân đôi) trong khi khắc phục sự cố cho máy chủ CSDL chính. Khi máy chủ CSDL chính được phục hồi, nhân đôi (replicate) dữ liệu từ máy chủ CSDL phụ về máy chủ CSDL chính.

Phòng chống phishing

Toàn bộ hệ thống được triển khai trên Cloud của Amazon Web Services (AWS), dịch vụ điện toán đám mây hàng đầu thế giới (hiện đã có văn phòng tại Việt Nam), được kế thừa toàn bộ nền tảng bảo mật, các công cụ hỗ trợ và sự hỗ trợ của đội ngũ AWS.

Tất cả các trang web và các APIs của hệ thống đều được bảo vệ và mã hóa qua giao thức TLS phiên bản 1.2, với các thuật toán mã hóa tiên tiến nhất như BCRYPT, AES128, SHA256, dữ liệu được phân hoạch theo mức độ nhạy cảm, được mã hoá hoặc được gắn mã định danh, do vậy chúng tôi có thể ngăn ngừa được các phương thức tấn công man-in-the-middle (MITM), ngăn chặn trường hợp kẻ tấn công có thể chặn, lắng nghe và thay đổi nội dung gói tin giữa trình duyệt của người dùng và máy chủ của hệ thống.

Đội ngũ Hạ tầng hệ thống thường xuyên kiểm tra thông tin về những lỗ hổng bảo mật mới nhất của giao thức TLS và các thư viện, công cụ liên quan, có lịch quét hệ thống định kỳ hàng tháng, ký hợp đồng với đơn vị bảo mật Cystack thực hiện gói bảo mật Bug Bounty để luôn cập nhật những bản vá mới nhất, đảm bảo an ninh cho truy cập giữa khách hàng/đối tác và hệ thống của hệ thống.

Ngoài việc sử dụng giao thức mã hóa TLS cho các trang web và các APIs, hệ thống còn áp dụng chứng chỉ Wildcard SSL, được xác thực và cấp bởi GlobalSign, một trong những nhà cung cấp chứng chỉ HTTPS đáng tin cậy nhất trên thế giới. Cơ chế xác thực qua chứng chỉ Wildcard SSL không những đảm bảo tính bí mật và toàn vẹn cho các gói tin giữa trình duyệt của khách hàng và máy chủ hệ thống, mà còn làm khách hàng yên tâm rằng trang web thực sự được sở hữu và vận hành bởi hệ thống.

Phương án dự phòng thảm họa

Hệ thống DR được thiết kế giống hệt với DC nhưng với cấu hình nhỏ hơn

Kiến trúc tổng quan

Hệ thống được phân làm 3 tầng: Frontend, Backend và CORE phù hợp với kiến trúc mạng Mọi kết nối APIs đều được bảo mật và được xác thực bằng cả phần cứng lẫn phần mềm CSDL của của các Network khác nhau được quản lý riêng biệt

Dữ liệu lưu trữ của hệ thống

Thông tin tài khoản đăng nhập hệ thống (tài khoản Admin, Staff, Merchant) Username / Email Số điện thoại Loại tài khoản Địa chỉ (nếu có) Ngày sinh (nếu có) Giới tính (nếu có)

Thông tin customer (End-user của khách hàng) ID định danh customer

1. Thông tin tài khoản đăng nhập hệ thống (tài khoản Admin, Staff, Merchant)

   • Username / Email

   • Số điện thoại

   • Loại tài khoản

   • Địa chỉ (nếu có)

   • Ngày sinh (nếu có)

   • Giới tính (nếu có)

2. Thông tin customer (End-user của khách hàng)

   • ID định danh customer

3. Thông tin tracking

   • Thời gian thực hiện event tracking

   • Trình duyệt / thiết bị truy cập: phiên bản hệ điều hành, loại trình duyệt, ...

   • IP của thiết bị truy cập

   • Vị trí địa lý tương đối của thiết bị truy cập

   • Fingerprint

   • Đường dẫn (Link) mà người dùng click

   • Nguồn trang và các thông tin _utm params có trường đường dẫn tracking

4. Thông tin các chiến dịch (chương trình KM) và hoa hồng

   • Tên và mô tả chiến dịch

   • Hình ảnh logo và sản phẩm (nếu có)

   • Thời gian hoạt động của chiến dịch

   • Chính sách và mức chiết khấu hoa hồng tối đa

   • Domain của chiến dịch

   • Đường dẫn sản phẩm (nếu có)

   • Các files đính kèm: Ladipage, hướng dẫn chạy chiến dịch, hình ảnh, …

   • Hoa hồng mặc định của chiến dịch

   • Hoa hồng theo các kịch bản tracking của chiến dịch, ví dụ: theo lượt cài đặt, đăng ký tài khoản, kích hoạt tài khoản, mua hàng, đánh giá, ...

5. Thông tin đơn / giao dịch

   • Thông tin định danh giao dịch thuộc về chiến dịch và tài khoản nào

   • Thông tin đơn giá, tổng tiền và số lượng sản phẩm

   • Thông tin về mức hoa hồng chiết khấu cụ thể dành cho tài khoản

   • Thời gian thực hiện

   • Trạng thái đơn / giao dịch

Giải pháp về cơ sở dữ liệu

Phân hoạch CSDL theo mức độ nhạy cảm của dữ liệu

Mã hóa dữ liệu

Giải pháp giao tiếp, xác thực, phân quyền,... để bảo mật và an toàn thông tin giao dịch

Đặc tả kỹ thuật kết nối

• Hầu hết các kết nối giữa các phân hệ trong nội bộ hệ thống và kết nối với các hệ thống bên ngoài đều sử dụng API RESTful Service có mã hóa dữ liệu và đều là kết nối bảo mật (HTTPS/ TLS).

• Chỉ một phần nhỏ do đặc thù kỹ thuật của đối tác sử dụng kết nối HTTP POST, có mã hóa dữ liệu bằng chữ ký số hoặc mật khẩu.

• Với các hệ thống của đối tác, các kết nối đều được kiểm tra cẩn thận và được quy hoạch, phân vùng riêng chuyên phục vụ kết nối và khoanh vùng kiểm soát cũng như tối ưu tốc độ kết nối.

• Mỗi giao dịch/ kết nối đều có session, mã giao dịch để định danh giúp cho việc xử lý được minh bạch, chuẩn xác và rõ ràng.

• Toàn bộ kết nối đều có tài liệu đặc tả chi tiết, rõ ràng và được lưu trữ an toàn, tập trung.

• Các kết nối đều được giám sát bởi Hệ thống theo dõi cảnh báo đảm bảo kết nối được thông suốt, không bị gián đoạn và được khắc phục kịp thời khi có sự cố kết nối.

Kiểm soát thông tin giao dịch

• Thực hiện lưu vết toàn bộ xử lý của hệ thống vào Database hoặc File log vật lý trên máy chủ được tự động chia theo ngày, sẵn sàng cho việc kiểm tra, xử lý các trường hợp cần thiết.

• Có hệ thống Dashboard phân tích, cảnh báo giao dịch thời gian thực giúp theo dõi vận hành hệ thống thông suốt.

• Có lịch sử giao dịch chi tiết, rõ ràng theo nhiều lát cắt, giúp các bộ phận liên quan theo dõi, hỗ trợ và giải quyết khiếu nại cũng như thực hiện đối soát, thanh toán được nhanh chóng và chính xác.

• Hệ thống phân quyền người dùng giúp phân hệ thông tin phù hợp với quyền hạn và nghiệp vụ nhân viên.

Đối với các giao dịch của khách hàng qua Internet

• Sử dụng các kết nối bảo mật (HTTPS/ TLS) được chứng thực của các nhà cung cấp tiêu chuẩn.

• Có xác thực giao dịch bằng cách nhập OTP được gửi tin nhắn đến số điện thoại của khách hàng, kèm theo nội dung chi tiết về giao dịch để khách hàng nhận biết được mục đích của OTP. Mật khẩu OTP này có hiệu lực trong vòng 2 phút kể từ khi hệ thống thực hiện gửi tin nhắn cho khách hàng.

• Toàn bộ dữ liệu được mã hóa AES-256, SHA-256, Bcrypt nhằm đảm bảo tính toàn vẹn và bảo mật.

Trao đổi dữ liệu giữa các hệ thống nội bộ, với đối tác

100% trao đổi dữ liệu giữa các hệ thống nội bộ sử dụng API RESTful Service và có kết nối bảo mật (HTTPS/TLS).

• Với các hệ thống đối tác, các kết nối đều được kiểm tra cẩn thận, có đầy đủ tài liệu hệ thống, biên bản nghiệm thu kỹ thuật và tài khoản kết nối

• Các kết nối đều dùng chữ ký số, mật khẩu để mã hóa nội dung trên đường truyền.

• Giới hạn các địa chỉ IP, cổng kết nối của máy chủ đến hệ thống.

Ví dụ mẫu data kết nối

API tạo ClickID

GET /api/v1/generate-click-id

Headers

{
   "status":"success",
   "data":{
      "click_id":"dfa4872bfc2e43a5893cc62f8cff0a54",
      "campaign_id":"5",
      "ad_space_id":"3",
      "click_time":"2019-08-21 21:56:57+0700"
   },
   "message":"Success!",
   "code":0,
   "signature":"0bf01bf328c8c9421940593410fe5377cc115c0edc0c44d8e8c39300fc6f9e0a"
}