Quản lý danh tính và truy cập là gì?

Identity and Access Management (IAM) Công nghệ ngân hàng ~7 phút đọc

Quản lý danh tính và truy cập (Identity and Access Management - IAM) là hệ thống công nghệ bảo mật cho phép các tổ chức tài chính kiểm soát và quản lý quyền truy cập của nhân viên, khách hàng cũng như các bên liên quan vào các hệ thống thông tin, ứng dụng và tài nguyên số của ngân hàng. Đây là giải pháp then chốt trong việc bảo vệ dữ liệu nhạy cảm và đảm bảo chỉ những người được ủy quyền mới có thể tiếp cận các hệ thống quan trọng.

Tại sao Quản lý danh tính và truy cập (IAM) quan trọng trong ngân hàng?

  • Bảo vệ tài sản thông tin nhạy cảm: Ngân hàng lưu trữ khối lượng lớn dữ liệu khách hàng bao gồm số dư tài khoản, lịch sử giao dịch, thông tin cá nhân. Hệ thống IAM đóng vai trò như lớp phòng thủ đầu tiên ngăn chặn truy cập trái phép vào các dữ liệu này.

  • Đáp ứng yêu cầu pháp lý: Thông tư 35/2016/TT-NHNN và Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân yêu cầu các tổ chức tín dụng phải có biện pháp quản lý danh tính và kiểm soát truy cập chặt chẽ. Việc triển khai IAM giúp ngân hàng tuân thủ các quy định này một cách có hệ thống.

  • Ngăn chặn gian lận và xâm nhập: Với sự gia tăng của tội phạm công nghệ cao, IAM giúp phát hiện các hành vi bất thường như đăng nhập từ địa điểm lạ, nhiều lần đăng nhập thất bại liên tiếp, từ đó cảnh báo và ngăn chặn kịp thời các cuộc tấn công.

  • Tối ưu hóa quản trị hệ thống: IAM cho phép quản lý tập trung quyền truy cập của hàng nghìn nhân viên trên nhiều hệ thống khác nhau, giảm thiểu rủi ro do quản lý phân tán và đảm bảo nguyên tắc đặc quyền tối thiểu (Principle of Least Privilege).

Cách hoạt động của hệ thống IAM

Hệ thống IAM hoạt động dựa trên ba thành phần cốt lõi tạo thành chuỗi xác thực và phân quyền liên hoàn:

1. Xác thực danh tính (Authentication - AuthN)

Đây là bước xác minh danh tính người dùng trước khi cho phép truy cập. Các phương thức xác thực phổ biến bao gồm:

  • Xác thực một yếu tố (SFA): Sử dụng một trong các yếu tố: điều biết (mật khẩu), sở hữu (token, thẻ), hoặc đặc điểm sinh trắc học (vân tay, khuôn mặt).
  • Xác thực đa yếu tố (MFA): Kết hợp từ hai yếu tố trở lên, tăng cường bảo mật đáng kể. Ví dụ: mật khẩu + mã OTP được gửi qua SMS.
  • Xác thực sinh trắc học: Sử dụng vân tay, khuôn mặt hoặc võng mạc để xác minh danh tính.

2. Phân quyền truy cập (Authorization - AuthZ)

Sau khi xác thực thành công, hệ thống xác định người dùng được phép làm gì thông qua các cơ chế:

  • Phân quyền dựa trên vai trò (RBAC - Role-Based Access Control): Mỗi vai trò được gán một tập hợp quyền cụ thể. Ví dụ, nhân viên quầy chỉ có quyền giao dịch tiền mặt, không có quyền duyệt tín dụng.
  • Nguyên tắc đặc quyền tối thiểu (Principle of Least Privilege): Người dùng chỉ được cấp quyền tối thiểu cần thiết để thực hiện công việc của mình.
  • Kiểm soát truy cập dựa trên thuộc tính (ABAC): Phân quyền dựa trên các thuộc tính như thời gian, địa điểm, loại thiết bị.

3. Quản lý tài khoản (Account Management)

Bao gồm các hoạt động quản trị xuyên suốt vòng đời tài khoản:

  • Cấp phát tài khoản mới: Theo quy trình phê duyệt và cấp quyền ban đầu.
  • Cập nhật quyền truy cập: Khi nhân viên thuyên chuyển công tác hoặc thay đổi chức vụ.
  • Thu hồi tài khoản: Khi nhân viên nghỉ việc hoặc chuyển bộ phận.
  • Ghi nhật ký và giám sát: Theo dõi mọi hoạt động đăng nhập, truy cập để phát hiện bất thường.

Công nghệ hỗ trợ IAM

  • Single Sign-On (SSO): Cho phép người dùng đăng nhập một lần truy cập nhiều ứng dụng mà không cần xác thực lại.
  • Identity Provider (IdP): Dịch vụ tập trung quản lý danh tính số.
  • Federation: Cho phép tin tưởng lẫn nhau giữa các hệ thống IAM của các tổ chức khác nhau.

Ví dụ thực tế

Ví dụ 1: Quản lý quyền truy cập nội bộ

Ngân hàng A có 5.000 nhân viên làm việc tại 200 chi nhánh trên toàn quốc. Hệ thống IAM được triển khai với các vai trò sau:

  • Nhân viên giao dịch (Teller): Được phép tra cứu số dư, thực hiện giao dịch gửi/rút tiền với hạn mức 100 triệu đồng/giao dịch.
  • Giao dịch viên nâng cao: Được phép thực hiện giao dịch với hạn mức 500 triệu đồng và duyệt chuyển khoản nội bộ.
  • Quản lý chi nhánh: Được phép duyệt giao dịch vượt hạn mức và xem báo cáo tổng hợp.
  • Nhân viên phòng tín dụng: Được phép thẩm định và duyệt hồ sơ vay với hạn mức được phân công.

Khi nhân viên Nguyễn Văn B được chuyển từ chi nhánh Hà Nội sang chi nhánh TP. Hồ Chí Minh, hệ thống IAM tự động cập nhật thông tin chi nhánh và điều chỉnh quyền truy cập phù hợp với chính sách địa phương.

Ví dụ 2: Xác thực khách hàng trên ứng dụng ngân hàng điện tử

Khách hàng C đăng ký sử dụng dịch vụ ngân hàng điện tử của Ngân hàng B. Quy trình IAM bao gồm:

  1. Đăng ký: Khách hàng cung cấp thông tin CCCD, khuôn mặt được xác thực qua eKYC.
  2. Thiết lập đăng nhập: Tạo tên đăng nhập và mật khẩu, đăng ký thiết bị di động.
  3. Xác thực đa yếu tố: Mỗi lần đăng nhập, hệ thống yêu cầu mật khẩu + mã OTP 6 số có hiệu lực 60 giây.
  4. Phân quyền giao dịch: Chuyển khoản nội bộ hạn mức 50 triệu đồng/ngày, chuyển khoản liên ngân hàng hạn mức 20 triệu đồng/ngày.
  5. Giám sát: Hệ thống ghi nhật ký mọi giao dịch và sẽ cảnh báo nếu phát hiện đăng nhập từ thiết bị lạ hoặc địa điểm bất thường.

Phân biệt với thuật ngữ liên quan

Tiêu chí IAM (Quản lý danh tính và truy cập) PEM (Quản lý đặc quyền doanh nghiệp) IDM (Quản lý danh tính)
Phạm vi Quản lý cả nhân viên, khách hàng và đối tác Chỉ tập trung vào tài khoản đặc quyền (admin, root) Tập trung vào quản lý danh tính người dùng
Mục tiêu chính Kiểm soát ai được làm gì trên hệ thống nào Bảo vệ các tài khoản có quyền cao nhất Duy trì thông tin danh tính chính xác
Đối tượng sử dụng Toàn bộ tổ chức Đội ngũ bảo mật, quản trị hệ thống Bộ phận nhân sự, IT
Rủi ro nếu bị xâm nhập Dữ liệu khách hàng bị rò rỉ, gian lận giao dịch Toàn bộ hệ thống bị kiểm soát Thông tin nhân sự bị sai lệch

Câu hỏi thường gặp trong đề thi

Câu 1: Thành phần nào trong hệ thống IAM chịu trách nhiệm xác minh danh tính người dùng?

A. Authorization B. Authentication C. Account Management D. Access Control

Câu 2: Nguyên tắc "đặc quyền tối thiểu" (Principle of Least Privilege) trong IAM có nghĩa là gì?

A. Mọi người dùng đều có quyền truy cập bình đẳng B. Người dùng chỉ được cấp quyền tối thiểu cần thiết để thực hiện công việc C. Quyền truy cập được cấp theo cấp bậc hành chính D. Quyền truy cập được thay đổi hàng ngày

Câu 3: Phương thức xác thực nào kết hợp ít nhất hai yếu tố khác nhau để tăng cường bảo mật?

A. Single Sign-On (SSO) B. Role-Based Access Control (RBAC) C. Multi-Factor Authentication (MFA) D. Identity Provider (IdP)

Tổng kết

Quản lý danh tính và truy cập (IAM) là nền tảng bảo mật không thể thiếu trong hệ thống công nghệ ngân hàng hiện đại, đảm bảo nguyên tắc "đúng người, đúng quyền, đúng thời điểm." Thí sinh ôn thi tuyển dụng ngân hàng cần phân biệt rõ ràng giữa xác thực (Authentication) và phân quyền (Authorization), nắm vững các cơ chế RBAC, MFA và nguyên tắc đặc quyền tối thiểu. Các thuật ngữ tiếng Anh như SSO, IdP, Federation cũng thường xuất hiện trong đề thi. Hãy luyện tập với các câu hỏi trắc nghiệm và cập nhật thường xuyên các quy định pháp lý liên quan đến bảo mật thông tin trong lĩnh vực ngân hàng.

🎓

Luyện thi với kiến thức này

Thuật ngữ này thường xuất hiện trong đề thi tuyển dụng ngân hàng

Chia sẻ thuật ngữ này:

🔗 Thuật ngữ liên quan 8

B

Bảo mật thông tin ngân hàng

Pháp lý ngân hàng

Bảo mật thông tin ngân hàng là toàn bộ các biện pháp, quy trình và hệ thống kỹ thuật được các tổ chứ...

B

Bảo vệ dữ liệu cá nhân

Ngân hàng số & Thanh toán

Bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng là tập hợp các quy định, chính sách, quy trình và bi...

H

Hệ thống core banking

Kế toán ngân hàng

Hệ thống core banking (còn gọi là hệ thống ngân hàng lõi) là phần mềm trung tâm của các tổ chức tín ...

M

Mở tài khoản trực tuyến eKYC

Nghiệp vụ ngân hàng

Mở tài khoản trực tuyến eKYC là quy trình đăng ký mở tài khoản thanh toán tại ngân hàng hoàn toàn qu...

N

Nghị định 13/2023/NĐ-CP

Thuế & Pháp luật

Nghị định hướng dẫn Luật Bảo vệ dữ liệu cá nhân 2023, quy định chi tiết điều kiện xử lý dữ liệu cá n...

N

Ngân hàng Nhà nước Việt Nam

Pháp lý ngân hàng

Ngân hàng Nhà nước Việt Nam (tên tiếng Anh: State Bank of Vietnam - SBV) là cơ quan ngang bộ thuộc C...

T

Tổ chức tín dụng

Pháp luật ngân hàng

Tổ chức tín dụng là doanh nghiệp được thành lập theo quy định của Luật các Tổ chức tín dụng, thực hi...

X

Xác thực đa yếu tố

Ngân hàng số & Thanh toán

Xác thực đa yếu tố (Multi-Factor Authentication - MFA) là phương pháp bảo mật yêu cầu người dùng phả...