Đánh giá hiệu quả phát hiện tấn công của tập luật OWASP CRS sử dụng phổ biến trong tường lửa máy chủ ứng dụng Web

Công nghệ & ngân hàng số
Tường lửa dựa trên các tập luật là công cụ phổ biến giúp bảo vệ máy chủ ứng dụng web trước các cuộc tấn công tinh vi từ tin tặc, đặc biệt quan trọng đối với các tổ chức, doanh nghiệp và ngân hàng. Bài viết này nghiên cứu việc ứng dụng mô hình học máy để đánh giá hiệu quả phát hiện tấn công của OWASP CRS. Đây là một trong những tập luật phổ biến được sử dụng cho tường lửa ứng dụng web.
aa

Tóm tắt: Tường lửa hoạt động dựa trên các tập luật là một trong những công cụ phổ biến nhằm bảo vệ cho máy chủ ứng dụng web của các tổ chức, doanh nghiệp nói chung và của các tổ chức tín dụng nói riêng được an toàn trước các hành vi tấn công ngày càng tinh vi của tin tặc. Bài viết này nghiên cứu ứng dụng mô hình học máy vào việc đánh giá khả năng phát hiện tấn công của OWASP CRS, một trong những tập luật phổ biến được dùng cho tường lửa máy chủ ứng dụng web (Web Application Firewall - WAF).

Từ khóa: An toàn thông tin, máy chủ ứng dụng web, học máy.

EVALUATION OF ATTACK DETECTION EFFECTIVENESS OF THE OWASP RULESETS COMMONLY USED IN WEB APPLICATION FIREWALLS

Abstract: Firewall technology based on rulesets are one of the popular tools to protect web application servers of organizations, enterprises in general and commercial banks/credit institutions in particular from increasingly sophisticated attacks by hackers. This article studies the application of machine learning models to evaluate the attack detection ability of OWASP CRS, one of the popular rulesets used for web application server firewalls.

Keywords: Information security, web application servers, machine learning.

1. Giới thiệu

Phát hiện tấn công vào máy chủ ứng dụng web của các tổ chức, doanh nghiệp nói chung và của các tổ chức tín dụng nói riêng đóng vai trò cực kỳ quan trọng trong việc đảm bảo dịch vụ tài chính - ngân hàng được cung cấp thông suốt, liền mạch, bảo vệ sự riêng tư của dữ liệu khách hàng, duy trì niềm tin của khách hàng và rộng hơn nữa là giúp cho hệ thống tài chính được an toàn. Năm 2024, Việt Nam ghi nhận hơn 659.000 vụ tấn công mạng và các ngân hàng, tổ chức tài chính là mục tiêu chính của các cuộc tấn công này (P.V, 2024); thiệt hại do hoạt động tấn công mạng và mã độc đối với Việt Nam trong năm 2024 ước tính lên đến 18.900 tỉ đồng (HM, 2024).

Để phát hiện và ngăn chặn sớm các cuộc tấn công vào máy chủ ứng dụng web, các tổ chức, doanh nghiệp thường sử dụng nhiều biện pháp khác nhau, trong đó, phương pháp phổ biến nhất là WAF. Đây là một giải pháp bảo mật quan trọng giúp bảo vệ các ứng dụng web khỏi những cuộc tấn công và mối đe dọa từ mạng Internet (Dậu, 2020). WAF hoạt động như một lớp bảo vệ giữa máy chủ web và người dùng, giám sát và lọc tất cả lưu lượng truy cập đến và đi từ ứng dụng web. WAF có thể phát hiện và ngăn chặn các cuộc tấn công như SQL Injection, Cross-site Scripting (XSS), tấn công từ chối dịch vụ (DDoS) và các mối đe dọa khác nhắm vào các lỗ hổng bảo mật trong mã nguồn của ứng dụng. Bằng cách phân tích các yêu cầu HTTP và HTTPS, WAF có thể chặn lại những yêu cầu độc hại trước khi chúng đạt được mục tiêu. Đồng thời, nó cũng giúp bảo vệ thông tin nhạy cảm của người dùng và duy trì tính toàn vẹn của hệ thống. Việc triển khai tường lửa cho máy chủ web không chỉ tăng cường khả năng phòng thủ mà còn giúp các tổ chức, doanh nghiệp tuân thủ yêu cầu bảo mật theo các quy định pháp lý. Theo ví dụ minh họa về mô hình trung tâm dữ liệu của ngân hàng thương mại (Hình 1), tường lửa được sử dụng để bảo đảm an toàn cho các kết nối giữa khu vực tuyệt đối bí mật (thường bao gồm máy chủ dữ liệu - database server, máy chủ ứng dụng - application server, máy chủ diệt virus - antivirus server…) với các khu vực khác, giữa khu vực kết nối nội bộ với kết nối bên ngoài Internet.

Hình 1. Mô hình trung tâm dữ liệu của ngân hàng thương mại

Nguồn: M. Revathy Sriram, P.K. Ramanan, R. Chandrasekhar, 2013
Nguồn: M. Revathy Sriram, P.K. Ramanan, R. Chandrasekhar, 2013

Hiện nay, nhiều giải pháp tường lửa web đã được phát triển và ban hành bởi các hãng công nghệ và tổ chức bảo mật nổi tiếng như ModSecurity, Cloudflare WAF, Amazon Web services WAF, Barracuda WAF… Đối với các công cụ tường lửa web, việc xác định và quyết định phản ứng với các cuộc tấn công chủ yếu dựa vào sử dụng các tập luật (rules). Tuy nhiên, nếu như tập luật này hoạt động không hiệu quả, ví dụ như chặn bắt cả những truy cập vô hại hoặc là bỏ qua những truy cập độc hại thì sẽ dẫn đến hệ quả rất nghiêm trọng cho các tổ chức, doanh nghiệp.

Bài viết này xem xét đánh giá khả năng phát hiện tấn công của OWASP Core Rule Set, tập luật được sử dụng phổ biến nhất cho các tường lửa máy chủ web. Những nội dung chính còn lại của bài báo bao gồm: Phần II trình bày khái quát về tập luật OWASP Core Rule Se; phần III ứng dụng phương pháp học sâu để đánh giá hiệu quả phát hiện tấn công của tập luật OWASP CRS; cuối cùng là kết luận và hướng phát triển trong tương lai.

2. Tập luật phát hiện tấn công OWASP Core Rule Set

Như đã đề cập ở trên, OWASP Core Rule Set (CRS) (OWASP, 2025) là một tập luật mã nguồn mở được phát triển bởi tổ chức phi lợi nhuận nổi tiếng về bảo mật OWASP (Open Web Application Security Project) nhằm bảo vệ các ứng dụng web khỏi các mối đe dọa an ninh phổ biến. CRS cung cấp một tập hợp các luật bảo mật dựa trên WAF, giúp phát hiện và ngăn chặn các cuộc tấn công như SQL Injection, XSS và các lỗ hổng bảo mật khác. Bộ luật này được thiết kế để dễ dàng tích hợp vào nhiều hệ thống WAF phổ biến như ModSecurity và các công cụ bảo mật khác. Với mục tiêu bảo vệ các ứng dụng web trong môi trường thay đổi nhanh chóng, CRS cung cấp sự bảo vệ liên tục và hiệu quả. Việc sử dụng OWASP CRS giúp tăng cường bảo mật cho ứng dụng web mà không cần phải sửa đổi mã nguồn ứng dụng. Bên cạnh đó, để sử dụng được tập luật CRS, WAF cần được tích hợp các thuật toán so khớp nhằm xác định mỗi yêu cầu (request) từ phía máy khác tới là bình thường hay bất thường, và nếu bất thường thì được phát hiện bởi luật nào.

Nội dung chính của phần này sẽ tập trung trình bày về cấu trúc tập luật trong CRS và thuật toán so khớp phổ biến Boyer-Moore-Horspool.

2.1. Cấu trúc tập luật

Theo tài liệu kỹ thuật về OWASP CRS và ModSecurity, cấu trúc tập luật được sử dụng trong công cụ này có cú pháp “SecRule VARIABLES OPERATOR [ACTIONS]” và được diễn giải tóm tắt như sau:

- SecRule: Là từ khóa bắt đầu một luật trong ModSecurity.

- VARIABLES: Là biến hoặc tham số mà ModSecurity sẽ kiểm tra trong yêu cầu hoặc phản hồi HTTP. Các biến có thể là:

%{REQUEST_URI}: Địa chỉ URL của yêu cầu.

%{QUERY_STRING}: Chuỗi truy vấn của URL.

%{HTTP_USER_AGENT}: Thông tin trình duyệt của người dùng.

%{REQUEST_BODY}: Nội dung của yêu cầu HTTP.

Các biến khác liên quan đến HTTP headers, cookies...

- OPERATOR: Là toán tử dùng để so sánh hoặc kiểm tra. Các toán tử phổ biến bao gồm:

==: Kiểm tra sự bằng nhau.

@contains: Kiểm tra sự tồn tại của một chuỗi con.

@rx: kiểm tra với một biểu thức chính quy.

@startswith: kiểm tra nếu chuỗi bắt đầu bằng một giá trị cụ thể.

[ACTIONS]: các hành động cần thực hiện khi điều kiện luật được kích hoạt. Các hành động thường gặp là:

deny: Chặn yêu cầu.

allow: Cho phép yêu cầu.

log: Ghi lại thông tin yêu cầu.

alert: Cảnh báo về sự kiện.

redirect: Chuyển hướng yêu cầu đến một URL khác.

Ví dụ luật trong ModSecurity là “SecRule REQUEST_URI "@contains /wp-login.php" "deny,log" thì nghĩa là nó sẽ chặn (deny) và ghi lại (log) mọi yêu cầu có chứa đoạn mã “/wp-login.php” trong URL.

2.2. Thuật toán so khớp

Các thành phần sau trong mỗi yêu cầu (request) từ máy khách được so khớp với tập luật:

- msc_process_request_headers: kiểm tra header của luồng dữ liệu http khi thực hiện request.

- msc_process_request_body: kiểm tra nội dung body của luồng dữ liệu http khi thực hiện request.

- msc_process_response_headers: kiểm tra header của luồng dữ liệu http khi thực hiện response.

- msc_process_response_body: kiểm tra nội dung body của luồng dữ liệu http khi thực hiện response.

Quá trình so khớp này thường được thực hiện dựa trên thuật toán Boyer-Moore-Horspool theo cách thức như sau:

Hình 2. Thuật toán so khớp Boyer-Moore-Horspool

Đánh giá hiệu quả phát hiện tấn công của tập luật OWASP CRS sử dụng phổ biến trong tường lửa máy chủ ứng dụng Web

Nguồn: Tính toán của tác giả

3. Đánh giá hiệu quả phát hiện tấn công của tập luật OWASP CRS

Để đánh giá khả năng của tập luật OWASP CRS trong việc phát hiện hiện tượng bất thường, các công việc sau đây cần được thực hiện:

3.1. Lựa chọn tập dữ liệu huấn luyện và tiền xử lý dữ liệu

Có hai tập dữ liệu phổ biến cho tấn công web được sử dụng rộng rãi trong các nghiên cứu liên quan được công bố là ECML/PKDD 20071 và CICIDS 20172, trong đó:

- ECML/PKDD 2007 được cung cấp cho một cuộc thi liên quan đến vấn đề nhận diện tấn công trên ứng dụng web được tài trợ chính bởi Bee Ware, một công ty đang nghiên cứu về tường lửa ứng dụng web. Về cơ bản, bộ dữ liệu này chứa tổng cộng 50.000 request với 20% trên tổng số là các request tấn công.

- CICIDS 2017 là một bộ dữ liệu có nhãn được công bố bởi Viện nghiên cứu An toàn thông tin thuộc Hội đồng nghiên cứu Quốc gia Tây Ban Nha (Spanish Research National Council - CSIC). Bộ dữ liệu này bao gồm 36.000 request bình thường và 25.066 request tấn công thuộc nhiều thể loại tấn công khác nhau như SQL Injection, Buffer Overflow, Information Gathering, Files Disclosure, CRLF Injection, XSS, Server Side Include, parameter Tampering...

Bộ dữ liệu từ hai tập trên được tiền xử lý như sau:

- Bước 1: Trong tập luật của ModSecurity CRS có tổng cộng hơn 150 luật, ứng với mỗi luật trên là một đặc trưng trong tập dữ liệu sau xử lý. Nếu một request làm luật nào đó kích hoạt, đặc trưng này của nó mang giá trị là 1, những luật không kích hoạt sẽ có giá trị là 0. Ngoài ra, HTTP request method cũng được sử dụng làm đặc trưng huấn luyện. Các giá trị hiện tại có thể có của HTTP request method trong bộ dữ liệu bao gồm GET, POST, HEAD, OPTIONS, PUT.


Đánh giá hiệu quả phát hiện tấn công của tập luật OWASP CRS sử dụng phổ biến trong tường lửa máy chủ ứng dụng Web

- Bước 2: Sử dụng phương pháp Stratified Split để tách bộ dữ liệu ra thành hai tập huấn luyện và kiểm thử với tỉ lệ 70% - 30% bảo đảm trong tập huấn luyện và kiểm thử có tỉ lệ hai lớp bất thường/bình thường đồng đều nhau.

3.2. Xây dựng mô hình học máy đánh giá hiệu quả phát hiện tấn công của tập luật OWASP CRS

Trong nghiên cứu này, loại mô hình học máy tiêu biểu mạng nơ-ron thần kinh (CNN) được lựa chọn. Thuật toán này được cài đặt bằng ngôn ngữ lập trình Python trên môi trường phát triển Google Colab.

Bởi vì hầu hết các bộ dữ liệu cho việc huấn luyện và kiểm thử mô hình phát hiện bất thường có tính chất mất cân bằng, cho nên ngoài độ chính xác cơ bản accuracy thì precision, recall, f1-score được chỉ ra. Kết quả đánh giá cụ thể như sau:

Đánh giá hiệu quả phát hiện tấn công của tập luật OWASP CRS sử dụng phổ biến trong tường lửa máy chủ ứng dụng Web

Dựa vào kết quả thử nghiệm, chúng ta có thể thấy rằng mặc dù độ chính xác accuracy rất cao trong cả việc xác định request bất thường và bình thường nhưng độ chính xác precision, recall, f1-score trong việc xác định lớp bất thường lại nhỏ hơn 0,9. Điều đó nghĩa là một số request độc hại đã được tập luật OWASP xem là bình thường và bỏ qua. Hệ quả của việc bỏ lọt request độc hại có thể khiến cho máy chủ web bị ngừng hoạt động hoặc nguy hiểm hơn nữa là bị lộ lọt hay thay đổi dữ liệu.

4. Kết luận và hướng phát triển

Nghiên cứu này đã ứng dụng mô hình học sâu được xây dựng dựa trên những bộ dữ liệu đặc trưng điển hình để đánh giá hiệu quả phát hiện tấn công của tập luật OWASP CRS được sử dụng phổ biến trong tường lửa cho các máy chủ ứng dụng web. Kết quả thực nghiệm của nghiên cứu này đã chỉ ra rằng, tập luật OWASP CRS có khả năng xác định request bình thường với độ chính xác rất cao (95% - 99%), tuy nhiên độ chính xác của tập luật này trong việc phát hiện ra request bất thường lại thấp hơn 90%. Dựa trên mô hình đã thực nghiệm, hướng phát triển tiềm năng trong thời gian tới đó là xây dựng thêm một số mô hình học máy nhằm xác định mỗi luật trong OWASP CRS có xác suất phát hiện ra chính xác request bất thường như thế nào để đưa ra những khuyến nghị cụ thể giúp cho các nhà quản trị dễ dàng ra quyết định đúng đắn.

1 https://www2.lirmm.fr/pkdd2007-challenge

2 https://www.unb.ca/cic/datasets/ids-2017.html

Tài liệu tham khảo:

1. Amazon (2025). AWS WAF Protect your web applications from common exploits. Retrieved from https://aws.amazon.com/: https://aws.amazon.com/waf/

2. Barracuda (2025). Barracuda Web Application Firewall Protect your websites and applications from advanced cyber-threats. Retrieved from https://www.barracuda.com/products/application-protection/web-application-firewall

3. CloudFlare (2025). Protect Your Web Applications With Cloudflare WAF. Retrieved from https://www.cloudflare.com/: https://www.cloudflare.com/lp/ppc/waf-x/

4. Dậu, H. X (2020). Giáo trình cơ sở an toàn thông tin. NXB. Thông tin và Truyền thông.

5. M. Revathy Sriram, P.K. Ramanan, R. Chandrasekhar (2013). Core banking solution: Evaluation of Security and Controls. PHI Learning Private Limited.

6. OWASP (2025). OWASP Crsoject. Retrieved from https://coreruleset.org/: https://github.com/coreruleset/coreruleset/releases/tag/v4.12.0

7. OWASP (2025). OWASP Modsecurity Project. Retrieved from https://modsecurity.org/: https://modsecurity.org/

8. T.L (2023). Trung bình 1.160 vụ tấn công mạng mỗi tháng, ngân hàng là đích nhắm. Retrieved from https://baodautu.vn/: https://baodautu.vn/trung-binh-1160-vu-tan-cong-mang-moi-thang-ngan-hang-la-dich-nham-d204960.html

9. Thiện, M (2024). Các cuộc tấn công mạng ngày càng tinh vi và phức tạp hơn. Retrieved from https://ictvietnam.vn/: https://ictvietnam.vn/cac-cuoc-tan-cong-mang-ngay-cang-tinh-vi-va-phuc-tap-hon-67939.html

10. Thuan Dinh Le, Ton Phuoc, Khuong Nguyen-An (2021). Improving ModSecurity WAF Using a Structured-Language Classifier. Future Data and Security Engineering. Big Data, Security and Privacy, Smart City and Industry 4.0 Applications, pages 89-104. Virtual: Springer Nature Singapore. doi:https://doi.org/10.1007/978-981-16-8062-5_6

TS. Vũ Duy Hiến
Khoa Công nghệ thông tin và Kinh tế số - Học viện Ngân hàng

Tin bài khác

Ứng dụng và tiềm năng của bản sao số khách hàng trong ngành Ngân hàng

Ứng dụng và tiềm năng của bản sao số khách hàng trong ngành Ngân hàng

Sự xuất hiện của bản sao số khách hàng đánh dấu bước chuyển đổi căn bản trong ngành Ngân hàng, từ mô hình quản lý khách hàng phản ứng sang chiến lược chủ động dựa trên dự đoán và tương tác cá nhân hóa sâu. Bằng cách xây dựng các mô hình ảo động, bản sao số khách hàng cho phép ngân hàng mô phỏng hành vi, dự báo nhu cầu và phân tích động lực đằng sau quyết định tài chính của từng cá nhân. Giá trị cốt lõi của bản sao số khách hàng nằm ở khả năng siêu cá nhân hóa dịch vụ, thúc đẩy lòng trung thành và tối ưu hóa giá trị vòng đời khách hàng, đồng thời nâng cao hiệu quả hoạt động, quản lý rủi ro và đổi mới sản phẩm.
Vai trò của trí tuệ nhân tạo và học máy đối với phát hiện gian lận tài chính trong ngân hàng số

Vai trò của trí tuệ nhân tạo và học máy đối với phát hiện gian lận tài chính trong ngân hàng số

Bài nghiên cứu này đã nêu rõ vai trò chuyển đổi của trí tuệ nhân tạo và học máy trong phát hiện gian lận, nhấn mạnh khả năng phân tích tập dữ liệu giao dịch khổng lồ, xác định các điểm bất thường và tăng cường bảo mật ngân hàng số... Việc trí tuệ nhân tạo và học máy được áp dụng rộng rãi sẽ phụ thuộc vào cách các tổ chức tài chính điều chỉnh chiến lược của mình để thích ứng hiệu quả hơn với các mô hình đang ngày càng được quản lý chặt chẽ hơn bởi các quy định. Sự thành công của trí tuệ nhân tạo và học máy trong phát hiện gian lận sẽ được quyết định bởi việc đổi mới công nghệ, chia sẻ thông tin tình báo về gian lận và các biện pháp quy định nhằm cân bằng giữa đạo đức trong việc sử dụng trí tuệ nhân tạo trong ngân hàng số.
Chuyển đổi số ngành Ngân hàng Việt Nam: Bứt phá trong kỷ nguyên mới

Chuyển đổi số ngành Ngân hàng Việt Nam: Bứt phá trong kỷ nguyên mới

Bài viết đề cập đến vai trò then chốt của ngành Ngân hàng trong kỷ nguyên phát triển mới của đất nước dưới sự lãnh đạo của Đảng, đặc biệt trong bối cảnh chuyển đổi số toàn diện và xu thế toàn cầu hóa. Ngân hàng Nhà nước Việt Nam đã tích cực triển khai nhiều chiến lược thúc đẩy chuyển đổi số, hiện đại hóa hoạt động toàn ngành. Bài viết đồng thời phân tích nhiệm vụ, thành tựu, khó khăn trong quá trình này và đề xuất giải pháp giúp ngành Ngân hàng thực hiện sứ mệnh phát triển trong thời kỳ mới.
Thực trạng bảo vệ dữ liệu cá nhân trong thương mại điện tử và một số kiến nghị

Thực trạng bảo vệ dữ liệu cá nhân trong thương mại điện tử và một số kiến nghị

Thương mại điện tử phát triển mạnh sau đại dịch Covid-19 nhưng kéo theo nhiều rủi ro về bảo mật thông tin và dữ liệu cá nhân, gây ra tình trạng xâm phạm, đánh cắp dữ liệu và gia tăng tội phạm mạng. Do đó, việc bảo vệ dữ liệu cá nhân trở thành yêu cầu cấp thiết trong bối cảnh kinh tế số. Bài viết phân tích thực trạng bảo vệ dữ liệu, chỉ ra những hạn chế và đề xuất giải pháp hoàn thiện.
Phát triển ngân hàng số  và thanh toán không dùng tiền mặt  tại Phú Yên giai đoạn 2022 - 2024

Phát triển ngân hàng số và thanh toán không dùng tiền mặt tại Phú Yên giai đoạn 2022 - 2024

Nghiên cứu phân tích sự bùng nổ của ngân hàng số và thanh toán không dùng tiền mặt tại Phú Yên giai đoạn 2022 - 2024, với sự tăng trưởng mạnh về số lượng khách hàng, giao dịch và chuyển dịch sang kênh điện tử. Động lực là sự phối hợp giữa chính sách, đổi mới từ ngân hàng, công nghệ và sự hưởng ứng của người dân. Nghiên cứu kết luận giai đoạn này góp phần thúc đẩy chuyển đổi số và đề xuất giải pháp duy trì tăng trưởng, khắc phục thách thức về an ninh và khoảng cách số.
Đặc trưng của chuyển đổi số  và những tác động đến hoạt động  của các ngân hàng trung ương trên thế giới

Đặc trưng của chuyển đổi số và những tác động đến hoạt động của các ngân hàng trung ương trên thế giới

Chuyển đổi số, nổi bật trong bối cảnh CMCN 4.0, đang thay đổi sâu sắc cách vận hành và cung cấp dịch vụ trong ngành ngân hàng, bao gồm cả ngân hàng trung ương. Bài viết làm rõ khái niệm, đặc điểm của chuyển đổi số trong lĩnh vực này, phân tích tác động đến hoạt động của các NHTW trên thế giới và đề xuất gợi ý cho Việt Nam.
Tài chính - ngân hàng thời Deepfake: Nguy cơ và ứng phó

Tài chính - ngân hàng thời Deepfake: Nguy cơ và ứng phó

Với quyết tâm từ các cấp lãnh đạo, nỗ lực của ngành Ngân hàng và ý thức cảnh giác của mỗi người dân, chúng ta hoàn toàn có thể giảm thiểu mối đe dọa từ deepfake, góp phần bảo vệ an ninh tài chính quốc gia trong kỷ nguyên số hóa.
Tokenization trong lĩnh vực tài chính

Tokenization trong lĩnh vực tài chính

Những năm gần đây, token được sử dụng rộng rãi đối với các giao dịch trực tuyến trong lĩnh vực tài chính -ngân hàng, nhằm đảm bảo an toàn cho tài khoản của khách hàng. Tiến bộ công nghệ đã dẫn đến xu hướng tạo dựng token điện tử trên các nền tảng có khả năng lập trình với mục tiêu cung cấp hạ tầng cơ sở (gọi là sắp đặt token) và mã hóa các token (tokenization) để hỗ trợ các bên tham gia phát hành, chuyển giao tiền tệ và những tài sản khác, bắt đầu được triển khai trên thị trường tài sản ảo và nhanh chóng được nghiên cứu, thử nghiệm rộng rãi.
Xem thêm
Pháp luật về bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng tại một số quốc gia  và bài học kinh nghiệm cho Việt Nam

Pháp luật về bảo vệ dữ liệu cá nhân trong lĩnh vực ngân hàng tại một số quốc gia và bài học kinh nghiệm cho Việt Nam

Trong xu hướng phát triển nền kinh tế số, các giao dịch thường xuyên được thực hiện qua phương thức trực tuyến từ dịch vụ công đến các dịch vụ tài chính, cũng từ đó, rủi ro về bảo mật thông tin ngày càng trở nên nghiêm trọng, đặc biệt đối với các quốc gia đang phát triển. Các thông tin dữ liệu nói chung và thông tin dữ liệu cá nhân nói riêng là những vấn đề quan trọng trong các quan hệ xã hội và cần được bảo vệ như những quyền lợi chính đáng của con người.
Điều hành tín dụng linh hoạt là nền tảng cho thị trường bất động sản phát triển bền vững

Điều hành tín dụng linh hoạt là nền tảng cho thị trường bất động sản phát triển bền vững

Trong năm 2025, Ngân hàng Nhà nước Việt Nam (NHNN) tiếp tục nâng cao năng lực giám sát và quản lý rủi ro tín dụng trong lĩnh vực bất động sản, thông qua việc xây dựng hệ thống cảnh báo sớm và bộ tiêu chí phân loại tín dụng đặc thù cho doanh nghiệp bất động sản. Tín dụng bất động sản cũng được định hướng ưu tiên cho các phân khúc phục vụ an sinh xã hội như nhà ở xã hội, nhà ở công nhân và các dự án thương mại đáp ứng nhu cầu ở thực sự của người dân.
Chương trình 145 nghìn tỉ đồng cho vay nhà ở xã hội: Doanh số giải ngân dần cải thiện

Chương trình 145 nghìn tỉ đồng cho vay nhà ở xã hội: Doanh số giải ngân dần cải thiện

Mặc dù có nhiều khó khăn nhưng với sự chỉ đạo sát sao của Chính phủ, Thủ tướng Chính phủ và nỗ lực của ngành Ngân hàng, doanh số giải ngân chương trình cho vay lãi suất ưu đãi đối với chủ đầu tư, người mua nhà các dự án nhà ở xã hội, nhà ở công nhân, dự án cải tạo, xây dựng lại chung cư cũ (chương trình 145 nghìn tỉ đồng) đã có sự cải thiện qua thời gian, tháng sau cao hơn tháng trước, tương ứng với nguồn cung nhà ở xã hội gia tăng.
Thủ tướng chỉ đạo tiếp tục đẩy mạnh cao điểm đấu tranh ngăn chặn, đẩy lùi buôn lậu, gian lận thương mại

Thủ tướng chỉ đạo tiếp tục đẩy mạnh cao điểm đấu tranh ngăn chặn, đẩy lùi buôn lậu, gian lận thương mại

Thủ tướng Chính phủ Phạm Minh Chính vừa ký Công điện 82/CĐ-TTg ngày 4/6/2025 về tiếp tục đẩy mạnh cao điểm đấu tranh ngăn chặn, đẩy lùi tình trạng buôn lậu, gian lận thương mại, hàng giả, xâm phạm quyền sở hữu trí tuệ.
Tổng Bí thư Tô Lâm làm việc với Ban Chính sách, chiến lược Trung ương về cơ chế, chính sách quản lý hiệu quả thị trường vàng

Tổng Bí thư Tô Lâm làm việc với Ban Chính sách, chiến lược Trung ương về cơ chế, chính sách quản lý hiệu quả thị trường vàng

Chiều 28/5, đồng chí Tô Lâm, Tổng Bí thư Ban Chấp hành Trung ương Đảng Cộng sản Việt Nam đã có buổi làm việc với Ban Chính sách, chiến lược Trung ương về cơ chế, chính sách quản lý hiệu quả thị trường vàng trong thời gian tới.
Vị thế của đô la Mỹ trên thị trường tài chính toàn cầu

Vị thế của đô la Mỹ trên thị trường tài chính toàn cầu

Tháng 4/2025 chứng kiến cuộc khủng hoảng niềm tin nghiêm trọng đối với đồng USD, bất chấp lợi suất trái phiếu Mỹ tăng. Bài viết phân tích những bất thường trên thị trường tài chính toàn cầu sau các biện pháp thuế quan gây tranh cãi của Mỹ, đồng thời chỉ ra nguyên nhân từ sự thay đổi cấu trúc tài chính, phi toàn cầu hóa và biến động địa chính trị. Nếu xu hướng này tiếp diễn, USD có nguy cơ mất dần vị thế, đe dọa sự ổn định của hệ thống tài chính thế giới.
Kinh nghiệm quốc tế về áp dụng Hiệp ước vốn Basel III  trong hoạt động ngân hàng và khuyến nghị cho Việt Nam

Kinh nghiệm quốc tế về áp dụng Hiệp ước vốn Basel III trong hoạt động ngân hàng và khuyến nghị cho Việt Nam

Hiệp ước vốn Basel III là khuôn khổ nâng cao với sự sửa đổi và củng cố cả ba trụ cột của Basel II, đây là công cụ hỗ trợ đắc lực để nâng cao chất lượng quản trị rủi ro và năng lực cạnh tranh của các ngân hàng. Bài viết phân tích tình hình áp dụng các Hiệp ước vốn Basel của hệ thống ngân hàng trên thế giới, cùng với kinh nghiệm quốc tế và thực tiễn tại Việt Nam trong việc áp dụng Hiệp ước vốn Basel III, tác giả đưa ra một số đề xuất giải pháp chính sách cho hệ thống ngân hàng...
Hiểu biết tài chính và truyền tải chính sách tiền tệ: Kinh nghiệm từ Ngân hàng Trung ương châu Âu và một số khuyến nghị

Hiểu biết tài chính và truyền tải chính sách tiền tệ: Kinh nghiệm từ Ngân hàng Trung ương châu Âu và một số khuyến nghị

Bài viết phân tích vai trò của hiểu biết tài chính trong việc truyền dẫn chính sách tiền tệ, dựa trên khảo sát của Ngân hàng Trung ương châu Âu; đồng thời, đề xuất tăng cường giáo dục và truyền thông tài chính để hỗ trợ chính sách tiền tệ và phát triển kinh tế bền vững.
Giải mã bẫy thu nhập trung bình: Kinh nghiệm Đông Á và một số khuyến nghị chính sách

Giải mã bẫy thu nhập trung bình: Kinh nghiệm Đông Á và một số khuyến nghị chính sách

Bài viết này tổng hợp bài học từ các nền kinh tế đã thành công vượt qua "bẫy thu nhập trung bình" như Hàn Quốc, Singapore, Đài Loan (Trung Quốc), Malaysia và Trung Quốc. Trên cơ sở đó, tác giả nêu một số khuyến nghị chính sách đối với Việt Nam nhằm duy trì đà tăng trưởng, tránh rơi vào “bẫy” và hướng tới mục tiêu thu nhập cao vào năm 2045.
Kinh tế vĩ mô thế giới và trong nước các tháng đầu năm 2025: Rủi ro, thách thức và một số đề xuất, kiến nghị

Kinh tế vĩ mô thế giới và trong nước các tháng đầu năm 2025: Rủi ro, thách thức và một số đề xuất, kiến nghị

Việt Nam đã đặt mục tiêu tăng trưởng GDP năm 2025 đạt 8% trở lên, nhằm tạo nền tảng vững chắc cho giai đoạn tăng trưởng hai con số từ năm 2026. Đây là một mục tiêu đầy thách thức, khó khăn, đặc biệt trong bối cảnh kinh tế toàn cầu còn nhiều bất định và tăng trưởng khu vực đang có xu hướng chậm lại, cùng với việc Hoa Kỳ thực hiện áp thuế đối ứng với các đối tác thương mại, trong đó có Việt Nam. Mặc dù vậy, mục tiêu tăng trưởng kinh tế trên 8% năm 2025 vẫn có thể đạt được, với điều kiện phải có sự điều hành chính sách linh hoạt, đồng bộ và cải cách thể chế đủ mạnh để khơi thông các điểm nghẽn về đầu tư, năng suất và thị trường…

Thông tư số 07/2025/TT-NHNN Sửa đổi, bổ sung một số điều của Thông tư số 39/2024/TT-NHNN ngày 01 tháng 7 năm 2024 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về kiểm soát đặc biệt đối với tổ chức tín dụng

Nghị định số 94/2025/NĐ-CP ngày 29 tháng 4 năm 2025 của Chính phủ quy định về Cơ chế thử nghiệm có kiểm soát trong lĩnh vực ngân hàng

Nghị định số 26/2025/NĐ-CP của Chính phủ ngày 24/02/2025 quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Ngân hàng Nhà nước Việt Nam

Thông tư số 59/2024/TT-NHNN ngày 31/12/2024 Sửa đổi, bổ sung một số điều của Thông tư số 12/2021/TT-NHNN ngày 30 tháng 7 của 2021 của Thống đốc Ngân hàng Nhà nước Việt Nam quy định về việc tổ chức tín dụng, chi nhánh ngân hàng nước ngoài mua, bán kỳ phiếu, tín phiếu, chứng chỉ tiền gửi, trái phiếu do tổ chức tín dụng, chi nhánh ngân hàng nước ngoài khác phát hành trong nước

Thông tư số 60/2024/TT-NHNN ngày 31/12/2024 Quy định về dịch vụ ngân quỹ cho tổ chức tín dụng, chi nhánh ngân hàng nước ngoài

Thông tư số 61/2024/TT-NHNN ngày 31/12/2024 Quy định về bảo lãnh ngân hàng

Thông tư số 62/2024/TT-NHNN ngày 31/12/2024 Quy định điều kiện, hồ sơ, thủ tục chấp thuận việc tổ chức lại ngân hàng thương mại, tổ chức tín dụng phi ngân hàng

Thông tư số 63/2024/TT-NHNN ngày 31/12/2024 Quy định về hồ sơ, thủ tục thu hồi Giấy phép và thanh lý tài sản của tổ chức tín dụng, chi nhánh ngân hàng nước ngoài; hồ sơ, thủ tục thu hồi Giấy phép văn phòng đại diện tại Việt Nam của tổ chức tín dụng nước ngoài, tổ chức nước ngoài khác có hoạt động ngân hàng

Thông tư số 64/2024/TT-NHNN ngày 31/12/2024 Quy định về triển khai giao diện lập trình ứng dụng mở trong ngành Ngân hàng

Thông tư số 57/2024/TT-NHNN ngày 24/12/2024 Quy định hồ sơ, thủ tục cấp Giấy phép lần đầu của tổ chức tín dụng phi ngân hàng