Những phần cứng và phần mềm mới có thể bảo đảm an toàn cho việc kinh doanh của bạn. Tuy nhiên, công nghệ chỉ tốt như kế hoạch an toàn mà nó hỗ trợ.
An toàn trên Internet được coi là một thuật ngữ chứa đầy mâu thuẫn. Nguy cơ xâm phạm đến từ nhiều phía: những tay chuyên bẻ khóa chương trình, những nhân viên thích "xoáy" đồ của công ty hay các tên trộm không gian. Những nguy cơ này có thể gây nên hỏng hóc trong quá trình kết nối vào Internet của các doanh nghiệp bất cứ lúc nào, nhưng có lẽ sự tồi tệ cũng chỉ đến đó mà thôi. Tiến bộ về công nghệ hiện nay đang đưa ra các công cụ để có thể biến Internet thành một nơi làm việc an toàn hơn (tất nhiên là không thể đạt tới mức tuyệt đối).
Những công cụ này chiếm lĩnh thị trường với tốc độ khá nhanh; và sẽ không dễ dàng chút nào nếu bạn muốn điểm mặt từng công cụ để chọn ra cho mình một sản phẩm tốt nhất. Theo các chuyên gia, sự an toàn của Internet có thể giúp định hướng cho những đầu tư của một doanh nghiệp.
Bức tường lửa: Hàng rào chắn đầu tiên
Bức tường lửa (Firewall)* là hàng rào chắn đầu tiên của một công ty chống lại những kẻ chuyên rình mò trên Internet. Kế hoạch xây dựng một firewall nghiêm chỉnh phải là một phần trong chiến lược bảo toàn của một doanh nghiệp. Trong khi việc định nghĩa chính xác firewall là gì vẫn còn phải tranh cãi thì đa số các sản phẩm trong lĩnh vực này vẫn đảm bảo
một trong hai tiêu chuẩn chính là gateway (thiết bị điều khiển giao dịch giữa các mạng dựa trên địa chỉ mạng) và bộ lọc các gói thông tin (packet filter). Một số sản phẩm lại phối hợp cả 2 tiêu chuẩn trên.
Gateway, bản thân nó đã có rất nhiều hình thức khác nhau. Cổng ứng dụng, thông thường, hạn chế người dùng truy cập vào một ứng dụng cụ thể nào đó. Theo cách này, người dùng buộc phải đăng nhập theo một thủ tục riêng để đến được cơ sở dữ liệu hay ứng dụng do gateway bảo vệ. Hai kỹ thuật gateway phổ biến khác nữa là circular gateway và proxy server cũng có tác dụng giữ không cho những người dùng không hợp pháp xâm nhập vào vùng cần được bảo vệ. Mặc dù gateway đảm bảo tính an toàn cao nhưng nó lại làm cho các nhà quản trị mạng khó định được cấu hình, còn người dùng cuối thì khó mà kiểm soát được. Ngoài ra, sự cần thiết phải dẫn toàn bộ lưu thông cả trong và ngoài luồng qua một điểm duy nhất sẽ làm tăng nguy cơ tạo các tắc nghẽn dữ liệu nghiêm trọng. Cuối cùng, các nhà sản xuất gateway trộn lẫn kỹ thuật này với bộ lọc gói thông tin, mặc dù tính an toàn của giải pháp này kém hiệu quả hơn. Bộ lọc gói thông tin gửi đi những gói giao thức Internet Protocol (IP) theo địa chỉ khởi đầu của một gói thông tin. Một gói chỉ được chấp nhận khi nó gửi đi từ 1 điểm đã được đăng ký. Điều đó đảm bảo rằng các gói thông tin từ những người dùng hợp pháp sẽ có thể đi vào mạng được, còn từ các nguồn khác thì không.
Tuy nhiên, do có cấu trúc không phức tạp, ví dụ như loại chuẩn với nhiều kiểu router khác nhau, nên bộ lọc các gói thông tin có thể bị những tay hacker chuyên nghiệp làm vô hiệu hóa. Một địa chỉ IP có thể dễ dàng bị thay đổi để trở thành như một gói thông tin đến từ một hệ thống hợp pháp.
Một cách tiếp cận an toàn hơn đòi hỏi phải có bộ lọc gói thông tin kiểm tra tính hợp pháp của gói thông tin đó và cũng để đọc dữ liệu chứa trong nó. Kỹ thuật này cho phép firewall thực hiện những động tác đặc biệt trên cơ sở thông tin nó đọc được (ví dụ như ngắt kết nối FTP khi giao dịch hoàn tất). Nhiều bộ lọc gói thông tin còn phân tích được đến từng packet riêng để đảm bảo rằng nguyên bản về mặt vật lý phù hợp với địa chỉ IP của nó.
Trong hai lựa chọn về firewall trên, bộ lọc gói thông tin có vẻ ưu thế hơn, nhất là những sản phẩm có cài đặt sẵn "trí tuệ". Bộ lọc gói thông tin hiện nay đang trở thành một tiêu chuẩn trong lĩnh vực an toàn trên Internet.
Bên cạnh việc giúp chống lại những tên trộm chương trình và người dùng bất hợp pháp, firewall còn có tác dụng trong việc ngăn chặn virus tin học và các mã lạ, mặc dù việc sử dụng khía cạnh công nghệ này còn chưa được phổ biến. Các công cụ có thể quét được các loại virus khi dữ liệu đến firewall hiện đang bắt đầu có trên thị trường. Frend Micro Inc. chẳng hạn đưa ra InterScan VirusWall. Sản phẩm này chạy trên các hệ thống của Sun Solaris và có thể quét được một số virus trên e-mail và FTP, gồm cả unencode, base64, binhex và PKZIP đối với các loại virus có thể. Người ta có thể làm cho nó có khả năng thông báo đến cho nhiều người về một nguy cơ có thể xảy ra, lưu file đe dọa bị hỏng vào vùng an toàn hay xóa hẳn nó đi. Giá khởi điểm là 20 USD cho 50 người sử dụng và tất nhiên cho nhiều người dùng thì giá còn rẻ hơn nữa.
Ngoài ra, firewall còn giúp chống các loại virus bằng cách hạn chế truy cập tới người dùng hợp pháp.
Tuy nhiên, có người lại phản đối việc sử dụng firewall như một công cụ phòng chống virus, bởi đối với một tên trộm chương trình chuyên nghiệp, việc "trèo qua" firewall bằng những thủ thuật dấu hoặc nén mã quả là quá dễ dàng. Kiểm tra file bằng các chương trình quét virus thông thường là một giải pháp dễ chấp nhận hơn, thậm chí trong cả trường hợp nó đòi hỏi nhiều hơn thế nữa.
Công nghệ tunnell
Trong khi các loại firewall đang đảm đương nhiệm vụ bảo vệ an ninh cho Internet thì nhiều tổ chức vẫn tiếp tục tìm kiếm một công nghệ khác tốt hơn và hiện nay tunneling - khái niệm về việc sử dụng gói IP được mã hóa để tạo nên một mạng riêng biệt ảo, đang bắt đầu được chấp nhận.
Hy vọng chi phí thấp cho mạng là lý do chính yếu của những ai đang quan tâm đến tunnel, đặc biệt là những công ty cần kết nối nhiều mạng hoặc nhiều nhân viên làm việc ở xa mạng. Hay cụ thể hơn nữa là những công ty cần kết nối hai mạng LAN riêng biệt đặt xa nhau bằng một đường dây riêng và tạo thành một mạng WAN. Với tunnel, các mạng được nối với nhau qua Internet, từ firewall này đến firewall kia, và dữ liệu được gửi qua những gói IP được mã hóa. Về bản chất chính đây là sự chuyển từ việc sử dụng đường thuê bao (leased-line) đắt tiền sang một Internet rẻ tiền hơn.
Công nghệ tunnel còn có thể được sử dụng để bảo vệ cho những mạng riêng biệt trong một công ty. Ví dụ, firewall có thể ngăn chặn những nhân viên không hợp pháp thuộc phòng kế toán của công ty muốn truy cập file trên mạng của phòng quản lý nhân sự.
Thông tin gửi qua các tunnel Internet được đảm bảo an toàn đến từng bit như phương pháp truyền bằng đường thuê bao.
Việc kết nối từ một PC đến mạng khi một nhân viên ở xa văn phòng muốn thực hiện cũng dễ như kết nối giữa 2 mạng với nhau.
Tuy nhiên tunnel cũng thể hiện một vài yếu điểm, đặc biệt là về khả năng tương thích. Thực tế là các công nghệ tunnel hiện nay do nhiều nhà sản xuất khác nhau cung cấp, điều đó có nghĩa là tất cả các điểm cuối của một mạng (cả về phiá mạng và người dùng từ xa) phải được xem xét và phối hợp với nhau chặt chẽ.
Một nhược điểm khác là những người ủng hộ cho tunnel lại bị hạn chế tính "tuyệt đối", điều mà họ nghiễm nhiên có được khi sử dụng các đường thuê bao. Nhưng theo kinh nghiệm của Digital thì tunnel có tốc độ cao hơn một đường thuê bao 56Kbps.
Những hạn chế về mặt an toàn
Mặc cho firewall và tunnel phô trương sức mạnh của mình, người ta vẫn khuyên là chỉ nên coi chúng như những chiếc hòm có khóa chứ không phải hầm cất tiền kiên cố của nhà băng. Và đặc biệt là firewall không thể đảm bảo cho toàn bộ nhu cầu an toàn đối với đường nối vào Internet của một công ty. Điều này giống như bạn phải xây một bức tường bao xung quanh thành phố chỉ vì không muốn mỗi gia đình trong thành phố đó phải khóa cửa nhà họ. Để đạt được hiệu quả tối đa, firewall phải được thiết kế một cách sáng tạo và thông minh mới đáp ứng được nhu cầu của người sở hữu nó. Điều đó có thể là cất những file không thể sử dụng công khai vào một server riêng được bảo vệ kỹ càng hay hạn chế bớt một vài tính năng của server.
Nhưng firewall hay tunnel gì thì cũng chỉ tốt như kế hoạch an toàn mà nó hỗ trợ. Firewall thường không được sử dụng một cách đúng đắn. Có thể có rất nhiều lỗ hổng trên firewall nếu đó là công cụ bảo toàn duy nhất. Điều đó cũng giống như việc xây một cổng khổng lồ bằng đá ở giữa sa mạc.
Những nhân viên trung thực nhưng không được hướng dẫn đầy đủ có thể gây hại cho tính an toàn của Internet bất cứ lúc nào. Giá modem bây giờ rất rẻ, vì thế người ta có thể cài đặt chúng trực tiếp lên máy tính của họ và quay số vào buổi tối để tránh những bất tiện do firewall gây ra.
Ngoài ra, còn một số không nhỏ các nhân viên đã để cho password, địa chỉ IP và khóa mã hóa của họ rơi vào tay người lạ. Công nghệ là một thứ công cụ tuyệt vời nhưng nó không thể thay thế những nguyên tắc bảo mật truyền thống như việc thay đổi thường xuyên các password, giải thích cho các nhân viên hiểu rõ về những đe dọa an ninh có thể xảy ra. Thậm chí với công nghệ tunnel, việc quản lý an ninh luộm thuộm có thể gây ra những rắc rối đau đầu.
Các công ty cũng cần phải xem xét tính an toàn trên Internet từ bên ngoài, Việc giảm bớt những gì đi ra từ Internet cũng quan trọng như hạn chế những gì đi vào đó.
Việc quản lý an ninh
Người ta đã nhận thấy rằng việc thực hiện, định cấu hình hay quản lý firewall hoặc tunnell là công việc rất phức tạp và khó khăn đối với nhiều công ty. Từ khi các firewall điển hình hay phối hợp firewall-tunnel được cấu thành bởi nhiều công cụ, thường là từ những nhà sản xuất khác nhau, việc đưa công nghệ vào thực hiện những gì có thể là rất đơn giản. Mặc dù hầu hết các sản phẩm đều đưa ra giao diện sử dụng đồ họa (GUI), còn những tính năng khác được thiết kế theo hướng dễ sử dụng thì thách thức vẫn còn đó.
Công nghệ tunnel có thể trở nên đặc biệt rối rắm. Đây không phải là loại công nghệ mà một ai đó có thể đọc bảng hướng dẫn rồi có thể mua nó ngay.
Các công ty và nhà quản lý cũng nên phải theo sát thị trường để có thể chọn ra các giải pháp an ninh cho Internet. Nếu chỉ có một sản phẩm duy nhất được tung ra thị trường, tất cả mọi người sẽ dùng nó. Sự lựa chọn phải được dựa trên cơ sở môi trường và giá cả cuối cùng đối với công ty của bạn nếu những thông tin quan trọng lại đi lạc địa chỉ.
* Bức tường lửa: là sự kết hợp phần cứng - phần mềm, có tác dụng như một tấm ngăn
cách giữa nguồn thông tin Internet của một công ty với thế giới bên ngoài.
Nguồn tin từ PCworld