1 thông tư hướng dẫn
2.3.6Các chính sách tự bảo vệ của doanh nghiệp
2.3.6.1 Chính sách trong bảo vệ tài sản
Việc bảo vệ tài sản điện tử không phải là một tùy chọn, mà nó thực sự cần thiết khi thương mại điện tử ngày càng phát triển và những người tham gia vào thương mại điện tử ngày càng phải đối mặt với nhiều nguy cơ, ví dụ như: virus, worm, những đối tượng nghe trộm và các chương trình gây hại mà mục đích của chúng là phá vỡ, làm trễ hoặc từ chối truyền thông luông thông tin giữa khách hàng và nhà sản xuất. Để tranh nguy cơ mất mát, thiệt hại khi tham gia vào thương mại điện tử, cần có các biện pháp về thực thi quản lý nhà nước để bảo đảm an toàn cho các chủ thể tham gia. Cho dù các công ty có tiến hành kinh doanh thương mại qua Internet hay không, thì an toàn vẫn là một vấn đề vô cùng quan trọng. Các khách hàng cần có được sự tin cậy, các giao dịch của họ cần phải được bảo đảm an toàn, không bị xem trộm, không bị sửa đổi. Hiện nay, việc kinh doanh thương mại điện tử đã trở nên quá lớn. thậm chí còn không ngừng phát triển trong vài năm tới. Một số địa điểm bán lẻ và bán buôn truyền thống tồn tại trước khi thương mại điện tử ra đời có thể biến mất trên thị trường.
Trước đây, an toàn có thể được hiểu theo nghĩa vật lý, chẳng hạn như cửa ra vào có gắn hệ thống chuông chống trộm không, camera giám sát,v.v…Điểm lại chúng ta thấy, các tương tác giữa con người và máy tính đã hạn chế các thiết bị đầu cuối cắm kết nối trực tiếp với các máy tính lớn. Giữa các máy tính không có kết nối nào khác. An toàn máy tính tại thời điểm này có nghĩa là đối phó với một số ít
người truy nhập vào các thiết bị đầu cuối. An toàn được hiểu là một vấn đề đơn giản. Còn hiện nay, hàng tỷ người đã tham gia vào mạng toàn cầu Internet, số lượng máy tính kết nối trực tiếp bằng hệ thống mạng riêng cũng lên tới hàng ngàn, chục ngàn, hàng triệu máy. Thật không đơn giản khi xác định ai là người đang sử dụng một nguồn tài nguyên trên máy tính, bởi vì họ có thể ở bất cứ nơi nào trên thế giới, chẳng hạn như Nam Phi, nhưng họ lại sử dụng máy tính ở Mỹ. Hiện nay, nhiều công cụ và giải pháp an toàn mới được đưa ra và sử dụng nhằm bảo vệ các tài sản thương mại. Việc truyền các thông tin có giá trị (hóa đơn điện tử, yêu cầu đặt hàng, số thẻ tín dụng và xác nhận đặt hàng) đã làm thay đổi cách thức nhìn nhận về an toàn, cần đưa ra các giải pháp điện tử và tự động để đối phó lại các mối đe dọa đến tính an toàn.
Việc định nghĩa các giới hạn an toàn, các điều kiện và các cuộc kiểm tra an toàn không đưa ra cách thức kiểm soát an toàn thương mại điện tử như thế nào. Tuy nhiên, công việc này vẫn có ích, bởi vì nó đặt ra các hướng nghiên cứu, tìm kiếm các giải pháp an toàn thiết thực và có thể áp dụng được. Ví dụ, các chuyên gia đã nghiên cứu thấy rằng không thể xây dựng được một hệ thống thương mại an toàn nếu thiếu chính sách an toàn. Chính sách này cần phải nêu được các tài sản cần phải được bảo vệ, cần những gì để có thể bảo vệ các tài sản này. Phân tích các khả năng đe dọa có thể xảy ra, và các nguyên tắc bắt buộc bảo vệ tài sản này. Nó phải được xem xét thường xuyên do các mối đe dọa không ngừng phát sinh. Việc thực thi an toàn sẽ thực sự khó khăn khi không có một chính sách an toàn. Đảm bảo an toàn có nghĩa là cần phải bảo vệ các tài sản, tránh bị khám phá, sửa đổi hoặc hủy bỏ trái phép. Chính sách an toàn điển hình cần phải dứt khoát – không làm lộ thông tin bí mật cho bất kỳ ai bên ngoài công ty. Một chính sách an toàn phải đảm bảo tính bí mật, tình toàn vẹn, tính sẵn sàng của hệ thống và xác thực người dùng.
2.3.6.2 Chính sách trong bảo vệ sở hữu trí tuệ, bảo vệ máy khách
Bảo vệ sở hữu trí tuệ số đặt ra nhiều vấn đề và chúng không giống với các vấn đề an toàn sở hữu trí tuệ truyền thống. Sở hữu trí tuệ truyền thống, chẳng hạn như hình ảnh, biểu trưng và âm nhạc trên Website cũng được bảo vệ bằng luật. Các
luật này không ngăn chặn các xâm phạm xảy ra, không cung cấp cách thức để tìm ra, bằng cách nào mà một đối tượng xâm phạm có được sở hữu trí tuệ. Tài sản số rơi vào tình trạng tiến thoái lưỡng nan, làm sao vừa hiển thị và làm cho sở hữu trí tuệ có hiệu lực trên Web, vừa bảo vệ được các công việc có tính bản quyền này. Việc bảo vệ sở hữu trí tuệ an toàn tuyệt đối là rất khó, chủ sở hữu bắt buộc phải thực hiện một số biện pháp nhằm cung cấp một mức bảo vệ và trách nhiệm nào đó đối với các bản quyền.
Trong đó, các nhà cung cấp dịch vụ Internet ngăn chặn truy nhập và một site bằng cách khóa IP, lọc gói, hoặc sử dụng một máy chủ ủy quyền để lọc các yêu cầu. Tuy nhiên, không một giải pháp nào thực sự hiệu quả trong việc ngăn chặn nạn ăn cắp hoặc nhận dạng tài sản giành được mà không có sự đồng ý của người nắm bản quyền. Một số giải pháp tập trung vào việc bảo vệ bằng các giải pháp công nghệ số. Các giải pháp này chưa thật đầy đủ nhưng dù sao nó cũng cung cấp một khả năng bảo vệ nào đó. Các máy khách (thông thường là các PC) phải được bảo vệ nhằm chống lại các đe dọa xuất phát từ phần mềm hoặc dữ liệu được tải xuống máy khách từ Internet. Một mối đe dọa khác đối với máy khách là một server site đóng giả một Website hợp pháp. Đây thực sự là một mối quan tâm an toàn đối với máy khách, các máy khách cần có trách nhiệm nhận biết các máy chủ của mình. Việc thực thi quản lý nhà nước để bảo đảm an toàn cho máy khách đó là thông qua chứng chỉ số, chúng thực sự cần thiết cho phía máy khác và máy chủ khi xác thực.
Các chứng chỉ số (ID số) là phần đính kèm với thông báo thư điện tử hoặc một chương trình được nhúng vào một trang Web. Khi một chương trình được tải xuống có chứa một chứng chỉ số, nó nhận dạng nhà phát hành phần mềm và thông báo thời hạn hợp lệ của chứng chỉ. Một chứng chỉ không chứa bất kỳ điều gì liên quan đến khả năng hoặc chất lượng của chương trình được tải xuống. Ngầm định của việc sử dụng các chứng chỉ là nếu bạn tin cậy nhà cung cấp phần mềm, chứng chỉ cung cấp cho bạn đảm bảo rằng phần mềm được ký có nguồn gốc từ nhà cung cấp tin cậy.
Việc bảo vệ các kênh thương mại điện tử là một trong các phần quan trọng trong an toàn máy tính. Vì thế, cần phải bảo vệ tài sản khi chúng được chuyển tiếp giữa các máy chủ và các máy khách từ xa. Việc cung cấp kênh thương mại an toàn đồng nghĩa với việc đảm bảo tính bí mật của kênh, tính toàn vẹn của thông báo và tính sẵn sàng của kênh. Thêm vào đó,một kế hoạch an toàn đầy đủ còn bao gồm cả xác thực, đảm bảo rằng người đang sử dụng máy tính đúng là người mà họ nhận. Việc xác thực người dùng là một biện pháp an toàn nhằm bảo vệ các máy chủ thương mại, không phải là các kênh thương mại.
2.3.6.4 Chính sách trong bảo vệ các máy chủ thương mại
Các cách bảo đảm an toàn chủ yếu tập trung vào việc bảo vệ máy phía máy khách và các giao dịch thương mại trên Internet hoặc kênh thương mại. Bảo vệ máy chủ thương mại chính là trọng tâm của thương mại điện tử. Máy chủ thương mại, song song với máy chủ Web, đáp ứng các yêu cầu từ trình duyệt Web thông qua giao thức HTTP và CGI script. Phần mềm máy chủ thương mại bao gồm máy chủ FTP, máy chủ thư tín, máy chủ đăng nhập từ xa và hệ điều hành trên các máy host. Kiểm soát truy nhập và xác thực nhằm kiểm soát ai và cái gì truy nhập vào máy chủ thương mại. Xác thực là kiểm tra nhận dạng của thực thể muốn truy nhập vào máy tính thông qua các chứng chỉ số. Bức tường lửa được sử dụng như một hàng rào giữa một mạng (cần được bảo vệ) và Internet hoặc mạng khác (có khả năng gây ra mối đe dọa). Mạng và các máy tính cần được bảo vệ nằm bên trong bức tường lửa, các mạng khác nằm ở bên ngoài. Các bức tường lửa có các đặc điểm sau: Tất cả các luồng thông tin từ trong ra ngoài và ngược lại đều phải chịu sự quản lý của nó; Chỉ có các luồng thông tin từ trong ra ngoài và ngược lại đều phải chịu sự quản lý của nó; Chỉ có các luồng thông tin được phép (do chính sách an toàn cục bộ xác định) đi qua nó; Bức tường lửa tự bảo vệ mình: Các mạng bên trong bức tường lửa được gọi là các mạng tin cậy, các mạng bên ngoài được gọi là các mạng không tin cậy. Đóng vai trò như một bộ lọc, bức tường lửa cho phép các thông báo (có chọn lọc) đi vào, hoặc ra khỏi các mạng được bảo vệ. Do các máy tính được sử dụng làm bức tường
lửa, không phải là một máy tính toán phục vụ cho mục đích chung, nên chỉ có các phần mềm hệ điều hành cần thiết và phần mềm bảo vệ được duy trì trên máy.