Xây dựng hệ thống Internet banking hướng đến các mục tiêu cụ thể

Một phần của tài liệu Luan van_Nguyen Thi Thanh Thuy (Trang 74 - 77)

Khi xây dựng hệ thống Internet banking, các ngân hàng cần đặt mối quan tâm hàng đầu vào các mục tiêu cụ thể là bảo đảm bí mật và toàn vẹn dữ liệu, hệ thống sẵn sàng liên tục, khả năng xác thực khách hàng và giao dịch, và bảo vệ khách hàng.

Bảo đảm bí mật dữliệu:Bảo đảm bí mật dữ liệu nghĩa là bảo vệ các thông tin nhạy cảm không bị theo dõi và truy cập bất hợp pháp. Các ngân hàng nên đánh giá các yêu cầu an ninh đối với hệ thống Internet banking của ngân hàng và chọn áp dụng phương thức mã hóa phù hợp với yêu cầu bảo mật và toàn vẹn dữ liệu. Ngoài ra, ngân hàng chỉ nên lựa chọn các thuật mã hóa đáp ứng các tiêu chuẩn quốc tế và đã được cộng đồng mã hóa kiểm tra kĩ lưỡng; hoặc được các cơ quan có thẩm quyền, các nhà cung cấp giải pháp an ninh nổi tiếng hay các tổ chức chính phủ công nhận. Yếu tố quan trọng nhất của mã hóa dữ liệu là bảo vệ và giữ bí mật các khóa mã hóa được sử dụng, dù cho đó là khóa chính, khóa riêng hay khóa chung. Tất cả các khóa phải được tạo, lưu trữ, phân phối hoặc thay đổi dưới sự kiểm soát nghiêm ngặt để không ai có thể biết được khóa hay các thành phần tạo nên khóa. Tần số thay đổi khóa cũng phụ thuộc vào mức độ nhạy cảm của thông tin.

Toàn vẹn dữ liệu: Toàn vẹn dữ liệu là sự chính xác, đáng tin cậy và đầy đủ của các thông tin được xử lý, lưu trữ và truyền tải giữa ngân hàng với các khách hàng của mình. Hệ thống Internet banking cần đạt được sự toàn vẹn tương ứng với loại dịch vụ và mức độ phức tạp của dịch vụ cung cấp. Các ngân hàng nên lắp đặt các hệ thống giám sát để nhận được cảnh báo về các hoạt động khả nghi đe dọa tính toàn vẹn của dữ liệu hay về các giao dịch trực tuyến bất thường.

Sự sẵn sàng và liên tục của hệ thống: Các yếu tố quan trọng giúp duy trì sự sẵn sàng liên tục của hệ thống là: đủ công suất, hoạt động chắc chắn, phản hồi nhanh và khôi phục nhanh khi có sự cố. Các ngân hàng cần đảm bảo đủ nguồn lực và năng lực về phần cứng, phần mềm và các nguồn lực khác để có thể cung cấp một dịch vụ đáng tin cậy.

Xử lý giao dịch qua Internet cần đến nhiều kết cấu liên hệ thống và mạng phức tạp. Toàn bộ hệ thống có thể không hoạt động chỉ vì một kết cấu phần cứng hoặc một module phần mềm không hoạt động hay bị hỏng. Do đó, các ngân hàng

cần lưu trữ các kết cấu phần cứng hay phần mềm dự phòng của hệ thống mạng cần thiết để có thể khôi phục hệ thống nhanh chóng khi gặp sự cố.

Các ngân hàng cũng cần đưa ra những quy trình cũng như công cụ để theo dõi thường xuyên hoạt động của hệ thống, theo dõi quy trình xử lý của máy chủ, dung lượng truyền tải, thời gian giao dịch và công suất của hệ thống để đảm bảo dịch vụ Internet banking luôn sẵn sàng và liên tục.

Xác thực khách hàng và giao dịch: Để tránh các cuộc tấn công và gian lận trên mạng, các ngân hàng nên áp dụng phương pháp xác thực hai nhân tố khi truy cập và giao dịch cho tất cả các hình thức Internet banking. Xác thực hai nhân tố giúp chống lại các trò lừa đảo trực tuyến, phần mềm gián điệp, phần mềm độc hại, tấn công trung gian và các trò gian lận hay các xâm nhập bất hợp pháp trên Internet nhắm vào các ngân hàng và khách hàng, từ đó bảo mật dữ liệu tài khoản của khách hàng và các chi tiết giao dịch cũng như nâng cao sự tin tưởng vào Internet banking.

Các ngân hàng cũng cần yêu cầu khách hàng nhắc lại nhân tố xác thực thứ 2 (chẳng hạn mật mã sử dụng một lần - OTP) đối với những giao dịch giá trị cao hay khi có yêu cầu thay đổi những dữ liệu quan trọng (chẳng hạn địa chỉ văn phòng hay nhà của khách hàng, email, số điện thoại, và các thông tin liên lạc khác) trong một lần truy cập. Một quá trình xác thực cùng với giao thức mã hóa của nó phải nguyên vẹn trong suốt quá trình tương tác với khách hàng. Trong trường hợp có sự can thiệp, quá trình sẽ dừng lại. Cần thông báo cho khách hàng các trường hợp có sự can thiệp như vậy khi giao dịch được nối lại hoặc bằng email, điện thoại hay các phương tiện khác. Có thể đáp ứng các yêu cầu về xác thực thông qua việc sử dụng các giao thức mã hóa mạnh như TripleDES, AES,RC4, IDEA, RSA, ECC, OATH và RFC 2104 HMAC.

Bảo vệ khách hàng:Các ngân hàng cần bảo đảm khách hàng được nhận dạng và xác thực trước khi được phép truy cập những thông tin nhạy cảm hay các chức năng ngân hàng trực tuyến. Ngân hàng cũng cần có các biện pháp để giảm thiểu nguy cơ bị tấn công qua trung gian (MIM).

Để bảo vệ khách hàng, các ngân hàng không nên cung cấp các phần mềm cho khách hàng thông qua Internet trừ khi có đủ khả năng đảm bảo an ninh cho

khách hàng, có nghĩa là khách hàng phải kiểm tra được nguồn gốc và tính toàn vẹn của phần mềm được tải về và xác thực chữ ký số của ngân hàng đi kèm với phần mềm nhờ vào chứng nhận số do ngân hàng cung cấp. Ngược lại, ngân hàng cũng có thể kiểm tra tính xác thực và toàn vẹn của phần mềm mà khách hàng sử dụng.

Một phần của tài liệu Luan van_Nguyen Thi Thanh Thuy (Trang 74 - 77)

Tải bản đầy đủ (PDF)

(98 trang)