Các biện pháp an ninh

2. Yêu cầu bảo mật, xác thực trong giao dịch thanh toán

2.2.Các biện pháp an ninh

2.2.1. An toàn vật lý

An toàn vật lý là việc bảo vệ các thiết bị, tài sản của hệ thống. Hệ thống bảo đảm an toàn vật lý bao gồm: các thiết bị báo động, camera theo dõi, người canh giữ, cửa chống cháy, thiết bị chống sét, hàng rào an ninh, kiểm soát ra vào, đảm bảo môi trường hoạt động của hệ thống (nguồn điện, nhiệt độ, độ ẩm …), tủ két, hầm bí mật, các toà nhà chống bom…

2.2.2. An toàn mạng máy tính và truyền thông

Các khía cạnh của an toàn mạng bao gồm: kiểm soát truy cập mạng, phát hiện và phòng chống virus, xác thực người dùng, đảm bảo độ tin cậy, không thể chối bỏ, toàn vẹn và bảo mật dữ liệu, đảm bảo tính bí mật riêng tư và tính sẵn sàng của hệ thống.

• Kiểm soát truy cập mạng: Khác với các hệ thống thanh toán truyền thông được xây dựng trên mạng cục bộ của ngân hàng, Internet Banking cần có hệ thống bảo vệ chống xâm nhập trái phép. Ngày nay, hệ thống tường lửa (Firewall) được sử dụng phổ biến và được xây dựng cho các hệ thống muốn kết nối ra một mạng bên ngoài (Internet chẳng hạn). Tường lửa là sự kết hợp giữa phần cứng và phần mềm được thiết lập giữa hai mạng máy tính (site-to-site), mọi sự trao đổi giữa hai mạng đều phải đi qua nó bất kể theo chiều nào. Tường lửa là một cổng (gateway) bảo vệ chống lại những kẻ đang cố gắng xâm nhập trái phép vào trong mạng máy tính.

Tường lửa cần được cài đặt cấu hình cho phù hợp với môi trường hệ điều hành và nó cần được đánh giá, bảo trì định kỳ để đảm bảo có hiệu lực và hiệu quả. Đối với các hệ thống lớn, tường lửa được đặt thành nhiều tầng để đảm bảo an toàn cho các lớp mạng, lớp ứng dụng hay các lớp dữ liệu khác nhau. Mỗi tầng tường lửa lại được cài đặt cấu hình khác nhau để đảm bảo an toàn cho các tầng còn lại khi một tầng bị xuyên thủng. Một hệ thống tường lửa như vậy đã được xây dựng cho hệ thống Internet Banking của Ngân hàng Công thương Việt Nam.

• Phát hiện và phòng chống Virus

Khác với trước đây người ta chỉ quan tâm đến việc phòng chống Virus trờn cỏc máy trạm, ngày nay, Internet đã trở thành nguồn lây nhiễm Virus chính, đặc biệt qua hệ thống thư tín điện tử (e-mail). Theo ICSA (International Computer Security Assocication - Tổ chức quốc tế về bảo mật máy tính), trong năm 2000, 87% trường hợp lây nhiễm Virus là thông qua e-mail.

Đối với một doanh nghiệp nói chung và các tổ chức cung cấp dịch vụ thanh toán nói riêng, hệ thống phòng chống Virus cần được xây dựng không những chỉ cho các máy trạm mà còn phải được trang bị cho hệ thống các máy chủ (server) bao gồm: máy chủ Web (Web Server), máy chủ ứng dụng (Application Server), máy chủ cơ sở dữ liệu (Database Server), các cổng thanh toỏn… và đặc biệt là máy chủ hộp thư điện tử (Mail Server). Các cổng mạng (gateway) cũng là mục tiêu tấn công của Virus, bao gồm cổng Internet và cổng các lớp mạng của doanh nghiệp.

• Mó hoá và xác thực: Các giao dịch trên Internet cũng như trên bất kỳ một hệ thống truyền thống khác đều phải được bảo mật để đảm bảo có được độ an toàn cao nhất. Ngân hàng và khách hàng đều cần được đảm bảo rằng họ sẽ nhận được các sản phẩm, dịch vụ như họ đã yêu cầu và họ có thể xác định được ai là người đang giao dịch với họ.

Trong ngân hàng thường sử dụng 2 hệ mã hóa: hệ mó hoỏ đối xứng (sử dụng khoá bí mật) để mó hoỏ cỏc thông điệp và hệ mó hoỏ khóa công khai (sử dụng 2 khoỏ: khoỏ bí mật và khoá công khai) để xác thực cỏc bờn. Công nghệ mó hoỏ khóa công khai sử dụng hai khoá – khoá bí mật và khoá công khai. Hai khoá này có ràng buộc toán học với nhau và khoá này thì không thể suy ra khoá kia. Người gửi sẽ mó hoỏ thông điệp gửi đi bằng khoá bí mật, chỉ có người gửi mới biết khoá bí mật này. Thông điệp chỉ có thể đọc được khi sử dụng mó khoỏ công khai của người gửi. Do đó người nhận có thể biết được thông điệp đã đến từ đúng người gửi mong đợi.

Hệ mó hoỏ khoỏ công khai ECC sẽ được đề cập chi tiết ở chương 3. Bằng việc sử dụng cựng lỳc hai cách mó hoỏ, mó hoỏ đối xứng để bảo vệ các thông điệp và mó hoỏ khoỏ công khai để xác thực cỏc bờn thamg gia, Ngân hàng có thể bảo mật được các thông điệp và bảo đảm bí mật cho các bên tham gia ở mức an toàn cao.

Ngoài ra, một số các thiết bị nhận dạng sinh học cũng được sử dụng cho việc xác thực tại một số Ngân hàng như: quét vân tay, quét võng mạc, quét tĩnh mạch lòng bàn tay, ghi lại tần số giọng núi… Tuy nhiên các phương pháp này chưa được sử dụng phổ biến do hạn chế về giá thành và môi trường kỹ thuật, pháp lý yêu cầu.

• Độ tin cậy: Như đã đề cập ở trên, hệ mó hoỏ khoỏ công khai có thể được sử dụng để bảo mật cho một hệ thống thông tin và xác thực các bên tham gia giao dịch. Bên thứ ba được tin cậy là thành phần rất cần thiết trong quá trình thực hiện giao dịch. Bên thứ ba này được gọi là bên cấp chứng thực.

Cơ quan cấp chứng thực (Certificate Authority - CA) là bên thứ ba được tin cậy để xác nhận các định danh trên mạng máy tính. Cơ quan cấp chứng thực hoạt đông như một công chứng viên. Khái niệm cơ bản ở đây là một Ngân hàng sử dụng uy tín của mình để xác nhận cho các bên trong giao dịch. Điều này tương tự như vai trò các Ngân hàng trong việc phát hành thư tín dụng (letter of credit) để cả người bán và người mua biết rằng bên kia đều được các Ngân hàng tin cậy biết đến.

Mặt khác, các Ngân hàng cũng cần có cách để xác nhận được mình đề phòng những kẻ ăn cắp định danh (indentity). Theo báo cáo của GAO/T-66D-99-34 của GAO (Government Accountability Office - Cơ quan điều tra kiểm toán của Quốc hội Mỹ), thủ phạm sao chép các trang Web của các công ty môi giới hợp pháp, thay địa chỉ để khách hàng lên hệ (và gửi séc), sau đó chuyển lại trang Web chiếm được lên Internet. Ngoài ra các hộp thư và một số địa chỉ Web được phép, mọi thông tin trên trang Web đều có thể công bố một cách hợp lệ. Các Ngân hàng cần có những cổng kiểm soát chống lại một số kẻ phá hoại hoặc trục lợi. Sự phối hợp hài hoà của các hoạt động kiểm soát để ngăn chặn, phát hiện và khắc phục sự cố có thể bảo vệ hệ thống Ngân hàng khỏi những nguy hiểm bất ngờ. Xác thực điện tử đóng vai trò quan trọng trong việc xác thực các bên tham gia, tạo nên sự tin cậy cho hệ thống Internet Banking.

• Không thể chối bỏ: là việc chứng minh không thể chối bỏ việc tham gia giao dịch của cả bên mua và bên bán. Đú chớnh là lý do vì sao thuật toán mó hoỏ khoỏ công khai đã ra đời để các thông điệp điện tử và ngăn chặn việc từ chối hay thoái thác của người gửi hoặc người nhận.

Mặc dù công nghệ đã cung cấp câu trả lời cho việc không thể chối bỏ, môi trường pháp luật có vai trò quan trọng không thể thiếu, cần được xây dựng đồng bộ để tạo cơ sở pháp lý phát triển các dịch vụ thương mại điện tử nói chung và Internet Banking nói riêng.

• Bí mật riêng tư: là vấn đề ngày càng trở nên quan trọng đối với người sử dụng các dịch vụ trên Internet. Việc thu thập và sử dụng thông tin cá nhân dường như đang ngày một gia tăng trên Internet và thương mại điện tử. Các Ngân hàng cần nhận thức được vấn đề này và cần tiên phong thực hiện, làm cho việc bảo đảm bí mật riêng tư trở thành thuộc tính đáng tin cậy của Ngân hàng và lợi ích cho khách hàng.

• Tính sẵn sàng: là một yêu cầu trong duy trì bảo mật chung mức cao trong môi trường mạng. Tất cả các vấn đề nêu trên sẽ chẳng còn giá trị gì nếu mạng máy tính không sẵn sàng và thuận tiện cho khách hàng sử dụng. Người sử dụng dịch vụ Internet luôn mong muốn có thể truy cập hệ thống 24/7 (24/24 giờ trong một ngày và 7 ngày/tuần).

Xung quanh vấn đề về tính sẵn sàng của hệ thống là dung lượng bao gồm cả phần cứng và phần mềm, giám sát chất lượng hoạt động, sự dư thừa và tốc độ khôi phục hoạt động sau sự cố… để đảm bảo cho chất lượng của dịch vụ. Bên cạnh đú, cỏc kỹ thuật giám sát hoạt động hệ thống cho phép quản lý các thông tin như thông tin trên đường truyền, thời gian giao dịch, tổng số thời gian khách hàng phải đợi để sử dụng dịch vụ… Giám sát dung lượng hệ thống, thời gian ngừng trệ (downtime) và hoạt động hệ thống trên một hệ thống có cấu hình thông dụng sẽ giúp cho các Ngân hàng bảo đảm được độ sẵn sàng cao của hệ thống Internet Banking.

Việc đánh giá nguy cơ tấn công mạng cũng rất quan trọng để tránh làm ngừng trệ hệ thống. Toàn mạng không thể bị ngừng trệ khi một bộ phận phần cứng hay một chức năng phầm mềm nào đó bị trục lợi.

2.2.3. An toàn cho hệ thống dự phòng

Hệ thống dự phòng có vai trò rất quan trọng đối với một Ngân hàng. Hệ thống dự phòng đảm bảo cho hoạt động của Ngân hàng được tính sẵn sàng ngay khi hệ thống chính gặp sự cố, đồng thời giữ vai trò như một trung tâm lưu trữ dữ liệu của Ngân hàng. Vì vậy giữ gìn an toàn cho hệ thống dự phòng là rất cần thiết.

Hệ thống dự phòng không phải là hệ thống tiếp nhận các giao dịch trực tuyến nhưng hệ thống dự phòng cần trong trạng thái sẵn sàng hoạt động thay thế cho hệ thống chính một cách kịp thời và chính xác nhất. Các hệ thống an ninh cho hệ thống dự phòng cũng bao gồm các biện pháp an toàn mạng, bảo mật thông tin, kiểm soát truy cập từ bên ngoài, từ hệ thống chính và từ bên trong hệ thống, phòng chống Virus, quản lý phân quyền thực hiện các công tác sao lưu (backup), khôi phục (restore) và khai thác dữ liệu… An toàn vật lý được chú trọng đặc biệt đối với các hệ thống dự phòng.

3. Kết chương

Chương 2 đã trình bày cỏc khỏi niệm liên quan đến InternetBanking, vấn đề bảo mật trong Ibanking (bao gồm các nguy cơ tấn công, đe dọa; các biện pháp an ninh của Internet Banking) cũng như yêu cầu cấp thiết, vai trò của mó hoỏ và xác thực trong giao dịch thanh toán của Ngân hàng.

CHƯƠNG III. PHƯƠNG PHÁP ECC