CHƯƠNG 2 PHƯƠNG PHÁP NGHIÊN CỨU
4.2. Một số giải pháp chủ yếu hoàn thiện công tác quản lý rủi ro trong
4.2.6. Công nghệ thông ti n Tăng cường độ an toàn bảo mật thông tin
tin
Tại thời điểm hiện nay, tất cả các điểm kết nối của hệ thống KBNN vào hạ tầng truyền thông Bộ Tài chính đều được áp dụng các giải pháp bảo mật tiên tiến, được trang bị thiết bị bảo mật với tính năng ưu việt, cấu hình phù hợp với quy mô tại mỗi cấp KBNN. Cụ thể, tại cấp Quận Huyện được trang bị thiết bị tường lửa Juniper SSG5, tại cấp tỉnh được trang bị thiết bị tường lửa Juniper SRX550, tại cấp Trung ương còn được trang bị các thiết bị bảo mật cao cấp khác như: Thiết bị phòng chống xâm nhập, thiết bị dò quét lỗ hổng bảo mật, thiết bị bảo vệ người dung khi truy cập Internet... Ngoài ra hệ thống máy chủ và các thiết bị mạng được cũng được trang bị thiết bị có cấu hình mạnh, có khả năng hứng chịu lỗi và khả năng dự phòng cao. Đặc biệt còn có môi trường dự phòng chống thảm họa (DR) để bảo đảm tính sẵn sàng
của hệ thống khi môi trường sản suất xảy ra sự cố.
Mặt khác, các quy định về an toàn thông tin (ATTT), cụ thể là Quy định về ATTT đối với người sử dụng hệ thống CNTT trong hệ thống, ban hành kèm theo Quyết định 95/QĐ-KBNN ngày 14/02/2014 của Tổng Giám đốc KBNN và Quy định kiểm soát an toàn Hệ điều hành và phòng chống mã độc trong hệ thống KBNN ban hành kèm theo Quyết định 93/QĐ-KBNN ngày 17/02/2011. Các quyết định trên đã quy định rất cụ thể về việc quản lý và sử dụng mật khẩu.Bên cạnh đó, trong nội dung Quy định tạm thời về quản lý và sử dụng chứng thư số chuyên dùng trong hệ thống KBNN, ban hành kèm theo quyết định 612/QĐ-KBNN ngày 14/10/2011 cũng đã quy định rõ việc quản lý chứng thư số, nhằm xác thực thông tin, chứng thực chữ ký số, bảo mật và an toàn thông tin trong giao dịch điện tử.
Tuy nhiên, trong thời gian qua, mặc dù chưa phát hiện trường hợp nào vi phạm các quy định trên nhưng rất có khả năng vẫn xảy ra tình trạng KTV và TTV giao tài khoản và mật khẩu, thậm chí chứng thư số cho người khác để xử lý công việc hộ khi họ đi vắng. Tuy không phổ biến nhưng đây là một thực tế rất nguy hiểm, rất đáng quan tâm và cần có giải pháp khắc phục như sau:
- Tăng cường quán triệt đến từng KTV, TTV nâng cao nhận thức về ATTT, nhất là trong lĩnh vực giao dịch điện tử.
- Thay thế phương thức xác thực thông qua chứng thư số bằng phương thức xác thực thông qua 1 trong các phương thức sinh trắc học tiên tiến như: Quét vân tay (Fingerprint), quét tĩnh mạch lòng bàn tay, nhận diện khuôn mặt, quét võng mạc (Eye Scan)…
- Thường xuyên rà soát các quy trình thanh toán điện tử, phát hiện và ngăn chặn kịp thời các kẽ hở trong quy trình, đảm bảo quy trình thanh toán chặt chẽ.
- Xây dựng giải pháp mã hóa trong các hệ thống thanh toán nhằm che giấu các thông tin nhạy cảm của người dùng. Qui định rõ, chỉ các nhân viên có trách nhiệm tại từng giai đoạn (bước) cụ thể của qui trình mới xem được
dữ liệu trong giai đoạn đó.
- Xây dựng giải pháp kiểm tra và đối chiếu dữ liệu giữa các chủ thể tham gia giao dịch điện tử.
- Xây dựng giải pháp thống kê, giám sát để theo dõi và kịp thời phát hiện các giao dịch bất thường, tránh bị tấn công thực hiện các giao dịch điện tử ảo trên hệ thống thanh toán.
- Tăng cường công tác phòng chống mã độc, ngăn ngừa các nguy cơ lây nhiễm mã độc và đặc biệt là phòng chống và ngăn chặn kịp thời nguy cơ tấn công có chủ đích.
- Thường xuyên tổ chức các khóa đào tạo về ATTT, cập nhật các kiến thức mới về ATTT cho CBCC, đưa những bài học thực tiễn, những sự cố về ATTT đã xảy ra vào chương trình đào tạo để CBCC rút ra bài học kinh nghiệm nhằm nâng cao nhận thức chung về ATTT.
- Liên tục quán triệt các quy trình thanh toán đến CBCC, đặc biệt là các quy định về ATTT để mỗi CBCC nhận thức đúng và đủ trách nhiệm của mình khi tham gia hệ thống thanh toán và tuân thủ đầy đủ các quy định do KBNN ban hành, đặc biệt là các quy định về quản lý mật khẩu và chứng thư số chuyên dùng.
- Sử dụng ứng dụng thi trắc nghiệm đã được áp dụng tại Hội thi nghiệp vụ 2015 để hàng năm tổ chức thi nghiệp vụ với các nội dung về chế độ kế toán, quy trình nghiệp vụ và kiến thức về ATTT để giúp CBCC tiếp thu kiến thức một cách hiệu quả hơn.