Bảng 3.7 : Biện pháp bảo vệ Website
4.3. MỘT SỐ BIỆN PHÁP NHẰM NÂNG CAO CHẤT LƯỢNG BẢO MẬT
MẬT THƠNG TIN KHÁCH HÀNG TRONG THANH TỐN TRỰC TUYẾN TẠI NGÂN HÀNG NÔNG NGHIỆP VÀ PHÁT TRIỂN NÔNG THÔN VIỆT NAM
4.3.1 Công tác đào tạo
+ Ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thơng tin khách hàng. Tất cả thông tin khách hàng của ngân hàng đều phải đảm bảo bí mật.
+ Việc xử lý, loại bỏ tất cả những tư liệu, giấy tờ liên quan đến khách hàng đều phải huỷ qua máy tài liệu. Các loại giấy tờ, thông tin, phần mềm in ấn vi tính đều khơng được mang ra khỏi cơng ty.
+ Giáo dục đạo đức cho nhân viên
+ Cùng với việc áp dụng kỹ thuật và biện pháp quản lý để đảm bảo an toàn thông tin cho khách hàng, doanh nghiệp cũng nên coi việc đảm bảo an tồn cho thơng tin khách hàng là chuẩn mực đạo đức và nhân viên phục vụ khách hàng phải thực hiện điều này, ngoài ra doanh nghiệp phải chú ý đến kỷ luật cá nhân và giám sát lẫn nhau.
+ Nếu xảy ra việc thông tin mật lọt ra ngoài, doanh nghiệp phải lập tức tìm ra biện pháp để ngăn chặn thơng tin bị rị rỉ, đồng thời căn cứ vào tình hình để ngăn chặn triệt để việc xảy ra tai họa tiềm ẩn. Nếu người nào gây tổn thất kinh tế cho doanh nghiệp thì phải có trách nhiệm đền bù.
+ Đưa ra cơ chế an toàn liên quan đến việc tuyển, sử dụng nhân viên và sa thải nhân viên, kịp thời bố trí, điều chỉnh, điều động cán bộ nhân viên.
4.3.2 Nâng cao ý thức trách nhiệm của cán bộ ngân hàng
Để bảo đảm an tồn cho hệ thống cơ sở hạ tầng cơng nghệ thông tin, các doanh nghiệp cần phải chú trọng đến yếu tố con người. Thông thường các ngân hàng thường quá chú trọng đến vấn đề đầu tư vào công nghệ, phần cứng, phần mềm tiên tiến nhằm giải quyết các vấn đề bảo mật. Trong khi đó,
yếu tố con người thường bị bỏ qua.
Tuy nhiên, một sự thật là ‘công nghệ chỉ là công cụ chứ không phải là giải pháp ứng dụng và thực hiện một chiến lược bảo mật hiệu quả’. “Cần phải có một sự cân đối giữa yếu tố con người, chính sách, quy trình và cơng nghệ trong việc quản lý bảo mật nhằm giảm thiểu các nguy cơ nảy sinh trong môi trường kinh doanh số một cách hiệu quả nhất”.
Tỉ lệ nguồn đầu tư vào con người và đào tạo trong ngân sách bảo mật của các ngân hàng nên tăng cao. “Các nhà lãnh đạo ngân hàng giờ đây đã nhận diện được thông điệp cho rằng chính con người và quy trình mới là yếu tố đóng vai trị cực kỳ quan trọng trong việc bảo mật thông tin.
4.3.3 Chế độ bảo mật
4.3.3.1 Xây dựng hệ thống AD (Active Directory)
AD là hệ thống quan trọng bậc nhất với vai trò quản lý dữ liệu
người dùng, máy tính, groups, và các chính sách cũng như rất nhiều thông tin khác.
+ Mỗi chi nhánh hội sở loại 1,2 phải trang bị 1-2 máy chủ dùng xác thực, quản lý thư mục, quản lý người dùng, ứng dụng. Thiết lập chính sách triển khai phần mềm.
+ Chi nhánh sẽ phối hợp Trung tâm CNTT cài đặt và tích hợp hệ thống.
4.3.3.2 Xây dựng hệ thống Email:
+ Cấp phát cho người dùng tại chi nhánh địa chỉ email an toàn, bảo mật cao (do Trung tâm CNTT quản trị)
+ Địa chỉ email người dùng là @vbard.com/ @agribank.com.vn
+ Email được dùng trong giao tiếp lịch sự hoặc được chấp nhận bởi các đối tác nước ngoài thay thế yahoo/gmail…
4.3.3.3 Xây dựng hệ thống PKI (public key infrastructure - hay còn gọi là hạ tầng mã khố bảo mật cơng cộng) hạ tầng mã khố bảo mật cơng cộng)
Trong một vài năm lại đây, hạ tầng truyền thông IT càng ngày càng được mở rộng khi mà người sử dụng dựa trên nền tảng này để truyền thông và giao dịch với các đồng nghiệp, các đối tác kinh doanh cũng như việc khách hàng dùng email trên các mạng công cộng. Hầu hết các thông tin kinh doanh nhạy cảm và quan trọng được lưu trữ và trao đổi dưới hình thức điện tử. Sự thay đổi trong các hoạt động truyền thông này đồng nghĩa với việc ngân hàng phải có biện pháp bảo vệ tổ chức, doanh nghiệp của mình trước các nguy cơ lừa đảo, can thiệp, tấn cơng, phá hoại hoặc vơ tình tiết lộ các thơng tin đó. PKI cùng các tiêu chuẩn và các cơng nghệ ứng dụng của nó có thể được coi là một giải pháp tổng hợp và độc lập mà ngân hàng có thể sử dụng để giải quyết vấn đề này.
PKI bản chất là một hệ thống cơng nghệ vừa mang tính tiêu chuẩn, vừa mang tính ứng dụng được sử dụng để khởi tạo, lưu trữ và quản lý các chứng thực điện tử cũng như các mã khố cơng cộng và cá nhân.
Quá trình nghiên cứu và phát triển PKI là một quá trình lâu dài và cùng với nó, mức độ chấp nhận của người dùng cũng tăng lên một cách khá chậm chạp. Cũng giống như với nhiều tiêu chuẩn công cộng khác, tỷ lệ người dùng chấp nhận sẽ tăng lên chỉ khi các chuẩn đó trở nên hồn thiện, chứng minh được khả năng thực sự của nó, và khả năng ứng dụng và hiện thực hố của nó là khả thi (cả về khía cạnh chi phí lẫn thực hiện).
PKI có thể đảm bảo một cơ chế bảo mật và tổng hợp để lưu trữ và chia sẻ các tài sản trí tuệ của ngân hàng. Tuy nhiên, chi phí và sự phức tạp của nó có thể gây ra những rào cản nhất định đối với khả năng ứng dụng.
Ngày nay, một giải pháp an ninh toàn diện cạnh tranh với PKI thực sự chưa được tìm thấy. Nên việc lựa chọn PKI là quyết định dễ dàng. PKI là
công nghệ xác thực đầu tiên và hoàn thiện nhất sử dụng phương pháp mã hố dựa trên khố bí mật và khố cơng cộng. Tuy nhiên, PKI cũng bao gồm cả việc ứng dụng rộng rãi các dịch vụ bảo mật khác, bao gồm dịch vụ dữ liệu tin cậy, thống nhất dữ liệu về tổng thể và quản lý mã khoá.
+ Trung tâm xác thực đặt tại 3 khu vực (nhiều ngân hàng th tại nước ngồi)
+ Cài đặt, triển khai tích hợp với hệ thống ứng dụng những nghiệp vụ cần thiết (một số module IPCAS)
+ Chỉ được thực hiện sau khi triển khai xong AD.
+ PKI Smart Card: Thẻ thơng minh, như một máy tính thu nhỏ. Một cơng cụ cơ động, với khả năng chống giả mạo an toàn cho các khoá mã hoá, khoá xác thực và các thông tin nhạy cảm. Hoạt động độc lập với máy tính trong xác thực, chữ ký điện tử và trao đổi khoá. Khoá riêng được lưu tuyệt mật bên trong vi chíp của thẻ thơng minh PKI. Q trình tạo ra chữ ký số được tạo ra hoàn toàn bên trong thẻ thơng minh PKI. Khố mã hố của mỗi phiên giao dịch được sinh ra bởi thẻ.
4.3.3.4 Xây dựng hệ thống OTP (one time password)
Là loại khóa hai được dùng phổ biến nhất hiện nay vì rẻ và dễ dùng. Như tên gọi, OTP chỉ có giá trị sử dụng một lần nên tính bảo mật cao: sau khi người dùng gõ vào và đăng nhập thành cơng thì password này hết hiệu lực (lần đăng nhập sau sẽ dùng password khác); tin tặc nếu có lấy trộm password này cũng không đăng nhập hệ thống được.
+ Cấp phát cho người dùng 1 USB token, hoặc thẻ chip nhằm truy cập ứng dụng IPCAS an toàn, bảo mật cao.
4.3.3.5 Xây dựng hệ thống an ninh:
+ Thiết lập chính sách an ninh + Quy định người dùng
+ Quản trị tài sản tin học
+ Phịng chống virus tồn quốc + Quản lý truy cập
Riêng với chi nhánh Nam Hà Nội – Ngân hàng Nông nghiệp và Phát triển nơng thơn Việt Nam thì em cịn đưa ra những biện pháp sau :
- Cài đặt một số chương trình bảo mật một đầu ra thanh tốn có một thiết bị mã hóa dữ liệu và những thơng tin giữa hai đầu thanh tốn được bảo mật bởi kỹ thuật IPsec.
- Trang bị phần mềm diệt virus bản quyền.
- Áp dụng hệ thống khóa điện tử và chữ ký điện tử đối với các giao dịch liên ngân hàng.
4.3.4 Phương pháp kĩ thuật để bảo mật
+ Kết cấu mạng nội bộ nghiêm ngặt: Kho dữ liệu trung tâm phục vụ khách hàng đặt trong mạng nội bộ doanh nghiệp cách ly với hệ thống mạng bên ngoài. Mạng này được thiết kế căn cứ vào chức năng và nghiệp vụ khác nhau. Các mạng được nối với nhau và vận hành trong mạng chủ; phụ tải được phân đều cho các mạng con. Điều này giúp tính năng của tồn bộ hệ thống không bị giảm đột ngột do sự tăng đột ngột của lượng công việc.
kiểm tra kịp thời hệ thống mạng và các loại phần mềm, tiến hành tu bổ và đánh giá mức độ nguy hiểm của hệ thống mạng, đồng thời đưa ra chính sách an tồn để lắp đặt hệ thống mạng và bố trí người có chun mơn để quản lí mạng an tồn, nhiệm vụ chủ yếu là kiểm tra mức độ rị rỉ của thơng tin theo định kì, đánh giá khuyết điểm khi bố trí lắp đặt hệ thống cũng như những nguy hiểm tiểm ẩn trong hệ thống, sau đó phát hiện ra vấn đề thì phải kịp thời báo cáo tỉ mỉ trình tự những nguy hiểm mà lỗ hổng có thể gây ra, đề xuất biện pháp cải tiến và sửa chữa hệ thống.
+ Đảm bảo sự toàn diện của hệ thống: Tiến hành kiểm tra kho dữ liệu hàng tuần, khi xảy ra sai sót ngồi ý muốn hoặc đánh mất dữ liệu thì kịp thời phục hồi dữ liệu, những dữ liệu quan trọng nên ghi vào đĩa DVD để đảm bảo sự an toàn.