1 thông tư hướng dẫn
2.3.6 Các chính sách tự bảo vệ của doanh nghiệp
2.3.6.1 Chính sách trong bảo vệ tài sản
Việc bảo vệ tài sản điện tử không phải là một tùy chọn, mà nó thực sự cần thiết khi thương mại điện tử ngày càng phát triển và những người tham gia vào thương mại điện tử ngày càng phải đối mặt với nhiều nguy cơ, ví dụ như: virus, worm, những đối tượng nghe trộm và các chương trình gây hại mà mục đích của chúng là phá vỡ, làm trễ hoặc từ chối truyền thông luông thông tin giữa khách hàng và nhà sản xuất. Để tranh nguy cơ mất mát, thiệt hại khi tham gia vào thương mại điện tử, cần có các biện pháp về thực thi quản lý nhà nước để bảo đảm an toàn cho các chủ thể tham gia. Cho dù các cơng ty có tiến hành kinh doanh thương mại qua Internet hay khơng, thì an tồn vẫn là một vấn đề vơ cùng quan trọng. Các khách hàng cần có được sự tin cậy, các giao dịch của họ cần phải được bảo đảm an tồn, khơng bị xem trộm, không bị sửa đổi. Hiện nay, việc kinh doanh thương mại điện tử đã trở nên q lớn. thậm chí cịn khơng ngừng phát triển trong vài năm tới. Một số địa điểm bán lẻ và bán buôn truyền thống tồn tại trước khi thương mại điện tử ra đời có thể biến mất trên thị trường.
Trước đây, an tồn có thể được hiểu theo nghĩa vật lý, chẳng hạn như cửa ra vào có gắn hệ thống chng chống trộm khơng, camera giám sát,v.v…Điểm lại chúng ta thấy, các tương tác giữa con người và máy tính đã hạn chế các thiết bị đầu cuối cắm kết nối trực tiếp với các máy tính lớn. Giữa các máy tính khơng có kết nối nào khác. An tồn máy tính tại thời điểm này có nghĩa là đối phó với một số ít
người truy nhập vào các thiết bị đầu cuối. An toàn được hiểu là một vấn đề đơn giản. Còn hiện nay, hàng tỷ người đã tham gia vào mạng tồn cầu Internet, số lượng máy tính kết nối trực tiếp bằng hệ thống mạng riêng cũng lên tới hàng ngàn, chục ngàn, hàng triệu máy. Thật không đơn giản khi xác định ai là người đang sử dụng một nguồn tài ngun trên máy tính, bởi vì họ có thể ở bất cứ nơi nào trên thế giới, chẳng hạn như Nam Phi, nhưng họ lại sử dụng máy tính ở Mỹ. Hiện nay, nhiều cơng cụ và giải pháp an tồn mới được đưa ra và sử dụng nhằm bảo vệ các tài sản thương mại. Việc truyền các thơng tin có giá trị (hóa đơn điện tử, yêu cầu đặt hàng, số thẻ tín dụng và xác nhận đặt hàng) đã làm thay đổi cách thức nhìn nhận về an tồn, cần đưa ra các giải pháp điện tử và tự động để đối phó lại các mối đe dọa đến tính an tồn.
Việc định nghĩa các giới hạn an toàn, các điều kiện và các cuộc kiểm tra an tồn khơng đưa ra cách thức kiểm sốt an toàn thương mại điện tử như thế nào. Tuy nhiên, cơng việc này vẫn có ích, bởi vì nó đặt ra các hướng nghiên cứu, tìm kiếm các giải pháp an tồn thiết thực và có thể áp dụng được. Ví dụ, các chun gia đã nghiên cứu thấy rằng không thể xây dựng được một hệ thống thương mại an toàn nếu thiếu chính sách an tồn. Chính sách này cần phải nêu được các tài sản cần phải được bảo vệ, cần những gì để có thể bảo vệ các tài sản này. Phân tích các khả năng đe dọa có thể xảy ra, và các nguyên tắc bắt buộc bảo vệ tài sản này. Nó phải được xem xét thường xuyên do các mối đe dọa không ngừng phát sinh. Việc thực thi an tồn sẽ thực sự khó khăn khi khơng có một chính sách an tồn. Đảm bảo an tồn có nghĩa là cần phải bảo vệ các tài sản, tránh bị khám phá, sửa đổi hoặc hủy bỏ trái phép. Chính sách an tồn điển hình cần phải dứt khốt – khơng làm lộ thơng tin bí mật cho bất kỳ ai bên ngồi cơng ty. Một chính sách an tồn phải đảm bảo tính bí mật, tình tồn vẹn, tính sẵn sàng của hệ thống và xác thực người dùng.
2.3.6.2 Chính sách trong bảo vệ sở hữu trí tuệ, bảo vệ máy khách
Bảo vệ sở hữu trí tuệ số đặt ra nhiều vấn đề và chúng khơng giống với các vấn đề an tồn sở hữu trí tuệ truyền thống. Sở hữu trí tuệ truyền thống, chẳng hạn như hình ảnh, biểu trưng và âm nhạc trên Website cũng được bảo vệ bằng luật. Các
luật này không ngăn chặn các xâm phạm xảy ra, khơng cung cấp cách thức để tìm ra, bằng cách nào mà một đối tượng xâm phạm có được sở hữu trí tuệ. Tài sản số rơi vào tình trạng tiến thối lưỡng nan, làm sao vừa hiển thị và làm cho sở hữu trí tuệ có hiệu lực trên Web, vừa bảo vệ được các cơng việc có tính bản quyền này. Việc bảo vệ sở hữu trí tuệ an tồn tuyệt đối là rất khó, chủ sở hữu bắt buộc phải thực hiện một số biện pháp nhằm cung cấp một mức bảo vệ và trách nhiệm nào đó đối với các bản quyền.
Trong đó, các nhà cung cấp dịch vụ Internet ngăn chặn truy nhập và một site bằng cách khóa IP, lọc gói, hoặc sử dụng một máy chủ ủy quyền để lọc các yêu cầu. Tuy nhiên, không một giải pháp nào thực sự hiệu quả trong việc ngăn chặn nạn ăn cắp hoặc nhận dạng tài sản giành được mà khơng có sự đồng ý của người nắm bản quyền. Một số giải pháp tập trung vào việc bảo vệ bằng các giải pháp công nghệ số. Các giải pháp này chưa thật đầy đủ nhưng dù sao nó cũng cung cấp một khả năng bảo vệ nào đó. Các máy khách (thông thường là các PC) phải được bảo vệ nhằm chống lại các đe dọa xuất phát từ phần mềm hoặc dữ liệu được tải xuống máy khách từ Internet. Một mối đe dọa khác đối với máy khách là một server site đóng giả một Website hợp pháp. Đây thực sự là một mối quan tâm an toàn đối với máy khách, các máy khách cần có trách nhiệm nhận biết các máy chủ của mình. Việc thực thi quản lý nhà nước để bảo đảm an tồn cho máy khách đó là thơng qua chứng chỉ số, chúng thực sự cần thiết cho phía máy khác và máy chủ khi xác thực.
Các chứng chỉ số (ID số) là phần đính kèm với thơng báo thư điện tử hoặc một chương trình được nhúng vào một trang Web. Khi một chương trình được tải xuống có chứa một chứng chỉ số, nó nhận dạng nhà phát hành phần mềm và thông báo thời hạn hợp lệ của chứng chỉ. Một chứng chỉ khơng chứa bất kỳ điều gì liên quan đến khả năng hoặc chất lượng của chương trình được tải xuống. Ngầm định của việc sử dụng các chứng chỉ là nếu bạn tin cậy nhà cung cấp phần mềm, chứng chỉ cung cấp cho bạn đảm bảo rằng phần mềm được ký có nguồn gốc từ nhà cung cấp tin cậy.
Việc bảo vệ các kênh thương mại điện tử là một trong các phần quan trọng trong an tồn máy tính. Vì thế, cần phải bảo vệ tài sản khi chúng được chuyển tiếp giữa các máy chủ và các máy khách từ xa. Việc cung cấp kênh thương mại an toàn đồng nghĩa với việc đảm bảo tính bí mật của kênh, tính tồn vẹn của thơng báo và tính sẵn sàng của kênh. Thêm vào đó,một kế hoạch an tồn đầy đủ cịn bao gồm cả xác thực, đảm bảo rằng người đang sử dụng máy tính đúng là người mà họ nhận. Việc xác thực người dùng là một biện pháp an toàn nhằm bảo vệ các máy chủ thương mại, không phải là các kênh thương mại.
2.3.6.4 Chính sách trong bảo vệ các máy chủ thương mại
Các cách bảo đảm an toàn chủ yếu tập trung vào việc bảo vệ máy phía máy khách và các giao dịch thương mại trên Internet hoặc kênh thương mại. Bảo vệ máy chủ thương mại chính là trọng tâm của thương mại điện tử. Máy chủ thương mại, song song với máy chủ Web, đáp ứng các yêu cầu từ trình duyệt Web thơng qua giao thức HTTP và CGI script. Phần mềm máy chủ thương mại bao gồm máy chủ FTP, máy chủ thư tín, máy chủ đăng nhập từ xa và hệ điều hành trên các máy host. Kiểm soát truy nhập và xác thực nhằm kiểm sốt ai và cái gì truy nhập vào máy chủ thương mại. Xác thực là kiểm tra nhận dạng của thực thể muốn truy nhập vào máy tính thơng qua các chứng chỉ số. Bức tường lửa được sử dụng như một hàng rào giữa một mạng (cần được bảo vệ) và Internet hoặc mạng khác (có khả năng gây ra mối đe dọa). Mạng và các máy tính cần được bảo vệ nằm bên trong bức tường lửa, các mạng khác nằm ở bên ngồi. Các bức tường lửa có các đặc điểm sau: Tất cả các luồng thơng tin từ trong ra ngồi và ngược lại đều phải chịu sự quản lý của nó; Chỉ có các luồng thơng tin từ trong ra ngồi và ngược lại đều phải chịu sự quản lý của nó; Chỉ có các luồng thơng tin được phép (do chính sách an tồn cục bộ xác định) đi qua nó; Bức tường lửa tự bảo vệ mình: Các mạng bên trong bức tường lửa được gọi là các mạng tin cậy, các mạng bên ngoài được gọi là các mạng khơng tin cậy. Đóng vai trị như một bộ lọc, bức tường lửa cho phép các thơng báo (có chọn lọc) đi vào, hoặc ra khỏi các mạng được bảo vệ. Do các máy tính được sử dụng làm bức tường
lửa, khơng phải là một máy tính tốn phục vụ cho mục đích chung, nên chỉ có các phần mềm hệ điều hành cần thiết và phần mềm bảo vệ được duy trì trên máy.