e. Các giao thức giao dịch điện tử bảo mật
4.3.XUẤT, KIẾN NGHỊ ỨNG DỤNG CÁC GIẢI PHÁP AN NINH BẢO MẬT TRONG THANH TOÁN ĐIỆN TỬ TẠI NGÂN
NINH BẢO MẬT TRONG THANH TOÁN ĐIỆN TỬ TẠI NGÂN HÀNG NN&PTNT
4.3.1. Đề xuất các giải pháp an ninh bảo mật trong thanh toán điện tử tại Ngân hàng NN&PTNT
4.3.1.1. Lựa chọn an ninh bức tường lửa
Thông tin – dữ liệu ngày càng trở nên quan trọng hơn, nó đã trở thành một trong những nguồn tài nguyên thiết yếu của Ngân hàng NN&PTNT, góp phần làm tăng sức mạnh cạnh tranh trên thị trường. Việc
quản lý và chia sẻ tài nguyên thông tin trên mạng từ lâu đã là nỗ lực chính trong các ứng dụng tin học quản lý. Đó là làm sao thu thập và phân phối nguồn tài nguyên thông tin đến nhiều người sử dụng trong cùng một hệ thống một cách nhanh chóng nhất nhưng vấn đảm bảo xây dựng được chế độ bảo vệ chống việc truy cập bất hợp pháp và phương pháp chống thất thoát thông tin được truyền tài trên các mạng truyền dữ liệu công cộng. Để giải quyết khó khăn này Ngân hàng NN&PTNT đã tìm đến giải pháp hệ thống an ninh mạng FIREWALL (Bức tường lửa).
Hình 6: Mô hình máy tính sử dụng Firewall
Tuy nhiên firewall không đủ thông minh như con người để có thể đọc hiểu từng loại thông tin và phân tích nội dung tốt hay xấu của thông tin. Firewall chỉ có thể ngăn chặn giúp ngân hàng sự xâm nhập của những nguồn thông tin không mong muốn nhưng phải xác định rõ các thông số
công này không đi qua nó. Cụ thể như trường hợp, firewall không thể chống lại một cuộc tấn công từ một sự dò rỉ thông tin do dữ liệu bị sao chép bất hợp pháp lên đĩa mềm. Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu khi có một số chương trình được chuyển theo thư điện tử, vượt qua firewall vào mạng được bảo vệ và bắt đầu hoạt động tại đây. Một ví dụ là các virus máy tính, firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do có nhiều cách mã hóa dữ liệu, thoát khỏi khả năng kiểm soát của firewall. Điều này sẽ gây ra nguy hại lớn cho Ngân hàng NN&PTNT, vì vậy việc tìm ra và ứng dụng hệ thống firewall phù hợp nhất cho hệ thống mạng của ngân hàng là hết sức cần thiết.
Một firewall thường bao gồm một hay nhiều thành phần sau: bộ lọc packet, cổng ứng dụng, cổng mạch.
- Bộ lọc packet: Đa số các hệ thống firewall đều sử dụng bộ lọc packet. Một trong những ưu điểm của phương pháp dùng bộ lọc packet là chi phí thấp vì cơ chế lọc packet đã được bao gồm trong mỗi phần mềm router. Tuy nhiên việc định nghĩa các chế độ lọc packet là một việc khá phức tạp, đòi hỏi người quản trị mạng cần có hiểu biết về chi tiết về các dịch vụ Internet, các dạng packet header và các giá trị cụ thể có
thể nhận trên mỗi trường. Khi đòi hỏi về sự lọc càng lớn, các luật lệ về lọc càng trở nên dài và phức tạp, rất khó để quản lý và điều khiển. - Cổng ứng dụng: Cho phép quản trị mạng hoàn toàn điều khiển được
từng dịch vụ trên mạng, cho phép kiểm tra độ xác thực và nó có nhật ký ghi chép lại thông tin về truy nhập hệ thống. Với luật lệ lọc filltering, cổng ứng dụng dễ dàng cấu hình và kiểm tra hơn so với bộ lọc packet. Hạn chế của nó là yêu cầu người sử dụng thay đổi thao tác hoặc thay đổi phần mềm đã cài đặt trên máy client cho truy nhập vào các dịch vụ proxy. Proxy service là các bộ code đặc biệt cài đặt trên gateway cho từng ứng dụng. Nếu người quản trị mạng không cài đặt proxy code cho một ứng dụng nào đó, dịch vụ tương tứng sẽ không được cung cấp và do đó không thể chuyển thông tin qua firewall.
- Cổng mạch là một chức năng đặc biệt có thể thực hiện được bởi một cổng ứng dụng. Cổng mạch đơn giản chỉ chuyển tiếp các kết nối TCP mà không thực hiện bất kỳ một hành động xử lý hay lọc packet nào. Cổng ứng dụng cho những kết nối đến còn cổng vòng cho các kết nối đi. Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong mạng nội bộ muốn trực tiếp truy cập tới các dịch vụ Internet, trong khi bức tường lửa vẫn cung cấp những chức năng để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.
Như vậy với việc sử dụng bức tường lửa phù hợp, Ngân hàng NN&PTNT có thể yên tâm về hệ thống an ninh mạng đã được bảo vệ. Tường lửa có thể giúp ngân hàng phát hiện được sự xâm nhập, phá hoại trái phép của kẻ trộm “trực tuyến” và từ đó có những biện pháp bảo vệ an toàn dữ liệu thông tin cho khách hàng và cho chính Ngân hàng.
4.3.1.2. Lược đồ bảo mật trong các hệ thống thanh toán điện tử
Các lược đồ bảo mật cơ bản được thực hiện cho hệ thống thanh toán điện tử là mã hóa, chữ ký điện tử, tóm tắt thông tin, sử dụng các chứng thực và cơ quan chứng thực (CA). Phần này chỉ tập trung vào việc sử dụng mã hóa công cộng và chữ ký số.
Trước hết chúng ta hiểu mã hóa là một quá trình làm cho thông điệp không thể giải đoán được ngoại trừ bởi những người có một khóa giải mã được cho phép sử dụng. Vậy mã hóa khóa công cộng là gì? Mã hóa công cộng là mã hóa không đối xứng, sử dụng hai khóa khác nhau: một khóa công khai và một khóa riêng. Khóa công khai thì tất tả người sử dụng được phép biết, song khóa riêng thì chỉ có một người được biết – người sở hữu nó. Chìa khóa riêng được cài đặt ở máy tính của người chủ sở hữu và không được gửi cho bất cứ ai. Để gửi một thông điệp an toàn có sử dụng mã hóa công khai, người gửi mã hóa thông điệp với chìa khóa công khai của người nhận. Việc này yêu cầu khóa công khai của người nhận được giao từ trước. Thông điệp được mã hóa công khai của người
nhận được giao từ trước. Thông điệp được mã hóa bằng cách này chỉ có thể được giải mã với chìa khóa riêng của người nhận. Thuật toán phổ biến nhất với mã hóa khóa công khai là thuật toán RSA (Rivest Shamir và Adelman) với nhiều kích cỡ khóa khác nhau, chẳng hạn 1.024 bit. Thuật toán này không bao giờ bị phá hoại bởi bọn tin tặc, do đó nó được coi là phương pháp mã hóa an toàn nhất được biết cho đến nay.
Còn về chữ ký số: Chữ ký số được sử dụng cho việc xác thực người gửi bằng việc áp dụng mã hóa khóa công khai ngược lại. Để tạo một chữ ký số, một người gửi mã hóa thông điệp với chìa khóa riêng của ông ta. Trong trường hợp này, bất cứ người nào có khóa công khai của ông đều có thể đọc được thông điệp đó và người nhận cũng có thể tin chắc rằng người gửi thực sự là tác giả của thông điệp. Một chữ ký số thường được gắn kèm với thông điệp được gửi, cũng giống như chữ ký viết tay. Ví dụ về một trong những phần mềm mã hóa và sử dụng Chữ ký điện tử là: GnuPG for Windows
Hình 7: Hình ảnh bảng GnuPG đã tạo xong khóa
Hiện nay, Ngân hàng NN&PTNT chưa triển khai việc sử dụng chữ ký số trong giao dịch thanh toán trực tuyến tại Ngân hàng, có thể do việc triển khai sử dụng chữ ký số chưa được phổ biến. Nhưng trong tương lại nhất định việc sử dụng chữ ký số sẽ được nhiều người sử dụng, Chính Phủ và Nhà nước cũng đã những nghị định và văn bản hướng dẫn luật khuyến khích việc sử dụng chữ ký điện tử trong các giao dịch trực tuyến. Ngoài ra việc triển khai sử dụng chữ ký số cũng sẽ giúp Ngân hàng NN&PTNT đảm bảo được tính an toàn và bảo mật trong thanh toán hay giao dịch trực tuyến hơn. Giúp Ngân hàng có được sự tin tưởng từ khách hàng và tạo ra được lợi thế cạnh tranh đối với cho các NHTM khác. Đây là một điều mà bất kỳ một NHTM nào cũng rất mong muốn.
4.3.1.3. Đào tạo và nâng cao chất lượng trình độ chuyên môn và trách nhiệm cho đội ngũ cán bộ nhân viên ngân hàng trách nhiệm cho đội ngũ cán bộ nhân viên ngân hàng
Về vấn đề đào tạo, để bảo đảm an toàn cho hệ thống cơ sở hạ tầng công nghệ thông tin ngân hàng cần phải chú trọng đến yếu tố con người. Thông thường các ngân hàng thường quá chú trọng đến vấn đề đầu tư vào công nghệ, phần cứng, phần mềm tiên tiến nhằm giải quyết các vấn đề bảo mật, còn yếu tố con người thường bị bỏ qua. Nhưng sự thật công
một chiến lược bảo mật hiệu quả. Do đó cần phải có một sự cân đối giữa yếu tố con người, chính sách, quy trình và công nghệ trong việc quản lý bảo mật nhằm giảm thiểu các nguy cơ nảy sinh trong môi trường kinh doanh số một cách hiệu quả nhất.
Về trách nghiệm, Ngân hàng nên ký thoả thuận với nhân viên nghiệp vụ đảm bảo việc giữ bí mật thông tin giao dịch trong thanh toán trực tuyến. Các loại giấy tờ, thông tin, phần mềm in ấn vi tính đều không được mang ra khỏi công ty. Ngân hàng cần coi việc đảm bảo an toàn bảo mật cho thông tin cá nhân hay thông tin trong giao dịch trực tuyến của khách hàng là chuẩn mực đạo đức và kỷ luật nghiêm khắc với những nhân viên vi phạm hay mắc sai lầm trong quá trình giao dịch ảnh hưởng đến quyền lợi của khách hàng. Nếu xảy ra việc rò rỉ thông tin ra bên ngoài, Ngân hàng phải lập tức tìm ra biện pháp để sửa chữa và khắc phục tránh để kẻ gian lợi dụng chiếm đoạt thông tin hay tài sản của khách hàng và Ngân hàng.
4.3.2. Các kiến nghị vĩ mô với Nhà nước
Để thực hiện được các giải pháp chung ở tầm vĩ mô cũng như giúp ngân hàng thực hiện được các giải pháp tăng cường hoạt động an ninh bảo mật trong thanh toán trực tuyến tại ngân hàng mình thì Nhà nước cần có một số biện pháp sau:
Thứ nhất, Nhà nước sớm có văn bản, các luật hoàn thiện môi trường pháp luật, pháp lý cho hoạt động kinh doanh bằng phương thức TMĐT. Chính vì hiện nay chưa có môi trường pháp lý đầy đủ cho hoạt động TMĐT đã khiến cho các doanh nghiệp có tâm lý e ngại trong ứng dụng TMĐT vào hoạt động kinh doanh, trong đó có hoạt động thanh toán điện tử, còn bọn tội phạm “trực tuyến” lợi dụng “lỗ hổng” của luật pháp để chiếm đoạt tài sản số hóa của các tổ chức, cá nhân trong xã hội.
Thứ hai, Nhà nước có chính sách đào tạo nguồn nhân lực về công nghệ thông tin tạo nguồn lực cho lĩnh vực TMĐT. Nhà nước cần tăng thêm ngân sách cho lĩnh vực đào tạo công nghệ thông tin trong các cơ sở đào tạo công lập. Đầu tư nhiều cho các nghiên cứu triển khai ứng dụng TMĐT ở Việt Nam. Tạo điều kiện hợp tác giữa các kỳ đào tạo công nghệ thông tin với TMĐT với doanh nghiệp nhằm rút ngắn khoảng cách giữa đào tạo với đòi hỏi thực tế tại doanh nghiệp. Trong đó cần coi trọng sự hợp tác quốc tế trong lĩnh vực này. Do Việt Nam là một nước chậm phát triển về lĩnh vực này so với thế giới.
Thứ ba, Nhà nước tiếp tục phát triển và củng cố các liên minh thẻ thanh toán hiện có, tiến hành kết nối trung tâm chuyển mạch thẻ quốc gia với Trung tâm thanh toán bù trừ và quyết toán chứng khoán, có chính sách ưu đãi về thuế, phí trong lĩnh vực thanh toán trực tuyến. Đặc biệt
khuyến khích bằng chính sách thuế giá trị gia tăng, xây dựng cơ chế tính phí dịch vụ thanh toán trực tuyến hợp lý. (adsbygoogle = window.adsbygoogle || []).push({});
Thứ tư, Nhà nước cần đầu tư hơn nữa nhằm phát triển hạ tầng doanh nghiệp và công nghệ thông tin quốc gia. Xây dựng các cổng thông tin thương mại làm đầu mối cho các doanh nghiệp và các NHTM có chỗ để quảng bá website, tạo điều kiện cho các đối tác có thể dễ dàng tìm kiếm về truy cập website của họ. Ngoài ra cho phép giảm giá cước truy cập Internet, tăng nhanh tốc độ truyền Internet giúp các doanh nghiệp và NHTM giảm chi phí trong quá trình giao dịch qua email. Đẩy mạnh các chương trình ứng dụng công nghệ thông tin và TMĐT trong các NHTM nhằm thúc đẩy quá trình xã hội hóa thông tin và thương mại hóa thông tin.
KẾT LUẬN
Tội phạm công nghệ cao gia tăng không phải là đặc thù của riêng Việt Nam mà là của nhiều nước trên thế giới. Và không phải tổ chức, doanh nghiệp nào cũng có chiến lược an ninh bảo mật hiệu quả do đó cuộc chiến chống lại tin tặc trở nên khó khăn hơn lúc nào hết.
Đích ngắm của tội phạm công nghệ cao chính là tiền, số lượng các vụ hacker nội địa bẻ khóa, đột nhập vào các website, server lấy cắp thông tin cá nhân, thông tin thẻ tín dụng để mua bán trên mạng đang ngày càng trở nên phổ biến. Cho nên việc xây dựng hệ thống an ninh bảo mật hiệu quả, phù hợp trong thanh toán trực tuyến nói riêng và cho toàn hệ thống mạng nói chung của ngân hàng là rất cần thiết. An ninh bảo mật ở đây không chỉ là việc bảo vệ thông tin sẵn có trước những hiểm họa hiện hữu, mà còn cần phải dự đoán và theo kịp những mối đe dọa từ bảo mật. Bảo mật nên giúp định hướng, thúc đẩy các ngân hàng phát triển và vững tin rằng hạ tầng của họ, thông tin của họ và những giao dịch trực tuyến của họ được bảo vệ.
Cuộc chiến giữa tin tặc và những người bảo vệ thông tin là một cuộc chiến dai dẳng và không có hồi kết, sẽ luôn luôn có những người bảo vệ hệ thống thông tin và những người muốn tấn công những hệ thống đó. Công nghệ luôn là phương tiện đôi khi là vũ khí trực tiếp để tấn công và trấn áp các loại tội phạm, đặc biệt là tội phạm công nghệ cao nhưng con người mới là nhân tố quyết định của cuộc chiến đó. Trong giai đoạn hiện nay, những nguy cơ đối với hệ thống thông tin trở nên đáng báo động hơn lúc nào hết. Vấn đề là cần xác định được tầm quan trọng của an ninh bảo mật và có các giải pháp hữu hiệu để đảm bảo an toàn cho toàn hệ thống.