Tin tức
Bảo mật trong thương mại điện tử
22/11/2010

Thiết lập một hệ thống thương mại điện tử sao cho dễ truy cập và an toàn là công việc nghiêm túc, nhưng ngày một đơn giản hơn.

Bất kỳ CIO (giám đốc phụ trách thông tin) nào khi bắt tay triển khai thương mại điện tử (TMĐT - electronic commerce) thông qua Internet cũng đều phải đối mặt với một nghịch lý: vừa phải đảm bảo cho hệ thống thực hiện được các giao dịch, lại vừa phải bảo vệ nó không bị phá hoại bởi chính những người truy cập. Mặc dù không thiếu công cụ làm được việc này - chẳng hạn bức tường lửa (firewall - bức tường lửa) để bảo vệ, hay các kênh truy cập riêng (tunnel) để đối tác đăng nhập vào một cách an toàn - nhưng thực hiện, cấu hình, quản lý chúng lại là nhiệm vụ nặng nhọc đối với nhiều đơn vị. Từ khi có những loại Bức tường lửa đặc hiệu, hay tổ hợp bức tường lửa - tunnel được cấu thành từ nhiều công cụ khác nhau (thường cũng từ nhiều nhà sản xuất khác nhau), công việc phần nào nhẹ nhàng hơn. Mặc dù hầu hết các sản phẩm hiện nay đều có giao diện người dùng đồ họa (GUI) cùng nhiều tính năng hữu dụng khác, song các thách thức vẫn còn rất lớn.

Bức tường lửa đóng vai trò rất quan trọng trong các dự án TMĐT - từ việc giám sát Web site cho đến bảo vệ các hệ thống xử lý lệnh. Trong khi đó, tunnel giúp các tổ chức có thể tạo ra mạng riêng ảo (virtual private network - MRA) để kết nối người mua, nhà cung cấp và đối tác. Tunnel dựa trên cơ sở các gói giao thức Internet được mã hóa, cung cấp mức độ bảo mật cao cho các giao tiếp kinh doanh bí mật.

Mặc dù Bức tường lửa và tunnel có vai trò ngày càng cao trong bảo mật TMĐT, nhiều chuyên gia vẫn còn chưa quen với những khái niệm này. Tự trau dồi kiến thức và thông qua kinh nghiệm hàng ngày sẽ giúp CIO và đội ngũ các nhà quản lý trở nên tự tin hơn khi làm việc với những công cụ bảo mật sống còn đó. "TMĐT là một thế giới bảo mật mới. Các CIO và nhà quản lý, thông qua học tập và đào tạo, phải theo kịp những tiến bộ trong vấn đề này. Nếu không, họ sẽ phải trả giá", quan chức cao cấp thuộc một công ty phần mềm TMĐT phát biểu.

Nhiều người cũng đồng ý như vậy. "Tôi cho rằng đa số các CIO đều bị tụt hậu về kiến thức trong vấn đề này. Công nghệ thay đổi nhanh đến chóng mặt suốt một vài năm qua khiến ngay cả các chuyên gia cũng phải trầy trật mới theo kịp."

Mặc dù có nhiều tranh luận xung quanh việc học hỏi công nghệ mới, đa số chuyên gia bảo mật cho rằng mục tiêu bảo mật chặt chẽ có thể đạt được chẳng mấy khó khăn. Sau đây là một số đề xuất của họ trong vấn đề bảo mật TMĐT.

1 - Vạch rõ mục tiêu bảo mật

Nhiều CIO có vốn hiểu biết rất ít về bảo mật nói chung khi họ bắt đầu một dự án TMĐT. Một chuyên gia trong lĩnh vực này đã từng khuyên "trước tiên, bạn phải vạch rõ mục tiêu muốn đạt được. Bảo mật là bộ phận tích hợp của dự án, chứ không phải bạn muốn nghĩ đến nó lúc nào tùy ý". CIO và các nhà quản lý phải phân tích những yêu cầu đặt ra trong bảo mật ở từng bộ phận của dự án TMĐT, tuyệt đối tránh kiểu đánh giá toàn bộ hệ thống sau khi đã triển khai xong. Nếu đợi cho đến khi hệ thống được cài đặt xong, bạn chắc chắn sẽ hối tiếc về một số việc không kịp làm đối với bảo mật.

Các chuyên gia cũng lưu ý, bảo mật TMĐT ở đây bao gồm cả hai vấn đề là công nghệ và vận hành. "Bạn có thể có một chiếc khóa rất an toàn ở trước cửa nhà, nhưng nó cũng sẽ không giúp được gì nếu bạn sử dụng nó không hợp lý. Cũng như vậy, ngay cả công nghệ tốt nhất trên thế giới cũng không thể bảo vệ cho hệ thống TMĐT của bạn nếu nó không được thực hiện và quản lý một cách đúng đắn", đó là lời một chuyên gia trong ngành. Họ khuyên bạn nên tìm sự trợ giúp từ bên ngoài công ty, một nhà tích hợp hệ thống bảo mật dày dạn kinh nghiệm chẳng hạn. "Đối với bảo mật, bạn

phải quan tâm đến các giao thức, các thiết bị viễn thông và chuyển tải, v.v... Có rất nhiều thứ cần được lưu ý, và không thể hoàn toàn chỉ trông chờ vào CIO cùng đội ngũ của ông ta để thực hiện hết những việc này."

Vấn đề bảo mật xoay quanh việc xem xét kỹ các mối quan hệ của một việc làm trước khi ra quyết định. Giám đốc một công ty chuyên cung cấp các công cụ đánh giá chất lượng bảo mật của mạng lưu ý rằng quản lý các dự án TMĐT thường cần đến các nhà hệ thống thông tin để cân bằng giữa những yêu cầu trong công việc của một tổ chức với đòi hỏi của nguyên tắc bảo mật. "Mở cửa cho công nghệ âm thanh và hình ảnh cũng có nghĩa là bạn nới rộng đường cho các tay hacker thâm nhập vào hệ thống. Điều quan trọng là bạn phải đảm bảo có đủ sự an toàn cần thiết trước khi mở ra một dịch vụ mới."

2 - Bức tường lửa ngăn chặn kẻ xấu

Trong kho chứa vũ khí bảo mật, Bức tường lửa là một trong những công cụ quan trọng nhất. Nó kết hợp phần cứng và phần mềm, là hàng rào giữa tài nguyên Internet của công ty với thế giới bên ngoài. Công nghệ có hai hình thức cơ bản: phần mềm cài đặt vào server Internet, hoặc một "ngăn" độc lập trước server Internet và bảo vệ cho mạng nội bộ trước thế giới bên ngoài. Theo các chuyên gia, một Bức tường lửa chỉ gồm phần mềm cũng đủ đảm bảo an toàn cho dự án TMĐT cỡ nhỏ, kiểu một Web site hiện đại, còn loại "ngăn" thì có thể bảo toàn dữ liệu cho qui mô xí nghiệp.

Bức tường lửa tiêu biểu gồm hai thành phần chính: cổng và van. Cổng cho phép dữ liệu lưu thông giữa hai mạng thông tin, còn van thì ngăn các gói dữ liệu ra vào không đúng cổng. Nói cách khác, bất kỳ gói dữ liệu nào không có địa chỉ nguồn hay địa chỉ đến thì đều bị khóa lại ở Bức tường lửa. Van cũng có thể được thiết lập để khóa lại trước những gói dữ liệu đặc biệt nào đó, chẳng hạn dữ liệu của một tay hacker đang cố xâm nhập vào hệ thống. Cổng thường do máy tính đảm nhiệm, còn van thì có thể là một router thông minh đặt giữa cổng và mạng bên ngoài.

Một Bức tường lửa đơn lẻ không đủ đáp ứng cho những ứng dụng TMĐT quan trọng. "Bạn thực sự cần thiết lập một vùng có ranh giới rõ ràng với ít nhất là 2 Bức tường lửa và/hoặc các router đóng vai trò tương tự," một chuyên gia khuyến cáo. Ông này cũng lưu ý là bằng cách nhân đôi khả năng bảo vệ của Bức tường lửa, có thể thông qua sử dụng sản phẩm của hai nhà sản xuất

khác nhau, sẽ tạo ra một khoảng trống an toàn và giảm đáng kể cơ hội cho hacker tìm ra cách truy cập vào hệ thống.

3 - Tunnel hỗ trợ người tốt

Trong khi các MRA rất hữu dụng trong việc ngăn chặn các tay hacker cũng như những người sử dụng không được phép, giá trị thực của công nghệ lại nằm ở khả năng kết nối mọi người lại với nhau. Ngoài việc là công cụ bảo mật, tunnel còn giúp các nhân viên, bất kể ở xa hay gần, có phương tiện rẻ tiền để kết nối với nhau. Các chuyên gia cũng cho biết thêm là phần lớn chi phí thiết lập tunnel là tính được trước và công ty chỉ phải trả rất ít nếu không muốn nói là hoàn toàn không phải trả chi phí hoạt động hàng tháng.

Tìm ra được tỷ lệ pha trộn thích hợp giữa các sản phẩm phần cứng và phần mềm để đảm bảo cho một dự án TMĐT quả là thách thức rất lớn đối với bất kỳ CIO nào. Cho đến nay, lựa chọn duy nhất vẫn là kết hợp các sản phẩm và dịch vụ bảo mật từ nhiều nhà cung cấp khác nhau. Lý do là chưa có nhà cung cấp nào đủ sức đưa ra một giải pháp hoàn chỉnh cho các nhu cầu bảo mật của TMĐT. Thế nhưng các chuyên gia vẫn tin là tình hình sẽ nhanh chóng thay đổi. "Nhiều nhà sản xuất đã bắt đầu thực hiện gói chung các Bức tường lửa cộng tác lại với nhau. Các công ty như Cisco hay Bay Networks đang gói chung phần cứng và phần mềm nhằm cung cấp các mức độ khác nhau về bảo mật, tùy theo yêu cầu của khách hàng," một chuyên gia cho biết.

4 - Phối hợp cả hai công cụ

Các công ty dự kiến tổ chức TMĐT nên lập kế hoạch để tạo một MRA nhằm tìm kiếm Bức tường lửa có sẵn các khả năng tunnel. "Có rất nhiều sản phẩm cho bạn chọn lựa. Một giải pháp cao cấp có thể tương tự như SunScreen của Sun Microsystems. Đây là một hỗn hợp phần cứng lẫn phần mềm cho phép nhiều tunnel đến các vị trí khác nhau trên Internet và cung cấp một đường dẫn an toàn, vững chắc đến đối tác kinh doanh của bạn." Cách tiếp cận khác rẻ tiền hơn, theo ý kiến chuyên gia trên, là chọn giải pháp chỉ sử dụng phần mềm. Eagle của Raptor Systems Inc. là một ví dụ về giải pháp kiểu này. Đây là cách dễ dàng và nhanh chóng thiết lập một tunnel thông qua GUI để kết nối với đối tác sử dụng cùng công nghệ.

Các giải pháp bảo mật TMĐT tất-cả-trong-một cũng bắt đầu xuất hiện trên thị trường. Cụ thể, New Oak Communications mới giới thiệu NOC 4000 Extranet Access Switch, hỗn hợp gồm Bức tường lửa, tunnel, mã hóa, xác nhận (authentication), băng thông, bộ dẫn đường và quản lý tập trung - tất cả nằm trong một hộp truy cập Internet đơn lẻ. "Kiểu tích hợp này có thể là khởi đầu cho loại sản phẩm mới sắp xuất hiện trên thị trường bảo mật TMĐT," một chuyên gia cho biết.

Mặc dù Bức tường lửa và tunnel là những công cụ rất an toàn cho TMĐT, nhưng các tổ chức cũng nên cảnh giác với những mối đe dọa tiềm tàng và phải tìm ra khi chúng ẩn náu đâu đó. Có những hạn chế đối với kiểu bảo vệ theo bên ngoài do Bức tường lửa cung cấp. Bức tường lửa sẽ không thể ngăn chặn được những truy cập trái phép ngay từ các nhân viên trong công ty. Vì vậy, khi mở MRA cho các đối tác kinh doanh, cũng có nghĩa là bạn đặt tổ chức của mình vào nguy cơ thất thoát thông tin cao hơn.

Để đối phó với những mối đe dọa về bảo mật MRA, người ta khuyên các nhà quản lý nên thường xuyên thực hiện thủ tục bảo mật như buộc người dùng phải luôn thay đổi password và quyền truy cập thông tin, thiết lập một hệ thống theo dõi bằng cách dùng những phần mềm chuyên dụng đặt ở cuối tunnel và giám sát những người đang cố truy cập đến MRA và địa chỉ mà người đó hướng tới khi họ đã vượt qua được Bức tường lửa. "Việc xác định số lần Bức tường lửa bị đe dọa đang ngày càng trở nên quan trọng. Nhiều công ty đã bị thất bại chỉ vì không biết họ đã nhiều lần bị tấn công. Họ sống trong sự bình an giả tạo cho tới khi những điều tồi tệ nhất xảy ra," một chuyên gia phát biểu.

5 - Đừng bao giờ thôi nghĩ đến bảo mật

Trong tương lai, những người ủng hộ MRA có thể sẽ tự bảo vệ được mình trước những yếu kém về bảo mật của phía đối tác bằng cách đánh giá chỉ số an toàn. Bạn cần biết là các nhà tư vấn hay sản xuất sản phẩm bảo mật đã bắt đầu nghĩ đến giao công việc cơ bản cho một hệ thống đánh giá. Hệ thống này đòi hỏi các tổ chức phải chứng tỏ là họ đã theo đúng những nguyên tắc cần thiết để bảo vệ cho hệ thống máy tính khỏi những nguy cơ xâm phạm từ bên trong cũng như bên ngoài. Hệ thống chưa thể ra đời trong vài năm tới đây nhưng một cấu trúc như vậy sẽ giúp các CIO đỡ lo lắng hơn và làm cho công nghệ MRA trở nên hấp dẫn hơn.

Đồng thời, các CIO phải tiếp tục chú trọng tới bản chất luôn thay đổi của TMĐT. Thật là sai lầm nếu cứ tin là "đã làm một lần, sẽ còn mãi mãi". Điều này chỉ đúng trong môi trường tĩnh. Còn ở thế giới động như TMĐT, đánh giá lại và liên tục nâng cấp là một quá trình không có điểm dừng.

Ý kiến bạn đọc