Dương Anh Đức
Bàn về công tác an ninh – an toàn cho một doanh nghiệp truyền thống, thường người ta chú trọng vào sự đảm bảo an toàn về vật chất: cửa ra vào và cửa sổ báo động, người bảo vệ, dấu hiệu an ninh để cho phép con người vào các khu vực nhạy cảm, các camera theo dõi và vân vân... Khi đó, hàng rảo bảo đảm an ninh của một tổ chức, doanh nghiệp là hàng rào theo phương nằm ngang. Nhưng trong môi trường số hoá, đối tượng được bảo vệ an ninh không chỉ là các vật thể vật chất cụ thể, mà đặc biệt chú ý đến các tài nguyên thông tin số hoá và sự vận hành hoạt động an toàn của hệ thống; và hàng rào an ninh theo phương nằm ngang không còn đủ sức để bảo về các doanh nghiệp, các tổ chức nữa; thay vào đó là sự ra đời của hàng rào theo cấu trúc vòm cầu che chắn cả khoảng không gian bên trên cũng như phần địa tầng sâu dưới lòng đất. Hàng rào an ninh mới cần phải ngăn chặn, kiểm soát có hiệu quả các giao dịch điện tử trên mạng, kiểm soát các tần số sóng điện từ mà các thiết bị đầu cuối trong hệ thống hạ tầng kỹ thuật của đơn vị, doanh nghiệp thu nhận cũng như phát ra ngoài.
Mục tiêu của công tác bảo đảm an ninh trong môi trường mạng là bảo vệ sự bí mật, tính nguyên vẹn, sự có giá trị của hệ thống và xác minh những người sử dụng. Theo TS. Eugene Spafford - Giáo sư về công nghệ máy tính của Đại học Purdue và chuyên gia bảo mật máy tính, khẳng định: “ Bảo vệ thông tin là mối quan tâm chính khi nó liên quan đến an ninh quốc gia, thương mại và thậm chí là cả cuộc sống riêng tư của mọi người...” .
Bảo vệ các kênh giao dịch: Bảo vệ các kênh giao dịch điện tử là cung cấp một kênh giao dịch thương mại trực tuyến an toàn. Một kế hoạch bảo mật đầy đủ bao gồm sự xác minh, đảm bảo rằng những người sử dụng máy tính là hợp lệ. Do không thể ngăn được việc xem trộm trên Internet, các doanh nghiệp phải sử dụng các công nghệ ngăn cản người xem trộm đọc những thông báo trên Internet mà họ có thể ngăn chặn được. Gửi một thông báo qua Internet giống như việc gửi một bưu thiếp bằng thư: nó sẽ có thể đến được đích, những bất kỳ người nào có liên quan đến việc chuyển giao đều có thể đọc được thông báo đó. Chỉ có một cách để ngăn chặn những người xem trộm đó khỏi việc sao chép số thẻ tín dụng của bạn thì chỉ còn cách mã hoá chúng trước khi gửi qua Internet. Mã hoá thư điện tử hoặc mã hoá các giao dịch thương mại thông qua Internet cũng giống như là việc viết một lời nhắn trên bưu thiếp bằng một ngôn ngữ chỉ bạn và người nhận hiểu. Không ai khác trên toàn thế giới có thể hiểu ngôn ngữ đó, vì vậy thậm chí dù người khác có thể chặn lại bức thông điệp, nó sẽ không còn có ý nghĩa đối với họ trừ khi họ chính là người nhận.
Nếu như không có tính bí mật thì mọi giao dịch trên Internet đều có thể bị lộ và có thể được dùng để chống lại các đối tác tham gia giao dịch. Để bảo mật các thông tin giao dịch trên Internet có thể sử dụng giải pháp công nghệ. Việc mã hoá thông tin là để người khác không thể đọc được nếu không có đúng khoá hoặc đúng mật khẩu. Các dịch vụ Internet cung cấp các cơ sở hạ tầng chung (PKI-Public Key Infrastrucfures) cung cấp các chức năng cũng như các dịch vụ của họ.
Chữ ký số không phải là hình ảnh quét của một chữ ký tay hoặc chữ ký đánh máy (typed signature). Chữ ký số là một chữ ký điện tử thay thế cho chữ ký bằng tay. Đứng về mặt kỹ thuật mà nói thì đây là một kiểu định dạng một chuỗi ký tự liên tục được tạo ra một hash function (chức năng phức tạp) và kết quả là được số hoá cùng với khoá riêng của người gửi. Bằng cách thêm chữ ký số vào tài liệu số thì có thể dễ dàng xác nhận được ai là người đã ký, khi nào thì nó được gửi đi và nếu như tài liệu đã được thay thế trong quá trình gửi đi. Khi mà một thông tin đã mã hoá được gửi đi, thì những người nhận được có thể giải mã được thông tin nhờ vào khoá riêng của họ.
Giấy chứng nhận số: Một giấy chứng nhận số, hay còn được gọi là chứng minh thư số, là một file đính kèm trong e-mail hoặc là chương trình được gắn trong trang Web xác nhận đích danh: người sử dụng hoặc một Website cụ thể. Thêm vào đó, giấy chứng nhận số cũng bao gồm phương thức để gửi một thông báo đã được mã hoá, được đặt mật mã để những người khác không thể đọc được, đối với thực thể được gửi tới trang Web gốc hoặc e-mail.
Giấy chứng nhận chỉ là một sự thông qua về mã và không chỉ ra ai đã tạo ra nó. Một cơ quan chứng nhận (CA) sẽ phát hành giấy chứng nhận số cho tổ chức hoặc cá nhân. Nếu bạn so sánh giấy chứng nhận số với hộ chiếu, thì CA tương tự như Bộ ngoại giao là một tổ chức phát hành hộ chiếu. Bộ ngoại giao yêu cầu bất kỳ người nào muốn có hộ chiếu phải đưa ra một số văn bản làm bằng chứng để xác minh cùng với một ảnh. Tương tư như vậy, CA cũng yêu cầu các thực thể xin giấy chứng nhận số đưa ra bằng chứng thích hợp của việc xác minh. Khi các yêu cầu đã được hoàn thành thì CA sẽ cấp giấy chứng nhận. Sau đó, CA ký giấy chứng nhận, dấu chấp thuận của họ được đóng vào, theo hình thức chìa khoá mã hoá công cộng mở khoá giấy chứng nhận cho bất kỳ người nào nhận giấy chứng nhận được gửi kèm với mã của người phát hành.
Kiểm soát và xác minh việc truy cập, nhằm kiểm soát người và những nội dung truy cập vào hệ thống. Việc chứng minh tính chân thực của thực thể muốn truy cập máy tính chủ yếu thông qua giấy chứng nhận số. Đồng thời, người truy nhập cũng cần phải xác minh máy chủ của hệ thống mà mình truy nhập. Việc xác minh được thực hiện bằng nhiều cách: Đầu tiên, giấy chứng nhận đưa ra sự bảo đảm đã được chấp nhận của người sử dụng. Nếu hệ thống không thể giải mã chữ ký số của người sử dụng trong giấy chứng nhận bằng việc sử dụng chìa khoá cá nhân của người sử dụng, thì giấy chứng nhận không phải đến từ người sở hữu thực. Thứ hai, hệ thống kiểm tra dấu thời gian của giấy chứng nhận để đảm bảo rằng giấy chứng nhận không quá hạn. Thứ ba, hệ thống có thể sử dụng hệ thống gọi là"callback"(hệ thống gọi lại) trong đó tên và địa chỉ máy tính khách hàng của người dùng được kiểm tra với danh sách tên người dùng và địa chỉ máy tính khách hàng đã được ấn định.
Công việc này đặc biệt là rất có ích trong phạm vi của intranet nơi mà tên người sử dụng và máy tính khách hàng được quản lý chặt chẽ và được chỉ định một cách có hệ thống. Trên Internet thì quản lý công việc này rất phức tạp, đặc biệt là nếu client của người sử dụng là lưu động và được thực hiện tại các địa điểm khác nhau. Trong nhiều trường hợp CA cấp giấy chứng nhận đóng vai trò trung tâm trong việc xác nhận máy khách và người sử dụng chúng. Giấy chứng nhận đưa ra thuộc tính, bằng chứng không thể phủ nhận nếu xảy ra hiện tượng vi phạm bảo mật.
Lưu giữ tên và mật khẩu, để an toàn nhất nên lưu giữ tên trong một văn bản rõ ràng và mã hoá mật khẩu. Khi bạn hoặc hệ thống tạo ra một tên và mật khẩu đi kèm mới, mật khẩu được mã hoá sử dụng thuật toán mã hoá một chiều, những thuật toán tương tự với các thuật toán đưa ra các tài liệu thông báo mà bạn có thể đọc một cách rõ ràng. Với một văn bản rõ ràng lưu trữ tên và mật khẩu, hệ thống có thể xác nhận tính hợp lệ của người dùng, khi họ log on, bằng việc kiểm tra tên mà họ nhập với danh sách người dùng được lưu giữ trong cơ sở dữ liệu. Khi người sử dụng nhập mật khẩu vào một hệ thống thì mật khẩu đó đã được mã hoá. Sau đó mật khẩu đã được mã hoá của người sử dụng được kiểm tra lại với mật khẩu mã hoá được lưu trữ trong cơ sở dữ liệu. Nếu hai phiên bản được mã hoá của mật khẩu trùng với một người sử dụng nhất định, việc truy cập được chấp nhận.
Tên và mật khẩu là một vũ khí trong cuộc chiến bảo mật. Hãy lưu ý rằng bạn có thể giữ riêng tên sử dụng và mật khẩu như một cookie riêng trong máy của bạn. Điều đó cho phép bạn truy cập vào bất kỳ một trang Web nào mà không cần nhập tên và mật khẩu vào trang Web tương ứng. Vấn đề với hệ thống cookie đó là các thông tin được lưu trong máy tính của bạn dưới dạng một văn bản cụ thể. Nếu như một cookie có thông tin về log-in và mật khẩu thì thông tin đó có thể tạo điều kiện cho bất kỳ ai quan tâm có thể in ra những cookie lưu trong máy của bạn.
Quản lý hệ điều hành: Hầu hết các hệ điều hành (trừ những hệ điều hành dành cho máy tính nhỏ) có hệ thống xác nhận tên và mật khẩu của người sử dụng được định vị. Hệ thống này cung cấp cơ chế phụ an toàn cho các Web server trong máy chủ (host computer) có hệ điều hành. Hệ điều hành UNIX (và các biến thể của nó) là một hệ điều hành hoạt động phần lớn trên các nền Web server hiện nay. UNIX bao gồm một số cơ chế bảo vệ cơ bản ngăn cản sự hiển thị không chính đáng và tăng cường tính toàn vẹn ở cấp độ file. UNIX có nhiều cách thực hiện khác nhau, bao gồm AIX, Irix Linux, HP-UX, SCO, Solais, SunOS và Ultrix. Mỗi một phương thức là một hoạt động cụ thể của nhà cung cấp UNIX gốc do phòng thí nghiệm Bell của AT&T (hiện nay được gọi là phòng thí nghiệm AT&T) vào năm 1969 tạo ra. Danh sách quản lý việc truy cập và sự bảo mật tên sử dụng và mật khẩu có thể được phổ biến nhiều nhất trong những đặc thù bảo mật của UNIX. Có tài liệu chứng tỏ là có đầy đủ thông tin về các đặc điểm bảo mật của hệ điều hành (UNIX, Windows 2000...). Các kết nối trực tuyến (Online Companion) cũng có một số kết nối tới những thông tin này.
Trong thế giới máy tính nối mạng, đặc biệt là nối mạng Internet số người sử dụng máy tính và các biện pháp để truy cập các nguồn lực về máy tính đã gia tăng đột biến và liên tục. Hàng triệu người vô tình hay hữu ý liên tục tìm cách truy cập vào nguồn lực của máy tính ở các mạng cá nhân và công cộng thông qua việc kết nối với hàng vạn máy tính khác nhau. Để xác định ai đang sử dụng các nguồn lực máy tính là một điều không đơn giản bởi vì họ có thể có trụ sở ở thành phố Cape, Nam Phi, nhưng lại sử dụng máy tính ở Berkeley, California. Một loạt những biện pháp và công cụ bảo mật hoàn toàn mới đã tiến triển và được dùng ngày nay để bảo vệ các tài sản điện tử, các nguồn tài nguyên thông tin số hoá - một nguồn lực quan trọng mới của các tổ chức doanh nghiệp. Sự truyền đi những thông tin có giá trị như là biên lai điện tử, đơn đặt hàng mua bán, Hợp đồng điện tử, số thẻ tín dụng và sự xác nhận đơn đặt hàng ... trong môi trường kinh doanh trực tuyến cần được sự bảo đảm an ninh tuyệt đối./.
(Cnth theo thnh)