BẢO MẬT TRONG THƯƠNG MẠI ĐIỆN TỬ
Thiết lập một hệ thống thương mại điện tử sao cho dễ truy cập và an toàn là công việc
nghiêm túc, nhưng ngày một đơn giản hơn.
Bất kỳ CIO (giám đốc phụ trách thông tin) nào khi bắt tay triển khai thương mại điện tử
(TMĐT - electronic commerce) thông qua Internet cũng đều phải đối mặt với một nghịch lý:
vừa phải đảm bảo cho hệ thống thực hiện được các giao dịch, lại vừa phải bảo vệ nó không
bị phá hoại bởi chính những người truy cập. Mặc dù không thiếu công cụ làm được việc này
- chẳng hạn bức tường lửa (firewall - BTL) để bảo vệ, hay các kênh truy cập riêng (tunnel)
để đối tác đăng nhập vào một cách an toàn - nhưng thực hiện, cấu hình, quản lý chúng lại là
nhiệm vụ nặng nhọc đối với nhiều đơn vị. Từ khi có những loại BTL đặc hiệu, hay tổ hợp
bức tường lửa - tunnel được cấu thành từ nhiều công cụ khác nhau (thường cũng từ nhiều
nhà sản xuất khác nhau), công việc phần nào nhẹ nhàng hơn. Mặc dù hầu hết các sản
phẩm hiện nay đều có giao diện người dùng đồ họa (GUI) cùng nhiều tính năng hữu dụng
khác, song các thách thức vẫn còn rất lớn.
BTL đóng vai trò rất quan trọng trong các dự án TMĐT - từ việc giám sát Web site cho đến
bảo vệ các hệ thống xử lý lệnh. Trong khi đó, tunnel giúp các tổ chức có thể tạo ra mạng
riêng ảo (virtual private network - MRA) để kết nối người mua, nhà cung cấp và đối tác.
Tunnel dựa trên cơ sở các gói giao thức Internet được mã hóa, cung cấp mức độ bảo mật
cao cho các giao tiếp kinh doanh bí mật.
Mặc dù BTL và tunnel có vai trò ngày càng cao trong bảo mật TMĐT, nhiều chuyên gia vẫn
còn chưa quen với những khái niệm này. Tự trau dồi kiến thức và thông qua kinh nghiệm
hàng ngày sẽ giúp CIO và đội ngũ các nhà quản lý trở nên tự tin hơn khi làm việc với những
công cụ bảo mật sống còn đó. "TMĐT là một thế giới bảo mật mới. Các CIO và nhà quản lý,
thông qua học tập và đào tạo, phải theo kịp những tiến bộ trong vấn đề này. Nếu không, họ
sẽ phải trả giá", quan chức cao cấp thuộc một công ty phần mềm TMĐT phát biểu.
Nhiều người cũng đồng ý như vậy. "Tôi cho rằng đa số các CIO đều bị tụt hậu về kiến thức
trong vấn đề này. Công nghệ thay đổi nhanh đến chóng mặt suốt một vài năm qua khiến
ngay cả các chuyên gia cũng phải trầy trật mới theo kịp."
Mặc dù có nhiều tranh luận xung quanh việc học hỏi công nghệ mới, đa số chuyên gia bảo
mật cho rằng mục tiêu bảo mật chặt chẽ có thể đạt được chẳng mấy khó khăn. Sau đây là
một số đề xuất của họ trong vấn đề bảo mật TMĐT.

Vạch rõ mục tiêu bảo mật
Nhiều CIO có vốn hiểu biết rất ít về bảo mật nói chung khi họ bắt đầu một dự án TMĐT. Một
chuyên gia trong lĩnh vực này đã từng khuyên "trước tiên, bạn phải vạch rõ mục tiêu muốn
đạt được. Bảo mật là bộ phận tích hợp của dự án, chứ không phải bạn muốn nghĩ đến nó
lúc nào tùy ý". CIO và các nhà quản lý phải phân tích những yêu cầu đặt ra trong bảo mật ở
từng bộ phận của dự án TMĐT, tuyệt đối tránh kiểu đánh giá toàn bộ hệ thống sau khi đã
triển khai xong. Nếu đợi cho đến khi hệ thống được cài đặt xong, bạn chắc chắn sẽ hối tiếc
về một số việc không kịp làm đối với bảo mật.
Các chuyên gia cũng lưu ý, bảo mật TMĐT ở đây bao gồm cả hai vấn đề là công nghệ và
vận hành. "Bạn có thể có một chiếc khóa rất an toàn ở trước cửa nhà, nhưng nó cũng sẽ
không giúp được gì nếu bạn sử dụng nó không hợp lý. Cũng như vậy, ngay cả công nghệ
tốt nhất trên thế giới cũng không thể bảo vệ cho hệ thống TMĐT của bạn nếu nó không
được thực hiện và quản lý một cách đúng đắn", đó là lời một chuyên gia trong ngành. Họ
khuyên bạn nên tìm sự trợ giúp từ bên ngoài công ty, một nhà tích hợp hệ thống bảo mật
dày dạn kinh nghiệm chẳng hạn. "Đối với bảo mật, bạn
phải quan tâm đến các giao thức, các thiết bị viễn thông và chuyển tải, v.v Có rất nhiều
thứ cần được lưu ý, và không thể hoàn toàn chỉ trông chờ vào CIO cùng đội ngũ của ông ta
để thực hiện hết những việc này."
Vấn đề bảo mật xoay quanh việc xem xét kỹ các mối quan hệ của một việc làm trước khi ra
quyết định. Giám đốc một công ty chuyên cung cấp các công cụ đánh giá chất lượng bảo
mật của mạng lưu ý rằng quản lý các dự án TMĐT thường cần đến các nhà hệ thống thông
tin để cân bằng giữa những yêu cầu trong công việc của một tổ chức với đòi hỏi của nguyên
tắc bảo mật. "Mở cửa cho công nghệ âm thanh và hình ảnh cũng có nghĩa là bạn nới rộng
đường cho các tay hacker thâm nhập vào hệ thống. Điều quan trọng là bạn phải đảm bảo
có đủ sự an toàn cần thiết trước khi mở ra một dịch vụ mới."
BTL ngăn chặn kẻ xấu
Trong kho chứa vũ khí bảo mật, BTL là một trong những công cụ quan trọng nhất. Nó kết
hợp phần cứng và phần mềm, là hàng rào giữa tài nguyên Internet của công ty với thế giới
bên ngoài. Công nghệ có hai hình thức cơ bản: phần mềm cài đặt vào server Internet, hoặc
một "ngăn" độc lập trước server Internet và bảo vệ cho mạng nội bộ trước thế giới bên

ngoài. Theo các chuyên gia, một BTL chỉ gồm phần mềm cũng đủ đảm bảo an toàn cho dự
án TMĐT cỡ nhỏ, kiểu một Web site hiện đại, còn loại "ngăn" thì có thể bảo toàn dữ liệu cho
qui mô xí nghiệp.
BTL tiêu biểu gồm hai thành phần chính: cổng và van. Cổng cho phép dữ liệu lưu thông
giữa hai mạng thông tin, còn van thì ngăn các gói dữ liệu ra vào không đúng cổng. Nói cách
khác, bất kỳ gói dữ liệu nào không có địa chỉ nguồn hay địa chỉ đến thì đều bị khóa lại ở
BTL. Van cũng có thể được thiết lập để khóa lại trước những gói dữ liệu đặc biệt nào đó,
chẳng hạn dữ liệu của một tay hacker đang cố xâm nhập vào hệ thống. Cổng thường do
máy tính đảm nhiệm, còn van thì có thể là một router thông minh đặt giữa cổng và mạng
bên ngoài.
Một BTL đơn lẻ không đủ đáp ứng cho những ứng dụng TMĐT quan trọng. "Bạn thực sự
cần thiết lập một vùng có ranh giới rõ ràng với ít nhất là 2 BTL và/hoặc các router đóng vai
trò tương tự," một chuyên gia khuyến cáo. Ông này cũng lưu ý là bằng cách nhân đôi khả
năng bảo vệ của BTL, có thể thông qua sử dụng sản phẩm của hai nhà sản xuất
khác nhau, sẽ tạo ra một khoảng trống an toàn và giảm đáng kể cơ hội cho hacker tìm ra
cách truy cập vào hệ thống.
Tunnel hỗ trợ người tốt
Trong khi các MRA rất hữu dụng trong việc ngăn chặn các tay hacker cũng như những
người sử dụng không được phép, giá trị thực của công nghệ lại nằm ở khả năng kết nối mọi
người lại với nhau. Ngoài việc là công cụ bảo mật, tunnel còn giúp các nhân viên, bất kể ở
xa hay gần, có phương tiện rẻ tiền để kết nối với nhau. Các chuyên gia cũng cho biết thêm
là phần lớn chi phí thiết lập tunnel là tính được trước và công ty chỉ phải trả rất ít nếu không
muốn nói là hoàn toàn không phải trả chi phí hoạt động hàng tháng.
Tìm ra được tỷ lệ pha trộn thích hợp giữa các sản phẩm phần cứng và phần mềm để đảm
bảo cho một dự án TMĐT quả là thách thức rất lớn đối với bất kỳ CIO nào. Cho đến nay,
lựa chọn duy nhất vẫn là kết hợp các sản phẩm và dịch vụ bảo mật từ nhiều nhà cung cấp
khác nhau. Lý do là chưa có nhà cung cấp nào đủ sức đưa ra một giải pháp hoàn chỉnh cho
các nhu cầu bảo mật của TMĐT. Thế nhưng các chuyên gia vẫn tin là tình hình sẽ nhanh
chóng thay đổi. "Nhiều nhà sản xuất đã bắt đầu thực hiện gói chung các BTL cộng tác lại
với nhau. Các công ty như Cisco hay Bay Networks đang gói chung phần cứng và phần

mềm nhằm cung cấp các mức độ khác nhau về bảo mật, tùy theo yêu cầu của khách hàng,"
một chuyên gia cho biết.
Phối hợp cả hai công cụ
Các công ty dự kiến tổ chức TMĐT nên lập kế hoạch để tạo một MRA nhằm tìm kiếm BTL
có sẵn các khả năng tunnel. "Có rất nhiều sản phẩm cho bạn chọn lựa. Một giải pháp cao
cấp có thể tương tự như SunScreen của Sun Microsystems. Đây là một hỗn hợp phần cứng
lẫn phần mềm cho phép nhiều tunnel đến các vị trí khác nhau trên Internet và cung cấp một
đường dẫn an toàn, vững chắc đến đối tác kinh doanh của bạn." Cách tiếp cận khác rẻ tiền
hơn, theo ý kiến chuyên gia trên, là chọn giải pháp chỉ sử dụng phần mềm. Eagle của
Raptor Systems Inc. là một ví dụ về giải pháp kiểu này. Đây là cách dễ dàng và nhanh
chóng thiết lập một tunnel thông qua GUI để kết nối với đối tác sử dụng cùng công nghệ.
Các giải pháp bảo mật TMĐT tất-cả-trong-một cũng bắt đầu xuất hiện trên thị trường. Cụ
thể, New Oak Communications mới giới thiệu NOC 4000 Extranet Access Switch, hỗn hợp
gồm BTL, tunnel, mã hóa, xác nhận (authentication), băng thông, bộ dẫn đường và quản lý
tập trung - tất cả nằm trong một hộp truy cập Internet đơn lẻ. "Kiểu tích hợp này có thể là
khởi đầu cho loại sản phẩm mới sắp xuất hiện trên thị trường bảo mật TMĐT," một chuyên
gia cho biết.
Mặc dù BTL và tunnel là những công cụ rất an toàn cho TMĐT, nhưng các tổ chức cũng
nên cảnh giác với những mối đe dọa tiềm tàng và phải tìm ra khi chúng ẩn náu đâu đó. Có
những hạn chế đối với kiểu bảo vệ theo bên ngoài do BTL cung cấp. BTL sẽ không thể
ngăn chặn được những truy cập trái phép ngay từ các nhân viên trong công ty. Vì vậy, khi
mở MRA cho các đối tác kinh doanh, cũng có nghĩa là bạn đặt tổ chức của mình vào nguy
cơ thất thoát thông tin cao hơn.
Để đối phó với những mối đe dọa về bảo mật MRA, người ta khuyên các nhà quản lý nên
thường xuyên thực hiện thủ tục bảo mật như buộc người dùng phải luôn thay đổi password
và quyền truy cập thông tin, thiết lập một hệ thống theo dõi bằng cách dùng những phần
mềm chuyên dụng đặt ở cuối tunnel và giám sát những người đang cố truy cập đến MRA và
địa chỉ mà người đó hướng tới khi họ đã vượt qua được BTL. "Việc xác định số lần BTL bị
đe dọa đang ngày càng trở nên quan trọng. Nhiều công ty đã bị thất bại chỉ vì không biết họ
đã nhiều lần bị tấn công. Họ sống trong sự bình an giả tạo cho tới khi những điều tồi tệ nhất

xảy ra," một chuyên gia phát biểu.
Đừng bao giờ thôi nghĩ đến bảo mật
Trong tương lai, những người ủng hộ MRA có thể sẽ tự bảo vệ được mình trước những yếu
kém về bảo mật của phía đối tác bằng cách đánh giá chỉ số an toàn. Bạn cần biết là các nhà
tư vấn hay sản xuất sản phẩm bảo mật đã bắt đầu nghĩ đến giao công việc cơ bản cho một
hệ thống đánh giá. Hệ thống này đòi hỏi các tổ chức phải chứng tỏ là họ đã theo đúng
những nguyên tắc cần thiết để bảo vệ cho hệ thống máy tính khỏi những nguy cơ xâm
phạm từ bên trong cũng như bên ngoài. Hệ thống chưa thể ra đời trong vài năm tới đây
nhưng một cấu trúc như vậy sẽ giúp các CIO đỡ lo lắng hơn và làm cho công nghệ MRA trở
nên hấp dẫn hơn.
Đồng thời, các CIO phải tiếp tục chú trọng tới bản chất luôn thay đổi của TMĐT. Thật là sai
lầm nếu cứ tin là "đã làm một lần, sẽ còn mãi mãi". Điều này chỉ đúng trong môi trường tĩnh.
Còn ở thế giới động như TMĐT, đánh giá lại và liên tục nâng cấp là một quá trình không có
điểm dừng.