LỜI CẢM ƠN
Khóa luận là một sản phẩm nghiên cứu, đúc kết kiến thức của một quá trình học
tập, nghiên cứu lâu dài trong trường đại học. Để có thể hoàn thành bài khóa luận này,
bên cạnh sự cố gắng nỗ lực của bản thân, em đã nhận được nhiều sự chỉ dẫn, giúp đỡ
nhiệt tình từ phía khoa Hệ thống thông tin kinh tế, trường Đại học Thương Mại cũng
như từ phía công ty cổ phần phong cách Anh.
Trước hết, em xin chân thành cảm ơn các thầy cô trong trường Đại học Thương
Mại đã truyền cho cho em những kiến thức bổ ích trong suốt thời gian ngồi trên ghế
nhà trường.
Em xin gửi lời cảm ơn sâu sắc nhất tới thầy giáo - Th.s Phan Đa Phúc đã hướng
dẫn, giúp đỡ và chỉ bảo em trong suất quá trình làm khóa luận.
Em xin chân thành cảm ơn các anh chị trong công ty cổ phần phong cách Anh đã
tạo điều kiện cho em thực tập, tìm hiểu ở công ty và giúp em hoàn thành tốt khóa luận
này.
Em xin chân thành cảm ơn!
Sinh viên thực hiện
Đinh Thị Sương
i
MỤC LỤC
LỜI CẢM ƠN .................................................................................................................i
MỤC LỤC ..................................................................................................................... ii
DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ .........................................................iv
DANH MỤC TỪ VIẾT TẮT .......................................................................................vi
PHẦN I: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU .....................................................1
1.1. Tính cấp thiết của đề tài ......................................................................................... 1
1.2. Tình hình nghiên cứu trong và ngoài nƣớc về đề tài ..........................................1
1.3. Mục tiêu nghiên cứu của đề tài .............................................................................2
1.4. Đối tƣợng và phạm vi nghiên cứu của đề tài........................................................ 2
1.4.1. Đối tượng nghiên cứu của đề tài .........................................................................2
1.4.2. Phạm vi nghiên cứu của đề tài ............................................................................3
1.5. Phƣơng pháp thực hiện đề tài ...............................................................................3
1.6. Kết cấu khóa luận ...................................................................................................5
PHẦN II: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG AN TOÀN BẢO MẬT
THÔNG TIN CỦA CÔNG TY CỔ PHẦN PHONG CÁCH ANH ........................... 6
2.1. Về cơ sở lý luận .......................................................................................................6
2.1.1. Một số khái niệm về an toàn và bảo mật trong Thương Mại điện tử ................6
2.1.2. Các hình thức tấn công dữ liệu trong Thương Mại điện tử .............................. 7
2.1.3. Các phương pháp phòng tránh, khắc phục hậu quả và công cụ để đảm bảo an
toàn dữ liệu, bảo mật thông tin ......................................................................................8
2.1.4 Vai trò và ứng dụng của an toàn dữ liệu, bảo mật thông tin trong giao dịch
Thương mại điên tử ......................................................................................................10
2.2. Đánh giá, phân tích thực trạng về an toàn và bảo mật thông tin của công ty
cổ phần phong cách Anh. ............................................................................................ 14
2.2.1. Một số kêt quả đạt được trong quá trình hoạt động kinh doanh của công ty cổ
phần phong cách Anh ..................................................................................................15
2.2.2. Phân tích thực trạng an toàn và bảo mật thông tin của công ty cổ phần phong
cách Anh ....................................................................................................................... 16
2.2.3. Đánh giá thực trạng an toàn và bảo mật thông tin của công ty cổ phần phong
cách Anh ....................................................................................................................... 24
ii
PHẦN III: ĐỊNH HƢỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP, KIẾN
NGHỊ VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN CỦA CÔNG TY CỔ PHẦN
PHONG CÁCH ANH ..................................................................................................27
3.1. Định hƣớng phát triển của công ty về an toàn bảo mật thông tin ...................27
3.2. Các đề xuất về giải pháp nâng cao hiệu quả an toàn và bảo mật thông tin của
công ty cổ phần phong cách Anh................................................................................29
3.3. Một số kiến nghị liên quan đến nâng cao hiệu quả công tác đảm bảo an toàn
thông tin của công ty cổ phần phong cách Anh. ....................................................... 42
KẾT LUẬN ..................................................................................................................44
TÀI LIỆU THAM KHẢO........................................................................................... 45
iii
DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ
STT Tên bảng biểu, sơ đồ, hình vẽ
1
Trang
Bảng 2.1. Bảng thống kê các số liệu tài chính của công ty (Nguồn: Báo
15
cáo kiểm toán năm 2012, 2013, 2014)
2
Biểu đồ 2.1. Biểu đồ tỉ lệ nhân viên doanh nghiệp sử dụng phần mềm
17
bảo mật
3
Biểu đồ 2.2. Biểu đồ tỉ lệ tầm quan trọng của công tác bảo mật thông tin
18
khách hàng
4
Biểu đồ 2.3. Biểu đồ tỉ lệ thách thức lớn nhất về an toàn bảo mật thông
19
tin
5
Biểu đồ 2.4. Biểu đồ tỉ lệ về hình thức lựa chọn thanh toán của khách
19
hàng
6
Biểu đồ 2.5. Biểu đồ tỉ lệ về phương án bảo mật thông tin cho khách
20
hàng
7
Biểu đồ 2.6. Biểu đồ tỉ lệ về mức độ đảm bảo an toàn thông tin
20
8
Biểu đồ 2.7. Biểu đồ tỉ lệ về tầm quan trọng của an toàn trong thanh
21
toán điện tử
9
Biểu đồ 2.8. Biểu đồ tỉ lệ về mức độ bảo mật của các giải pháp thanh
21
toán điện tử
10
Biểu đồ 2.9. Biểu đồ tỉ lệ mức độ quan tâm an toàn và bảo mật thông tin
22
khách hàng
11
Biểu đồ 2.10. Biểu đồ tỉ lệ mức độ quan tâm của khách hàng về công tác
22
bảo mật thông tin qua website
12
Biểu đồ 2.11. Biểu đồ tỉ lệ về đầu tư cho công tác bảo mật thông tin qua
23
website
13
Biểu đồ 2.12. Biểu đồ tỉ lệ về cấp độ bảo mật thông tin tại công ty
23
14
Biểu đồ 2.13. Biểu đồ tỉ lệ về mức độ sẵn sàng mua hàng qua mạng của
24
khách hàng
15
Hình 3.1: Mô hình giải pháp bảo vệ đa cấp về phần cứng
iv
31
16
Hình 3.2: Mô hình về giải pháp lớp Firewall bên ngoài
31
17
Hình 3.3: Mô hình về lớp Firewall bảo vệ máy chủ
33
18
Hình 3.4: Mô hình giải pháp hai lớp tường lửa
35
19
Hình 3.5: Mô hình giải pháp mạng riêng ảo
36
20
Hình 3.6: Mô hình giải pháp IPS đặt trước Firewall
37
21
Hình 3.7: Mô hình cấu trúc của giao thức SSL
39
22
Hình 3.8: Mô hình lắp đặt mạng không dây tổng thể
40
23
Hình 3.9: Mô hình mã hóa email của giải pháp bảo mật thư điện tử
41
v
DANH MỤC TỪ VIẾT TẮT
STT
Từ viết tắt
Giải nghĩa
1
CNTT
Công nghệ thông tin
2
ATDL
An toàn dữ liệu
3
TMĐT
Thương mại điện tử
4
HTTT
Hệ thống thông tin
5
SSL
Secure Socket Layer
6
SET
Secure Electronic
7
WEP
Wireless Encryption Protocol.
8
VPN
Virtual Private Network
vi
PHẦN I: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU
1.1. Tính cấp thiết của đề tài
Trong một nền kinh tế toàn cầu hóa như hiện nay thì vấn đề thông tin được xem
là sự sống còn đối với các doanh nghiệp.Thế nhưng, rất nhiều doanh nghiệp vẫn chưa
nhận thức được tầm quan trọng của vấn đề bảo mật thông tin và những nguy cơ có thể
xảy ra từ việc rò rỉ thông tin trong chính nội bộ của doanh nghiệp mình.
Hiện nay, sự thâm nhập sâu rộng của CNTT, sự phát triển vượt bậc của công
nghệ mạng và Internet cùng các website thông tin trực tuyến trong các lĩnh vực của
cuộc sống mang lại nhiều lợi ích, nhưng đồng thời cũng đặt ra không ít những thách
thức về an ninh bảo mật.
Tình hình mất an ninh đang diễn biến phức tạp và xuất hiện nhiều nguy cơ đe dọa
đến việc phát triển kinh tế xã hội và đảm bảo quốc phòng, an ninh. Nguy cơ an ninh
mạng và bảo mật an toàn thông tin tại các doanh nghiệp trên thị trường đang ở mưc
báo động khi tình trạng bị hacker, virus, malware tấn công khiến dữ liệu bị xóa, thông
tin bị đánh cắp, bị theo dõi, mất quyền bảo hành, lây truyền virus sang máy tính
khác… liên tục gia tăng không ngừng, gây ra hậu quả và thiệt hại vô cùng lớn về kinh
tế, uy tín cho doanh nghiệp về lâu dài.
Khi vấn đề bảo mật được đảm bảo an toàn thì sẽ là lợi thế kinh doanh của doanh
nghiệp, điều này sẽ giúp doanh nghiệp tiết kiệm được chi phí, thời gian… tránh được
sự cạnh tranh không lành mạnh của đối thủ kinh doanh hay sự phá hoại của đối tượng
bên ngoài. Nếu vấn đề an toàn và bảo mật không được quan tâm đúng, khi xảy ra vấn
đề liên quan trách nhiệm lúc đó sẽ rất lớn, doanh nghiệp bị ảnh hưởng có thể dẫn đến
phá sản hay chịu trách nhiệm trước pháp luật.
Để hiểu rõ được những vấn đề cần quan tâm về an toàn và bảo mật thông tin
trong TMĐT, em đã lựa chọn công ty cổ phần phong cách Anh để tìm hiểu và nghiên
cứu. Qua quá trình thực tập tại công ty, em xin đề xuất đề tài nghiên cứu cho khóa luận
của mình là: “Giải pháp an toàn và bảo mật thông tin của công ty cổ phần phong
cách Anh”.
1.2. Tình hình nghiên cứu trong và ngoài nƣớc về đề tài
Trên thế giới, đông đảo các nhà nghiên cứu, các viện nghiên cứu, các trường đại
học rất chú ý quan tâm tới vấn đề an toàn bảo mật thông tin trong TMĐT. Trong
1
những năm gần đây, nhiều diễn đàn, hội nghị, hội thảo quốc tế về an toàn bảo mật liên
tục được tổ chức.
Tại Việt Nam với sự phát triển mạnh mẽ của TMĐT trong thời gian qua thì sự
quan tâm đến vấn đề an toàn và bảo mật thông tin càng lớn. Các đề tài nghiên cứu cấp
Bộ, cấp Nhà nước, các hội nghị, hội thảo được xuất hiện ngày càng nhiều, cụ thể:
Hội thảo - Triển lãm quốc gia về An ninh Bảo mật 2015 (Security World 2015)
với chủ đề “Tăng cường bảo mật và an toàn thông tin (ATTT) trong môi trường rủi ro
hiện nay” vừa diễn ra tại Hà Nội. Sự kiện do Tổng cục An ninh - Bộ Công an, Tổng
cục Hậu cần Kỹ thuật - Bộ Công an, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam Bộ Thông tin và Truyền thông, Trung tâm Công nghệ thông tin và Giám sát an ninh
mạng - Ban Cơ yếu Chính phủ phối hợp cùng Tập đoàn Dữ liệu Quốc tế Việt Nam
(IDG Việt Nam) tổ chức.
Hội thảo ứng dụng chứ ký số và bảo mật thông tin tại doanh nghiệp tổ chức tại
tỉnh Thừa Thiên Huế năm 2011.
Hội thảo Quốc gia về an ninh bảo mật ngày 22/3/2012 tại Hà Nội.
Hội thảo Vai trò của an ninh mạng trong nền kinh tế năng động do Đại sứ quán
Hoa kỳ tổ chức tại Hà Nội năm 2013.
1.3. Mục tiêu nghiên cứu của đề tài
Thứ nhất, đề tài tóm lược và hệ thống hóa các vấn đề lý luận cơ bản liên quan
đến an toàn và bảo mật thông tin trong TMĐT.
Thứ hai, sử dụng các phương pháp nghiên cứu đề khảo sát, đánh giá, phân tích
thực trạng vấn đề an toàn và bảo mật thông tin của doanh nghiệp để đưa ra những ưu,
nhược điểm.
Thứ ba, đề xuất một số kiến nghị, một số giải pháp nhằm nâng cao hiệu quả công
tác đảm bảo an toàn và bảo mật thông tin cho doanh nghiệp.
1.4. Đối tƣợng và phạm vi nghiên cứu của đề tài
1.4.1. Đối tượng nghiên cứu của đề tài
Nghiên cứu về website của doanh nghiệp và vấn đề mất an toàn và bảo mật thông
tin tại doanh nghiệp.
Nghiên cứu thực trạng an toàn bảo mật của công ty cổ phần phong cách Anh.
2
Nghiên cứu các giải pháp nâng cao an toàn bảo mật thông tin trong doanh
nghiệp.
1.4.2. Phạm vi nghiên cứu của đề tài
Là một đề tài nghiên cứu khóa luận của sinh viên nên phạm vi nghiên cứu của đề
tài chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảng
thời gian ngắn hạn, cụ thể:
Phạm vi về không gian: Đề tài tập trung nghiên cứu tình hình an toàn và bảo mật
thông tin tại công ty cổ phần phong cách Anh.
Phạm vi về thời gian: Các số liệu được khảo sát từ năm 2012 đến năm 2014,
đồng thời trình bày các nhóm giải pháp nâng cao an toàn và bảo mật thông tin cho
doanh nghiệp.
Phạm vi về nội dung: Bảo mật và an toàn mạng đối với cá nhân và doanh
nghiệp.
1.5. Phƣơng pháp thực hiện đề tài
Phương pháp thu thập dữ liệu:
Phương pháp thu thập dữ liệu trực tiếp: Em sử dụng phương pháp lấy dữ liệu là
phiếu điều tra trắc nghiệm và phỏng vấn chuyên gia. Từ đó ta có cái nhìn một cách tổng
quan hơn về vấn đề an toàn và bảo mật thông tin của công ty cổ phần phong cách Anh.
Phương pháp điều tra bằng phiếu điều tra trắc nghiệm:
Nội dung: Tình trạng an toàn dữ liệu, bảo mật thông tin trong giao dịch TMĐT
và biện pháp mà doanh nghiệp đang áp dụng.
Cách thức tiến hành: Các phiếu điều tra được gửi cho bộ phận lãnh đạo và các
phòng ban trong doanh nghiệp. Sau đó các phiếu điều tra được thu lại và tổng hợp, xử
lý và đưa ra các đánh giá, nhận xét phục vụ cho quán trình nghiên cứu đề tài.
Các câu hỏi mang tính chất tham khảo các ý kiến của các cá nhân về tình trạng
hiện tại của doanh nghiệp, các đánh giá cũng như khó khăn trong quá trình bảo mật
thông tin và các biện pháp dùng để cải thiện vấn đề an toàn dữ liệu.
Ưu điểm: Tiến hành nhanh chóng và tiện lợi mang tính hiệu quả cao.
Nhược điểm: Câu trả lời có thể không chính xác hoặc bị bỏ qua do không có ý
kiến về vấn đề. Câu trả lời mang tình theo mẫu nên không phát huy được hết ý kiến
của từng cá nhân cho vấn đề đặt ra.
3
Phương pháp phỏng vấn:
Nội dung: Tìm hiểu sâu hơn về vấn đề bảo mật thông tin khách hàng và cách
thức thanh toán giữa khách hàng và doanh nghiệp.
Cách thức tiến hành: Phỏng vấn những người có chuyên môn cao trong công ty
về vấn đề bảo mật thông tin khách hàng như thế nào.
Ưu điểm: Có được các ý kiến cụ thể từ những người có chuyên môn cao và cách
nhìn bao quát về vấn đề tìm hiểu.
Nhược điểm: Mẫu nghiên cứu nhỏ do không có thời gian khảo sát, phỏng vấn
nhiều người nên kết quả thu được mang tính cá nhân cao hơn.
Phương pháp thu thập dữ liệu gián tiếp: Đối tượng và phương pháp thu thập dữ
liệu thông tin, ở đây em sử dụng hình thức chính là qua Internet, sách và báo. Nhưng
tất cả thông tin thu thập này chỉ mang tính tham khảo và dùng để làm căn cứ để xác
minh thông tin.
Phương pháp phân tích và xử lý số liệu:
Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập
nhật thì tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tình
hình nghiên cứu có liên quan đến trong đề tài. Trong quá trình xử lý thông tin, cần chia
thông tin ra làm hai nhóm chính:
Xử lý thông tin định lượng: Được thể hiện thông qua phương pháp mô tả bằng số
liệu, dữ liệu sau khi thu thập sẽ được đưa ra phân tích. Từ những biểu đồ được hoàn
thành sau khi nhập dữ liệu vào, sẽ có những đánh giá cụ thể về thực trạng an toàn và
bảo mật thông tin của công ty cổ phần phong cách Anh.
Xử lý thông tin định tính: Sử dụng ngôn ngữ để tiến hành các thao tác suy luận,
phân tích, tổng hợp, đánh giá.
Ưu điểm: phát hiện ra chủ đề quan trọng nhờ có được thông tin từ các nhân viên
có chuyên môn cao
Nhược điểm: mẫu nghiên cứu nhỏ.
4
1.6. Kết cấu khóa luận
Cấu trúc khóa luận gồm 3 phần chính, cụ thể:
Phần 1: Tổng quan vấn đề nghiên cứu.
Phần 2: Cơ sở lý luận và thực trạng an toàn và bảo mật thông tin của công ty cổ
phần phong cách Anh.
Phần 3: Định hướng phát triển và đề xuất giải pháp, kiến nghị về an toàn và bảo
mật thông tin của công ty cổ phần phong cách Anh.
5
PHẦN II: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG AN TOÀN BẢO MẬT
THÔNG TIN CỦA CÔNG TY CỔ PHẦN PHONG CÁCH ANH
2.1. Về cơ sở lý luận
2.1.1. Một số khái niệm về an toàn và bảo mật trong Thương Mại điện tử
An toàn dữ liệu là: Quá trình đảm bảo cho hệ thống dữ liệu tránh khỏi những
nguy cơ hỏng hóc hoặc mất mát. Các nguy cơ tiềm ẩn về khả năng mất an toàn thông
tin ngẫu nhiên như thiên tai, hỏng vật lý, mất điện… và các nguy cơ có chủ định như
tin tặc, cá nhân bên ngoài phá hỏng vật lý, can thiệp có chủ ý… Nhu cầu bảo mật
thông tin của các tổ chức và cá nhân đang cấp bách hơn bao giờ hết. Trong Thương
Mại điện tử, an toàn dữ liệu nghiên cứu về những nguy cơ gây mất an toàn, tránh khỏi
những nguy cơ này trong quá trình sử dụng hình thức kinh doanh trong giao dịch
TMĐT.[1]
Mục tiêu của ATDL là việc phát hiện các lỗ hổng của hệ thống dữ liệu, dự đoán
trước những nguy cơ tấn công, ngăn chặn những hành động gây mất an toàn dữ liệu từ
bên trong cũng như bên ngoài. Phục hồi tổn thất khi hệ thống dữ liệu bị tấn công.
Trong TMĐT thì mục tiêu đó là phát hiện sớm các lỗ hổng trong các hình thức giao
dịch và thanh toán điện tử, đưa ra các mô hình và giải pháp nhằm đảm bảo cho TMĐT
đạt được độ an toàn cao nhất, các phương pháp khắc phục hậu quả và đảm bảo lợi ích
cho người sử dụng.
Bảo mật thông tin là: Duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của
thông tin.
Bảo mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp
quyền tương ứng.[2]
Tính toàn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin chỉ
được thay đổi bởi những người được cấp quyền.
Tính sẵn sàng của thông tin là những người được quyền sử dụng có thể truy xuất
thông tin khi họ cần.
Các giai đoạn của quá trình bảo mật, gồm: Phòng ngừa, phát hiện tấn công, đối
phó với những cuộc tấn công.
Thông tin: Cũng giống như các tài sản khác như hệ thống máy tính, thiết bị khai
thác, văn phòng, nhà xưởng,… là những tài sản quan trọng của doanh ngiệp. Thông tin
6
trung thực, tin cậy và sẵn sàng là những yếu tố cần thiết để duy trì khả năng cạnh
tranh, khả năng thu lợi nhuận, khả năng xử lý tình huống bất ngờ trong doanh nghiệp.
Thông tin có thể bị mất cấp từ nhiều nguyên nhân khác nhau như: hệ thống máy
tính bị hư, tình báo công nghiệp, tiếp cận trái phép, đánh cắp thông tin khách
hàng…Bên cạnh đó, còn có những nguyên nhân khác như: hệ thống máy tính bị virus
tấn công, bị hacker tấn công.
2.1.2. Các hình thức tấn công dữ liệu trong Thương Mại điện tử
Các hình thức tấn công trong TMĐT có thể kể đến là hình thức tấn công dữ liệu
thụ động và tấn công chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá
hoại dữ liệu trái phép. Vi phạm tính toàn vẹn, sẵn sàng dữ liệu.
Hình thức tấn công thụ động: là việc kẻ tấn công lấy được thông tin trên đường
truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Tấn
công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn
công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước
khi tấn công xảy ra.[3]
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu
lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)
và tấn công ngoại tuyến (offline).
Tấn công offline có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài
khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốn bất kỳ chi phí
nào. Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để
lộ password hay lưu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng.
Một nghiên cứu gần đây cho thấy 50% vụ đánh cắp tài khoản do người gần gũi với nạn
nhân thực hiện.
Tấn công online không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông người
dùng trên internet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi dụng sự cả tin
của người dùng để đánh cắp tài khoản. Dạng tấn công này có hiệu suất khá cao. Hình
thức tấn công phổ biến nhất của tấn công online là phishing. Phishing là một loại tấn
công phi kỹ thuật, dùng đánh cắp các thông tin nhạy cảm bằng cách giả mạo người
gửi, cách phòng tránh duy nhất là ý thức của người dùng.
7
Hình thức tấn công chủ động: là hình thức tấn công có sự can thiệp vào dữ liệu
nhằm sửa đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có khả năng
chặn các gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công
chủ động tuy nguy hiểm nhưng lại dễ phát hiện được.[4]
Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong
thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao.
Biện pháp phòng vệ tốt nhất chống lại kiểu tấn công chủ động là bảo mật máy
tính phía người dùng: đảm bảo hệ điều hành và tất cả ứng dụng được cập nhật đầy đủ,
cập nhật cơ sở dữ liệu nhận dạng virus và malware, dùng firewall cho các kết nối
Internet, dùng công cụ chống spyware và malware nhằm đảm bảo máy tính không cài
đặt những chương trình không cần thiết… Bộ lọc chống phishing cũng giúp giảm khả
năng người dùng sử dụng các website lừa đảo.
Tấn công từ chối dịch vụ DOS (Denial of service): là tên gọi chung của kiểu tấn
công làm cho một hệ thống nào đó bị quá tải dẫn tới không thể cung cấp dịch vụ hoặc
phải ngừng hoạt động. DOS lợi dụng sự yếu kém trong mô hình bắt tay ba bước của
TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến server, làm server bị quá tải dẫn tới
không thể phục vụ các kết nối khác. [5]
Tấn công dữ liệu trên thực tế thường sử dụng virus, trojan để ăn cắp dữ liệu, lợi
dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục đích
nhằm lấy cắp hoặc phá hỏng dữ liệu cũng như các chương trình ứng dụng.
2.1.3. Các phương pháp phòng tránh, khắc phục hậu quả và công cụ để đảm
bảo an toàn dữ liệu, bảo mật thông tin
Dữ liệu trong khi truyền giữa người gửi và người nhận là lúc dễ bị tấn công nhất.
Hầu hết các phương pháp tấn công nhằm vào dữ liệu đều thực hiện trong quá trình
giao dịch điện tử. Do đó bảo mật kênh truyền dữ liệu trong việc thực hiện các giao
dịch TMĐT là rất quan trọng. Hiện nay để bảo vệ website, bảo mật kênh truyền chủ
yếu tập trung vào các giao thức mã hóa. Một số giao thức bảo mật kênh truyền dữ liệu
như giao thức SSL - Secure socket layer, giao thức SET - Secure electronic, giao thức
WEP - Wireless encryption protocol và sử dụng Firewall.
Giao thức SSL - Secure socket layer: là giao thức đa mục đích, được thiết kế
nhằm tạo các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước
8
(socket 443) để mã hóa toàn bộ thông tin đi, đến. Hiện nay SSL đã trở thành chuẩn bảo
mật thực hành trên mạng Internet.[6]
SSL xây dựng trên tầng giao vận của mô hình TCP/IP (Transfer Control
Protocol/Internet Protocol – giao thức truyền thông của internet). Qua đó bất kỳ ứng
dụng mạng nào khi cài đặt sử dụng mô hình TCP/IP đều có thể thay đổi cấu hình để có
thể sử dụng giao thức SSL.
SSL được ứng dụng rộng rãi trong các giao dịch yêu cầu thanh toán qua mạng,
được hỗ trợ bởi hầu hết các trình duyệt và các phần mềm phía server, được thiết kế độc
lập với tầng ứng dụng nên có thể sử dụng cho nhiều ứng dụng khác nhau và mọi hoạt
động của SSL đều trong suốt với người sử dụng.
Bên cạnh đó SSL không có những cơ chế xác nhận người dùng một cách chắc
chắn. Người mua hàng có nguy cơ bị lộ thông tin về tài khoản. Vẫn có khả năng bị các
hacker dò tìm ra khóa bí mật dùng để mã hóa thông tin. Nhiều người dùng vẫn đang
dùng SSL V2.0 thay vì SSL V3.0 và không có cơ chế xác nhận lẫn nhau trong quá
trình thiết lập giao thức bắt tay.
Để khắc phục những hạn chế của SSL thì Visa và Master card đã phát triển giao
thức SET - Secure Electronic nhằm hỗ trợ bảo mật trong thanh toán trực tuyến qua
mạng dựa trên kỹ thuật sử dụng đồng tiền số. Giao thức này được hỗ trợ bởi các công
ty lớn như IBM, Microsolf, HP,...
Giao thức SET - Secure electronic: SET đảm bảo tính chính xác của thông tin
cho bên gửi và bên nhận, đảm bảo tính toàn vẹn, đảm bảo tính tin cậy của thông tin, rất
an toàn do khó bị bẻ khóa. Qua đó người dùng không sợ lộ các thông tin về tài khoản
của mình khi tiến hành các giao dịch trên mạng do tiến hành xác nhận qua ngân hàng
trung gian. Hạn chế tình trạng từ chối dịch vụ và lừa đảo qua mạng do có cơ chế xác
thực cả hai phía. Tuy vậy SET có độ trễ khi giao dịch, do tính phức tạp của các thuật
toán mã hóa công khai, do thường xuyên tiến hành giao dịch với các ngân hàng trung
gian. Hệ thống cồng kềnh và quá trình giao dịch chậm. Thường xuyên backup các dữ
liệu, chi phí cao cho thiết bị phần cứng: SET yêu cầu các thiết bị phần cứng chuyên
dụng, yêu cầu cài đặt phần mềm chuyên dụng: ví tiền điện tử cài đặt ở máy trạm.[7]
Giao thức WEP - Wireless Encryption Protocol: Được thiết kế để đảm bảo tính
bảo mật cho mạng không dây, phương thức mã hóa, sử dụng thuật toán đối xứng RC4.
9
Với phương thức mã hóa RC4, WEP được xem như một phương thức kiểm soát truy
cập.[8]
Giải pháp WEP tối ưu đó là kết hợp WEP và các giải pháp khác, gia tăng mức độ
bảo mật cho WEP như việc sử dụng khóa WEP có độ dài 128 bit, thực thi chính sách
thay đổi khóa WEP định kỳ, sử dụng các công cụ theo dõi số liệu thống kê dữ liệu trên
đường truyền không dây.
irewa
à Một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy
cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập
vào hệ thống của một số thông tin khác không mong muốn. Tư tưởng cơ bản của
firewall là đặt cấu hình mạng sao cho tất cả các thông tin vào ra mạng đều phải đi qua
một máy được chỉ định chính là firewall. Tuy nhiên firewall hạn chế quyền truy nhập
của người dùng vào mạng Internet.[9]
Firewall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên
ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong và
cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong. Nó
chặn những luồng thông tin có khả năng nguy hại đến sự an toàn của mạng máy tính,
lưu giữ các thông tin quan trọng và nhạy cảm của đơn vị tránh khỏi sự xâm nhập trái
phép từ bên ngoài. Với nhiệm vụ cơ bản là bảo vệ dữ liệu, những thông tin cần được
bảo vệ do những yêu cầu bảo mật, tính toàn vẹn, tính kịp thời, bảo vệ tài nguyên hệ
thống và danh tiếng của công ty sở hữu các thông tin cần được bảo vệ.
2.1.4 Vai trò và ứng dụng của an toàn dữ liệu, bảo mật thông tin trong giao
dịch Thương mại điên tử
2.1.4.1. Vai trò của an toàn dữ liệu, bảo mật thông tin trong giao địch Thương
mại điện tử
An ninh mạng hiện nay được coi là một trong những vấn đề hot nhất toàn cầu khi
liên tiếp các vụ tấn công mạng diễn ra trên khắp các nước trên thế giới. Tại Việt Nam,
chỉ tính từ đầu năm 2013, đã có 2.405 website của các cơ quan, doanh nghiệp bị
hacker xâm nhập. Các vụ tấn công mạng máy tính ngày càng tinh vi hơn với những
hình thái mới của giới tội phạm mạng mang tính chất quốc gia.
Thực tế đã có rất nhiều website bị thay đổi nội dung thông tin, chiếm quyền điều
khiển, thậm chí bị thay đổi tên miền, bị chiếm quyền sử dụng. Kẻ xấu luôn lợi dụng
10
những không gian mạng để làm việc rửa tiền, ăn cắp tài khoản hay thực hiện những
mục đích cạnh tranh không lành mạnh. Thị trường chứng khoán nước ta phát triển
những năm gần đây đang có hướng tiêu cực, tức là xuống dốc rất nhanh. Nếu hệ thống
thông tin cho thị trường chứng khoán không an toàn sẽ rất nguy hiểm và có thể đi đến
sập đổ thị trường.
Sự phức tạp và các mối đe doạ về sự mất an toàn bảo mật hệ thống thông tin
ngày càng tăng. Tìm được một giải pháp tổng thể với chi phí hợp lý là điều không dễ
cho các doanh nghiệp. Mặt khác, nhiều dự án về phía Nhà nước triển khai chậm cũng
gây khó dễ cho các tổ chức và doanh nghiệp trong nhiều lĩnh vực. Cho nên, vấn đề
sống còn cần phải làm là phải đảm bảo an toàn bảo mật cho các giao dịch, cho hệ
thống thông tin của ngành và của các doanh nghiệp.
2.1.4.2. Ứng dụng của an toàn dữ liệu, bảo mật thông tin trong giao dịch Thương
mại điện tử
Ứng dụng công nghệ thông tin trong kinh doanh được coi là yếu tố quan trọng
giúp doanh nghiệp giữ vững và mở rộng thị trường, tăng tính cạnh tranh, và thực hiện
các thỏa thuận thương mại trong khu vực và trên thế giới. Tất cả quá trình này đòi hỏi
một lượng thông tin trao đổi rất lớn qua mạng, đồng thời yêu cầu độ an toàn và tính
xác thực cao. Các ứng dụng của an toàn dữ liệu, bảo mật thông tin trong giao dịch
TMĐT gồm các công cụ bảo mật như chữ ký số, chứng thực số, mã hóa khóa công
khai, mã hóa khóa bí mật…
Mã hóa khóa bí mật - khóa đối xứng: Theo phương pháp này,người gửi và
người nhận sẽ dùng chung một khóa để mã hóa và giải mã. .[10]
Mã hóa khóa công khai - khóa không đối xứng: Phương pháp này sử dụng hai
khóa khác nhau là khóa công khai (public key) được gửi công khai trên mạng, khóa bí
mật (Private key) thì được giữ bí mật. .[11]
Chữ ký điện tử (hay chữ ký số - Digital signature): Được tạo lập dưới dạng từ,
chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền
hoặc kết hợp một cách logic với thông điệp dữ liệu, có (Server Certificate) chứng thực
cho các phần mềm, chứng thực cá nhân, chứng thực của các nhà cung cấp chứng thực
điện tử..[12]
11
Chữ ký số có thể sử dụng trong các giao dịch thư điện tử, các e-mail, để mua
hàng trực tuyến, đầu tư chứng khoán trực tuyến, chuyển tiền ngân hàng, thanh toán
trực tuyến mà không sợ bị đánh cắp tiền như với các tài khoản Visa, Master. Ngoài ra,
chữ ký số cũng có thể dùng để kê khai, nộp thuế trực tuyến, khai báo hải quan và
thông quan trực tuyến mà không phải mất thời gian đi in các tờ khai, đóng dấu đỏ của
công ty rồi đến cơ quan thuế xếp hàng để nộp tờ khai này. Chữ ký số giúp cho các đối
tác có thể ký hợp đồng làm ăn hoàn toàn trực tuyến không cần ngồi trực tiếp với nhau,
chỉ cần ký vào file hợp đồng và gửi qua e-mail.
Mặc dù còn khá mới mẻ đối với phần lớn các doanh nghiệp Việt Nam, chữ ký số
lại đóng vai trò hết sức quan trọng đối với tương lai của TMĐT và chính phủ điện tử
trong bối cảnh hội nhập kinh tế thế giới như hiện nay. Việc ứng dụng chữ ký số trong
TMĐT sẽ đem lại cho doanh nghiệp, tổ chức rất nhiều lợi ích như: tiết kiệm chi phí
giấy tờ, thời gian luân chuyển trong hoạt động quản lý công văn, giấy tờ, thư điện tử.
Bên cạnh đó, còn góp phần đẩy nhanh các giao dịch qua mạng trong khi vẫn đảm bảo
độ an toàn và bảo mật thông tin.
Chữ ký số là công nghệ xác thực, đảm bảo anh ninh, an toàn cho giao dịch trên
môi trường Internet. Chữ ký số sẽ giải quyết vấn đề toàn vẹn dữ liệu và là bằng chứng
chống chối bỏ trách nhiệm trên nội dung đã ký, giúp cho các doanh nghiệp, tổ chức, cá
nhân yên tâm với các giao dịch điện tử của mình trong môi trường Internet.
Chứng thực số: là một hoạt động chứng thực danh tính của những ngươi tham
gia vào việc gửi và nhận thông tin qua kênh truyền, cung cấp cho họ các công cụ, các
dịch vụ cần thiết để thực hiện việc bảo mật thông tin, chứng thực nguồn gốc và nội
dung thông tin. Chứng thực điện tử được cấp bởi một cơ quan chứng thực có uy tín
trên thế giới. Một chứng thực điện tử bao gồm: khóa công khai của người sở hữu
chứng thực điện tử này, các thông tin riêng của người sở hữu chứng thực, hạn sử dụng,
tên cơ quan cấp chứng thực điện tử, số hiệu của chứng thực điện tử và chữ ký của nhà
cung cấp. Một số chứng thực điện tử đang sử dụng như: chứng thực cho máy chủ web
(Server Certificate), chứng thực cho các phần mềm, chứng thực cá nhân, chứng thực
của các nhà cung cấp chứng thực điện tử..[13]
An toàn dữ liệu thanh toán điện tử: là một hệ thống cho phép các bên tham gia
mua và bán tiến hành thanh toán với nhau. Các khâu xử lý trong thanh toán điện tử
12
được thực hiện hoàn toàn trên máy tính. Bản chất của nó là mô phỏng lại những mô
hình thanh toán trong mua bán truyền thống nhưng được thực hiện thông qua các máy
tính nối mạng và các giao thức riêng, chuyên dụng..[14]
Mô tả hoạt động của một hệ thống Thương Mại có nhiều bên tham gia: Người
mua (người trả tiền) và người bán (người được trả tiền). Đại diện bởi các máy tính của
mình và các máy tính này được nối với nhau thông qua mạng máy tính để thực hiện
các giao thức thanh toán điện tử. Có sự tham gia của các tổ chức tài chính như là các
ngân hàng đại diện cho mỗi bên.
Trong an toàn dữ liệu thanh toán điện tử, các bên khi tham gia giao dịch thay vì
chuyển tiền sẽ trao đổi với nhau các chứng từ được số hóa. Bản chất của quá trình này
là các bên tham gia sẽ sử dụng hệ thống ngân hàng để thực hiện việc chuyển tiền mặt
vào tài khoản của nhau trong quá trình giao dịch.
Hệ thống thanh toán điện tử mang tính độc lập vật lý đảm bảo an toàn của tiền
điện tử không phụ thuộc vào điều kiện vật lý nào. An toàn vì khả năng ngăn chặn gian
lận và giả mạo. Có thể thanh toán ngoại tuyến, chuyển nhượng và phân chia.
Website: là một phần của tổ hợp cơ sở hạ tầng của doanh nghiệp. Website còn
gọi là trang web, trang mạng, là một tập hợp các trang web bao gồm văn bản, hình
ảnh, video, flash vv, thường chỉ nằm trong một tên miền( domain name) hoặc tên miền
phụ (subdomain). Trang web được lưu trữ ( web hosting ) trên máy chủ web ( server
web ) có thể truy cập thông qua Internet. Vì vậy không có gì đáng ngạc nhiên khi rất
nhiều doanh nghiệp dành sự quan tâm đặc biệt đến vấn đề bảo mật. Theo các báo cáo
của tổ chức Positive Technologies, trên 50% các cuộc tấn công là thông qua web.
Công ty và tên sản phẩm càng nổi tiếng thì khả năng bị tấn công càng cao. Thêm vào
đó, việc mất dữ liệu và thông tin khách hàng sẽ dẫn tới thiệt hại lớn..[15]
Ta biết rằng website là một hình thức trao đổi thông tin mang tính công cộng, có
số lượng người truy cập vào hàng ngày là rất lớn, do đó việc xác định danh tính khách
hàng là hết sức khó khăn. Công tác đảm bảo an toàn cho trang web vừa phải đồng thời
với việc tạo cho web hoạt động liên tục và không hạn chế người truy cập. Mỗi một
trang web đều được dùng để quảng bá hình ảnh của doanh nghiệp, do đó nếu trang
web bị tấn công thì việc quảng bá sản phẩm bị thất bại và hình ảnh doanh nghiệp cũng
suy giảm nhanh chóng. Hiện nay mỗi trang web đều có nguy cơ bị tấn công từ nhiều
phía bởi nó có chứa cơ sở dữ liệu là các thông tin nhạy cảm của doanh nghiệp, của đối
tác doanh nghiệp cũng như thoong tin của khách hàng.
13
Bảo mật web là hình thức bảo vệ các thông tin và tài nguyên của hệ thống máy
tính. Hacker sẽ tấn công vào máy tính của người dùng để lấy cắp thông tin khi nhận và
truyền tin. Tấn công vào hệ thống máy chủ lấy cắp thông tin của hệ thống hoặc làm tê
liệt hoạt động của hệ thống máy chủ web. Có thể giả mạo người dùng để thực hiện các
giao dịch giả và nghe lén thông tin trên đường truyền. Hiện nay các phương pháp sử
dụng để bảo mật web đó là bảo mật Server, máy cá nhân, đường truyền và bảo mật
thanh toán điện tử.
Bên cạnh đó cũng có một số giải pháp khác đảm bảo an toàn trong TMĐT đó là
mạng vành đai (Demilitarized Zone - DMZ), tường lửa cá nhân (Personal Firewall),
mạng riêng ảo (Virtual Private Network).
2.2. Đánh giá, phân tích thực trạng về an toàn và bảo mật thông tin của
công ty cổ phần phong cách Anh.
.
Tên tiếng Việt
:
CÔNG TY CỔ PHẦN PHONG CÁCH ANH.
Tên giao dịch quốc tế
:
ANH’S STYLE JOINT STOCK COMPANY.
Quy mô nhân sự
:
210 người.
Giám đốc
:
TRẦN THỊ THU TRANG.
Chủ doanh nghiệp
:
TRẦN THỊ THU TRANG.
Ngày thành lập
:
Năm 2004 tại Hà Nội.
Số đăng ký kinh doanh
:
0101525194.
Vốn điều lệ
:
130,000,000,000 VNĐ ( Một trăm ba mươi tỷ đồng).
Địa chỉ
:
Số 3, phố Ngọc Khánh, phường Ngọc Khánh, quân Ba
Đình, Thành phố Hà Nội, Việt Nam.
Điện thoại
:
+84437233039
Công ty cổ phần phong cách anh kinh doanh trong các ĩnh vực chính sau:
Sản xuất may mặc các sản phẩm trang phục công sở cho khối ngân hàng, bảo
hiểm tài chính, các Tổng công ty như Tổng công ty Điện lực Dầu khí, Tổng công ty
14
- Xem thêm -