Tài liệu Giải pháp an toàn và bảo mật thông tin của công ty cổ phần phong cách anh

  • Số trang: 51 |
  • Loại file: PDF |
  • Lượt xem: 84 |
  • Lượt tải: 0
hoangtuavartar

Tham gia: 05/08/2015

Mô tả:

LỜI CẢM ƠN Khóa luận là một sản phẩm nghiên cứu, đúc kết kiến thức của một quá trình học tập, nghiên cứu lâu dài trong trường đại học. Để có thể hoàn thành bài khóa luận này, bên cạnh sự cố gắng nỗ lực của bản thân, em đã nhận được nhiều sự chỉ dẫn, giúp đỡ nhiệt tình từ phía khoa Hệ thống thông tin kinh tế, trường Đại học Thương Mại cũng như từ phía công ty cổ phần phong cách Anh. Trước hết, em xin chân thành cảm ơn các thầy cô trong trường Đại học Thương Mại đã truyền cho cho em những kiến thức bổ ích trong suốt thời gian ngồi trên ghế nhà trường. Em xin gửi lời cảm ơn sâu sắc nhất tới thầy giáo - Th.s Phan Đa Phúc đã hướng dẫn, giúp đỡ và chỉ bảo em trong suất quá trình làm khóa luận. Em xin chân thành cảm ơn các anh chị trong công ty cổ phần phong cách Anh đã tạo điều kiện cho em thực tập, tìm hiểu ở công ty và giúp em hoàn thành tốt khóa luận này. Em xin chân thành cảm ơn! Sinh viên thực hiện Đinh Thị Sương i MỤC LỤC LỜI CẢM ƠN .................................................................................................................i MỤC LỤC ..................................................................................................................... ii DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ .........................................................iv DANH MỤC TỪ VIẾT TẮT .......................................................................................vi PHẦN I: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU .....................................................1 1.1. Tính cấp thiết của đề tài ......................................................................................... 1 1.2. Tình hình nghiên cứu trong và ngoài nƣớc về đề tài ..........................................1 1.3. Mục tiêu nghiên cứu của đề tài .............................................................................2 1.4. Đối tƣợng và phạm vi nghiên cứu của đề tài........................................................ 2 1.4.1. Đối tượng nghiên cứu của đề tài .........................................................................2 1.4.2. Phạm vi nghiên cứu của đề tài ............................................................................3 1.5. Phƣơng pháp thực hiện đề tài ...............................................................................3 1.6. Kết cấu khóa luận ...................................................................................................5 PHẦN II: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG AN TOÀN BẢO MẬT THÔNG TIN CỦA CÔNG TY CỔ PHẦN PHONG CÁCH ANH ........................... 6 2.1. Về cơ sở lý luận .......................................................................................................6 2.1.1. Một số khái niệm về an toàn và bảo mật trong Thương Mại điện tử ................6 2.1.2. Các hình thức tấn công dữ liệu trong Thương Mại điện tử .............................. 7 2.1.3. Các phương pháp phòng tránh, khắc phục hậu quả và công cụ để đảm bảo an toàn dữ liệu, bảo mật thông tin ......................................................................................8 2.1.4 Vai trò và ứng dụng của an toàn dữ liệu, bảo mật thông tin trong giao dịch Thương mại điên tử ......................................................................................................10 2.2. Đánh giá, phân tích thực trạng về an toàn và bảo mật thông tin của công ty cổ phần phong cách Anh. ............................................................................................ 14 2.2.1. Một số kêt quả đạt được trong quá trình hoạt động kinh doanh của công ty cổ phần phong cách Anh ..................................................................................................15 2.2.2. Phân tích thực trạng an toàn và bảo mật thông tin của công ty cổ phần phong cách Anh ....................................................................................................................... 16 2.2.3. Đánh giá thực trạng an toàn và bảo mật thông tin của công ty cổ phần phong cách Anh ....................................................................................................................... 24 ii PHẦN III: ĐỊNH HƢỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP, KIẾN NGHỊ VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN CỦA CÔNG TY CỔ PHẦN PHONG CÁCH ANH ..................................................................................................27 3.1. Định hƣớng phát triển của công ty về an toàn bảo mật thông tin ...................27 3.2. Các đề xuất về giải pháp nâng cao hiệu quả an toàn và bảo mật thông tin của công ty cổ phần phong cách Anh................................................................................29 3.3. Một số kiến nghị liên quan đến nâng cao hiệu quả công tác đảm bảo an toàn thông tin của công ty cổ phần phong cách Anh. ....................................................... 42 KẾT LUẬN ..................................................................................................................44 TÀI LIỆU THAM KHẢO........................................................................................... 45 iii DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ STT Tên bảng biểu, sơ đồ, hình vẽ 1 Trang Bảng 2.1. Bảng thống kê các số liệu tài chính của công ty (Nguồn: Báo 15 cáo kiểm toán năm 2012, 2013, 2014) 2 Biểu đồ 2.1. Biểu đồ tỉ lệ nhân viên doanh nghiệp sử dụng phần mềm 17 bảo mật 3 Biểu đồ 2.2. Biểu đồ tỉ lệ tầm quan trọng của công tác bảo mật thông tin 18 khách hàng 4 Biểu đồ 2.3. Biểu đồ tỉ lệ thách thức lớn nhất về an toàn bảo mật thông 19 tin 5 Biểu đồ 2.4. Biểu đồ tỉ lệ về hình thức lựa chọn thanh toán của khách 19 hàng 6 Biểu đồ 2.5. Biểu đồ tỉ lệ về phương án bảo mật thông tin cho khách 20 hàng 7 Biểu đồ 2.6. Biểu đồ tỉ lệ về mức độ đảm bảo an toàn thông tin 20 8 Biểu đồ 2.7. Biểu đồ tỉ lệ về tầm quan trọng của an toàn trong thanh 21 toán điện tử 9 Biểu đồ 2.8. Biểu đồ tỉ lệ về mức độ bảo mật của các giải pháp thanh 21 toán điện tử 10 Biểu đồ 2.9. Biểu đồ tỉ lệ mức độ quan tâm an toàn và bảo mật thông tin 22 khách hàng 11 Biểu đồ 2.10. Biểu đồ tỉ lệ mức độ quan tâm của khách hàng về công tác 22 bảo mật thông tin qua website 12 Biểu đồ 2.11. Biểu đồ tỉ lệ về đầu tư cho công tác bảo mật thông tin qua 23 website 13 Biểu đồ 2.12. Biểu đồ tỉ lệ về cấp độ bảo mật thông tin tại công ty 23 14 Biểu đồ 2.13. Biểu đồ tỉ lệ về mức độ sẵn sàng mua hàng qua mạng của 24 khách hàng 15 Hình 3.1: Mô hình giải pháp bảo vệ đa cấp về phần cứng iv 31 16 Hình 3.2: Mô hình về giải pháp lớp Firewall bên ngoài 31 17 Hình 3.3: Mô hình về lớp Firewall bảo vệ máy chủ 33 18 Hình 3.4: Mô hình giải pháp hai lớp tường lửa 35 19 Hình 3.5: Mô hình giải pháp mạng riêng ảo 36 20 Hình 3.6: Mô hình giải pháp IPS đặt trước Firewall 37 21 Hình 3.7: Mô hình cấu trúc của giao thức SSL 39 22 Hình 3.8: Mô hình lắp đặt mạng không dây tổng thể 40 23 Hình 3.9: Mô hình mã hóa email của giải pháp bảo mật thư điện tử 41 v DANH MỤC TỪ VIẾT TẮT STT Từ viết tắt Giải nghĩa 1 CNTT Công nghệ thông tin 2 ATDL An toàn dữ liệu 3 TMĐT Thương mại điện tử 4 HTTT Hệ thống thông tin 5 SSL Secure Socket Layer 6 SET Secure Electronic 7 WEP Wireless Encryption Protocol. 8 VPN Virtual Private Network vi PHẦN I: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 1.1. Tính cấp thiết của đề tài Trong một nền kinh tế toàn cầu hóa như hiện nay thì vấn đề thông tin được xem là sự sống còn đối với các doanh nghiệp.Thế nhưng, rất nhiều doanh nghiệp vẫn chưa nhận thức được tầm quan trọng của vấn đề bảo mật thông tin và những nguy cơ có thể xảy ra từ việc rò rỉ thông tin trong chính nội bộ của doanh nghiệp mình. Hiện nay, sự thâm nhập sâu rộng của CNTT, sự phát triển vượt bậc của công nghệ mạng và Internet cùng các website thông tin trực tuyến trong các lĩnh vực của cuộc sống mang lại nhiều lợi ích, nhưng đồng thời cũng đặt ra không ít những thách thức về an ninh bảo mật. Tình hình mất an ninh đang diễn biến phức tạp và xuất hiện nhiều nguy cơ đe dọa đến việc phát triển kinh tế xã hội và đảm bảo quốc phòng, an ninh. Nguy cơ an ninh mạng và bảo mật an toàn thông tin tại các doanh nghiệp trên thị trường đang ở mưc báo động khi tình trạng bị hacker, virus, malware tấn công khiến dữ liệu bị xóa, thông tin bị đánh cắp, bị theo dõi, mất quyền bảo hành, lây truyền virus sang máy tính khác… liên tục gia tăng không ngừng, gây ra hậu quả và thiệt hại vô cùng lớn về kinh tế, uy tín cho doanh nghiệp về lâu dài. Khi vấn đề bảo mật được đảm bảo an toàn thì sẽ là lợi thế kinh doanh của doanh nghiệp, điều này sẽ giúp doanh nghiệp tiết kiệm được chi phí, thời gian… tránh được sự cạnh tranh không lành mạnh của đối thủ kinh doanh hay sự phá hoại của đối tượng bên ngoài. Nếu vấn đề an toàn và bảo mật không được quan tâm đúng, khi xảy ra vấn đề liên quan trách nhiệm lúc đó sẽ rất lớn, doanh nghiệp bị ảnh hưởng có thể dẫn đến phá sản hay chịu trách nhiệm trước pháp luật. Để hiểu rõ được những vấn đề cần quan tâm về an toàn và bảo mật thông tin trong TMĐT, em đã lựa chọn công ty cổ phần phong cách Anh để tìm hiểu và nghiên cứu. Qua quá trình thực tập tại công ty, em xin đề xuất đề tài nghiên cứu cho khóa luận của mình là: “Giải pháp an toàn và bảo mật thông tin của công ty cổ phần phong cách Anh”. 1.2. Tình hình nghiên cứu trong và ngoài nƣớc về đề tài Trên thế giới, đông đảo các nhà nghiên cứu, các viện nghiên cứu, các trường đại học rất chú ý quan tâm tới vấn đề an toàn bảo mật thông tin trong TMĐT. Trong 1 những năm gần đây, nhiều diễn đàn, hội nghị, hội thảo quốc tế về an toàn bảo mật liên tục được tổ chức. Tại Việt Nam với sự phát triển mạnh mẽ của TMĐT trong thời gian qua thì sự quan tâm đến vấn đề an toàn và bảo mật thông tin càng lớn. Các đề tài nghiên cứu cấp Bộ, cấp Nhà nước, các hội nghị, hội thảo được xuất hiện ngày càng nhiều, cụ thể: Hội thảo - Triển lãm quốc gia về An ninh Bảo mật 2015 (Security World 2015) với chủ đề “Tăng cường bảo mật và an toàn thông tin (ATTT) trong môi trường rủi ro hiện nay” vừa diễn ra tại Hà Nội. Sự kiện do Tổng cục An ninh - Bộ Công an, Tổng cục Hậu cần Kỹ thuật - Bộ Công an, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam Bộ Thông tin và Truyền thông, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng - Ban Cơ yếu Chính phủ phối hợp cùng Tập đoàn Dữ liệu Quốc tế Việt Nam (IDG Việt Nam) tổ chức. Hội thảo ứng dụng chứ ký số và bảo mật thông tin tại doanh nghiệp tổ chức tại tỉnh Thừa Thiên Huế năm 2011. Hội thảo Quốc gia về an ninh bảo mật ngày 22/3/2012 tại Hà Nội. Hội thảo Vai trò của an ninh mạng trong nền kinh tế năng động do Đại sứ quán Hoa kỳ tổ chức tại Hà Nội năm 2013. 1.3. Mục tiêu nghiên cứu của đề tài Thứ nhất, đề tài tóm lược và hệ thống hóa các vấn đề lý luận cơ bản liên quan đến an toàn và bảo mật thông tin trong TMĐT. Thứ hai, sử dụng các phương pháp nghiên cứu đề khảo sát, đánh giá, phân tích thực trạng vấn đề an toàn và bảo mật thông tin của doanh nghiệp để đưa ra những ưu, nhược điểm. Thứ ba, đề xuất một số kiến nghị, một số giải pháp nhằm nâng cao hiệu quả công tác đảm bảo an toàn và bảo mật thông tin cho doanh nghiệp. 1.4. Đối tƣợng và phạm vi nghiên cứu của đề tài 1.4.1. Đối tượng nghiên cứu của đề tài Nghiên cứu về website của doanh nghiệp và vấn đề mất an toàn và bảo mật thông tin tại doanh nghiệp. Nghiên cứu thực trạng an toàn bảo mật của công ty cổ phần phong cách Anh. 2 Nghiên cứu các giải pháp nâng cao an toàn bảo mật thông tin trong doanh nghiệp. 1.4.2. Phạm vi nghiên cứu của đề tài Là một đề tài nghiên cứu khóa luận của sinh viên nên phạm vi nghiên cứu của đề tài chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảng thời gian ngắn hạn, cụ thể: Phạm vi về không gian: Đề tài tập trung nghiên cứu tình hình an toàn và bảo mật thông tin tại công ty cổ phần phong cách Anh. Phạm vi về thời gian: Các số liệu được khảo sát từ năm 2012 đến năm 2014, đồng thời trình bày các nhóm giải pháp nâng cao an toàn và bảo mật thông tin cho doanh nghiệp. Phạm vi về nội dung: Bảo mật và an toàn mạng đối với cá nhân và doanh nghiệp. 1.5. Phƣơng pháp thực hiện đề tài Phương pháp thu thập dữ liệu: Phương pháp thu thập dữ liệu trực tiếp: Em sử dụng phương pháp lấy dữ liệu là phiếu điều tra trắc nghiệm và phỏng vấn chuyên gia. Từ đó ta có cái nhìn một cách tổng quan hơn về vấn đề an toàn và bảo mật thông tin của công ty cổ phần phong cách Anh.  Phương pháp điều tra bằng phiếu điều tra trắc nghiệm: Nội dung: Tình trạng an toàn dữ liệu, bảo mật thông tin trong giao dịch TMĐT và biện pháp mà doanh nghiệp đang áp dụng. Cách thức tiến hành: Các phiếu điều tra được gửi cho bộ phận lãnh đạo và các phòng ban trong doanh nghiệp. Sau đó các phiếu điều tra được thu lại và tổng hợp, xử lý và đưa ra các đánh giá, nhận xét phục vụ cho quán trình nghiên cứu đề tài. Các câu hỏi mang tính chất tham khảo các ý kiến của các cá nhân về tình trạng hiện tại của doanh nghiệp, các đánh giá cũng như khó khăn trong quá trình bảo mật thông tin và các biện pháp dùng để cải thiện vấn đề an toàn dữ liệu. Ưu điểm: Tiến hành nhanh chóng và tiện lợi mang tính hiệu quả cao. Nhược điểm: Câu trả lời có thể không chính xác hoặc bị bỏ qua do không có ý kiến về vấn đề. Câu trả lời mang tình theo mẫu nên không phát huy được hết ý kiến của từng cá nhân cho vấn đề đặt ra. 3  Phương pháp phỏng vấn: Nội dung: Tìm hiểu sâu hơn về vấn đề bảo mật thông tin khách hàng và cách thức thanh toán giữa khách hàng và doanh nghiệp. Cách thức tiến hành: Phỏng vấn những người có chuyên môn cao trong công ty về vấn đề bảo mật thông tin khách hàng như thế nào. Ưu điểm: Có được các ý kiến cụ thể từ những người có chuyên môn cao và cách nhìn bao quát về vấn đề tìm hiểu. Nhược điểm: Mẫu nghiên cứu nhỏ do không có thời gian khảo sát, phỏng vấn nhiều người nên kết quả thu được mang tính cá nhân cao hơn. Phương pháp thu thập dữ liệu gián tiếp: Đối tượng và phương pháp thu thập dữ liệu thông tin, ở đây em sử dụng hình thức chính là qua Internet, sách và báo. Nhưng tất cả thông tin thu thập này chỉ mang tính tham khảo và dùng để làm căn cứ để xác minh thông tin. Phương pháp phân tích và xử lý số liệu: Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập nhật thì tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tình hình nghiên cứu có liên quan đến trong đề tài. Trong quá trình xử lý thông tin, cần chia thông tin ra làm hai nhóm chính: Xử lý thông tin định lượng: Được thể hiện thông qua phương pháp mô tả bằng số liệu, dữ liệu sau khi thu thập sẽ được đưa ra phân tích. Từ những biểu đồ được hoàn thành sau khi nhập dữ liệu vào, sẽ có những đánh giá cụ thể về thực trạng an toàn và bảo mật thông tin của công ty cổ phần phong cách Anh. Xử lý thông tin định tính: Sử dụng ngôn ngữ để tiến hành các thao tác suy luận, phân tích, tổng hợp, đánh giá. Ưu điểm: phát hiện ra chủ đề quan trọng nhờ có được thông tin từ các nhân viên có chuyên môn cao Nhược điểm: mẫu nghiên cứu nhỏ. 4 1.6. Kết cấu khóa luận Cấu trúc khóa luận gồm 3 phần chính, cụ thể: Phần 1: Tổng quan vấn đề nghiên cứu. Phần 2: Cơ sở lý luận và thực trạng an toàn và bảo mật thông tin của công ty cổ phần phong cách Anh. Phần 3: Định hướng phát triển và đề xuất giải pháp, kiến nghị về an toàn và bảo mật thông tin của công ty cổ phần phong cách Anh. 5 PHẦN II: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG AN TOÀN BẢO MẬT THÔNG TIN CỦA CÔNG TY CỔ PHẦN PHONG CÁCH ANH 2.1. Về cơ sở lý luận 2.1.1. Một số khái niệm về an toàn và bảo mật trong Thương Mại điện tử An toàn dữ liệu là: Quá trình đảm bảo cho hệ thống dữ liệu tránh khỏi những nguy cơ hỏng hóc hoặc mất mát. Các nguy cơ tiềm ẩn về khả năng mất an toàn thông tin ngẫu nhiên như thiên tai, hỏng vật lý, mất điện… và các nguy cơ có chủ định như tin tặc, cá nhân bên ngoài phá hỏng vật lý, can thiệp có chủ ý… Nhu cầu bảo mật thông tin của các tổ chức và cá nhân đang cấp bách hơn bao giờ hết. Trong Thương Mại điện tử, an toàn dữ liệu nghiên cứu về những nguy cơ gây mất an toàn, tránh khỏi những nguy cơ này trong quá trình sử dụng hình thức kinh doanh trong giao dịch TMĐT.[1] Mục tiêu của ATDL là việc phát hiện các lỗ hổng của hệ thống dữ liệu, dự đoán trước những nguy cơ tấn công, ngăn chặn những hành động gây mất an toàn dữ liệu từ bên trong cũng như bên ngoài. Phục hồi tổn thất khi hệ thống dữ liệu bị tấn công. Trong TMĐT thì mục tiêu đó là phát hiện sớm các lỗ hổng trong các hình thức giao dịch và thanh toán điện tử, đưa ra các mô hình và giải pháp nhằm đảm bảo cho TMĐT đạt được độ an toàn cao nhất, các phương pháp khắc phục hậu quả và đảm bảo lợi ích cho người sử dụng. Bảo mật thông tin là: Duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của thông tin. Bảo mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng.[2] Tính toàn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin chỉ được thay đổi bởi những người được cấp quyền. Tính sẵn sàng của thông tin là những người được quyền sử dụng có thể truy xuất thông tin khi họ cần. Các giai đoạn của quá trình bảo mật, gồm: Phòng ngừa, phát hiện tấn công, đối phó với những cuộc tấn công. Thông tin: Cũng giống như các tài sản khác như hệ thống máy tính, thiết bị khai thác, văn phòng, nhà xưởng,… là những tài sản quan trọng của doanh ngiệp. Thông tin 6 trung thực, tin cậy và sẵn sàng là những yếu tố cần thiết để duy trì khả năng cạnh tranh, khả năng thu lợi nhuận, khả năng xử lý tình huống bất ngờ trong doanh nghiệp. Thông tin có thể bị mất cấp từ nhiều nguyên nhân khác nhau như: hệ thống máy tính bị hư, tình báo công nghiệp, tiếp cận trái phép, đánh cắp thông tin khách hàng…Bên cạnh đó, còn có những nguyên nhân khác như: hệ thống máy tính bị virus tấn công, bị hacker tấn công. 2.1.2. Các hình thức tấn công dữ liệu trong Thương Mại điện tử Các hình thức tấn công trong TMĐT có thể kể đến là hình thức tấn công dữ liệu thụ động và tấn công chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép. Vi phạm tính toàn vẹn, sẵn sàng dữ liệu. Hình thức tấn công thụ động: là việc kẻ tấn công lấy được thông tin trên đường truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Tấn công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước khi tấn công xảy ra.[3] Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online) và tấn công ngoại tuyến (offline). Tấn công offline có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốn bất kỳ chi phí nào. Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để lộ password hay lưu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng. Một nghiên cứu gần đây cho thấy 50% vụ đánh cắp tài khoản do người gần gũi với nạn nhân thực hiện. Tấn công online không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông người dùng trên internet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi dụng sự cả tin của người dùng để đánh cắp tài khoản. Dạng tấn công này có hiệu suất khá cao. Hình thức tấn công phổ biến nhất của tấn công online là phishing. Phishing là một loại tấn công phi kỹ thuật, dùng đánh cắp các thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòng tránh duy nhất là ý thức của người dùng. 7 Hình thức tấn công chủ động: là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có khả năng chặn các gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ động tuy nguy hiểm nhưng lại dễ phát hiện được.[4] Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao. Biện pháp phòng vệ tốt nhất chống lại kiểu tấn công chủ động là bảo mật máy tính phía người dùng: đảm bảo hệ điều hành và tất cả ứng dụng được cập nhật đầy đủ, cập nhật cơ sở dữ liệu nhận dạng virus và malware, dùng firewall cho các kết nối Internet, dùng công cụ chống spyware và malware nhằm đảm bảo máy tính không cài đặt những chương trình không cần thiết… Bộ lọc chống phishing cũng giúp giảm khả năng người dùng sử dụng các website lừa đảo. Tấn công từ chối dịch vụ DOS (Denial of service): là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới không thể cung cấp dịch vụ hoặc phải ngừng hoạt động. DOS lợi dụng sự yếu kém trong mô hình bắt tay ba bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến server, làm server bị quá tải dẫn tới không thể phục vụ các kết nối khác. [5] Tấn công dữ liệu trên thực tế thường sử dụng virus, trojan để ăn cắp dữ liệu, lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục đích nhằm lấy cắp hoặc phá hỏng dữ liệu cũng như các chương trình ứng dụng. 2.1.3. Các phương pháp phòng tránh, khắc phục hậu quả và công cụ để đảm bảo an toàn dữ liệu, bảo mật thông tin Dữ liệu trong khi truyền giữa người gửi và người nhận là lúc dễ bị tấn công nhất. Hầu hết các phương pháp tấn công nhằm vào dữ liệu đều thực hiện trong quá trình giao dịch điện tử. Do đó bảo mật kênh truyền dữ liệu trong việc thực hiện các giao dịch TMĐT là rất quan trọng. Hiện nay để bảo vệ website, bảo mật kênh truyền chủ yếu tập trung vào các giao thức mã hóa. Một số giao thức bảo mật kênh truyền dữ liệu như giao thức SSL - Secure socket layer, giao thức SET - Secure electronic, giao thức WEP - Wireless encryption protocol và sử dụng Firewall. Giao thức SSL - Secure socket layer: là giao thức đa mục đích, được thiết kế nhằm tạo các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước 8 (socket 443) để mã hóa toàn bộ thông tin đi, đến. Hiện nay SSL đã trở thành chuẩn bảo mật thực hành trên mạng Internet.[6] SSL xây dựng trên tầng giao vận của mô hình TCP/IP (Transfer Control Protocol/Internet Protocol – giao thức truyền thông của internet). Qua đó bất kỳ ứng dụng mạng nào khi cài đặt sử dụng mô hình TCP/IP đều có thể thay đổi cấu hình để có thể sử dụng giao thức SSL. SSL được ứng dụng rộng rãi trong các giao dịch yêu cầu thanh toán qua mạng, được hỗ trợ bởi hầu hết các trình duyệt và các phần mềm phía server, được thiết kế độc lập với tầng ứng dụng nên có thể sử dụng cho nhiều ứng dụng khác nhau và mọi hoạt động của SSL đều trong suốt với người sử dụng. Bên cạnh đó SSL không có những cơ chế xác nhận người dùng một cách chắc chắn. Người mua hàng có nguy cơ bị lộ thông tin về tài khoản. Vẫn có khả năng bị các hacker dò tìm ra khóa bí mật dùng để mã hóa thông tin. Nhiều người dùng vẫn đang dùng SSL V2.0 thay vì SSL V3.0 và không có cơ chế xác nhận lẫn nhau trong quá trình thiết lập giao thức bắt tay. Để khắc phục những hạn chế của SSL thì Visa và Master card đã phát triển giao thức SET - Secure Electronic nhằm hỗ trợ bảo mật trong thanh toán trực tuyến qua mạng dựa trên kỹ thuật sử dụng đồng tiền số. Giao thức này được hỗ trợ bởi các công ty lớn như IBM, Microsolf, HP,... Giao thức SET - Secure electronic: SET đảm bảo tính chính xác của thông tin cho bên gửi và bên nhận, đảm bảo tính toàn vẹn, đảm bảo tính tin cậy của thông tin, rất an toàn do khó bị bẻ khóa. Qua đó người dùng không sợ lộ các thông tin về tài khoản của mình khi tiến hành các giao dịch trên mạng do tiến hành xác nhận qua ngân hàng trung gian. Hạn chế tình trạng từ chối dịch vụ và lừa đảo qua mạng do có cơ chế xác thực cả hai phía. Tuy vậy SET có độ trễ khi giao dịch, do tính phức tạp của các thuật toán mã hóa công khai, do thường xuyên tiến hành giao dịch với các ngân hàng trung gian. Hệ thống cồng kềnh và quá trình giao dịch chậm. Thường xuyên backup các dữ liệu, chi phí cao cho thiết bị phần cứng: SET yêu cầu các thiết bị phần cứng chuyên dụng, yêu cầu cài đặt phần mềm chuyên dụng: ví tiền điện tử cài đặt ở máy trạm.[7] Giao thức WEP - Wireless Encryption Protocol: Được thiết kế để đảm bảo tính bảo mật cho mạng không dây, phương thức mã hóa, sử dụng thuật toán đối xứng RC4. 9 Với phương thức mã hóa RC4, WEP được xem như một phương thức kiểm soát truy cập.[8] Giải pháp WEP tối ưu đó là kết hợp WEP và các giải pháp khác, gia tăng mức độ bảo mật cho WEP như việc sử dụng khóa WEP có độ dài 128 bit, thực thi chính sách thay đổi khóa WEP định kỳ, sử dụng các công cụ theo dõi số liệu thống kê dữ liệu trên đường truyền không dây. irewa à Một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông tin khác không mong muốn. Tư tưởng cơ bản của firewall là đặt cấu hình mạng sao cho tất cả các thông tin vào ra mạng đều phải đi qua một máy được chỉ định chính là firewall. Tuy nhiên firewall hạn chế quyền truy nhập của người dùng vào mạng Internet.[9] Firewall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong và cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong. Nó chặn những luồng thông tin có khả năng nguy hại đến sự an toàn của mạng máy tính, lưu giữ các thông tin quan trọng và nhạy cảm của đơn vị tránh khỏi sự xâm nhập trái phép từ bên ngoài. Với nhiệm vụ cơ bản là bảo vệ dữ liệu, những thông tin cần được bảo vệ do những yêu cầu bảo mật, tính toàn vẹn, tính kịp thời, bảo vệ tài nguyên hệ thống và danh tiếng của công ty sở hữu các thông tin cần được bảo vệ. 2.1.4 Vai trò và ứng dụng của an toàn dữ liệu, bảo mật thông tin trong giao dịch Thương mại điên tử 2.1.4.1. Vai trò của an toàn dữ liệu, bảo mật thông tin trong giao địch Thương mại điện tử An ninh mạng hiện nay được coi là một trong những vấn đề hot nhất toàn cầu khi liên tiếp các vụ tấn công mạng diễn ra trên khắp các nước trên thế giới. Tại Việt Nam, chỉ tính từ đầu năm 2013, đã có 2.405 website của các cơ quan, doanh nghiệp bị hacker xâm nhập. Các vụ tấn công mạng máy tính ngày càng tinh vi hơn với những hình thái mới của giới tội phạm mạng mang tính chất quốc gia. Thực tế đã có rất nhiều website bị thay đổi nội dung thông tin, chiếm quyền điều khiển, thậm chí bị thay đổi tên miền, bị chiếm quyền sử dụng. Kẻ xấu luôn lợi dụng 10 những không gian mạng để làm việc rửa tiền, ăn cắp tài khoản hay thực hiện những mục đích cạnh tranh không lành mạnh. Thị trường chứng khoán nước ta phát triển những năm gần đây đang có hướng tiêu cực, tức là xuống dốc rất nhanh. Nếu hệ thống thông tin cho thị trường chứng khoán không an toàn sẽ rất nguy hiểm và có thể đi đến sập đổ thị trường. Sự phức tạp và các mối đe doạ về sự mất an toàn bảo mật hệ thống thông tin ngày càng tăng. Tìm được một giải pháp tổng thể với chi phí hợp lý là điều không dễ cho các doanh nghiệp. Mặt khác, nhiều dự án về phía Nhà nước triển khai chậm cũng gây khó dễ cho các tổ chức và doanh nghiệp trong nhiều lĩnh vực. Cho nên, vấn đề sống còn cần phải làm là phải đảm bảo an toàn bảo mật cho các giao dịch, cho hệ thống thông tin của ngành và của các doanh nghiệp. 2.1.4.2. Ứng dụng của an toàn dữ liệu, bảo mật thông tin trong giao dịch Thương mại điện tử Ứng dụng công nghệ thông tin trong kinh doanh được coi là yếu tố quan trọng giúp doanh nghiệp giữ vững và mở rộng thị trường, tăng tính cạnh tranh, và thực hiện các thỏa thuận thương mại trong khu vực và trên thế giới. Tất cả quá trình này đòi hỏi một lượng thông tin trao đổi rất lớn qua mạng, đồng thời yêu cầu độ an toàn và tính xác thực cao. Các ứng dụng của an toàn dữ liệu, bảo mật thông tin trong giao dịch TMĐT gồm các công cụ bảo mật như chữ ký số, chứng thực số, mã hóa khóa công khai, mã hóa khóa bí mật… Mã hóa khóa bí mật - khóa đối xứng: Theo phương pháp này,người gửi và người nhận sẽ dùng chung một khóa để mã hóa và giải mã. .[10] Mã hóa khóa công khai - khóa không đối xứng: Phương pháp này sử dụng hai khóa khác nhau là khóa công khai (public key) được gửi công khai trên mạng, khóa bí mật (Private key) thì được giữ bí mật. .[11] Chữ ký điện tử (hay chữ ký số - Digital signature): Được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách logic với thông điệp dữ liệu, có (Server Certificate) chứng thực cho các phần mềm, chứng thực cá nhân, chứng thực của các nhà cung cấp chứng thực điện tử..[12] 11 Chữ ký số có thể sử dụng trong các giao dịch thư điện tử, các e-mail, để mua hàng trực tuyến, đầu tư chứng khoán trực tuyến, chuyển tiền ngân hàng, thanh toán trực tuyến mà không sợ bị đánh cắp tiền như với các tài khoản Visa, Master. Ngoài ra, chữ ký số cũng có thể dùng để kê khai, nộp thuế trực tuyến, khai báo hải quan và thông quan trực tuyến mà không phải mất thời gian đi in các tờ khai, đóng dấu đỏ của công ty rồi đến cơ quan thuế xếp hàng để nộp tờ khai này. Chữ ký số giúp cho các đối tác có thể ký hợp đồng làm ăn hoàn toàn trực tuyến không cần ngồi trực tiếp với nhau, chỉ cần ký vào file hợp đồng và gửi qua e-mail. Mặc dù còn khá mới mẻ đối với phần lớn các doanh nghiệp Việt Nam, chữ ký số lại đóng vai trò hết sức quan trọng đối với tương lai của TMĐT và chính phủ điện tử trong bối cảnh hội nhập kinh tế thế giới như hiện nay. Việc ứng dụng chữ ký số trong TMĐT sẽ đem lại cho doanh nghiệp, tổ chức rất nhiều lợi ích như: tiết kiệm chi phí giấy tờ, thời gian luân chuyển trong hoạt động quản lý công văn, giấy tờ, thư điện tử. Bên cạnh đó, còn góp phần đẩy nhanh các giao dịch qua mạng trong khi vẫn đảm bảo độ an toàn và bảo mật thông tin. Chữ ký số là công nghệ xác thực, đảm bảo anh ninh, an toàn cho giao dịch trên môi trường Internet. Chữ ký số sẽ giải quyết vấn đề toàn vẹn dữ liệu và là bằng chứng chống chối bỏ trách nhiệm trên nội dung đã ký, giúp cho các doanh nghiệp, tổ chức, cá nhân yên tâm với các giao dịch điện tử của mình trong môi trường Internet. Chứng thực số: là một hoạt động chứng thực danh tính của những ngươi tham gia vào việc gửi và nhận thông tin qua kênh truyền, cung cấp cho họ các công cụ, các dịch vụ cần thiết để thực hiện việc bảo mật thông tin, chứng thực nguồn gốc và nội dung thông tin. Chứng thực điện tử được cấp bởi một cơ quan chứng thực có uy tín trên thế giới. Một chứng thực điện tử bao gồm: khóa công khai của người sở hữu chứng thực điện tử này, các thông tin riêng của người sở hữu chứng thực, hạn sử dụng, tên cơ quan cấp chứng thực điện tử, số hiệu của chứng thực điện tử và chữ ký của nhà cung cấp. Một số chứng thực điện tử đang sử dụng như: chứng thực cho máy chủ web (Server Certificate), chứng thực cho các phần mềm, chứng thực cá nhân, chứng thực của các nhà cung cấp chứng thực điện tử..[13] An toàn dữ liệu thanh toán điện tử: là một hệ thống cho phép các bên tham gia mua và bán tiến hành thanh toán với nhau. Các khâu xử lý trong thanh toán điện tử 12 được thực hiện hoàn toàn trên máy tính. Bản chất của nó là mô phỏng lại những mô hình thanh toán trong mua bán truyền thống nhưng được thực hiện thông qua các máy tính nối mạng và các giao thức riêng, chuyên dụng..[14] Mô tả hoạt động của một hệ thống Thương Mại có nhiều bên tham gia: Người mua (người trả tiền) và người bán (người được trả tiền). Đại diện bởi các máy tính của mình và các máy tính này được nối với nhau thông qua mạng máy tính để thực hiện các giao thức thanh toán điện tử. Có sự tham gia của các tổ chức tài chính như là các ngân hàng đại diện cho mỗi bên. Trong an toàn dữ liệu thanh toán điện tử, các bên khi tham gia giao dịch thay vì chuyển tiền sẽ trao đổi với nhau các chứng từ được số hóa. Bản chất của quá trình này là các bên tham gia sẽ sử dụng hệ thống ngân hàng để thực hiện việc chuyển tiền mặt vào tài khoản của nhau trong quá trình giao dịch. Hệ thống thanh toán điện tử mang tính độc lập vật lý đảm bảo an toàn của tiền điện tử không phụ thuộc vào điều kiện vật lý nào. An toàn vì khả năng ngăn chặn gian lận và giả mạo. Có thể thanh toán ngoại tuyến, chuyển nhượng và phân chia. Website: là một phần của tổ hợp cơ sở hạ tầng của doanh nghiệp. Website còn gọi là trang web, trang mạng, là một tập hợp các trang web bao gồm văn bản, hình ảnh, video, flash vv, thường chỉ nằm trong một tên miền( domain name) hoặc tên miền phụ (subdomain). Trang web được lưu trữ ( web hosting ) trên máy chủ web ( server web ) có thể truy cập thông qua Internet. Vì vậy không có gì đáng ngạc nhiên khi rất nhiều doanh nghiệp dành sự quan tâm đặc biệt đến vấn đề bảo mật. Theo các báo cáo của tổ chức Positive Technologies, trên 50% các cuộc tấn công là thông qua web. Công ty và tên sản phẩm càng nổi tiếng thì khả năng bị tấn công càng cao. Thêm vào đó, việc mất dữ liệu và thông tin khách hàng sẽ dẫn tới thiệt hại lớn..[15] Ta biết rằng website là một hình thức trao đổi thông tin mang tính công cộng, có số lượng người truy cập vào hàng ngày là rất lớn, do đó việc xác định danh tính khách hàng là hết sức khó khăn. Công tác đảm bảo an toàn cho trang web vừa phải đồng thời với việc tạo cho web hoạt động liên tục và không hạn chế người truy cập. Mỗi một trang web đều được dùng để quảng bá hình ảnh của doanh nghiệp, do đó nếu trang web bị tấn công thì việc quảng bá sản phẩm bị thất bại và hình ảnh doanh nghiệp cũng suy giảm nhanh chóng. Hiện nay mỗi trang web đều có nguy cơ bị tấn công từ nhiều phía bởi nó có chứa cơ sở dữ liệu là các thông tin nhạy cảm của doanh nghiệp, của đối tác doanh nghiệp cũng như thoong tin của khách hàng. 13 Bảo mật web là hình thức bảo vệ các thông tin và tài nguyên của hệ thống máy tính. Hacker sẽ tấn công vào máy tính của người dùng để lấy cắp thông tin khi nhận và truyền tin. Tấn công vào hệ thống máy chủ lấy cắp thông tin của hệ thống hoặc làm tê liệt hoạt động của hệ thống máy chủ web. Có thể giả mạo người dùng để thực hiện các giao dịch giả và nghe lén thông tin trên đường truyền. Hiện nay các phương pháp sử dụng để bảo mật web đó là bảo mật Server, máy cá nhân, đường truyền và bảo mật thanh toán điện tử. Bên cạnh đó cũng có một số giải pháp khác đảm bảo an toàn trong TMĐT đó là mạng vành đai (Demilitarized Zone - DMZ), tường lửa cá nhân (Personal Firewall), mạng riêng ảo (Virtual Private Network). 2.2. Đánh giá, phân tích thực trạng về an toàn và bảo mật thông tin của công ty cổ phần phong cách Anh. . Tên tiếng Việt : CÔNG TY CỔ PHẦN PHONG CÁCH ANH. Tên giao dịch quốc tế : ANH’S STYLE JOINT STOCK COMPANY. Quy mô nhân sự : 210 người. Giám đốc : TRẦN THỊ THU TRANG. Chủ doanh nghiệp : TRẦN THỊ THU TRANG. Ngày thành lập : Năm 2004 tại Hà Nội. Số đăng ký kinh doanh : 0101525194. Vốn điều lệ : 130,000,000,000 VNĐ ( Một trăm ba mươi tỷ đồng). Địa chỉ : Số 3, phố Ngọc Khánh, phường Ngọc Khánh, quân Ba Đình, Thành phố Hà Nội, Việt Nam. Điện thoại : +84437233039 Công ty cổ phần phong cách anh kinh doanh trong các ĩnh vực chính sau: Sản xuất may mặc các sản phẩm trang phục công sở cho khối ngân hàng, bảo hiểm tài chính, các Tổng công ty như Tổng công ty Điện lực Dầu khí, Tổng công ty 14
- Xem thêm -