LỜI CẢM ƠN
Trong quá trình nghiên cứu và thực hiện luận văn tốt nghiệp, em đã
nhận được sự hướng dẫn nhiệt tình của giáo viên hướng dẫn là Thạc sỹ
Nguyễn Quang trung cùng sự nhiệt tình giúp đỡ của ban giám đốc và toàn
thể nhân viên công ty TNHH nhà nước một thành viên Thực Phẩm Hà Nội.
Qua đây, em xin chân thành cảm ơn nhà trường, quý thầy cô đã tạo mọi điều
kiện cho em tham gia học tập, rèn luyện, trao dồi kiến thức chuyên môn
cũng như kiến thức thực tế cuộc sống trong suốt 4 năm học. Và đặc biệt, em
xin chân thành cảm ơn Thạc sỹ Nguyễn Quang Trung - người đã tận tình
hướng dẫn, chỉ bảo và giúp đỡ em hoàn thành luận văn tốt nghiệp này. Đồng
thời em cũng gửi lời cảm ơn chân thành đến ban giám đốc và toàn thể nhân
viên công ty TNHH nhà nước một thành viên Thực Phẩm Hà Nội, đặc biệt
Anh Trần Công Nam - Trường phòng Marketing và phát triển thị trường của
công ty đã tiếp nhận và tạo cho em môi trường làm việc chuyên nghiệp, giúp
em có điều kiện nắm bắt tổng quát chung về tình hình hoạt động của công ty
và hoàn thành được bài luận văn tốt nghiệp của mình.
Đây là đề tài mới, khá phức tạp và các nghiên cứu chuyên sâu về vấn
đề này còn nhiều giới hạn. Mặt khác, thời gian nghiên cứu luận văn khá hạn
hẹp, trình độ và khả năng của bản thân em còn hạn chế. Vì vậy, luận văn
chắc chắn sẽ gặp phải nhiều sai sót. Em kính mong thầy giáo Nguyễn Quang
Trung, các thầy cô giáo trong bộ môn Công nghệ thông tin, các anh chị nhân
viên trong công ty Thực Phẩm Hà Nội góp ý, chỉ bảo để luận văn có giá trị
cả về lý luận và thực tiễn.
Em xin chân thành cảm ơn!
TÓM LƯỢC
Công ty TNHH nhà nước một thành viên Thực Phẩm Hà Nội là công ty
hoạt động trong lĩnh vực kinh doanh tổ chức chế biến thực phẩm, kinh
doanh nội địa và kinh doanh xuất nhập khẩu hàng hoá, các mặt hàng thực
phẩm, thuỷ hải sản tươi sống, đồ gia dụng, tư liệu tiêu dùng, dịch vụ khách
sạn và các dịch vụ thương mại khác phục vụ sản xuất đời sống người tiêu
dùng Hà Nội.
Khi Việt Nam gia nhập WTO, hội nhập và phát triển cùng nền kinh tế
thế giới, thì việc cạnh tranh sẽ ngày càng gay gắt giữa các doanh nghiêp, các
doanh nghiệp nào có uy tín, chiếm được cảm tình của khách hàng sẽ đứng
vững trên thị trường. Do đó, việc tạo sự yên tâm cho khách hàng bỗng trở
nên vô cùng quan trọng. Hiện nay các doanh nghiệp đang sử dụng nhiều
công cụ quảng cáo khác nhau để cố gắng đưa hình ảnh sản phẩm và thương
hiệu của mình đến với khách hàng hiệu quả nhất. Bên cạnh đó, công tác an
toàn bảo mật thông tin cho khách hàng cũng trở thành một vấn đề vô cùng
cấp thiết trong thời đại bùng nổ công nghệ thông tin và tình trạng mất an
toàn thông tin ngày càng nhiều. Chính vì thế tác giả đã chọn đề tài: “Giải
pháp an toàn và bảo mật thông tin khách hàng tại công ty thực phẩm
Hà Nội” làm luận văn tốt nghiệp của mình. Mục tiêu nghiên cứu của đề tài
là tập hợp và hệ thống hoá một số cơ sở lý luận cơ bản về an toàn và bảo mật
thông tin, nghiên cứu bằng những phương pháp khác nhau như thu thập các
cơ sở dữ liệu sơ cấp và thứ cấp. Từ đó xem xét đánh giá phân tích thực trạng
vấn đề an toàn bảo mật thông tin tại website www.thucphamhanoi.com.vn
để đưa ra những ưu nhược điểm. Từ những đánh giá phân tích này đưa ra
một số kiến nghị đề xuất một số giải pháp nhằm đảm bảo an toàn và bảo mật
thông tin cho khách hàng thông qua website www.thucphamhanoi.com.vn ,
nhằm hoàn thiện và nâng cao các tính năng của website, tăng niềm tin của
khách hàng đối với website từ đó nâng cao vị thế cạnh tranh của công ty
Thực phẩm Hà Nội và đáp ứng nhu cầu ngày càng cao của người tiêu dùng
trên thị trường TMĐT.
Chương I của đề tài là những vấn đề tổng quan khi nghiên cứu đề tài.
Chương II của đề tài, để làm rõ lý thuyết về an toàn dữ liệu, bảo mật
thông tin, vai trò của việc an toàn thông tin cho khách hàng trong giao dịch
thương mại điện tử. Để có cái nhìn tổng quát hơn về đề tài, tác giả đã nêu bật
tình hình khách thể của các công trình nghiên cứu các năm trước, tình hình
nghiên cứu trong và ngoài nước về an toàn bảo mật thông tin, từ đó phân
định nội dung đề tài nghiên cứu.
Trong chương III, ngoài việc khái quát về quá trình hình thành, phát
triển, cơ cấu tổ chức và các lĩnh vực kinh doanh của công ty TNHH Thực
phẩm Hà Nội cũng như đưa ra hệ thống các phương pháp nghiên cứu, tác giả
đã lấy cơ sở lý thuyết ở chương II và các dữ liệu sơ cấp, thứ cấp thu thập
được để tiến hành phân tích đánh giá thực trạng, các nhân tố tác động và
thực trạng an toàn bảo mật thông tin khách hàng tại công ty TNHH Thực
phẩm Hà Nội. Phân tích dữ liệu thu được từ phiếu điều tra, từ đó làm tiền đề
cho các giải pháp phát triển trong chương IV.
Trong chương IV, ở phần đầu của chương, tác giả hệ thống lại một số
thực trạng của công ty về an toàn thông tin, cùng nguyên nhân của các tồn
tại ấy. Bên cạnh đó, tác giả dự báo triển vọng cũng như quan điểm giải quyết
vấn đề an toàn và bảo mật thông tin khách hàng trong giao dịch thương mại
điện tử tại công ty thực phẩm Hà Nội trong thời gian tới. Đồng thời đề xuất,
kiến nghị các giải pháp mới nhằm phát triển và hoàn thiện hệ thống an toàn
dữ liệu và bảo mật thông tin đối với công ty.
Qua đề tài luận văn tốt nghiệp này, ngoài việc nâng cao nhận thức, bổ
sung thêm kiến thức cho bản thân, tác giả hy vọng những nghiên cứu của
mình còn có thể đóng góp giúp cho công ty TNHH Thực phẩm Hà Nội nói
riêng và các doanh nghiệp nói chung, có thể sử dụng các giải pháp về an
toàn thông tin đó để có thể bảo mật hệ cơ sở dữ liệu, bảo vệ thông tin cho
khách hàng của mình. Tạo niềm tin cho khách hàng, giúp công ty ngày càng
phát triển, tăng khả năng cạnh tranh của trên thị trường sôi động như ngày
nay.
MỤC LỤC
CHƯƠNG 1: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI..................................... 1
1.1 Tính cấp thiết của đề tài nghiên cứu............................................................ 1
1.2 Xác lập và tuyên bố vấn đề nghiên cứu của đề tài luận văn........................2
1.3 Các mục tiêu nghiên cứu của đề tài luận văn...............................................2
1.4 Phạm vi nghiên cứu của đề tài luận văn.......................................................3
1.5
Kết cấu của đề tài luận văn...................................................................... 3
CHƯƠNG 2: MỘT SỐ VẤN ĐỀ LÝ LUẬN CƠ BẢN VỀ AN TOÀN VÀ
BẢO MẬT THÔNG TIN KHÁCH HÀNG.......................................................4
2.1 Tổng quan về an toàn và bảo mật thông tin................................................. 4
2.1.1
Khái niệm an toàn dữ liệu và bảo mật thông tin..................................4
2.1.2
Các hình thức tấn công dữ liệu trong thương mại điện tử...................5
2.1.3
Các phương pháp phòng tránh, khắc phục hậu quả và công cụ để
đảm bảo an toàn dữ liệu, bảo mật thông tin...................................................... 7
2.2 Vai trò và ứng dụng của an toàn dữ liệu, bảo mật thông tin trong giao
dịch thương mại điện tử....................................................................................11
2.2.1
Vai trò của của an toàn dữ liệu, bảo mật thông tin trong giao dịch
thương mại điện tử............................................................................................11
2.2.2
Ứng dụng của an toàn dữ liệu và bảo mật thông tin trong giao dịch
thương mại điện tử............................................................................................12
2.3 Tổng quan tình hình khách thể nghiên cứu của những công trình năm
trước.................................................................................................................. 15
2.4 Tổng quan tình hình nghiên cứu của Việt Nam và thế giới về an toàn và
bảo mật thông tin.............................................................................................. 16
2.5 Phân định nội dung vấn đề nghiên cứu...................................................... 17
CHƯƠNG 3: PHƯƠNG PHÁP NGHIÊN CỨU VÀ KẾT QUẢ PHÂN
TÍCH THỰC TRẠNG AN TOÀN VÀ BẢO MẬT THÔNG TIN KHÁCH
HÀNG TẠI CÔNG TY THỰC PHẨM HÀ NỘI............................................ 19
3.1 Hệ Thống các phương pháp nghiên cứu.................................................... 19
3.1.1 Phương pháp thu thập dữ liệu.................................................................19
3.1.2 Phương pháp xử lý dữ liệu...................................................................... 19
3.1.3 Phương pháp trừu tượng và cụ thể......................................................... 20
3.2 Quá trình hình thành phát triển và một số kết quả đạt được của công ty
Thực phẩm Hà Nội........................................................................................... 20
3.2.1
Quá trình hình thành và phát triển của công ty Thực phẩm Hà Nội.20
3.2.2
Một số kết quả đạt được trong quá trình hoạt động kinh doanh của
công ty Thực phẩm Hà Nội...............................................................................23
3.2.3
Thực trạng an toàn và bảo mật thông tin khách hàng của công ty
Thực phẩm Hà Nội........................................................................................... 26
3.3
Tổng quan tình hình và ảnh hưởng của nhân tố môi trường đối với an
toàn và bảo mật thông tin khách hàng tại công ty Thực phẩm Hà Nội........... 26
3.3.1
Tổng quan tình hình an toàn và bảo mật thông tin tại Việt Nam...... 26
3.3.2
Các nhân tố môi trường tác động đến an toàn và bảo mật thông tin
khách hàng........................................................................................................28
3.4 Kết quả xử lí phiếu điều tra và phân tích các dữ liệu thứ cấp.................. 30
3.4.1
Kết quả xử lí phiếu điều tra................................................................ 30
3.4.2 Kết quả phân tích các dữ liệu thứ cấp.................................................. 39
CHƯƠNG 4: CÁC KẾT LUẬN VÀ GIẢI PHÁP AN TOÀN BẢO MẬT
THÔNG TIN KHÁCH HÀNG CHO CÔNG TY THỰC PHẨM HÀ NỘI....41
4.1 Các kết luận và phát hiện qua nghiên cứu................................................. 41
4.1.1. Những thành tựu đạt được..................................................................... 41
4.1.2. Các tồn tại.............................................................................................. 42
4.1.3. Nguyên nhân các tồn tại.........................................................................43
4.2 Dự báo triển vọng và quan điểm giải quyết vấn đề an toàn và bảo mật
thông tin khách hàng trong giao dịch thương mại điện tử tại công ty thực
phẩm Hà Nội.....................................................................................................43
4.2.1 Dự báo tình hình trong thời gian tới....................................................44
4.2.2 Định hướng phát triển của công ty...................................................... 45
4.3 Các đề xuất về giải pháp và kiến nghị nhằm nâng cao hiệu quả an toàn
bảo mật thông tin cho khách hàng....................................................................48
4.3.1 Các đề xuất về giải pháp nâng cao hiệu quả an toàn bảo mật thông tin
khách hàng cho website www.thucphamhanoi.com.vn....................................48
4.3.2 Một số kiến nghị liên quan đến nâng cao hiệu quả công tác đảm bảo
an toàn thông tin khách hàng........................................................................... 51
4.4 Những hạn chế của đề tài nghiên cứu và các vấn đề cần tiếp tục............ 53
KẾT LUẬN......................................................................................................54
DANH MỤC TỪ VIẾT TẮT
TNHH
Trách nhiệm hữu hạn
Th.s
Thạc sỹ
WTO (Word Trade Organization)
Tổ chức Thương mại Quốc tế
TMĐT
Thương mại điện tử
ATDL
An toàn dữ liệu
www
World Wide Web
CBCNV
Cán bộ công nhân viên
VSATTP
Vệ sinh an toàn thực phẩm
CSDL
Cơ sở dữ liệu
CNTT
Công nghệ thông tin
DN
Doanh nghiệp
PC
Personal Computer
VPN
Virtual Private Network
CIO
Chief Information Officer.
HACCP
Hazard Analysis and Critical Control
Point
SSL
Secure Socket Layer
TCP/IP
Transmission
Control
Internet Protocol
DoS
Denial of Service
SET
Secure Electronic
IV
Initialization Vector
WEP
Wireless Encryption Protocol.
Protocol/
DANH MỤC BẢNG BIỂU HÌNH VẼ
Bảng 3.1 Cơ cấu tổ chức của công ty Thực phẩm Hà Nội
Bảng 3.2 Kết quả hoạt động sản xuất kinh doanh trong 3 năm 2005-2007
Bảng 3.3 Chỉ tiêu tăng trưởng của công ty
CHƯƠNG 1: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI
1.1 Tính cấp thiết của đề tài nghiên cứu
Ngày nay với sự bùng nổ của Internet, của thương mại điện tử
(TMĐT) đã tạo ra những cơ hội lớn cũng như các nguy cơ, rủi ro cho nên
kinh tế và xã hội hiện đại. Các vấn đề về truy cập bất hợp pháp, virus, rò rỉ
thông tin, lỗ hổng trên hệ thống.. đã trở thành mối lo ngại cho các nhà quản
lý điều hành ở mọi cấp ở bất kỳ quốc gia nào. Từ cấp độ cao nhất đến các
doanh nghiệp cụ thể và các thể nhân cấu thành xã hội. Vấn đề bảo mật và an
toàn thông tin trở thành nhu cầu cấp thiết của mọi tầng lớp trong xã hội.
Cùng với sự phát triển của TMĐT, giờ đây việc tiêu dùng mua sắm
qua mạng không còn lạ lẫm với nhiều người mà đã trở nên phổ biến. Người
tiêu dùng mua bất cứ những thứ gì mà họ cần, mua sắm trực tuyến giúp họ
tiết kiệm thời gian, chi phí. Cơ cấu mặt hàng được mua bán trên thị trường
trực tuyến càng ngày càng đa dạng, nhất là những mặt hàng có tính tiêu
chuẩn cao (đồ điện tử, sách.....). Điều này đặt ra cho các doanh nghiệp phải
xây dựng và quản trị quy trình bán lẻ trên website của mình thật hiệu quả
nhằm được doanh thu cao nhất từ thị trường kinh doanh trực tuyến.
Nắm bắt được xu hướng chung đó, công ty Thực phẩm Hà Nội đã có
những bước bắt đầu xây dựng website www.thucphamhanoi.com.vn và xây
dựng quy trình quản trị bán lẻ ngay trên chính website của mình. Tuy nhiên,
là một doanh nghiệp mới bỡ ngỡ bước vào mảnh đất TMĐT, website của
công ty Thực phẩm Hà Nội còn có nhiều mặt hạn chế: giao diện chưa thực
sự được hoàn thiện, các tính năng chưa có nhiều, chưa có hỗ trợ kỹ thuật,
chưa cho phép mua hàng trực tuyến trên website, các dịch vụ sau bán vẫn
chưa có, chưa có trung tâm phục vụ khách hàng, trung tâm trả lời điện thoại,
trung tâm hỗ trợ kỹ thuật cũng như công tác bảo mật an toàn thông tin... mà
chỉ chủ yếu là giới thiệu về công ty và sản phẩm công ty. Việc nâng cao các
tính năng website không chỉ là giới thiệu về sản phẩm và doanh nghiệp mà
còn phải là một kênh bán hàng hiệu quả mang lại lợi nhuận cao cho doanh
nghiệp. Muốn vậy cần chiếm được lòng tin của khách hàng thông qua chất
lượng sản phẩm và dịch vụ, quan trọng nhất là để khách hàng cảm thấy yên
tâm khi mua hàng tại website của doanh nghiệp. Do đó, vấn đề đặt ra ở đây
là làm thế nào đảm bảo an toàn và bảo mật thông tin khách hàng cho công ty
Thực phẩm Hà Nội.
1.2 Xác lập và tuyên bố vấn đề nghiên cứu của đề tài luận văn
Đề tài tập trung giải quyết vấn đề về an toàn và bảo mật thông tin
khách hàng tại công ty Thực phẩm Hà Nội qua mạng Internet. Vì vậy, em
xin đề xuất hướng đề tài nghiên cứu luận văn tốt nghiệp của mình là:
“Giải pháp an toàn và bảo mật thông tin khách hàng tại công ty
Thực phẩm Hà Nội”.
1.3 Các mục tiêu nghiên cứu của đề tài luận văn
Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một số cơ
sở lý luận cơ bản về an toàn và bảo mật thông tin, nghiên cứu bằng những
phương pháp khác nhau như thu thập các cơ sở dữ liệu sơ cấp và thứ cấp. Từ
đó xem xét đánh giá phân tích thực trạng vấn đề an toàn bảo mật thông tin
tại website www.thucphamhanoi.com.vn để đưa ra những ưu nhược điểm.
Từ những đánh giá phân tích này đưa ra một số kiến nghị đề xuất một số giải
pháp nhằm đảm bảo an toàn và bảo mật thông tin cho khách hàng thông qua
website www.thucphamhanoi.com.vn , nhằm hoàn thiện và nâng cao các
tính năng của website, tăng niềm tin của khách hàng đối với website từ đó
nâng cao vị thế cạnh tranh của công ty Thực phẩm Hà Nội và đáp ứng nhu
cầu ngày càng cao của người tiêu dùng trên thị trường TMĐT.
1.4 Phạm vi nghiên cứu của đề tài luận văn
Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên
cứu của đề tài chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và
trong giới hạn khoảng thời gian ngắn hạn. Cụ thể:
Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn và bảo
mật thông tin tại công ty Thực phẩm Hà Nội nhằm đưa ra một số giải pháp
an toàn và bảo mật thông tin khách hàng công ty Thực phẩm Hà Nội.
Về thời gian: Các số liệu được khảo sát từ năm 2005 - 2008, đồng thời
trình bày các nhóm giải pháp định hướng phát triển đến trong thời gian tới.
1.5 Kết cấu của đề tài luận văn
Cấu trúc luận văn gồm 4 chương, cụ thể:
Chương I: Tổng quan nghiên cứu đề tài.
Chương II: Một số vấn đề lý luận cơ bản về quy trình an toàn và bảo mật
thông tin khách hàng.
Chương III: Phương pháp nghiên cứu và kết quả phân tích thực trạng an
toàn và bảo mật thông tin khách hàng tại công ty Thực phẩm Hà Nội.
Chương IV: Các kết luận và giải pháp an toàn bảo mật thông tin khách hàng
cho công ty Thực phẩm Hà Nội .
CHƯƠNG 2: MỘT SỐ VẤN ĐỀ LÝ LUẬN CƠ BẢN VỀ AN TOÀN
VÀ BẢO MẬT THÔNG TIN KHÁCH HÀNG
2.1 Tổng quan về an toàn và bảo mật thông tin
2.1.1 Khái niệm an toàn dữ liệu và bảo mật thông tin
Trước đây việc giao dịch được thực hiện trực tiếp giữa bên mua và
bên bán theo hình thức “tiền trao, cháo múc” nên khó có thể xảy ra lừa đảo.
Ngày nay thì việc giao dịch trực tiếp ngày càng giảm, giao dịch từ xa ngày
càng tăng. Bên mua và bên bán không gặp nhau trực tiếp, do đó rất dễ bị lừa
đảo, gây mất mát về thông tin cũng như tài sản.
Thông tin của các cá nhân, tổ chức và các giao dịch có nhiều nguy cơ bị bên
thứ ba biết được. Thông tin thật dễ dàng thay bị sửa đổi, tạo thành thông tin
giả mạo để lừa đảo. Có thể kể tới các trường hợp bị tin tặc tấn công, bị giả
mạo, từ chối thanh toán, sử dụng thẻ thanh toán giả - hết hạn; việc mất an
toàn khi tiến hành giao dịch do thông tin bị lộ. Do đó, việc bảo mật thông tin
và an toàn dữ liệu là rất cần thiết. Vậy ta cần tìm hiểu thế nào là an toàn dữ
liệu?
An toàn dữ liệu (ATDL) là quá trình đảm bảo cho hệ thống dữ liệu
tránh khỏi những nguy cơ hỏng hóc hoặc mất mát. Các nguy cơ tiềm ẩn về
khả năng mất an toàn thông tin ngẫu nhiên như thiên tai, hỏng vật lí, mất
điện… và các nguy cơ có chủ định như tin tặc, cá nhân bên ngoài, phá hỏng
vật lí, can thiệp có chủ ý.. Nhu cầu bảo mật thông tin của các tổ chức và cá
nhân đang cấp bách hơn bao giờ hết. Trong thương mại điện tử, an toàn dữ
liệu nghiên cứu về những nguy cơ gây mất an toàn, tránh khỏi những nguy
cơ này trong quá trình sử dụng hình thức kinh doanh trong giao dịch thương
mại điện tử.
An toàn dữ liệu đó là việc đảm bảo được tính bảo mật qua việc đảm
bảo dữ liệu của người sử dụng luôn được bảo vệ, không bị mất mát. Dữ liệu
không bị tạo ra, sửa đổi hay xóa bởi những người không sở hữu và luôn
trong trạng thái sẵn sàng. Đồng thời có tính tin cậy đảm bảo thông tin mà
người dùng nhận được là đúng. Trong TMĐT, cần chú trọng đến việc dữ
liệu lưu trữ cũng như trao đổi giữa hai bên giao dịch phải được giữ bí mật,
đảm bảo không bị lộ. Thông tin giao dịch giữa hai bên không bị sửa đổi hay
bị giả mạo bởi một bên thứ ba. Đảm bảo độ minh bạch giữa hai bên thực
hiện giao dịch.
Mục tiêu của ATDL là việc phát hiện các lỗ hổng của hệ thống dữ liệu,
dự đoán trước những nguy cơ tấn công, ngăn chặn những hành động gây mất
an toàn dữ liệu từ bên trong cũng như bên ngoài. Phục hồi tổn thất khi hệ
thống dữ liệu bị tấn công. Trong TMĐT thì mục tiêu đó là phát hiện sớm các
lỗ hổng trong các hình thức giao dịch và thanh toán điện tử, đưa ra các mô
hình và giải pháp nhằm đảm bảo cho TMĐT đạt được độ an toàn cao nhất,
các phương pháp khắc phục hậu quả và đảm bảo lợi ích cho người sử dụng.
2.1.2 Các hình thức tấn công dữ liệu trong thương mại điện tử
Các hình thức tấn công trong TMĐT có thể kể đến là hình thức tấn
công dữ liệu thụ động và tấn công chủ động. Có thể hiểu đó là hình thức lấy
cắp hoặc thay đổi, phá hoại dữ liệu trái phép. Vi phạm tính toàn vẹn, sẵn
sàng dữ liệu.
Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin
trên đường truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ
nguồn đến đích. Tấn công thụ động rất khó phát hiện và khó phòng tránh
nên rất nguy hiểm. Hiện nay tấn công thụ động đang ngày càng phát triển do
đó cần có các biện pháp phòng tránh trước khi tấn công xảy ra.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp
được lưu lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công
trực tuyến (online) và tấn công ngoại tuyến (offline). Tấn công offline có
mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trực tiếp đến tài sản nạn
nhân. Ví dụ, thủ phạm có quyền truy cập máy tính của người dùng dễ dàng
cài đặt trình “key logger” hay trình gián điệp để thu thập dữ liệu của người
dùng.
Tấn công offline có phạm vi hạn chế và hiệu suất thấp. Đây là dạng
đánh cắp tài khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng
không tốn bất kỳ chi phí nào. Người dùng có thể trở thành nạn nhân của kiểu
tấn công này đơn giản chỉ vì họ để lộ password hay lưu ở dạng không mã
hóa trong tập tin có tên dễ đoán trên đĩa cứng. Một nghiên cứu gần đây cho
thấy 50% vụ đánh cắp tài khoản do người gần gũi với nạn nhân thực hiện.
Tấn công online không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số
đông người dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo
hay lợi dụng sự cả tin của người dùng để đánh cắp tài khoản.
Dạng tấn công này có hiệu suất khá cao, lên đến 3% (theo một báo cáo của
Computer World). Hình thức phổ biến nhất của tấn công online là phishing.
Phishing là một loại tấn công phi kỹ thuật, dùng đánh cắp các thông tin nhạy
cảm bằng cách giả mạo người gửi, cách phòng tránh duy nhất là ý thức của
người dùng.
Bên cạnh đó hình thức tấn công chủ động là hình thức tấn công có sự
can thiệp vào dữ liệu nhằm sửa đổi, thay thế làm lệch đường đi của dữ liệu.
Đặc điểm của nó là có khả năng chặn các gói tin trên đường truyền, dữ liệu
từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ động tuy nguy hiểm nhưng
lại dễ phát hiện được.
Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản
trong thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ
thuật cao.
Biện pháp phòng vệ tốt nhất chống lại kiểu tấn công chủ động là bảo
mật máy tính phía người dùng: đảm bảo hệ điều hành và tất cả ứng dụng
được cập nhật và vá đầy đủ, cập nhật cơ sở dữ liệu nhận dạng virus và
malware, dùng firewall cho các kết nối Internet, dùng công cụ chống
spyware và malware nhằm đảm bảo máy tính không cài đặt những chương
trình không cần thiết... Bộ lọc chống phishing cũng giúp giảm khả năng
người dùng "đi lạc" sang các website lừa đảo.
Ngoài ra còn một số hình thức tấn công như tấn công lặp lại là việc
bắt thông điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS
- Denial of Service) là tên gọi chung của kiểu tấn công làm cho một hệ thống
nào đó bị quá tải dẫn tới không thể cung cấp dịch vụ, hoặc phải ngưng hoạt
động. DoS lợi dụng sự yếu kém trong mô hình bắt tay 3 bước của TCP/IP,
liên tục gửi các gói tin yêu cầu kết nối đến server, làm server bị quá tải dẫn
đến không thể phục vụ các kết nối khác.
Tấn công dữ liệu trên thực tế thường là sử dụng virus, trojan để ăn cắp
dữ liệu, lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ
thuật. Với mục đích nhằm lấy cắp hoặc phá hỏng dữ liệu cũng như các
chương trình ứng dụng.
2.1.3 Các phương pháp phòng tránh, khắc phục hậu quả và công cụ để đảm
bảo an toàn dữ liệu, bảo mật thông tin.
Đối với thông tin, dữ liệu có giá trị thì nguy cơ bị tấn công xảy ra
hàng giờ. Ngoài các nguy cơ từ mạng Internet thì không nên loại trừ nguyên
nhân từ chính cá nhân trong công ty. Với nguy cơ từ các cá nhân trong chính
doanh nghiệp thì phải phân quyền người sử dụng. Với nguy cơ mất mát hoặc
dữ liệu bị thay đổi, giả mạo trong quá trình truyền nên bảo mật kênh truyền
dữ liệu. Tránh rò rỉ thông tin hoặc hạn chế thông thương dữ liệu của doanh
nghiệp và các cá nhân trong doanh nghiệp hãy đặt tường lửa. Bên cạnh đó sử
dụng các hệ thống Backup, sao lưu dự phòng..
Dữ liệu trong khi truyền giữa người gửi và người nhận là lúc dễ bị tấn
công nhất. Hầu hết các phương pháp tấn công nhằm vào dữ liệu đều thực
hiện trong quá trình giao dịch điện tử. Dó đó bảo mật kênh truyền dữ liệu
trong việc thực hiện các giao dịch thương mại điện tử là rất quan trọng. Hiện
nay bảo mật kênh truyền chủ yếu tập trung vào các giao thức mã hóa. Một số
giao thức bảo mật kênh truyền dữ liệu như giao thức SSL – Secure Socket
Layer, giao thức SET - Secure Electronic, giao thức WEP – Wireless
Encryption Protocol.
SSL – Secure Socket Layer là giao thức đa mục đích, được thiết kế
nhằm tạo các giao tiếp giữa hai chương trình ứng dụng trên một cổng định
trước (socket 443) để mã hoá toàn bộ thông tin đi, đến. Hiện nay SSL đã trở
thành chuẩn bảo mật thực hành trên mạng Internet.
SSL xây dựng trên tầng giao vận của mô hình TCP/IP. Qua đó bất kỳ
ứng dụng mạng nào khi cài đặt sử dụng mô hình TCP/IP đều có thể thay đổi
cấu hình để có thể sử dụng giao thức SSL.
SSL được ứng dụng rộng rãi trong các giao dịch yêu cầu thành toán
qua mạng, được hỗ trợ bởi hầu hết các trình duyệt và các phần mềm phía
server, được thiết kế độc lập với tầng ứng dụng nên có thể sử dụng cho
nhiều ứng dụng khác nhau và mọi hoạt động của SSL đều trong suốt với
người sử dụng.
Bên cạnh đó SSL không có những cơ chế xác nhận người dung một
cách chắc chắn. Người mua hàng có nguy cơ bị lộ thông tin về tài khoản.
Vẫn có khả năng bị các hacker dò tìm ra khóa bí mật dùng để mã hóa thông
tin. Nhiều người dùng vẫn đang dùng SSL V2.0 thay vì SSL V3.0 và không
có cơ chế xác nhận lẫn nhau trong quá trình thiết lập giao thức bắt tay.
Để khắc phục những hạn chế của SSL thì Visa và Master card đã phát
triển giao thức giao thức SET - Secure Electronic nhằm hỗ trợ bảo mật trong
thanh toán trực tuyến qua mạng dựa trên kỹ thuật sử dụng đồng tiền số. Giao
thức này được hỗ trợ bởi các công ty lớn như IBM, Microsolf, HP,
Netscape…
SET đảm bảo tính chính xác của thông tin cho bên gửi và bên nhận,
đảm bảo tính toàn vẹn của thông tin, rất an toàn do khó bị bẻ khóa. Qua đó
người dùng không sợ lộ các thông tin về tài khoản của mình khi tiến hành
các giao dịch trên mạng do tiến hành xác nhận qua ngân hàng trung gian.
Hạn chế tình trạng từ chối dịch vụ và lừa đảo qua mạng do có cơ chế xác
thực cả hai phía. Tuy vậy SET có độ trễ khi giao dịch, do tính phức tạp của
các thuật toán mã hóa công khai, do thường xuyên tiến hành giao dịch với
các ngân hàng trung gian. Hệ thống công kềnh và quá trình giao dịch chậm:
Thường xuyên backup các dữ liệu. Chi phí cao cho thiết bị phần cứng: SET
yêu cầu các thiết bị phần cứng chuyên dụng. Yêu cầu cài đặt phần mềm
chuyên dụng: Ví tiền điện tử cài đặt ở máy trạm.
Giao thức WEP – Wireless Encryption Protocol được thiết kế để đảm
bảo tính bảo mật cho mạng không dây, sử dụng phương thức mã hóa sử
dụng thuật toán đối xứng RC4. Với phương thức mã hóa RC4, WEP được
xem như một phương thức kiểm soát truy cập.
Do WEP có hạn chế là sử dụng RC4 cùng giá trị Initialization Vector
(IV) nên có các vấn đề: cùng IV gây nên vấn đề va chạm, dễ dàng phát hiện
IV và bẻ khóa WEP, tấn công thụ động phát triển càng gây khó khăn cho
người bảo mật dữ liệu. Giải pháp WEP tối ưu đó là kết hợp WEP và các giải
pháp khác, gia tăng mức độ bảo mật cho WEP như việc sử dụng khóa WEP
có độ dài 128 bit, thực thi chính sách thay đổi khóa WEP định kỳ, sử dụng
các công cụ theo dõi số liệu thống kê dữ liệu trên đường truyền không dây.
FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống
lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như
hạn chế sự xâm nhập vào hệ thông của một số thông tin khác không mong
muốn. Tư tưởng cơ bản của Firewall là đặt cấu hình mạng sao cho tất cả các
thông tin vào ra mạng đều phải đi qua một máy được chỉ định, và đó chính là
Firewall.
FireWall quyết định những dịch vụ nào từ bên trong được phép truy
cập từ bên ngoài, những người nào từ bên ngoài được phép truy cập đến các
dịch vụ bên trong, và cả những dịch vụ nào bên ngoài được phép truy cập
bởi những người bên trong. Firewall là chặn những luồng thông tin có khả
năng nguy hại đến sự an toàn của mạng máy tính. Lưu giữ các thông tin
quan trọng và nhạy cảm của đơn vị tránh khỏi sự xâm nhập trái phép từ bên
ngoài. Với nhiệm vụ cơ bản là bảo vệ dữ liệu đó là những thông tin cần được
bảo vệ do những yêu cầu bảo mật, tính toàn vẹn, tính kịp thời. bảo vệ tài
nguyên hệ thống, danh tiếng của công ty sở hữu các thông tin cần bảo vệ.
Tuy nhiên Firewall hạn chế quyền truy nhập của người dùng vào
mạng internet. Có những hạn chế trong khi bị tấn công từ bên trong mạng,
như một người nào đó sử dụng các thiết bị lưu trữ kết nối trực tiếp vào các
máy tính và ăn cắp các thông tin trên máy. Gây ra hiện tượng thắt cổ chai tại
bức tường lửa.
2.2 Vai trò và ứng dụng của an toàn dữ liệu, bảo mật thông tin trong
giao dịch thương mại điện tử
2.2.1 Vai trò của của an toàn dữ liệu, bảo mật thông tin trong giao dịch
thương mại điện tử
Theo dõi vấn đề an ninh mạng năm 2008, chúng ta có thể thấy hầu hết
các website của các cơ quan doanh nghiệp đều bị hackers tấn công. Theo
thống kê của BKIS, trên 60% website đã bị hacker tấn công, hacker Việt
Nam trình độ thủ thuật tinh vi hơn. Chính vì thế mà việc lây lan virus và tấn
công trở nên rất nguy hiểm .
Vừa qua, một loạt website bị thay đổi nội dung thông tin, chiếm
quyền điều khiển, thậm chí bị thay đổi tên miền, bị chiếm quyền sử dụng.
Kẻ xấu luôn lợi dụng những không gian mạng để làm việc rửa tiền, ăn cắp
tài khoản hay thực hiện những mục đích cạnh tranh không lành mạnh. Thị
- Xem thêm -