Tài liệu Giải pháp an toàn và bảo mật thông tin khách hàng tại công ty thực phẩm hà nội luận văn tốt nghiệp ngành cntti

  • Số trang: 79 |
  • Loại file: PDF |
  • Lượt xem: 181 |
  • Lượt tải: 0
hoanggiang80

Đã đăng 20010 tài liệu

Mô tả:

LỜI CẢM ƠN Trong quá trình nghiên cứu và thực hiện luận văn tốt nghiệp, em đã nhận được sự hướng dẫn nhiệt tình của giáo viên hướng dẫn là Thạc sỹ Nguyễn Quang trung cùng sự nhiệt tình giúp đỡ của ban giám đốc và toàn thể nhân viên công ty TNHH nhà nước một thành viên Thực Phẩm Hà Nội. Qua đây, em xin chân thành cảm ơn nhà trường, quý thầy cô đã tạo mọi điều kiện cho em tham gia học tập, rèn luyện, trao dồi kiến thức chuyên môn cũng như kiến thức thực tế cuộc sống trong suốt 4 năm học. Và đặc biệt, em xin chân thành cảm ơn Thạc sỹ Nguyễn Quang Trung - người đã tận tình hướng dẫn, chỉ bảo và giúp đỡ em hoàn thành luận văn tốt nghiệp này. Đồng thời em cũng gửi lời cảm ơn chân thành đến ban giám đốc và toàn thể nhân viên công ty TNHH nhà nước một thành viên Thực Phẩm Hà Nội, đặc biệt Anh Trần Công Nam - Trường phòng Marketing và phát triển thị trường của công ty đã tiếp nhận và tạo cho em môi trường làm việc chuyên nghiệp, giúp em có điều kiện nắm bắt tổng quát chung về tình hình hoạt động của công ty và hoàn thành được bài luận văn tốt nghiệp của mình. Đây là đề tài mới, khá phức tạp và các nghiên cứu chuyên sâu về vấn đề này còn nhiều giới hạn. Mặt khác, thời gian nghiên cứu luận văn khá hạn hẹp, trình độ và khả năng của bản thân em còn hạn chế. Vì vậy, luận văn chắc chắn sẽ gặp phải nhiều sai sót. Em kính mong thầy giáo Nguyễn Quang Trung, các thầy cô giáo trong bộ môn Công nghệ thông tin, các anh chị nhân viên trong công ty Thực Phẩm Hà Nội góp ý, chỉ bảo để luận văn có giá trị cả về lý luận và thực tiễn. Em xin chân thành cảm ơn! TÓM LƯỢC Công ty TNHH nhà nước một thành viên Thực Phẩm Hà Nội là công ty hoạt động trong lĩnh vực kinh doanh tổ chức chế biến thực phẩm, kinh doanh nội địa và kinh doanh xuất nhập khẩu hàng hoá, các mặt hàng thực phẩm, thuỷ hải sản tươi sống, đồ gia dụng, tư liệu tiêu dùng, dịch vụ khách sạn và các dịch vụ thương mại khác phục vụ sản xuất đời sống người tiêu dùng Hà Nội. Khi Việt Nam gia nhập WTO, hội nhập và phát triển cùng nền kinh tế thế giới, thì việc cạnh tranh sẽ ngày càng gay gắt giữa các doanh nghiêp, các doanh nghiệp nào có uy tín, chiếm được cảm tình của khách hàng sẽ đứng vững trên thị trường. Do đó, việc tạo sự yên tâm cho khách hàng bỗng trở nên vô cùng quan trọng. Hiện nay các doanh nghiệp đang sử dụng nhiều công cụ quảng cáo khác nhau để cố gắng đưa hình ảnh sản phẩm và thương hiệu của mình đến với khách hàng hiệu quả nhất. Bên cạnh đó, công tác an toàn bảo mật thông tin cho khách hàng cũng trở thành một vấn đề vô cùng cấp thiết trong thời đại bùng nổ công nghệ thông tin và tình trạng mất an toàn thông tin ngày càng nhiều. Chính vì thế tác giả đã chọn đề tài: “Giải pháp an toàn và bảo mật thông tin khách hàng tại công ty thực phẩm Hà Nội” làm luận văn tốt nghiệp của mình. Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một số cơ sở lý luận cơ bản về an toàn và bảo mật thông tin, nghiên cứu bằng những phương pháp khác nhau như thu thập các cơ sở dữ liệu sơ cấp và thứ cấp. Từ đó xem xét đánh giá phân tích thực trạng vấn đề an toàn bảo mật thông tin tại website www.thucphamhanoi.com.vn để đưa ra những ưu nhược điểm. Từ những đánh giá phân tích này đưa ra một số kiến nghị đề xuất một số giải pháp nhằm đảm bảo an toàn và bảo mật thông tin cho khách hàng thông qua website www.thucphamhanoi.com.vn , nhằm hoàn thiện và nâng cao các tính năng của website, tăng niềm tin của khách hàng đối với website từ đó nâng cao vị thế cạnh tranh của công ty Thực phẩm Hà Nội và đáp ứng nhu cầu ngày càng cao của người tiêu dùng trên thị trường TMĐT. Chương I của đề tài là những vấn đề tổng quan khi nghiên cứu đề tài. Chương II của đề tài, để làm rõ lý thuyết về an toàn dữ liệu, bảo mật thông tin, vai trò của việc an toàn thông tin cho khách hàng trong giao dịch thương mại điện tử. Để có cái nhìn tổng quát hơn về đề tài, tác giả đã nêu bật tình hình khách thể của các công trình nghiên cứu các năm trước, tình hình nghiên cứu trong và ngoài nước về an toàn bảo mật thông tin, từ đó phân định nội dung đề tài nghiên cứu. Trong chương III, ngoài việc khái quát về quá trình hình thành, phát triển, cơ cấu tổ chức và các lĩnh vực kinh doanh của công ty TNHH Thực phẩm Hà Nội cũng như đưa ra hệ thống các phương pháp nghiên cứu, tác giả đã lấy cơ sở lý thuyết ở chương II và các dữ liệu sơ cấp, thứ cấp thu thập được để tiến hành phân tích đánh giá thực trạng, các nhân tố tác động và thực trạng an toàn bảo mật thông tin khách hàng tại công ty TNHH Thực phẩm Hà Nội. Phân tích dữ liệu thu được từ phiếu điều tra, từ đó làm tiền đề cho các giải pháp phát triển trong chương IV. Trong chương IV, ở phần đầu của chương, tác giả hệ thống lại một số thực trạng của công ty về an toàn thông tin, cùng nguyên nhân của các tồn tại ấy. Bên cạnh đó, tác giả dự báo triển vọng cũng như quan điểm giải quyết vấn đề an toàn và bảo mật thông tin khách hàng trong giao dịch thương mại điện tử tại công ty thực phẩm Hà Nội trong thời gian tới. Đồng thời đề xuất, kiến nghị các giải pháp mới nhằm phát triển và hoàn thiện hệ thống an toàn dữ liệu và bảo mật thông tin đối với công ty. Qua đề tài luận văn tốt nghiệp này, ngoài việc nâng cao nhận thức, bổ sung thêm kiến thức cho bản thân, tác giả hy vọng những nghiên cứu của mình còn có thể đóng góp giúp cho công ty TNHH Thực phẩm Hà Nội nói riêng và các doanh nghiệp nói chung, có thể sử dụng các giải pháp về an toàn thông tin đó để có thể bảo mật hệ cơ sở dữ liệu, bảo vệ thông tin cho khách hàng của mình. Tạo niềm tin cho khách hàng, giúp công ty ngày càng phát triển, tăng khả năng cạnh tranh của trên thị trường sôi động như ngày nay. MỤC LỤC CHƯƠNG 1: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI..................................... 1 1.1 Tính cấp thiết của đề tài nghiên cứu............................................................ 1 1.2 Xác lập và tuyên bố vấn đề nghiên cứu của đề tài luận văn........................2 1.3 Các mục tiêu nghiên cứu của đề tài luận văn...............................................2 1.4 Phạm vi nghiên cứu của đề tài luận văn.......................................................3 1.5 Kết cấu của đề tài luận văn...................................................................... 3 CHƯƠNG 2: MỘT SỐ VẤN ĐỀ LÝ LUẬN CƠ BẢN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN KHÁCH HÀNG.......................................................4 2.1 Tổng quan về an toàn và bảo mật thông tin................................................. 4 2.1.1 Khái niệm an toàn dữ liệu và bảo mật thông tin..................................4 2.1.2 Các hình thức tấn công dữ liệu trong thương mại điện tử...................5 2.1.3 Các phương pháp phòng tránh, khắc phục hậu quả và công cụ để đảm bảo an toàn dữ liệu, bảo mật thông tin...................................................... 7 2.2 Vai trò và ứng dụng của an toàn dữ liệu, bảo mật thông tin trong giao dịch thương mại điện tử....................................................................................11 2.2.1 Vai trò của của an toàn dữ liệu, bảo mật thông tin trong giao dịch thương mại điện tử............................................................................................11 2.2.2 Ứng dụng của an toàn dữ liệu và bảo mật thông tin trong giao dịch thương mại điện tử............................................................................................12 2.3 Tổng quan tình hình khách thể nghiên cứu của những công trình năm trước.................................................................................................................. 15 2.4 Tổng quan tình hình nghiên cứu của Việt Nam và thế giới về an toàn và bảo mật thông tin.............................................................................................. 16 2.5 Phân định nội dung vấn đề nghiên cứu...................................................... 17 CHƯƠNG 3: PHƯƠNG PHÁP NGHIÊN CỨU VÀ KẾT QUẢ PHÂN TÍCH THỰC TRẠNG AN TOÀN VÀ BẢO MẬT THÔNG TIN KHÁCH HÀNG TẠI CÔNG TY THỰC PHẨM HÀ NỘI............................................ 19 3.1 Hệ Thống các phương pháp nghiên cứu.................................................... 19 3.1.1 Phương pháp thu thập dữ liệu.................................................................19 3.1.2 Phương pháp xử lý dữ liệu...................................................................... 19 3.1.3 Phương pháp trừu tượng và cụ thể......................................................... 20 3.2 Quá trình hình thành phát triển và một số kết quả đạt được của công ty Thực phẩm Hà Nội........................................................................................... 20 3.2.1 Quá trình hình thành và phát triển của công ty Thực phẩm Hà Nội.20 3.2.2 Một số kết quả đạt được trong quá trình hoạt động kinh doanh của công ty Thực phẩm Hà Nội...............................................................................23 3.2.3 Thực trạng an toàn và bảo mật thông tin khách hàng của công ty Thực phẩm Hà Nội........................................................................................... 26 3.3 Tổng quan tình hình và ảnh hưởng của nhân tố môi trường đối với an toàn và bảo mật thông tin khách hàng tại công ty Thực phẩm Hà Nội........... 26 3.3.1 Tổng quan tình hình an toàn và bảo mật thông tin tại Việt Nam...... 26 3.3.2 Các nhân tố môi trường tác động đến an toàn và bảo mật thông tin khách hàng........................................................................................................28 3.4 Kết quả xử lí phiếu điều tra và phân tích các dữ liệu thứ cấp.................. 30 3.4.1 Kết quả xử lí phiếu điều tra................................................................ 30 3.4.2 Kết quả phân tích các dữ liệu thứ cấp.................................................. 39 CHƯƠNG 4: CÁC KẾT LUẬN VÀ GIẢI PHÁP AN TOÀN BẢO MẬT THÔNG TIN KHÁCH HÀNG CHO CÔNG TY THỰC PHẨM HÀ NỘI....41 4.1 Các kết luận và phát hiện qua nghiên cứu................................................. 41 4.1.1. Những thành tựu đạt được..................................................................... 41 4.1.2. Các tồn tại.............................................................................................. 42 4.1.3. Nguyên nhân các tồn tại.........................................................................43 4.2 Dự báo triển vọng và quan điểm giải quyết vấn đề an toàn và bảo mật thông tin khách hàng trong giao dịch thương mại điện tử tại công ty thực phẩm Hà Nội.....................................................................................................43 4.2.1 Dự báo tình hình trong thời gian tới....................................................44 4.2.2 Định hướng phát triển của công ty...................................................... 45 4.3 Các đề xuất về giải pháp và kiến nghị nhằm nâng cao hiệu quả an toàn bảo mật thông tin cho khách hàng....................................................................48 4.3.1 Các đề xuất về giải pháp nâng cao hiệu quả an toàn bảo mật thông tin khách hàng cho website www.thucphamhanoi.com.vn....................................48 4.3.2 Một số kiến nghị liên quan đến nâng cao hiệu quả công tác đảm bảo an toàn thông tin khách hàng........................................................................... 51 4.4 Những hạn chế của đề tài nghiên cứu và các vấn đề cần tiếp tục............ 53 KẾT LUẬN......................................................................................................54 DANH MỤC TỪ VIẾT TẮT TNHH Trách nhiệm hữu hạn Th.s Thạc sỹ WTO (Word Trade Organization) Tổ chức Thương mại Quốc tế TMĐT Thương mại điện tử ATDL An toàn dữ liệu www World Wide Web CBCNV Cán bộ công nhân viên VSATTP Vệ sinh an toàn thực phẩm CSDL Cơ sở dữ liệu CNTT Công nghệ thông tin DN Doanh nghiệp PC Personal Computer VPN Virtual Private Network CIO Chief Information Officer. HACCP Hazard Analysis and Critical Control Point SSL Secure Socket Layer TCP/IP Transmission Control Internet Protocol DoS Denial of Service SET Secure Electronic IV Initialization Vector WEP Wireless Encryption Protocol. Protocol/ DANH MỤC BẢNG BIỂU HÌNH VẼ Bảng 3.1 Cơ cấu tổ chức của công ty Thực phẩm Hà Nội Bảng 3.2 Kết quả hoạt động sản xuất kinh doanh trong 3 năm 2005-2007 Bảng 3.3 Chỉ tiêu tăng trưởng của công ty CHƯƠNG 1: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI 1.1 Tính cấp thiết của đề tài nghiên cứu Ngày nay với sự bùng nổ của Internet, của thương mại điện tử (TMĐT) đã tạo ra những cơ hội lớn cũng như các nguy cơ, rủi ro cho nên kinh tế và xã hội hiện đại. Các vấn đề về truy cập bất hợp pháp, virus, rò rỉ thông tin, lỗ hổng trên hệ thống.. đã trở thành mối lo ngại cho các nhà quản lý điều hành ở mọi cấp ở bất kỳ quốc gia nào. Từ cấp độ cao nhất đến các doanh nghiệp cụ thể và các thể nhân cấu thành xã hội. Vấn đề bảo mật và an toàn thông tin trở thành nhu cầu cấp thiết của mọi tầng lớp trong xã hội. Cùng với sự phát triển của TMĐT, giờ đây việc tiêu dùng mua sắm qua mạng không còn lạ lẫm với nhiều người mà đã trở nên phổ biến. Người tiêu dùng mua bất cứ những thứ gì mà họ cần, mua sắm trực tuyến giúp họ tiết kiệm thời gian, chi phí. Cơ cấu mặt hàng được mua bán trên thị trường trực tuyến càng ngày càng đa dạng, nhất là những mặt hàng có tính tiêu chuẩn cao (đồ điện tử, sách.....). Điều này đặt ra cho các doanh nghiệp phải xây dựng và quản trị quy trình bán lẻ trên website của mình thật hiệu quả nhằm được doanh thu cao nhất từ thị trường kinh doanh trực tuyến. Nắm bắt được xu hướng chung đó, công ty Thực phẩm Hà Nội đã có những bước bắt đầu xây dựng website www.thucphamhanoi.com.vn và xây dựng quy trình quản trị bán lẻ ngay trên chính website của mình. Tuy nhiên, là một doanh nghiệp mới bỡ ngỡ bước vào mảnh đất TMĐT, website của công ty Thực phẩm Hà Nội còn có nhiều mặt hạn chế: giao diện chưa thực sự được hoàn thiện, các tính năng chưa có nhiều, chưa có hỗ trợ kỹ thuật, chưa cho phép mua hàng trực tuyến trên website, các dịch vụ sau bán vẫn chưa có, chưa có trung tâm phục vụ khách hàng, trung tâm trả lời điện thoại, trung tâm hỗ trợ kỹ thuật cũng như công tác bảo mật an toàn thông tin... mà chỉ chủ yếu là giới thiệu về công ty và sản phẩm công ty. Việc nâng cao các tính năng website không chỉ là giới thiệu về sản phẩm và doanh nghiệp mà còn phải là một kênh bán hàng hiệu quả mang lại lợi nhuận cao cho doanh nghiệp. Muốn vậy cần chiếm được lòng tin của khách hàng thông qua chất lượng sản phẩm và dịch vụ, quan trọng nhất là để khách hàng cảm thấy yên tâm khi mua hàng tại website của doanh nghiệp. Do đó, vấn đề đặt ra ở đây là làm thế nào đảm bảo an toàn và bảo mật thông tin khách hàng cho công ty Thực phẩm Hà Nội. 1.2 Xác lập và tuyên bố vấn đề nghiên cứu của đề tài luận văn Đề tài tập trung giải quyết vấn đề về an toàn và bảo mật thông tin khách hàng tại công ty Thực phẩm Hà Nội qua mạng Internet. Vì vậy, em xin đề xuất hướng đề tài nghiên cứu luận văn tốt nghiệp của mình là: “Giải pháp an toàn và bảo mật thông tin khách hàng tại công ty Thực phẩm Hà Nội”. 1.3 Các mục tiêu nghiên cứu của đề tài luận văn Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một số cơ sở lý luận cơ bản về an toàn và bảo mật thông tin, nghiên cứu bằng những phương pháp khác nhau như thu thập các cơ sở dữ liệu sơ cấp và thứ cấp. Từ đó xem xét đánh giá phân tích thực trạng vấn đề an toàn bảo mật thông tin tại website www.thucphamhanoi.com.vn để đưa ra những ưu nhược điểm. Từ những đánh giá phân tích này đưa ra một số kiến nghị đề xuất một số giải pháp nhằm đảm bảo an toàn và bảo mật thông tin cho khách hàng thông qua website www.thucphamhanoi.com.vn , nhằm hoàn thiện và nâng cao các tính năng của website, tăng niềm tin của khách hàng đối với website từ đó nâng cao vị thế cạnh tranh của công ty Thực phẩm Hà Nội và đáp ứng nhu cầu ngày càng cao của người tiêu dùng trên thị trường TMĐT. 1.4 Phạm vi nghiên cứu của đề tài luận văn Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên cứu của đề tài chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảng thời gian ngắn hạn. Cụ thể: Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn và bảo mật thông tin tại công ty Thực phẩm Hà Nội nhằm đưa ra một số giải pháp an toàn và bảo mật thông tin khách hàng công ty Thực phẩm Hà Nội. Về thời gian: Các số liệu được khảo sát từ năm 2005 - 2008, đồng thời trình bày các nhóm giải pháp định hướng phát triển đến trong thời gian tới. 1.5 Kết cấu của đề tài luận văn Cấu trúc luận văn gồm 4 chương, cụ thể: Chương I: Tổng quan nghiên cứu đề tài. Chương II: Một số vấn đề lý luận cơ bản về quy trình an toàn và bảo mật thông tin khách hàng. Chương III: Phương pháp nghiên cứu và kết quả phân tích thực trạng an toàn và bảo mật thông tin khách hàng tại công ty Thực phẩm Hà Nội. Chương IV: Các kết luận và giải pháp an toàn bảo mật thông tin khách hàng cho công ty Thực phẩm Hà Nội . CHƯƠNG 2: MỘT SỐ VẤN ĐỀ LÝ LUẬN CƠ BẢN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN KHÁCH HÀNG 2.1 Tổng quan về an toàn và bảo mật thông tin 2.1.1 Khái niệm an toàn dữ liệu và bảo mật thông tin Trước đây việc giao dịch được thực hiện trực tiếp giữa bên mua và bên bán theo hình thức “tiền trao, cháo múc” nên khó có thể xảy ra lừa đảo. Ngày nay thì việc giao dịch trực tiếp ngày càng giảm, giao dịch từ xa ngày càng tăng. Bên mua và bên bán không gặp nhau trực tiếp, do đó rất dễ bị lừa đảo, gây mất mát về thông tin cũng như tài sản. Thông tin của các cá nhân, tổ chức và các giao dịch có nhiều nguy cơ bị bên thứ ba biết được. Thông tin thật dễ dàng thay bị sửa đổi, tạo thành thông tin giả mạo để lừa đảo. Có thể kể tới các trường hợp bị tin tặc tấn công, bị giả mạo, từ chối thanh toán, sử dụng thẻ thanh toán giả - hết hạn; việc mất an toàn khi tiến hành giao dịch do thông tin bị lộ. Do đó, việc bảo mật thông tin và an toàn dữ liệu là rất cần thiết. Vậy ta cần tìm hiểu thế nào là an toàn dữ liệu? An toàn dữ liệu (ATDL) là quá trình đảm bảo cho hệ thống dữ liệu tránh khỏi những nguy cơ hỏng hóc hoặc mất mát. Các nguy cơ tiềm ẩn về khả năng mất an toàn thông tin ngẫu nhiên như thiên tai, hỏng vật lí, mất điện… và các nguy cơ có chủ định như tin tặc, cá nhân bên ngoài, phá hỏng vật lí, can thiệp có chủ ý.. Nhu cầu bảo mật thông tin của các tổ chức và cá nhân đang cấp bách hơn bao giờ hết. Trong thương mại điện tử, an toàn dữ liệu nghiên cứu về những nguy cơ gây mất an toàn, tránh khỏi những nguy cơ này trong quá trình sử dụng hình thức kinh doanh trong giao dịch thương mại điện tử. An toàn dữ liệu đó là việc đảm bảo được tính bảo mật qua việc đảm bảo dữ liệu của người sử dụng luôn được bảo vệ, không bị mất mát. Dữ liệu không bị tạo ra, sửa đổi hay xóa bởi những người không sở hữu và luôn trong trạng thái sẵn sàng. Đồng thời có tính tin cậy đảm bảo thông tin mà người dùng nhận được là đúng. Trong TMĐT, cần chú trọng đến việc dữ liệu lưu trữ cũng như trao đổi giữa hai bên giao dịch phải được giữ bí mật, đảm bảo không bị lộ. Thông tin giao dịch giữa hai bên không bị sửa đổi hay bị giả mạo bởi một bên thứ ba. Đảm bảo độ minh bạch giữa hai bên thực hiện giao dịch. Mục tiêu của ATDL là việc phát hiện các lỗ hổng của hệ thống dữ liệu, dự đoán trước những nguy cơ tấn công, ngăn chặn những hành động gây mất an toàn dữ liệu từ bên trong cũng như bên ngoài. Phục hồi tổn thất khi hệ thống dữ liệu bị tấn công. Trong TMĐT thì mục tiêu đó là phát hiện sớm các lỗ hổng trong các hình thức giao dịch và thanh toán điện tử, đưa ra các mô hình và giải pháp nhằm đảm bảo cho TMĐT đạt được độ an toàn cao nhất, các phương pháp khắc phục hậu quả và đảm bảo lợi ích cho người sử dụng. 2.1.2 Các hình thức tấn công dữ liệu trong thương mại điện tử Các hình thức tấn công trong TMĐT có thể kể đến là hình thức tấn công dữ liệu thụ động và tấn công chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép. Vi phạm tính toàn vẹn, sẵn sàng dữ liệu. Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Tấn công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước khi tấn công xảy ra. Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online) và tấn công ngoại tuyến (offline). Tấn công offline có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trực tiếp đến tài sản nạn nhân. Ví dụ, thủ phạm có quyền truy cập máy tính của người dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu thập dữ liệu của người dùng. Tấn công offline có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốn bất kỳ chi phí nào. Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để lộ password hay lưu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng. Một nghiên cứu gần đây cho thấy 50% vụ đánh cắp tài khoản do người gần gũi với nạn nhân thực hiện. Tấn công online không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông người dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi dụng sự cả tin của người dùng để đánh cắp tài khoản. Dạng tấn công này có hiệu suất khá cao, lên đến 3% (theo một báo cáo của Computer World). Hình thức phổ biến nhất của tấn công online là phishing. Phishing là một loại tấn công phi kỹ thuật, dùng đánh cắp các thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòng tránh duy nhất là ý thức của người dùng. Bên cạnh đó hình thức tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có khả năng chặn các gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ động tuy nguy hiểm nhưng lại dễ phát hiện được. Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao. Biện pháp phòng vệ tốt nhất chống lại kiểu tấn công chủ động là bảo mật máy tính phía người dùng: đảm bảo hệ điều hành và tất cả ứng dụng được cập nhật và vá đầy đủ, cập nhật cơ sở dữ liệu nhận dạng virus và malware, dùng firewall cho các kết nối Internet, dùng công cụ chống spyware và malware nhằm đảm bảo máy tính không cài đặt những chương trình không cần thiết... Bộ lọc chống phishing cũng giúp giảm khả năng người dùng "đi lạc" sang các website lừa đảo. Ngoài ra còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of Service) là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tới không thể cung cấp dịch vụ, hoặc phải ngưng hoạt động. DoS lợi dụng sự yếu kém trong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến server, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác. Tấn công dữ liệu trên thực tế thường là sử dụng virus, trojan để ăn cắp dữ liệu, lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục đích nhằm lấy cắp hoặc phá hỏng dữ liệu cũng như các chương trình ứng dụng. 2.1.3 Các phương pháp phòng tránh, khắc phục hậu quả và công cụ để đảm bảo an toàn dữ liệu, bảo mật thông tin. Đối với thông tin, dữ liệu có giá trị thì nguy cơ bị tấn công xảy ra hàng giờ. Ngoài các nguy cơ từ mạng Internet thì không nên loại trừ nguyên nhân từ chính cá nhân trong công ty. Với nguy cơ từ các cá nhân trong chính doanh nghiệp thì phải phân quyền người sử dụng. Với nguy cơ mất mát hoặc dữ liệu bị thay đổi, giả mạo trong quá trình truyền nên bảo mật kênh truyền dữ liệu. Tránh rò rỉ thông tin hoặc hạn chế thông thương dữ liệu của doanh nghiệp và các cá nhân trong doanh nghiệp hãy đặt tường lửa. Bên cạnh đó sử dụng các hệ thống Backup, sao lưu dự phòng.. Dữ liệu trong khi truyền giữa người gửi và người nhận là lúc dễ bị tấn công nhất. Hầu hết các phương pháp tấn công nhằm vào dữ liệu đều thực hiện trong quá trình giao dịch điện tử. Dó đó bảo mật kênh truyền dữ liệu trong việc thực hiện các giao dịch thương mại điện tử là rất quan trọng. Hiện nay bảo mật kênh truyền chủ yếu tập trung vào các giao thức mã hóa. Một số giao thức bảo mật kênh truyền dữ liệu như giao thức SSL – Secure Socket Layer, giao thức SET - Secure Electronic, giao thức WEP – Wireless Encryption Protocol. SSL – Secure Socket Layer là giao thức đa mục đích, được thiết kế nhằm tạo các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) để mã hoá toàn bộ thông tin đi, đến. Hiện nay SSL đã trở thành chuẩn bảo mật thực hành trên mạng Internet. SSL xây dựng trên tầng giao vận của mô hình TCP/IP. Qua đó bất kỳ ứng dụng mạng nào khi cài đặt sử dụng mô hình TCP/IP đều có thể thay đổi cấu hình để có thể sử dụng giao thức SSL. SSL được ứng dụng rộng rãi trong các giao dịch yêu cầu thành toán qua mạng, được hỗ trợ bởi hầu hết các trình duyệt và các phần mềm phía server, được thiết kế độc lập với tầng ứng dụng nên có thể sử dụng cho nhiều ứng dụng khác nhau và mọi hoạt động của SSL đều trong suốt với người sử dụng. Bên cạnh đó SSL không có những cơ chế xác nhận người dung một cách chắc chắn. Người mua hàng có nguy cơ bị lộ thông tin về tài khoản. Vẫn có khả năng bị các hacker dò tìm ra khóa bí mật dùng để mã hóa thông tin. Nhiều người dùng vẫn đang dùng SSL V2.0 thay vì SSL V3.0 và không có cơ chế xác nhận lẫn nhau trong quá trình thiết lập giao thức bắt tay. Để khắc phục những hạn chế của SSL thì Visa và Master card đã phát triển giao thức giao thức SET - Secure Electronic nhằm hỗ trợ bảo mật trong thanh toán trực tuyến qua mạng dựa trên kỹ thuật sử dụng đồng tiền số. Giao thức này được hỗ trợ bởi các công ty lớn như IBM, Microsolf, HP, Netscape… SET đảm bảo tính chính xác của thông tin cho bên gửi và bên nhận, đảm bảo tính toàn vẹn của thông tin, rất an toàn do khó bị bẻ khóa. Qua đó người dùng không sợ lộ các thông tin về tài khoản của mình khi tiến hành các giao dịch trên mạng do tiến hành xác nhận qua ngân hàng trung gian. Hạn chế tình trạng từ chối dịch vụ và lừa đảo qua mạng do có cơ chế xác thực cả hai phía. Tuy vậy SET có độ trễ khi giao dịch, do tính phức tạp của các thuật toán mã hóa công khai, do thường xuyên tiến hành giao dịch với các ngân hàng trung gian. Hệ thống công kềnh và quá trình giao dịch chậm: Thường xuyên backup các dữ liệu. Chi phí cao cho thiết bị phần cứng: SET yêu cầu các thiết bị phần cứng chuyên dụng. Yêu cầu cài đặt phần mềm chuyên dụng: Ví tiền điện tử cài đặt ở máy trạm. Giao thức WEP – Wireless Encryption Protocol được thiết kế để đảm bảo tính bảo mật cho mạng không dây, sử dụng phương thức mã hóa sử dụng thuật toán đối xứng RC4. Với phương thức mã hóa RC4, WEP được xem như một phương thức kiểm soát truy cập. Do WEP có hạn chế là sử dụng RC4 cùng giá trị Initialization Vector (IV) nên có các vấn đề: cùng IV gây nên vấn đề va chạm, dễ dàng phát hiện IV và bẻ khóa WEP, tấn công thụ động phát triển càng gây khó khăn cho người bảo mật dữ liệu. Giải pháp WEP tối ưu đó là kết hợp WEP và các giải pháp khác, gia tăng mức độ bảo mật cho WEP như việc sử dụng khóa WEP có độ dài 128 bit, thực thi chính sách thay đổi khóa WEP định kỳ, sử dụng các công cụ theo dõi số liệu thống kê dữ liệu trên đường truyền không dây. FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thông của một số thông tin khác không mong muốn. Tư tưởng cơ bản của Firewall là đặt cấu hình mạng sao cho tất cả các thông tin vào ra mạng đều phải đi qua một máy được chỉ định, và đó chính là Firewall. FireWall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong, và cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong. Firewall là chặn những luồng thông tin có khả năng nguy hại đến sự an toàn của mạng máy tính. Lưu giữ các thông tin quan trọng và nhạy cảm của đơn vị tránh khỏi sự xâm nhập trái phép từ bên ngoài. Với nhiệm vụ cơ bản là bảo vệ dữ liệu đó là những thông tin cần được bảo vệ do những yêu cầu bảo mật, tính toàn vẹn, tính kịp thời. bảo vệ tài nguyên hệ thống, danh tiếng của công ty sở hữu các thông tin cần bảo vệ. Tuy nhiên Firewall hạn chế quyền truy nhập của người dùng vào mạng internet. Có những hạn chế trong khi bị tấn công từ bên trong mạng, như một người nào đó sử dụng các thiết bị lưu trữ kết nối trực tiếp vào các máy tính và ăn cắp các thông tin trên máy. Gây ra hiện tượng thắt cổ chai tại bức tường lửa. 2.2 Vai trò và ứng dụng của an toàn dữ liệu, bảo mật thông tin trong giao dịch thương mại điện tử 2.2.1 Vai trò của của an toàn dữ liệu, bảo mật thông tin trong giao dịch thương mại điện tử Theo dõi vấn đề an ninh mạng năm 2008, chúng ta có thể thấy hầu hết các website của các cơ quan doanh nghiệp đều bị hackers tấn công. Theo thống kê của BKIS, trên 60% website đã bị hacker tấn công, hacker Việt Nam trình độ thủ thuật tinh vi hơn. Chính vì thế mà việc lây lan virus và tấn công trở nên rất nguy hiểm . Vừa qua, một loạt website bị thay đổi nội dung thông tin, chiếm quyền điều khiển, thậm chí bị thay đổi tên miền, bị chiếm quyền sử dụng. Kẻ xấu luôn lợi dụng những không gian mạng để làm việc rửa tiền, ăn cắp tài khoản hay thực hiện những mục đích cạnh tranh không lành mạnh. Thị
- Xem thêm -