Đề tài: Phân tích thực trạng vấn đề an toàn bảo mật thông tin tại website www.thucphamhanoi . com.vn

Chia sẻ: Vu Quyet Chien | Ngày: | Loại File: DOC | Số trang:75

Thêm vào BST

Báo xấu

165
lượt xem 28
download

Download Vui lòng tải xuống để xem tài liệu đầy đủ

Công ty TNHH nhà nước một thành viên Thực Phẩm Hà Nội là công ty hoạt động trong lĩnh vực kinh doanh tổ chức chế biến thực phẩm, kinh doanh nội địa và kinh doanh xuất nhập khẩu hàng hoá, các mặt hàng thực phẩm, thuỷ hải sản tươi sống, đồ gia dụng, tư liệu tiêu dùng, dịch vụ khách sạn và các dịch vụ thương mại khác phục vụ sản xuất đời sống người tiêu dùng Hà Nội.

Chủ đề:

Bình luận(0) Đăng nhập để gửi bình luận!

Lưu

Nội dung Text: Đề tài: Phân tích thực trạng vấn đề an toàn bảo mật thông tin tại website www.thucphamhanoi . com.vn

LỜI CẢM ƠN Trong quá trình nghiên cứu và thực hiện luận văn tốt nghi ệp, em đã nhận được sự hướng dẫn nhiệt tình của giáo viên hướng dẫn là Thạc sỹ Nguyễn Quang trung cùng sự nhiệt tình giúp đỡ của ban giám đốc và toàn thể nhân viên công ty TNHH nhà nước một thành viên Thực Phẩm Hà Nội. Qua đây, em xin chân thành cảm ơn nhà trường, quý thầy cô đã tạo mọi điều kiện cho em tham gia học tập, rèn luyện, trao dồi kiến th ức chuyên môn cũng như kiến thức thực tế cuộc sống trong suốt 4 năm h ọc. Và đặc biệt, em xin chân thành cảm ơn Thạc sỹ Nguyễn Quang Trung - người đã tận tình hướng dẫn, chỉ bảo và giúp đỡ em hoàn thành lu ận văn tốt nghiệp này. Đồng thời em cũng gửi lời cảm ơn chân thành đến ban giám đốc và toàn thể nhân viên công ty TNHH nhà nước một thành viên Thực Phẩm Hà Nội, đặc biệt Anh Trần Công Nam - Trường phòng Marketing và phát triển thị trường của công ty đã tiếp nh ận và t ạo cho em môi trường làm việc chuyên nghiệp, giúp em có điều kiện nắm bắt tổng quát chung về tình hình hoạt động của công ty và hoàn thành đ ược bài luận văn tốt nghiệp của mình. Đây là đề tài mới, khá phức tạp và các nghiên cứu chuyên sâu v ề vấn đề này còn nhiều giới hạn. Mặt khác, thời gian nghiên cứu luận văn khá hạn hẹp, trình độ và khả năng của bản thân em còn h ạn ch ế. Vì v ậy, luận văn chắc chắn sẽ gặp phải nhiều sai sót. Em kính mong thầy giáo Nguyễn Quang Trung, các thầy cô giáo trong bộ môn Công ngh ệ thông tin, các anh chị nhân viên trong công ty Thực Phẩm Hà Nội góp ý, ch ỉ b ảo đ ể luận văn có giá trị cả về lý luận và thực tiễn.
Em xin chân thành cảm ơn! TÓM LƯỢC Công ty TNHH nhà nước một thành viên Thực Phẩm Hà Nội là công ty hoạt động trong lĩnh vực kinh doanh tổ chức chế biến thực phẩm, kinh doanh nội địa và kinh doanh xuất nhập khẩu hàng hoá, các mặt hàng th ực phẩm, thuỷ hải sản tươi sống, đồ gia dụng, tư liệu tiêu dùng, d ịch v ụ khách sạn và các dịch vụ thương mại khác phục vụ sản xuất đời s ống người tiêu dùng Hà Nội. Khi Việt Nam gia nhập WTO, hội nhập và phát triển cùng n ền kinh tế thế giới, thì việc cạnh tranh sẽ ngày càng gay gắt giữa các doanh nghiêp, các doanh nghiệp nào có uy tín, chiếm được cảm tình của khách hàng sẽ đứng vững trên thị trường. Do đó, việc tạo s ự yên tâm cho khách hàng bỗng trở nên vô cùng quan trọng. Hiện nay các doanh nghiệp đang sử dụng nhiều công cụ quảng cáo khác nhau để cố gắng đưa hình ảnh sản phẩm và thương hiệu của mình đến với khách hàng hiệu quả nhất. Bên cạnh đó, công tác an toàn bảo mật thông tin cho khách hàng cũng trở thành một vấn đề vô cùng cấp thiết trong thời đại bùng nổ công ngh ệ thông tin và tình trạng mất an toàn thông tin ngày càng nhiều. Chính vì th ế tác giả đã chọn đề tài: “ Giải pháp an toàn và bảo mật thông tin khách hàng t ại công ty thực phẩm Hà Nội” làm luận văn tốt nghiệp của mình. Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một số cơ sở lý lu ận c ơ bản về an toàn và bảo mật thông tin, nghiên cứu bằng những phương pháp khác nhau như thu thập các cơ sở dữ liệu sơ cấp và thứ cấp. Từ đó xem xét đánh giá phân tích thực trạng vấn đề an toàn bảo mật thông tin tại
website www.thucphamhanoi.com.vn để đưa ra những ưu nhược điểm. Từ những đánh giá phân tích này đưa ra một số kiến nghị đ ề xu ất một s ố giải pháp nhằm đảm bảo an toàn và bảo mật thông tin cho khách hàng thông qua website www.thucphamhanoi.com.vn , nhằm hoàn thiện và nâng cao các tính năng của website, tăng niềm tin của khách hàng đ ối với website từ đó nâng cao vị thế cạnh tranh của công ty Thực phẩm Hà Nội và đáp ứng nhu cầu ngày càng cao của người tiêu dùng trên th ị trường TMĐT. Chương I của đề tài là những vấn đề tổng quan khi nghiên cứu đề tài. Chương II của đề tài, để làm rõ lý thuyết về an toàn d ữ li ệu, b ảo mật thông tin, vai trò của việc an toàn thông tin cho khách hàng trong giao dịch thương mại điện tử. Để có cái nhìn tổng quát hơn về đề tài, tác giả đã nêu bật tình hình khách thể của các công trình nghiên cứu các năm trước, tình hình nghiên cứu trong và ngoài nước về an toàn b ảo m ật thông tin, từ đó phân định nội dung đề tài nghiên cứu. Trong chương III, ngoài việc khái quát về quá trình hình thành, phát triển, cơ cấu tổ chức và các lĩnh vực kinh doanh của công ty TNHH Th ực phẩm Hà Nội cũng như đưa ra hệ thống các ph ương pháp nghiên c ứu, tác giả đã lấy cơ sở lý thuyết ở chương II và các dữ liệu s ơ c ấp, th ứ c ấp thu thập được để tiến hành phân tích đánh giá thực trạng, các nhân tố tác động và thực trạng an toàn bảo mật thông tin khách hàng tại công ty TNHH Thực phẩm Hà Nội. Phân tích dữ liệu thu được từ phiếu điều tra, từ đó làm tiền đề cho các giải pháp phát triển trong chương IV.
Trong chương IV, ở phần đầu của chương, tác giả hệ th ống lại một số thực trạng của công ty về an toàn thông tin, cùng nguyên nhân c ủa các tồn tại ấy. Bên cạnh đó, tác giả dự báo triển vọng cũng như quan điểm giải quyết vấn đề an toàn và bảo mật thông tin khách hàng trong giao dịch thương mại điện tử tại công ty thực phẩm Hà Nội trong thời gian tới . Đồng thời đề xuất, kiến nghị các giải pháp mới nhằm phát triển và hoàn thiện hệ thống an toàn dữ liệu và bảo mật thông tin đối với công ty. Qua đề tài luận văn tốt nghiệp này, ngoài việc nâng cao nhận th ức, bổ sung thêm kiến thức cho bản thân, tác giả hy vọng những nghiên cứu của mình còn có thể đóng góp giúp cho công ty TNHH Th ực phẩm Hà Nội nói riêng và các doanh nghiệp nói chung, có th ể sử dụng các gi ải pháp v ề an toàn thông tin đó để có thể bảo mật h ệ cơ s ở dữ li ệu, bảo v ệ thông tin cho khách hàng của mình. Tạo niềm tin cho khách hàng, giúp công ty ngày càng phát triển, tăng khả năng cạnh tranh của trên thị trường sôi động nh ư ngày nay. MỤC LỤC LỜI CẢM ƠN.......................................................................................................................1 TÓM LƯỢC.........................................................................................................................2 DANH MỤC TỪ VIẾT TẮT...................................................................................................5 DANH MỤC BẢNG BIỂU HÌNH VẼ......................................................................................6 4.1.1. Những thành tựu đạt được.......................................................................................49 4.1.3. Nguyên nhân các tồn tại..........................................................................................51 4.2.1 Dự báo tình hình trong thời gian tới..........................................................................52 4.2.2 Định hướng phát triển của công ty..........................................................................53 TÀI LIỆU THAM KHẢO.......................................................................................................63
PHỤ LỤC............................................................................................................................64 PHỤ LỤC............................................................................................................................64 DANH MỤC TỪ VIẾT TẮT TNHH Trách nhiệm hữu hạn Th.s Thạc sỹ WTO (Word Trade Organization) Tổ chức Thương mại Quốc tế TMĐT Thương mại điện tử ATDL An toàn dữ liệu www World Wide Web CBCNV Cán bộ công nhân viên VSATTP Vệ sinh an toàn thực phẩm CSDL Cơ sở dữ liệu CNTT Công nghệ thông tin DN Doanh nghiệp PC Personal Computer VPN Virtual Private Network CIO Chief Information Officer. HACCP Hazard Analysis and Critical Control
Point SSL Secure Socket Layer TCP/IP Transmission Control Protocol/ Internet Protocol DoS Denial of Service SET Secure Electronic IV Initialization Vector WEP Wireless Encryption Protocol. DANH MỤC BẢNG BIỂU HÌNH VẼ Bảng 3.1 Cơ cấu tổ chức của công ty Thực phẩm Hà Nội Bảng 3.2 Kết quả hoạt động sản xuất kinh doanh trong 3 năm 2005-2007 Bảng 3.3 Chỉ tiêu tăng trưởng của công ty CHƯƠNG 1: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI 1.1 Tính cấp thiết của đề tài nghiên cứu Ngày nay với sự bùng nổ của Internet, của thương mại điện tử (TMĐT) đã tạo ra những cơ hội lớn cũng như các nguy cơ, rủi ro cho nên kinh tế và xã hội hiện đại. Các vấn đề về truy cập b ất h ợp pháp, virus, rò rỉ thông tin, lỗ hổng trên hệ thống.. đã trở thành mối lo ngại cho các nhà quản lý đi ều hành ở mọi c ấp ở bất kỳ qu ốc gia nào. T ừ cấp đ ộ cao nh ất đến các doanh nghiệp cụ thể và các thể nhân cấu thành xã h ội. V ấn đề
bảo mật và an toàn thông tin trở thành nhu cầu cấp thiết của mọi tầng lớp trong xã hội. Cùng với sự phát triển của TMĐT, giờ đây việc tiêu dùng mua s ắm qua mạng không còn lạ lẫm với nhiều người mà đã trở nên phổ biến. Người tiêu dùng mua bất cứ những thứ gì mà họ cần, mua sắm trực tuyến giúp họ tiết kiệm thời gian, chi phí. Cơ cấu mặt hàng được mua bán trên thị trường trực tuyến càng ngày càng đa dạng, nh ất là nh ững m ặt hàng có tính tiêu chuẩn cao (đồ điện tử, sách.....). Điều này đặt ra cho các doanh nghiệp phải xây dựng và quản trị quy trình bán lẻ trên website của mình thật hiệu quả nhằm được doanh thu cao nhất từ thị trường kinh doanh trực tuyến. Nắm bắt được xu hướng chung đó, công ty Thực phẩm Hà Nội đã có những bước bắt đầu xây dựng website www.thucphamhanoi.com.vn và xây dựng quy trình quản trị bán lẻ ngay trên chính website của mình. Tuy nhiên, là một doanh nghiệp mới bỡ ngỡ bước vào mảnh đất TMĐT, website của công ty Thực phẩm Hà Nội còn có nhiều mặt hạn ch ế: giao diện chưa thực sự được hoàn thiện, các tính năng ch ưa có nhi ều, ch ưa có hỗ trợ kỹ thuật, chưa cho phép mua hàng trực tuyến trên website, các d ịch vụ sau bán vẫn chưa có, chưa có trung tâm ph ục vụ khách hàng, trung tâm trả lời điện thoại, trung tâm hỗ trợ kỹ thuật cũng như công tác bảo mật an toàn thông tin... mà chỉ chủ yếu là giới thiệu về công ty và sản ph ẩm công ty. Việc nâng cao các tính năng website không chỉ là giới thiệu về sản phẩm và doanh nghiệp mà còn phải là một kênh bán hàng hiệu qu ả mang lại lợi nhuận cao cho doanh nghiệp. Muốn vậy cần chiếm được lòng tin của khách hàng thông qua chất lượng sản phẩm và dịch vụ, quan trọng nhất là để khách hàng cảm thấy yên tâm khi mua hàng tại website c ủa
doanh nghiệp. Do đó, vấn đề đặt ra ở đây là làm thế nào đảm b ảo an toàn và bảo mật thông tin khách hàng cho công ty Thực phẩm Hà Nội. 1.2 Xác lập và tuyên bố vấn đề nghiên cứu của đề tài luận văn Đề tài tập trung giải quyết vấn đề về an toàn và bảo m ật thông tin khách hàng tại công ty Thực phẩm Hà Nội qua mạng Internet. Vì v ậy, em xin đề xuất hướng đề tài nghiên cứu luận văn tốt nghiệp của mình là: “Giải pháp an toàn và bảo mật thông tin khách hàng t ại công ty Thực phẩm Hà Nội”. 1.3 Các mục tiêu nghiên cứu của đề tài luận văn Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một s ố cơ sở lý luận cơ bản về an toàn và bảo mật thông tin, nghiên c ứu bằng những phương pháp khác nhau như thu thập các cơ sở dữ liệu sơ cấp và thứ cấp. Từ đó xem xét đánh giá phân tích thực trạng vấn đề an toàn b ảo mật thông tin tại website www.thucphamhanoi.com.vn để đưa ra những ưu nhược điểm. Từ những đánh giá phân tích này đưa ra một s ố kiến ngh ị đề xuất một số giải pháp nhằm đảm bảo an toàn và bảo mật thông tin cho khách hàng thông qua website www.thucphamhanoi.com.vn , nhằm hoàn thiện và nâng cao các tính năng của website, tăng ni ềm tin c ủa khách hàng đối với website từ đó nâng cao vị thế cạnh tranh của công ty Thực phẩm Hà Nội và đáp ứng nhu cầu ngày càng cao của người tiêu dùng trên th ị trường TMĐT. 1.4 Phạm vi nghiên cứu của đề tài luận văn
Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên cứu của đề tài chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảng thời gian ngắn hạn. Cụ thể: Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn và b ảo mật thông tin tại công ty Thực phẩm Hà Nội nhằm đưa ra m ột s ố giải pháp an toàn và bảo mật thông tin khách hàng công ty Thực phẩm Hà Nội. Về thời gian: Các số liệu được khảo sát từ năm 2005 - 2008, đồng thời trình bày các nhóm giải pháp định hướng phát triển đến trong th ời gian tới. 1.5 Kết cấu của đề tài luận văn Cấu trúc luận văn gồm 4 chương, cụ thể: Chương I: Tổng quan nghiên cứu đề tài. Chương II: Một số vấn đề lý luận cơ bản về quy trình an toàn và bảo mật thông tin khách hàng. Chương III: Phương pháp nghiên cứu và kết quả phân tích thực trạng an toàn và bảo mật thông tin khách hàng tại công ty Thực phẩm Hà Nội. Chương IV: Các kết luận và giải pháp an toàn bảo mật thông tin khách hàng cho công ty Thực phẩm Hà Nội . CHƯƠNG 2: MỘT SỐ VẤN ĐỀ LÝ LUẬN CƠ BẢN VỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN KHÁCH HÀNG
2.1 Tổng quan về an toàn và bảo mật thông tin 2.1.1 Khái niệm an toàn dữ liệu và bảo mật thông tin Trước đây việc giao dịch được thực hiện trực tiếp giữa bên mua và bên bán theo hình thức “tiền trao, cháo múc” nên khó có th ể x ảy ra l ừa đảo. Ngày nay thì việc giao dịch trực tiếp ngày càng gi ảm, giao d ịch t ừ xa ngày càng tăng. Bên mua và bên bán không gặp nhau trực tiếp, do đó rất dễ bị lừa đảo, gây mất mát về thông tin cũng như tài sản. Thông tin của các cá nhân, tổ chức và các giao dịch có nhiều nguy c ơ b ị bên thứ ba biết được. Thông tin thật dễ dàng thay bị sửa đổi, tạo thành thông tin giả mạo để lừa đảo. Có thể kể tới các trường h ợp b ị tin t ặc t ấn công, bị giả mạo, từ chối thanh toán, sử dụng thẻ thanh toán gi ả - h ết hạn; việc mất an toàn khi tiến hành giao dịch do thông tin bị lộ. Do đó, việc bảo mật thông tin và an toàn dữ liệu là rất c ần thi ết. V ậy ta c ần tìm hiểu thế nào là an toàn dữ liệu? An toàn dữ liệu (ATDL) là quá trình đảm bảo cho h ệ th ống d ữ li ệu tránh khỏi những nguy cơ hỏng hóc hoặc mất mát. Các nguy cơ tiềm ẩn về khả năng mất an toàn thông tin ngẫu nhiên như thiên tai, h ỏng vật l í, mất điện… và các nguy cơ có chủ định như tin tặc, cá nhân bên ngoài, phá hỏng vật lí, can thiệp có chủ ý.. Nhu cầu bảo mật thông tin của các tổ chức và cá nhân đang cấp bách hơn bao giờ hết. Trong thương mại điện tử, an toàn dữ liệu nghiên cứu về những nguy cơ gây mất an toàn, tránh khỏi những nguy cơ này trong quá trình sử dụng hình thức kinh doanh trong giao dịch thương mại điện tử. An toàn dữ liệu đó là việc đảm bảo được tính bảo mật qua việc đảm bảo dữ liệu của người sử dụng luôn được bảo vệ, không b ị m ất
mát. Dữ liệu không bị tạo ra, sửa đổi hay xóa bởi những người không sở hữu và luôn trong trạng thái sẵn sàng. Đồng th ời có tính tin c ậy đ ảm b ảo thông tin mà người dùng nhận được là đúng. Trong TMĐT, cần chú tr ọng đến việc dữ liệu lưu trữ cũng như trao đổi giữa hai bên giao dịch phải được giữ bí mật, đảm bảo không bị lộ. Thông tin giao dịch giữa hai bên không bị sửa đổi hay bị giả mạo bởi một bên thứ ba. Đảm bảo độ minh bạch giữa hai bên thực hiện giao dịch. Mục tiêu của ATDL là việc phát hiện các lỗ h ổng c ủa h ệ th ống dữ liệu, dự đoán trước những nguy cơ tấn công, ngăn chặn nh ững hành động gây mất an toàn dữ liệu từ bên trong cũng như bên ngoài. Ph ục h ồi t ổn thất khi hệ thống dữ liệu bị tấn công. Trong TMĐT thì mục tiêu đó là phát hiện sớm các lỗ hổng trong các hình thức giao dịch và thanh toán đi ện t ử, đưa ra các mô hình và giải pháp nhằm đảm bảo cho TMĐT đạt được độ an toàn cao nhất, các phương pháp khắc phục hậu quả và đảm bảo lợi ích cho người sử dụng. 2.1.2 Các hình thức tấn công dữ liệu trong thương mại điện tử Các hình thức tấn công trong TMĐT có th ể kể đến là hình th ức t ấn công dữ liệu thụ động và tấn công chủ động. Có thể hiểu đó là hình th ức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép. Vi ph ạm tính toàn v ẹn, sẵn sàng dữ liệu. Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường truyền mà không gây ảnh hưởng gì đến thông tin được truy ền từ nguồn đến đích. Tấn công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước khi tấn công xảy ra.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu lại để sử dụng sau. Loại tấn công này lại có hai d ạng đó là tấn công trực tuyến (online) và tấn công ngoại tuyến (offline). Tấn công offline có mục tiêu cụ thể, thực hiện bởi th ủ ph ạm truy cập trực ti ếp đ ến tài sản nạn nhân. Ví dụ, thủ phạm có quy ền truy cập máy tính c ủa ng ười dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu th ập d ữ liệu của người dùng. Tấn công offline có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu có trình đ ộ cao và cũng không tốn bất kỳ chi phí nào. Người dùng có th ể trở thành n ạn nhân của kiểu tấn công này đơn giản chỉ vì họ để lộ password hay l ưu ở d ạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng. Một nghiên cứu gần đây cho thấy 50% vụ đánh cắp tài khoản do người gần gũi với nạn nhân thực hiện. Tấn công online không có mục tiêu cụ thể. Kẻ tấn công nh ắm đến số đông người dùng trên Intrenet, hy vọng khai thác những h ệ thống l ỏng lẻo hay lợi dụng sự cả tin của người dùng để đánh cắp tài khoản. Dạng tấn công này có hiệu suất khá cao, lên đến 3% (theo m ột báo cáo của Computer World). Hình thức phổ biến nhất của tấn công online là phishing. Phishing là một loại tấn công phi kỹ thuật, dùng đánh c ắp các thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòng tránh duy nhất là ý thức của người dùng. Bên cạnh đó hình thức tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có khả năng chặn các gói tin trên đường
truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công ch ủ đ ộng tuy nguy hiểm nhưng lại dễ phát hiện được. Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao. Biện pháp phòng vệ tốt nhất chống lại kiểu tấn công chủ động là bảo mật máy tính phía người dùng: đảm bảo hệ điều hành và tất cả ứng dụng được cập nhật và vá đầy đủ, cập nhật cơ sở dữ li ệu nh ận d ạng virus và malware, dùng firewall cho các kết nối Internet, dùng công cụ chống spyware và malware nhằm đảm bảo máy tính không cài đặt những chương trình không cần thiết... Bộ lọc chống phishing cũng giúp giảm khả năng người dùng "đi lạc" sang các website lừa đảo. Ngoài ra còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS - Denial of Service) là tên gọi chung của kiểu tấn công làm cho m ột hệ thống nào đó bị quá tải dẫn tới không thể cung cấp dịch vụ, ho ặc ph ải ngưng hoạt động. DoS lợi dụng sự yếu kém trong mô hình bắt tay 3 b ước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đ ến server, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác. Tấn công dữ liệu trên thực tế thường là sử dụng virus, trojan đ ể ăn cắp dữ liệu, lợi dụng các lỗ hổng trong các phần mềm ứng d ụng, t ấn công phi kỹ thuật. Với mục đích nhằm lấy cắp hoặc phá hỏng dữ liệu cũng như các chương trình ứng dụng. 2.1.3 Các phương pháp phòng tránh, khắc phục hậu quả và công cụ để đảm bảo an toàn dữ liệu, bảo mật thông tin.
Đối với thông tin, dữ liệu có giá trị thì nguy cơ bị tấn công xảy ra hàng giờ. Ngoài các nguy cơ từ mạng Internet thì không nên loại trừ nguyên nhân từ chính cá nhân trong công ty. Với nguy cơ từ các cá nhân trong chính doanh nghiệp thì phải phân quyền người sử dụng. Với nguy cơ mất mát hoặc dữ liệu bị thay đổi, giả mạo trong quá trình truyền nên bảo mật kênh truyền dữ liệu. Tránh rò rỉ thông tin hoặc h ạn ch ế thông thương dữ liệu của doanh nghiệp và các cá nhân trong doanh nghiệp hãy đặt tường lửa. Bên cạnh đó sử dụng các hệ thống Backup, sao l ưu d ự phòng.. Dữ liệu trong khi truyền giữa người gửi và người nhận là lúc d ễ b ị tấn công nhất. Hầu hết các phương pháp tấn công nhằm vào d ữ li ệu đ ều thực hiện trong quá trình giao dịch điện tử. Dó đó bảo mật kênh truyền dữ liệu trong việc thực hiện các giao dịch thương mại điện tử là rất quan trọng. Hiện nay bảo mật kênh truyền chủ yếu tập trung vào các giao th ức mã hóa. Một số giao thức bảo mật kênh truyền dữ liệu như giao thức SSL – Secure Socket Layer, giao thức SET - Secure Electronic, giao thức WEP – Wireless Encryption Protocol. SSL – Secure Socket Layer là giao thức đa mục đích, được thiết kế nhằm tạo các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước (socket 443) để mã hoá toàn bộ thông tin đi, đến. Hiện nay SSL đã trở thành chuẩn bảo mật thực hành trên mạng Internet. SSL xây dựng trên tầng giao vận của mô hình TCP/IP. Qua đó bất kỳ ứng dụng mạng nào khi cài đặt sử dụng mô hình TCP/IP đều có th ể thay đổi cấu hình để có thể sử dụng giao thức SSL.
SSL được ứng dụng rộng rãi trong các giao dịch yêu cầu thành toán qua mạng, được hỗ trợ bởi hầu hết các trình duyệt và các phần mềm phía server, được thiết kế độc lập với tầng ứng dụng nên có thể sử dụng cho nhiều ứng dụng khác nhau và mọi hoạt động của SSL đ ều trong su ốt v ới người sử dụng. Bên cạnh đó SSL không có những cơ chế xác nhận người dung m ột cách chắc chắn. Người mua hàng có nguy cơ bị lộ thông tin v ề tài kho ản. Vẫn có khả năng bị các hacker dò tìm ra khóa bí mật dùng để mã hóa thông tin. Nhiều người dùng vẫn đang dùng SSL V2.0 thay vì SSL V3.0 và không có cơ chế xác nhận lẫn nhau trong quá trình thiết l ập giao th ức bắt tay. Để khắc phục những hạn chế của SSL thì Visa và Master card đã phát triển giao thức giao thức SET - Secure Electronic nhằm h ỗ trợ b ảo mật trong thanh toán trực tuyến qua mạng dựa trên kỹ thuật sử dụng đồng tiền số. Giao thức này được hỗ trợ bởi các công ty lớn như IBM, Microsolf, HP, Netscape… SET đảm bảo tính chính xác của thông tin cho bên g ửi và bên nh ận, đảm bảo tính toàn vẹn của thông tin, rất an toàn do khó bị bẻ khóa. Qua đó người dùng không sợ lộ các thông tin về tài khoản của mình khi tiến hành các giao dịch trên mạng do tiến hành xác nhận qua ngân hàng trung gian. Hạn chế tình trạng từ chối dịch vụ và lừa đảo qua mạng do có cơ chế xác thực cả hai phía. Tuy vậy SET có độ trễ khi giao dịch, do tính phức tạp của các thuật toán mã hóa công khai, do th ường xuyên ti ến hành giao dịch với các ngân hàng trung gian. Hệ thống công kềnh và quá trình giao dịch chậm: Thường xuyên backup các dữ liệu. Chi phí cao cho thiết
bị phần cứng: SET yêu cầu các thiết bị ph ần cứng chuyên dụng. Yêu c ầu cài đặt phần mềm chuyên dụng: Ví tiền điện tử cài đặt ở máy trạm. Giao thức WEP – Wireless Encryption Protocol được thiết kế để đảm bảo tính bảo mật cho mạng không dây, sử dụng phương thức mã hóa sử dụng thuật toán đối xứng RC4. Với phương thức mã hóa RC4, WEP được xem như một phương thức kiểm soát truy cập. Do WEP có hạn chế là sử dụng RC4 cùng giá trị Initialization Vector (IV) nên có các vấn đề: cùng IV gây nên vấn đ ề va ch ạm, d ễ dàng phát hiện IV và bẻ khóa WEP, tấn công thụ động phát triển càng gây khó khăn cho người bảo mật dữ liệu. Giải pháp WEP tối ưu đó là kết hợp WEP và các giải pháp khác, gia tăng mức độ bảo mật cho WEP nh ư vi ệc sử dụng khóa WEP có độ dài 128 bit, thực thi chính sách thay đ ổi khóa WEP định kỳ, sử dụng các công cụ theo dõi số liệu thống kê dữ liệu trên đường truyền không dây. FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thông của một số thông tin khác không mong muốn. Tư tưởng cơ bản của Firewall là đặt cấu hình mạng sao cho tất cả các thông tin vào ra mạng đều phải đi qua một máy được chỉ định, và đó chính là Firewall. FireWall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong, và cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong. Firewall là chặn những luồng thông tin có khả năng nguy hại đến sự an toàn của mạng máy tính. L ưu giữ các thông
tin quan trọng và nhạy cảm của đơn vị tránh khỏi sự xâm nhập trái phép từ bên ngoài. Với nhiệm vụ cơ bản là bảo vệ dữ liệu đó là những thông tin cần được bảo vệ do những yêu cầu bảo mật, tính toàn vẹn, tính k ịp thời. bảo vệ tài nguyên hệ thống, danh tiếng của công ty sở hữu các thông tin cần bảo vệ. Tuy nhiên Firewall hạn chế quyền truy nhập của người dùng vào mạng internet. Có những hạn chế trong khi bị tấn công từ bên trong mạng, như một người nào đó sử dụng các thiết bị lưu trữ kết nối trực tiếp vào các máy tính và ăn cắp các thông tin trên máy. Gây ra hiện tượng thắt cổ chai tại bức tường lửa. 2.2 Vai trò và ứng dụng của an toàn d ữ liệu, b ảo mật thông tin trong giao dịch thương mại điện tử 2.2.1 Vai trò của của an toàn dữ liệu, bảo mật thông tin trong giao d ịch thương mại điện tử Theo dõi vấn đề an ninh mạng năm 2008, chúng ta có th ể th ấy h ầu hết các website của các cơ quan doanh nghiệp đều bị hackers tấn công. Theo thống kê của BKIS, trên 60% website đã bị hacker tấn công, hacker Việt Nam trình độ thủ thuật tinh vi hơn. Chính vì thế mà việc lây lan virus và tấn công trở nên rất nguy hiểm . Vừa qua, một loạt website bị thay đổi nội dung thông tin, chiếm quyền điều khiển, thậm chí bị thay đổi tên miền, bị chiếm quy ền sử dụng. Kẻ xấu luôn lợi dụng những không gian mạng để làm việc rửa tiền, ăn cắp tài khoản hay thực hiện những mục đích cạnh tranh không lành mạnh. Thị trường chứng khoán nước ta phát triển nh ững năm gần đây đang có hướng tiêu cực, tức là xuống dốc rất nhanh. Nếu h ệ th ống
thông tin cho thị trường chứng khoán không an toàn sẽ rất nguy hiểm và có thể đi đến sập đổ thị trường. Sự phức tạp và các mối đe doạ về sự mất an toàn bảo mật hệ thống thông tin ngày càng tăng. Tìm được một giải pháp tổng thể với chi phí hợp lý là điều không dễ cho các doanh nghiệp. Mặt khác, nhi ều dự án về phía Nhà nước triển khai chậm cũng gây khó dễ cho các t ổ ch ức và doanh nghiệp trong nhiều lĩnh vực. Cho nên, vấn đề sống còn cần ph ải làm là phải đảm bảo an toàn bảo mật cho các giao d ịch, cho h ệ th ống thông tin của ngành và của các doanh nghiệp. 2.2.2 Ứng dụng của an toàn dữ liệu và bảo mật thông tin trong giao d ịch thương mại điện tử Chữ ký điện tử (hay chữ ký số - Digital Signature) đ ược t ạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác b ằng phương tiện điện tử, gắn liền hoặc kết hợp một cách logic với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ li ệu được ký” (Điều 21, Khoản 1, Luật giao dịch điện tử ). Chữ ký điện tử được sử dụng để xác nhận tính hợp pháp của một văn bản hay hợp đồng trong các giao dịch điện tử. Nó có khả năng kiểm tra được người ký và thời gian ký, có khả năng xác thực các nội dung tại thời điểm ký, các thành viên thứ ba có thể kiểm tra ch ữ ký để gi ải quy ết các tranh chấp (nếu có). Chữ ký điện tử hoạt động dựa trên hệ mã hóa công khai trong đó mỗi người tham gia truyền thông có 1 cặp khóa (1 khóa công khai và m ột khóa bí mật). Khóa công khai được công bố rộng rãi. Khóa bí mật chỉ cá
nhân người sở hữu biết. Thông tin được mã hóa bằng khóa công khai có thể dùng khóa bí mật để giải mã và ngược lại. Chữ ký điện tử đảm bảo tính không thể chối cãi. Có thể sử dụng chữ ký điện tử để thiết lập một kênh truyền tin có xác nhận giữa bên gửi và bên nh ận. Bên c ạnh đó thu ật toán sinh chữ ký điện tử tiêu tốn thời gian dẫn đến vi ệc làm cho quá trình giao dịch bị chậm. Chứng thực số là một hoạt động chứng thực danh tính của những người tham gia vào việc gửi và nhận thông tin qua kênh truy ền, cung c ấp cho họ các công cụ, các dịch vụ cần thiết để thực hiện việc bảo m ật thông tin, chứng thực nguồn gốc và nội dung thông tin. Chứng th ực điện tử được cấp bởi một cơ quan chứng thực có uy tín trên thế giới. Một chứng thực điện tử bao gồm: Khóa công khai của người sở h ữu chứng thực điện tử này, các thông tin riêng của người sở hữu chứng thực, hạn sử dụng, tên cơ quan cấp chứng thực điện tử, số hiệu của chứng thực và chữ ký của nhà cung cấp. Một số chứng thực điện tử đang sử dụng như: Chứng thực cho máy chủ Web (Server Certificate), chứng thực cho các phần mềm, chứng thực cá nhân, chứng thực của các nhà cung cấp chứng thực điện tử. An toàn dữ liệu thanh toán điện tử là một hệ thống cho phép các bên tham gia mua và bán tiến hành thanh toán với nhau. Các khâu x ử lý trong thanh toán điện tử được thực hiện hoàn toàn trên các máy tính. Bản chất của nó là mô phỏng lại những mô hình thanh toán trong mua bán truyền thống nhưng được thực hiện thông qua các máy tính n ối m ạng v ới các giao thức riêng, chuyên dụng.
Mô tả hoạt động của một hệ thống thương mại có nhi ều bên tham gia: Người mua (người trả tiền) và người bán (người được trả tiền). Đ ại diện bởi các máy tính của mình và các máy tính này được n ối với nhau thông qua mạng máy tính để thực hiện các giao thức thanh toán điện tử. Có sự tham gia của các tổ chức tài chính như là các ngân hàng đại di ện cho mỗi bên. Trong an toàn dữ liệu thanh toán điện tử, các bên khi tham gia giao dịch thay vì chuyển tiền sẽ trao đổi với nhau các chứng từ được số hóa. Bản chất của quá trình này là các bên tham gia s ẽ sử d ụng h ệ th ống ngân hàng để thực hiện việc chuyền tiền mặt vào tài khoản của nhau trong quá trình giao dịch. Hệ thống thanh toán điện tử mang tính độc lập vật lý đảm bảo an toàn của tiền điện tử không phụ thuộc vào bất kỳ điều kiện vật lý nào. An toàn vì khả năng ngăn chặn gian lận và giả mạo. Có thể thanh toán ngoại tuyến, chuyển nhượng và phân chia. Website là một phần của tổ hợp cơ sở hạ tầng của doanh nghiệp. Vì vậy không có gì đáng ngạc nhiên khi rất nhiều doanh nghiệp dành sự quan tâm đặc biệt đến vấn đề bảo mật. Theo các báo cáo c ủa tổ ch ức Positive Technologies, trên 50% các cuộc tấn công là thông qua web. Công ty và tên sản phẩm càng nổi tiếng thì khả năng bị tấn công càng cao. Thêm vào đó, việc mất dữ liệu và thông tin khách hàng s ẽ dẫn t ới thi ệt hại lớn. Một công ty sẽ phải lựa chọn nhà phát triển website và phải bảo v ệ website như thế nào trước những vấn đề đã nêu trên. Một hệ thống bảo mật chủ yếu không phải là do việc tạo ra nó mà là do quá trình duy trì h ệ