Luận văn
Đề tài: Phân tích thực trạng vấn đề
an toàn bảo mật thông tin tại
website
www.thucphamhanoi . com.vn
LỜI CẢM ƠN
Trong quá trình nghiên cứu và thực hiện luận văn tốt nghiệp, em đã
nhận được sự hướng dẫn nhiệt tình của giáo viên hướng dẫn là Thạc sỹ
Nguyễn Quang trung cùng sự nhiệt tình giúp đỡ của ban giám đốc và toàn
thể nhân viên công ty TNHH nhà nước một thành viên Thực Phẩm Hà Nội.
Qua đây, em xin chân thành cảm ơn nhà trường, quý thầy cô đã tạo mọi điều
kiện cho em tham gia học tập, rèn luyện, trao dồi kiến thức chuyên môn
cũng như kiến thức thực tế cuộc sống trong suốt 4 năm học. Và đặc biệt, em
xin chân thành cảm ơn Thạc sỹ Nguyễn Quang Trung - người đã tận tình
hướng dẫn, chỉ bảo và giúp đỡ em hoàn thành luận văn tốt nghiệp này. Đồng
thời em cũng gửi lời cảm ơn chân thành đến ban giám đốc và toàn thể nhân
viên công ty TNHH nhà nước một thành viên Thực Phẩm Hà Nội, đặc biệt
Anh Trần Công Nam - Trường phòng Marketing và phát triển thị trường của
công ty đã tiếp nhận và tạo cho em môi trường làm việc chuyên nghiệp, giúp
em có điều kiện nắm bắt tổng quát chung về tình hình hoạt động của công ty
và hoàn thành được bài luận văn tốt nghiệp của mình.
Đây là đề tài mới, khá phức tạp và các nghiên cứu chuyên sâu về vấn
đề này còn nhiều giới hạn. Mặt khác, thời gian nghiên cứu luận văn khá hạn
hẹp, trình độ và khả năng của bản thân em còn hạn chế. Vì vậy, luận văn
chắc chắn sẽ gặp phải nhiều sai sót. Em kính mong thầy giáo Nguyễn Quang
Trung, các thầy cô giáo trong bộ môn Công nghệ thông tin, các anh chị nhân
viên trong công ty Thực Phẩm Hà Nội góp ý, chỉ bảo để luận văn có giá trị
cả về lý luận và thực tiễn.
Em xin chân thành cảm ơn!
TÓM LƯỢC
Công ty TNHH nhà nước một thành viên Thực Phẩm Hà Nội là công ty

hoạt động trong lĩnh vực kinh doanh tổ chức chế biến thực phẩm, kinh
doanh nội địa và kinh doanh xuất nhập khẩu hàng hoá, các mặt hàng thực
phẩm, thuỷ hải sản tươi sống, đồ gia dụng, tư liệu tiêu dùng, dịch vụ khách
sạn và các dịch vụ thương mại khác phục vụ sản xuất đời sống người tiêu
dùng Hà Nội.
Khi Việt Nam gia nhập WTO, hội nhập và phát triển cùng nền kinh tế
thế giới, thì việc cạnh tranh sẽ ngày càng gay gắt giữa các doanh nghiêp, các
doanh nghiệp nào có uy tín, chiếm được cảm tình của khách hàng sẽ đứng
vững trên thị trường. Do đó, việc tạo sự yên tâm cho khách hàng bỗng trở
nên vô cùng quan trọng. Hiện nay các doanh nghiệp đang sử dụng nhiều
công cụ quảng cáo khác nhau để cố gắng đưa hình ảnh sản phẩm và thương
hiệu của mình đến với khách hàng hiệu quả nhất. Bên cạnh đó, công tác an
toàn bảo mật thông tin cho khách hàng cũng trở thành một vấn đề vô cùng
cấp thiết trong thời đại bùng nổ công nghệ thông tin và tình trạng mất an
toàn thông tin ngày càng nhiều. Chính vì thế tác giả đã chọn đề tài: “ Giải
pháp an toàn và bảo mật thông tin khách hàng tại công ty thực phẩm Hà
Nội” làm luận văn tốt nghiệp của mình. Mục tiêu nghiên cứu của đề tài là
tập hợp và hệ thống hoá một số cơ sở lý luận cơ bản về an toàn và bảo mật
thông tin, nghiên cứu bằng những phương pháp khác nhau như thu thập các
cơ sở dữ liệu sơ cấp và thứ cấp. Từ đó xem xét đánh giá phân tích thực trạng
vấn đề an toàn bảo mật thông tin tại website www.thucphamhanoi. com.vn
để đưa ra những ưu nhược điểm. Từ những đánh giá phân tích này đưa ra
một số kiến nghị đề xuất một số giải pháp nhằm đảm bảo an toàn và bảo mật
thông tin cho khách hàng thông qua website www.thucphamhanoi. com.vn ,
nhằm hoàn thiện và nâng cao các tính năng của website, tăng niềm tin của
khách hàng đối với website từ đó nâng cao vị thế cạnh tranh của công ty
Thực phẩm Hà Nội và đáp ứng nhu cầu ngày càng cao của người tiêu dùng
trên thị trường TMĐT.
Chương I của đề tài là những vấn đề tổng quan khi nghiên cứu đề tài.
Chương II của đề tài, để làm rõ lý thuyết về an toàn dữ liệu, bảo mật

thông tin, vai trò của việc an toàn thông tin cho khách hàng trong giao dịch
thương mại điện tử. Để có cái nhìn tổng quát hơn về đề tài, tác giả đã nêu
bật tình hình khách thể của các công trình nghiên cứu các năm trước, tình
hình nghiên cứu trong và ngoài nước về an toàn bảo mật thông tin, từ đó
phân định nội dung đề tài nghiên cứu.
Trong chương III, ngoài việc khái quát về quá trình hình thành, phát
triển, cơ cấu tổ chức và các lĩnh vực kinh doanh của công ty TNHH Thực
phẩm Hà Nội cũng như đưa ra hệ thống các phương pháp nghiên cứu, tác giả
đã lấy cơ sở lý thuyết ở chương II và các dữ liệu sơ cấp, thứ cấp thu thập
được để tiến hành phân tích đánh giá thực trạng, các nhân tố tác động và
thực trạng an toàn bảo mật thông tin khách hàng tại công ty TNHH Thực
phẩm Hà Nội. Phân tích dữ liệu thu được từ phiếu điều tra, từ đó làm tiền đề
cho các giải pháp phát triển trong chương IV.
Trong chương IV, ở phần đầu của chương, tác giả hệ thống lại một số
thực trạng của công ty về an toàn thông tin, cùng nguyên nhân của các tồn
tại ấy. Bên cạnh đó, tác giả dự báo triển vọng cũng như quan điểm giải quyết
vấn đề an toàn và bảo mật thông tin khách hàng trong giao dịch thương mại
điện tử tại công ty thực phẩm Hà Nội trong thời gian tới. Đồng thời đề xuất,
kiến nghị các giải pháp mới nhằm phát triển và hoàn thiện hệ thống an toàn
dữ liệu và bảo mật thông tin đối với công ty.
Qua đề tài luận văn tốt nghiệp này, ngoài việc nâng cao nhận thức, bổ
sung thêm kiến thức cho bản thân, tác giả hy vọng những nghiên cứu của
mình còn có thể đóng góp giúp cho công ty TNHH Thực phẩm Hà Nội nói
riêng và các doanh nghiệp nói chung, có thể sử dụng các giải pháp về an
toàn thông tin đó để có thể bảo mật hệ cơ sở dữ liệu, bảo vệ thông tin cho
khách hàng của mình. Tạo niềm tin cho khách hàng, giúp công ty ngày càng
phát triển, tăng khả năng cạnh tranh của trên thị trường sôi động như ngày
nay.
MỤC LỤC
 !

 "#   !
$%&'()*+ ,
)$/0' 1
23+4)5'-67&8--9- :
23+4)5';(+<;&=>4?+47@ A
B ! ! +C"DE BF
B ! 1 +"GHIJ K!
B , !2ILMNO K!
B , ,PDO#IQRG K1
-S&$&T>-43)U4(V :,
45$5' :1
45$5' :B
DANH MỤC TỪ VIẾT TẮT
TNHH Trách nhiệm hữu hạn
Th.s Thạc sỹ
WTO (Word Trade Organization) Tổ chức Thương mại Quốc tế
TMĐT Thương mại điện tử
ATDL An toàn dữ liệu
www World Wide Web
CBCNV Cán bộ công nhân viên
VSATTP Vệ sinh an toàn thực phẩm
CSDL Cơ sở dữ liệu
CNTT Công nghệ thông tin
DN Doanh nghiệp
PC Personal Computer
VPN Virtual Private Network
CIO Chief Information Officer.
HACCP Hazard Analysis and Critical Control
Point
SSL Secure Socket Layer

TCP/IP Transmission Control Protocol/
Internet Protocol
DoS Denial of Service
SET Secure Electronic
IV Initialization Vector
WEP Wireless Encryption Protocol.
DANH MỤC BẢNG BIỂU HÌNH VẼ
Bảng 3.1 Cơ cấu tổ chức của công ty Thực phẩm Hà Nội
Bảng 3.2 Kết quả hoạt động sản xuất kinh doanh trong 3 năm 2005-2007
Bảng 3.3 Chỉ tiêu tăng trưởng của công ty
CHƯƠNG 1: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI
1.1 Tính cấp thiết của đề tài nghiên cứu
Ngày nay với sự bùng nổ của Internet, của thương mại điện tử
(TMĐT) đã tạo ra những cơ hội lớn cũng như các nguy cơ, rủi ro cho nên
kinh tế và xã hội hiện đại. Các vấn đề về truy cập bất hợp pháp, virus, rò rỉ
thông tin, lỗ hổng trên hệ thống đã trở thành mối lo ngại cho các nhà quản
lý điều hành ở mọi cấp ở bất kỳ quốc gia nào. Từ cấp độ cao nhất đến các
doanh nghiệp cụ thể và các thể nhân cấu thành xã hội. Vấn đề bảo mật và an
toàn thông tin trở thành nhu cầu cấp thiết của mọi tầng lớp trong xã hội.
Cùng với sự phát triển của TMĐT, giờ đây việc tiêu dùng mua sắm
qua mạng không còn lạ lẫm với nhiều người mà đã trở nên phổ biến. Người
tiêu dùng mua bất cứ những thứ gì mà họ cần, mua sắm trực tuyến giúp họ
tiết kiệm thời gian, chi phí. Cơ cấu mặt hàng được mua bán trên thị trường
trực tuyến càng ngày càng đa dạng, nhất là những mặt hàng có tính tiêu
chuẩn cao (đồ điện tử, sách ). Điều này đặt ra cho các doanh nghiệp phải
xây dựng và quản trị quy trình bán lẻ trên website của mình thật hiệu quả
nhằm được doanh thu cao nhất từ thị trường kinh doanh trực tuyến.
Nắm bắt được xu hướng chung đó, công ty Thực phẩm Hà Nội đã có
những bước bắt đầu xây dựng website www.thucphamhanoi. com.vn và xây
dựng quy trình quản trị bán lẻ ngay trên chính website của mình. Tuy nhiên,

là một doanh nghiệp mới bỡ ngỡ bước vào mảnh đất TMĐT, website của
công ty Thực phẩm Hà Nội còn có nhiều mặt hạn chế: giao diện chưa thực
sự được hoàn thiện, các tính năng chưa có nhiều, chưa có hỗ trợ kỹ thuật,
chưa cho phép mua hàng trực tuyến trên website, các dịch vụ sau bán vẫn
chưa có, chưa có trung tâm phục vụ khách hàng, trung tâm trả lời điện thoại,
trung tâm hỗ trợ kỹ thuật cũng như công tác bảo mật an toàn thông tin mà
chỉ chủ yếu là giới thiệu về công ty và sản phẩm công ty. Việc nâng cao các
tính năng website không chỉ là giới thiệu về sản phẩm và doanh nghiệp mà
còn phải là một kênh bán hàng hiệu quả mang lại lợi nhuận cao cho doanh
nghiệp. Muốn vậy cần chiếm được lòng tin của khách hàng thông qua chất
lượng sản phẩm và dịch vụ, quan trọng nhất là để khách hàng cảm thấy yên
tâm khi mua hàng tại website của doanh nghiệp. Do đó, vấn đề đặt ra ở đây
là làm thế nào đảm bảo an toàn và bảo mật thông tin khách hàng cho công ty
Thực phẩm Hà Nội.
1.2 Xác lập và tuyên bố vấn đề nghiên cứu của đề tài luận văn
Đề tài tập trung giải quyết vấn đề về an toàn và bảo mật thông tin
khách hàng tại công ty Thực phẩm Hà Nội qua mạng Internet. Vì vậy, em
xin đề xuất hướng đề tài nghiên cứu luận văn tốt nghiệp của mình là:
“Giải pháp an toàn và bảo mật thông tin khách hàng tại công ty
Thực phẩm Hà Nội”.
1.3 Các mục tiêu nghiên cứu của đề tài luận văn
Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một số cơ
sở lý luận cơ bản về an toàn và bảo mật thông tin, nghiên cứu bằng những
phương pháp khác nhau như thu thập các cơ sở dữ liệu sơ cấp và thứ cấp. Từ
đó xem xét đánh giá phân tích thực trạng vấn đề an toàn bảo mật thông tin
tại website www.thucphamhanoi. com.vn để đưa ra những ưu nhược điểm.
Từ những đánh giá phân tích này đưa ra một số kiến nghị đề xuất một số giải
pháp nhằm đảm bảo an toàn và bảo mật thông tin cho khách hàng thông qua
website www.thucphamhanoi. com.vn , nhằm hoàn thiện và nâng cao các
tính năng của website, tăng niềm tin của khách hàng đối với website từ đó

nâng cao vị thế cạnh tranh của công ty Thực phẩm Hà Nội và đáp ứng nhu
cầu ngày càng cao của người tiêu dùng trên thị trường TMĐT.
1.4 Phạm vi nghiên cứu của đề tài luận văn
Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên
cứu của đề tài chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và
trong giới hạn khoảng thời gian ngắn hạn. Cụ thể:
Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn và bảo
mật thông tin tại công ty Thực phẩm Hà Nội nhằm đưa ra một số giải pháp
an toàn và bảo mật thông tin khách hàng công ty Thực phẩm Hà Nội.
Về thời gian: Các số liệu được khảo sát từ năm 2005 - 2008, đồng thời
trình bày các nhóm giải pháp định hướng phát triển đến trong thời gian tới.
! K Kết cấu của đề tài luận văn
Cấu trúc luận văn gồm 4 chương, cụ thể:
Chương I: Tổng quan nghiên cứu đề tài.
Chương II: Một số vấn đề lý luận cơ bản về quy trình an toàn và bảo mật
thông tin khách hàng.
Chương III: Phương pháp nghiên cứu và kết quả phân tích thực trạng an
toàn và bảo mật thông tin khách hàng tại công ty Thực phẩm Hà Nội.
Chương IV: Các kết luận và giải pháp an toàn bảo mật thông tin khách hàng
cho công ty Thực phẩm Hà Nội .
CHƯƠNG 2: MỘT SỐ VẤN ĐỀ LÝ LUẬN CƠ BẢN VỀ AN TOÀN
VÀ BẢO MẬT THÔNG TIN KHÁCH HÀNG
2.1 Tổng quan về an toàn và bảo mật thông tin
2.1.1 Khái niệm an toàn dữ liệu và bảo mật thông tin
Trước đây việc giao dịch được thực hiện trực tiếp giữa bên mua và
bên bán theo hình thức “tiền trao, cháo múc” nên khó có thể xảy ra lừa đảo.
Ngày nay thì việc giao dịch trực tiếp ngày càng giảm, giao dịch từ xa ngày
càng tăng. Bên mua và bên bán không gặp nhau trực tiếp, do đó rất dễ bị lừa
đảo, gây mất mát về thông tin cũng như tài sản.
Thông tin của các cá nhân, tổ chức và các giao dịch có nhiều nguy cơ bị bên

thứ ba biết được. Thông tin thật dễ dàng thay bị sửa đổi, tạo thành thông tin
giả mạo để lừa đảo. Có thể kể tới các trường hợp bị tin tặc tấn công, bị giả
mạo, từ chối thanh toán, sử dụng thẻ thanh toán giả - hết hạn; việc mất an
toàn khi tiến hành giao dịch do thông tin bị lộ. Do đó, việc bảo mật thông tin
và an toàn dữ liệu là rất cần thiết. Vậy ta cần tìm hiểu thế nào là an toàn dữ
liệu?
An toàn dữ liệu (ATDL) là quá trình đảm bảo cho hệ thống dữ liệu
tránh khỏi những nguy cơ hỏng hóc hoặc mất mát. Các nguy cơ tiềm ẩn về
khả năng mất an toàn thông tin ngẫu nhiên như thiên tai, hỏng vật lí, mất
điện… và các nguy cơ có chủ định như tin tặc, cá nhân bên ngoài, phá hỏng
vật lí, can thiệp có chủ ý Nhu cầu bảo mật thông tin của các tổ chức và cá
nhân đang cấp bách hơn bao giờ hết. Trong thương mại điện tử, an toàn dữ
liệu nghiên cứu về những nguy cơ gây mất an toàn, tránh khỏi những nguy
cơ này trong quá trình sử dụng hình thức kinh doanh trong giao dịch thương
mại điện tử.
An toàn dữ liệu đó là việc đảm bảo được tính bảo mật qua việc đảm
bảo dữ liệu của người sử dụng luôn được bảo vệ, không bị mất mát. Dữ liệu
không bị tạo ra, sửa đổi hay xóa bởi những người không sở hữu và luôn
trong trạng thái sẵn sàng. Đồng thời có tính tin cậy đảm bảo thông tin mà
người dùng nhận được là đúng. Trong TMĐT, cần chú trọng đến việc dữ
liệu lưu trữ cũng như trao đổi giữa hai bên giao dịch phải được giữ bí mật,
đảm bảo không bị lộ. Thông tin giao dịch giữa hai bên không bị sửa đổi hay
bị giả mạo bởi một bên thứ ba. Đảm bảo độ minh bạch giữa hai bên thực
hiện giao dịch.
Mục tiêu của ATDL là việc phát hiện các lỗ hổng của hệ thống dữ
liệu, dự đoán trước những nguy cơ tấn công, ngăn chặn những hành động
gây mất an toàn dữ liệu từ bên trong cũng như bên ngoài. Phục hồi tổn thất
khi hệ thống dữ liệu bị tấn công. Trong TMĐT thì mục tiêu đó là phát hiện
sớm các lỗ hổng trong các hình thức giao dịch và thanh toán điện tử, đưa ra
các mô hình và giải pháp nhằm đảm bảo cho TMĐT đạt được độ an toàn cao

nhất, các phương pháp khắc phục hậu quả và đảm bảo lợi ích cho người sử
dụng.
2.1.2 Các hình thức tấn công dữ liệu trong thương mại điện tử
Các hình thức tấn công trong TMĐT có thể kể đến là hình thức tấn
công dữ liệu thụ động và tấn công chủ động. Có thể hiểu đó là hình thức lấy
cắp hoặc thay đổi, phá hoại dữ liệu trái phép. Vi phạm tính toàn vẹn, sẵn
sàng dữ liệu.
Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin
trên đường truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ
nguồn đến đích. Tấn công thụ động rất khó phát hiện và khó phòng tránh
nên rất nguy hiểm. Hiện nay tấn công thụ động đang ngày càng phát triển do
đó cần có các biện pháp phòng tránh trước khi tấn công xảy ra.
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp
được lưu lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công
trực tuyến (online) và tấn công ngoại tuyến (offline). Tấn công offline có
mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trực tiếp đến tài sản nạn
nhân. Ví dụ, thủ phạm có quyền truy cập máy tính của người dùng dễ dàng
cài đặt trình “key logger” hay trình gián điệp để thu thập dữ liệu của người
dùng.
Tấn công offline có phạm vi hạn chế và hiệu suất thấp. Đây là dạng
đánh cắp tài khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng
không tốn bất kỳ chi phí nào. Người dùng có thể trở thành nạn nhân của kiểu
tấn công này đơn giản chỉ vì họ để lộ password hay lưu ở dạng không mã
hóa trong tập tin có tên dễ đoán trên đĩa cứng. Một nghiên cứu gần đây cho
thấy 50% vụ đánh cắp tài khoản do người gần gũi với nạn nhân thực hiện.
Tấn công online không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số
đông người dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo
hay lợi dụng sự cả tin của người dùng để đánh cắp tài khoản.
Dạng tấn công này có hiệu suất khá cao, lên đến 3% (theo một báo cáo của
Computer World). Hình thức phổ biến nhất của tấn công online là phishing.

Phishing là một loại tấn công phi kỹ thuật, dùng đánh cắp các thông tin nhạy
cảm bằng cách giả mạo người gửi, cách phòng tránh duy nhất là ý thức của
người dùng.
Bên cạnh đó hình thức tấn công chủ động là hình thức tấn công có sự
can thiệp vào dữ liệu nhằm sửa đổi, thay thế làm lệch đường đi của dữ liệu.
Đặc điểm của nó là có khả năng chặn các gói tin trên đường truyền, dữ liệu
từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ động tuy nguy hiểm nhưng
lại dễ phát hiện được.
Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản
trong thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ
thuật cao.
Biện pháp phòng vệ tốt nhất chống lại kiểu tấn công chủ động là bảo
mật máy tính phía người dùng: đảm bảo hệ điều hành và tất cả ứng dụng
được cập nhật và vá đầy đủ, cập nhật cơ sở dữ liệu nhận dạng virus và
malware, dùng firewall cho các kết nối Internet, dùng công cụ chống
spyware và malware nhằm đảm bảo máy tính không cài đặt những chương
trình không cần thiết Bộ lọc chống phishing cũng giúp giảm khả năng
người dùng "đi lạc" sang các website lừa đảo.
Ngoài ra còn một số hình thức tấn công như tấn công lặp lại là việc
bắt thông điệp, chờ thời gian và gửi tiếp. Hay tấn công từ chối dịch vụ (DoS
- Denial of Service) là tên gọi chung của kiểu tấn công làm cho một hệ thống
nào đó bị quá tải dẫn tới không thể cung cấp dịch vụ, hoặc phải ngưng hoạt
động. DoS lợi dụng sự yếu kém trong mô hình bắt tay 3 bước của TCP/IP,
liên tục gửi các gói tin yêu cầu kết nối đến server, làm server bị quá tải dẫn
đến không thể phục vụ các kết nối khác.
Tấn công dữ liệu trên thực tế thường là sử dụng virus, trojan để ăn cắp
dữ liệu, lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ
thuật. Với mục đích nhằm lấy cắp hoặc phá hỏng dữ liệu cũng như các
chương trình ứng dụng.
2.1.3 Các phương pháp phòng tránh, khắc phục hậu quả và công cụ để đảm

bảo an toàn dữ liệu, bảo mật thông tin.
Đối với thông tin, dữ liệu có giá trị thì nguy cơ bị tấn công xảy ra
hàng giờ. Ngoài các nguy cơ từ mạng Internet thì không nên loại trừ nguyên
nhân từ chính cá nhân trong công ty. Với nguy cơ từ các cá nhân trong chính
doanh nghiệp thì phải phân quyền người sử dụng. Với nguy cơ mất mát hoặc
dữ liệu bị thay đổi, giả mạo trong quá trình truyền nên bảo mật kênh truyền
dữ liệu. Tránh rò rỉ thông tin hoặc hạn chế thông thương dữ liệu của doanh
nghiệp và các cá nhân trong doanh nghiệp hãy đặt tường lửa. Bên cạnh đó sử
dụng các hệ thống Backup, sao lưu dự phòng
Dữ liệu trong khi truyền giữa người gửi và người nhận là lúc dễ bị tấn
công nhất. Hầu hết các phương pháp tấn công nhằm vào dữ liệu đều thực
hiện trong quá trình giao dịch điện tử. Dó đó bảo mật kênh truyền dữ liệu
trong việc thực hiện các giao dịch thương mại điện tử là rất quan trọng. Hiện
nay bảo mật kênh truyền chủ yếu tập trung vào các giao thức mã hóa. Một số
giao thức bảo mật kênh truyền dữ liệu như giao thức SSL – Secure Socket
Layer, giao thức SET - Secure Electronic, giao thức WEP – Wireless
Encryption Protocol.
SSL – Secure Socket Layer là giao thức đa mục đích, được thiết kế
nhằm tạo các giao tiếp giữa hai chương trình ứng dụng trên một cổng định
trước (socket 443) để mã hoá toàn bộ thông tin đi, đến. Hiện nay SSL đã trở
thành chuẩn bảo mật thực hành trên mạng Internet.
SSL xây dựng trên tầng giao vận của mô hình TCP/IP. Qua đó bất kỳ
ứng dụng mạng nào khi cài đặt sử dụng mô hình TCP/IP đều có thể thay đổi
cấu hình để có thể sử dụng giao thức SSL.
SSL được ứng dụng rộng rãi trong các giao dịch yêu cầu thành toán
qua mạng, được hỗ trợ bởi hầu hết các trình duyệt và các phần mềm phía
server, được thiết kế độc lập với tầng ứng dụng nên có thể sử dụng cho
nhiều ứng dụng khác nhau và mọi hoạt động của SSL đều trong suốt với
người sử dụng.
Bên cạnh đó SSL không có những cơ chế xác nhận người dung một

cách chắc chắn. Người mua hàng có nguy cơ bị lộ thông tin về tài khoản.
Vẫn có khả năng bị các hacker dò tìm ra khóa bí mật dùng để mã hóa thông
tin. Nhiều người dùng vẫn đang dùng SSL V2.0 thay vì SSL V3.0 và không
có cơ chế xác nhận lẫn nhau trong quá trình thiết lập giao thức bắt tay.
Để khắc phục những hạn chế của SSL thì Visa và Master card đã phát
triển giao thức giao thức SET - Secure Electronic nhằm hỗ trợ bảo mật trong
thanh toán trực tuyến qua mạng dựa trên kỹ thuật sử dụng đồng tiền số. Giao
thức này được hỗ trợ bởi các công ty lớn như IBM, Microsolf, HP,
Netscape…
SET đảm bảo tính chính xác của thông tin cho bên gửi và bên nhận,
đảm bảo tính toàn vẹn của thông tin, rất an toàn do khó bị bẻ khóa. Qua đó
người dùng không sợ lộ các thông tin về tài khoản của mình khi tiến hành
các giao dịch trên mạng do tiến hành xác nhận qua ngân hàng trung gian.
Hạn chế tình trạng từ chối dịch vụ và lừa đảo qua mạng do có cơ chế xác
thực cả hai phía. Tuy vậy SET có độ trễ khi giao dịch, do tính phức tạp của
các thuật toán mã hóa công khai, do thường xuyên tiến hành giao dịch với
các ngân hàng trung gian. Hệ thống công kềnh và quá trình giao dịch chậm:
Thường xuyên backup các dữ liệu. Chi phí cao cho thiết bị phần cứng: SET
yêu cầu các thiết bị phần cứng chuyên dụng. Yêu cầu cài đặt phần mềm
chuyên dụng: Ví tiền điện tử cài đặt ở máy trạm.
Giao thức WEP – Wireless Encryption Protocol được thiết kế để đảm
bảo tính bảo mật cho mạng không dây, sử dụng phương thức mã hóa sử
dụng thuật toán đối xứng RC4. Với phương thức mã hóa RC4, WEP được
xem như một phương thức kiểm soát truy cập.
Do WEP có hạn chế là sử dụng RC4 cùng giá trị Initialization Vector
(IV) nên có các vấn đề: cùng IV gây nên vấn đề va chạm, dễ dàng phát hiện
IV và bẻ khóa WEP, tấn công thụ động phát triển càng gây khó khăn cho
người bảo mật dữ liệu. Giải pháp WEP tối ưu đó là kết hợp WEP và các giải
pháp khác, gia tăng mức độ bảo mật cho WEP như việc sử dụng khóa WEP
có độ dài 128 bit, thực thi chính sách thay đổi khóa WEP định kỳ, sử dụng

các công cụ theo dõi số liệu thống kê dữ liệu trên đường truyền không dây.
FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống
lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như
hạn chế sự xâm nhập vào hệ thông của một số thông tin khác không mong
muốn. Tư tưởng cơ bản của Firewall là đặt cấu hình mạng sao cho tất cả các
thông tin vào ra mạng đều phải đi qua một máy được chỉ định, và đó chính là
Firewall.
FireWall quyết định những dịch vụ nào từ bên trong được phép truy
cập từ bên ngoài, những người nào từ bên ngoài được phép truy cập đến các
dịch vụ bên trong, và cả những dịch vụ nào bên ngoài được phép truy cập
bởi những người bên trong. Firewall là chặn những luồng thông tin có khả
năng nguy hại đến sự an toàn của mạng máy tính. Lưu giữ các thông tin
quan trọng và nhạy cảm của đơn vị tránh khỏi sự xâm nhập trái phép từ bên
ngoài. Với nhiệm vụ cơ bản là bảo vệ dữ liệu đó là những thông tin cần được
bảo vệ do những yêu cầu bảo mật, tính toàn vẹn, tính kịp thời. bảo vệ tài
nguyên hệ thống, danh tiếng của công ty sở hữu các thông tin cần bảo vệ.
Tuy nhiên Firewall hạn chế quyền truy nhập của người dùng vào
mạng internet. Có những hạn chế trong khi bị tấn công từ bên trong mạng,
như một người nào đó sử dụng các thiết bị lưu trữ kết nối trực tiếp vào các
máy tính và ăn cắp các thông tin trên máy. Gây ra hiện tượng thắt cổ chai tại
bức tường lửa.
2.2 Vai trò và ứng dụng của an toàn dữ liệu, bảo mật thông tin trong
giao dịch thương mại điện tử
2.2.1 Vai trò của của an toàn dữ liệu, bảo mật thông tin trong giao dịch
thương mại điện tử
Theo dõi vấn đề an ninh mạng năm 2008, chúng ta có thể thấy hầu hết
các website của các cơ quan doanh nghiệp đều bị hackers tấn công. Theo
thống kê của BKIS, trên 60% website đã bị hacker tấn công, hacker Việt
Nam trình độ thủ thuật tinh vi hơn. Chính vì thế mà việc lây lan virus và tấn
công trở nên rất nguy hiểm .

Vừa qua, một loạt website bị thay đổi nội dung thông tin, chiếm
quyền điều khiển, thậm chí bị thay đổi tên miền, bị chiếm quyền sử dụng.
Kẻ xấu luôn lợi dụng những không gian mạng để làm việc rửa tiền, ăn cắp
tài khoản hay thực hiện những mục đích cạnh tranh không lành mạnh. Thị
trường chứng khoán nước ta phát triển những năm gần đây đang có hướng
tiêu cực, tức là xuống dốc rất nhanh. Nếu hệ thống thông tin cho thị trường
chứng khoán không an toàn sẽ rất nguy hiểm và có thể đi đến sập đổ thị
trường.
Sự phức tạp và các mối đe doạ về sự mất an toàn bảo mật hệ thống
thông tin ngày càng tăng. Tìm được một giải pháp tổng thể với chi phí hợp
lý là điều không dễ cho các doanh nghiệp. Mặt khác, nhiều dự án về phía
Nhà nước triển khai chậm cũng gây khó dễ cho các tổ chức và doanh nghiệp
trong nhiều lĩnh vực. Cho nên, vấn đề sống còn cần phải làm là phải đảm
bảo an toàn bảo mật cho các giao dịch, cho hệ thống thông tin của ngành và
của các doanh nghiệp.
2.2.2 Ứng dụng của an toàn dữ liệu và bảo mật thông tin trong giao dịch
thương mại điện tử
Chữ ký điện tử (hay chữ ký số - Digital Signature) được tạo lập dưới
dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương
tiện điện tử, gắn liền hoặc kết hợp một cách logic với thông điệp dữ liệu, có
khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận
của người đó đối với nội dung thông điệp dữ liệu được ký” (Điều 21, Khoản
1, Luật giao dịch điện tử ).
Chữ ký điện tử được sử dụng để xác nhận tính hợp pháp của một văn
bản hay hợp đồng trong các giao dịch điện tử. Nó có khả năng kiểm tra được
người ký và thời gian ký, có khả năng xác thực các nội dung tại thời điểm
ký, các thành viên thứ ba có thể kiểm tra chữ ký để giải quyết các tranh chấp
(nếu có).
Chữ ký điện tử hoạt động dựa trên hệ mã hóa công khai trong đó mỗi
người tham gia truyền thông có 1 cặp khóa (1 khóa công khai và một khóa bí

mật). Khóa công khai được công bố rộng rãi. Khóa bí mật chỉ cá nhân người
sở hữu biết. Thông tin được mã hóa bằng khóa công khai có thể dùng khóa
bí mật để giải mã và ngược lại. Chữ ký điện tử đảm bảo tính không thể chối
cãi. Có thể sử dụng chữ ký điện tử để thiết lập một kênh truyền tin có xác
nhận giữa bên gửi và bên nhận. Bên cạnh đó thuật toán sinh chữ ký điện tử
tiêu tốn thời gian dẫn đến việc làm cho quá trình giao dịch bị chậm.
Chứng thực số là một hoạt động chứng thực danh tính của những
người tham gia vào việc gửi và nhận thông tin qua kênh truyền, cung cấp
cho họ các công cụ, các dịch vụ cần thiết để thực hiện việc bảo mật thông
tin, chứng thực nguồn gốc và nội dung thông tin. Chứng thực điện tử được
cấp bởi một cơ quan chứng thực có uy tín trên thế giới. Một chứng thực điện
tử bao gồm: Khóa công khai của người sở hữu chứng thực điện tử này, các
thông tin riêng của người sở hữu chứng thực, hạn sử dụng, tên cơ quan cấp
chứng thực điện tử, số hiệu của chứng thực và chữ ký của nhà cung cấp. Một
số chứng thực điện tử đang sử dụng như: Chứng thực cho máy chủ Web
(Server Certificate), chứng thực cho các phần mềm, chứng thực cá nhân,
chứng thực của các nhà cung cấp chứng thực điện tử.
An toàn dữ liệu thanh toán điện tử là một hệ thống cho phép các bên
tham gia mua và bán tiến hành thanh toán với nhau. Các khâu xử lý trong
thanh toán điện tử được thực hiện hoàn toàn trên các máy tính. Bản chất của
nó là mô phỏng lại những mô hình thanh toán trong mua bán truyền thống
nhưng được thực hiện thông qua các máy tính nối mạng với các giao thức
riêng, chuyên dụng.
Mô tả hoạt động của một hệ thống thương mại có nhiều bên tham gia:
Người mua (người trả tiền) và người bán (người được trả tiền). Đại diện bởi
các máy tính của mình và các máy tính này được nối với nhau thông qua
mạng máy tính để thực hiện các giao thức thanh toán điện tử. Có sự tham gia
của các tổ chức tài chính như là các ngân hàng đại diện cho mỗi bên.
Trong an toàn dữ liệu thanh toán điện tử, các bên khi tham gia giao
dịch thay vì chuyển tiền sẽ trao đổi với nhau các chứng từ được số hóa. Bản

chất của quá trình này là các bên tham gia sẽ sử dụng hệ thống ngân hàng để
thực hiện việc chuyền tiền mặt vào tài khoản của nhau trong quá trình giao
dịch.
Hệ thống thanh toán điện tử mang tính độc lập vật lý đảm bảo an toàn
của tiền điện tử không phụ thuộc vào bất kỳ điều kiện vật lý nào. An toàn vì
khả năng ngăn chặn gian lận và giả mạo. Có thể thanh toán ngoại tuyến,
chuyển nhượng và phân chia.
Website là một phần của tổ hợp cơ sở hạ tầng của doanh nghiệp. Vì
vậy không có gì đáng ngạc nhiên khi rất nhiều doanh nghiệp dành sự quan
tâm đặc biệt đến vấn đề bảo mật. Theo các báo cáo của tổ chức Positive
Technologies, trên 50% các cuộc tấn công là thông qua web. Công ty và tên
sản phẩm càng nổi tiếng thì khả năng bị tấn công càng cao. Thêm vào đó,
việc mất dữ liệu và thông tin khách hàng sẽ dẫn tới thiệt hại lớn.
Một công ty sẽ phải lựa chọn nhà phát triển website và phải bảo vệ
website như thế nào trước những vấn đề đã nêu trên. Một hệ thống bảo mật
chủ yếu không phải là do việc tạo ra nó mà là do quá trình duy trì hệ thống
sau này. Tính bảo mật của môi trường thông tin và các ứng dụng web phải
thường xuyên được kiểm tra ở tất cả các bước tạo hệ thống.
Ta biết rằng website là một hình thức trao đổi thông tin mang tính
công cộng, có số lượng người truy cập vào hàng ngày là rất lớn, do đó việc
xác định danh tính khách hàng là hết sức khó khăn. Công tác đảm bảo an
toàn cho trang web vừa phải đồng thời với việc tạo cho web hoạt động liên
tục và không hạn chế người truy cập. Mỗi một trang web đều được dùng để
quảng bá hình ảnh của doanh nghiệp, do đó nếu trang web bị tấn công thì
việc quảng bá sản phẩm bị thất bại và hình ảnh doanh nghiệp cũng suy giảm
nhanh chóng. Hiện nay mỗi trang web đều có nguy cơ bị tấn công từ nhiều
phía bởi nó có chứa cơ sở dữ liệu là các thông tin nhạy cảm của doanh
nghiệp, của đối tác doanh nghiệp cũng như thông tin của khách hàng.
Bảo mật web là hình thức bảo vệ các thông tin và tài nguyên của hệ
thống máy tính. Hacker sẽ tấn công vào máy tính của người dùng để lấy cắp

thông tin khi nhận và truyền tin. Tấn công vào hệ thống máy chủ lấy cắp
thông tin của hệ thống hoặc làm tê liệt hoạt động của hệ thống máy chủ web.
Có thể giả mạo người dùng để thực hiện các giao dịch giả và nghe lén thông
tin trên đường truyền. Hiện nay các phương pháp sử dụng để bảo mật web
đó là bảo mật Server, máy cá nhân, đường truyền và bảo mật thanh toán điện
tử.
Bên cạnh đó ta cũng có một số giải pháp khác đảm bảo an toàn trong
TMĐT đó là mạng vành đai (Demilitarized Zone - DMZ), tường lửa cá nhân
(Personal Firewall), mạng riêng ảo (Virtual Private Network).
2.3 Tổng quan tình hình khách thể nghiên cứu của những công trình
năm trước
Trong 3 - 5 năm trở lại đây thì cũng có khá nhiều các đề tài nghiên cứu,
sách, đề tài khoa học, luận văn, luận án, bài báo trên các tạp chí, kỉ yếu hội
thảo khoa học về vấn đề an toàn thông tin, dữ liệu và bảo mật. Tuy nhiên
lượng giáo trình về vấn đề này còn khá ít, hầu hết là sách nước ngoài. Ở Việt
Nam có thể kể tới:
- Giáo trình “An toàn dữ liệu”- Bộ môn CNTT, Đại học Thương Mại,
2007. Trong giáo trình, tác giả đã cung cấp những kiến thức cơ bản về an
toàn dữ liệu và sự cần thiết của việc đảm bảo an toàn dữ liệu. Cung cấp
thông tin về các nguy cơ tấn công dữ liệu và phương pháp đảm bảo an toàn
cho hệ thống dữ liệu. Bên cạnh đó giới thiệu một số ứng dụng của an toàn
dữ liệu trong TMĐT.
- Giáo trình “ Lý thuyết mật mã và an toàn thông tin”, Đại học Quốc gia
Hà Nội, Phan Đình Diệu, 1999. Nội dung chính là khái quát chung về lý
thuyết mật mã, các công cụ toán học có liên quan đến việc đảm bảo an toàn
thông tin. Hệ mật khoá đối xứng, hệ mật khoá công khai; DES; Hệ Balô, hệ
RSA và một số hệ khoá công khai khác; Chữ ký điện tử, ứng dụng và thực
hành
Một số đề tài nghiên cứu xây dựng hệ thống lưu trữ và quản lý tài
liệu. Nghiên cứu công nghệ quản lý tài liệu dựa trên các công nghệ cao. Sử

dụng cho mục đích xây dựng các dịch vụ lưu trữ, tìm kiếm hồ sơ, tài liệu cho
các tổ chức hoặc cá nhân thông qua Internet Các luận văn nghiên cứu về
mật mã và các vấn đề an ninh thông tin trên cơ sở nghiên cứu các phương
pháp mã hoá và giải mã, trong đó tập trung vào mã hoá sử dụng khoá công
khai. Các tính chất của chữ ký số trong việc bảo đảm an toàn và bảo mật
thông tin. Sử dụng thuật toán mã hoá RSA và thuật toán băm MD5 để xây
dựng ứng dụng chữ ký số tích hợp trên MSWORD.
2.4 Tổng quan tình hình nghiên cứu của Việt Nam và thế giới về an toàn
và bảo mật thông tin
Những mối đe dọa trực tuyến và nạn ăn cắp thông tin không còn là
vấn đề mang tính công nghệ nữa mà chúng trở thành mối quan ngại chung
cho cả cộng đồng về bảo mật và an ninh chung.
Theo ước tính của McAfee trong năm 2008, các doanh nghiệp trên
toàn thế giới đã thiệt hại hơn 1.000 tỷ USD do các vụ mất cắp sở hữu trí tuệ
và việc khắc phục thiệt hại do mất an toàn thông tin gây ra. Ba nguy cơ
chính dẫn đến rò rỉ thông tin, xâm nhập hệ thống bất hợp pháp là sự cắt giảm
chi phí, sao nhãng hệ thống an ninh; gia tăng tội phạm công nghệ cao và từ
chính nhân viên trong tổ chức. McAfee cũng đưa ra dự báo sự suy yếu của
kinh tế thế giới sẽ làm gia tăng các vụ mất cắp dữ liệu trong năm 2009.
Tại Việt Nam, không gian mạng đã dần trở thành một xã hội thực tế
thu nhỏ, với đầy đủ các thành phần phức tạp và nguy cơ về an toàn thông tin.
Theo Cục Công nghệ Tin học Nghiệp vụ, Tổng cục kỹ thuật, Bộ Công an,
Việt Nam tồn tại nhiều lỗ hổng an ninh nghiêm trọng, số website bị hacker
tấn công là 461 vụ, trong đó có 251 vụ do hacker nước ngoài thực hiện.
Theo BKIS so với năm 2007, mỗi tháng có vài chục trang web của Việt Nam
bị hacker tấn công. Cũng theo E15, năm 2008, Việt Nam đã xảy ra hơn 40
vụ liên quan đến tội phạm công nghệ cao (CNC) gây thiệt hại 30.000 tỷ (gấp
10 lần so với năm 2007).
Theo khảo sát của VNCERT thì: Tình hình an toàn bảo mật thông tin,
đặc biệt trong lĩnh vực công nghệ thông tin, tài chính – ngân hàng tại Việt

Nam ngày càng đáng báo động và có thể diễn biến phức tạp trong năm tới.
Trong năm 2008, kết quả nghiên cứu khảo sát điều tra của VNCERT và
Hiệp hội An toàn thông tin Việt Nam cho thấy thực trạng về đảm bảo an
toàn thông tin trong các cơ quan và doanh nghiệp hoàn toàn chưa đáp ứng
yêu cầu. Có trên 50% các cơ sở lỏng lẻo, chưa có quy chế an toàn thông tin;
chưa có quy trình ứng phó. Các quy trình báo cáo sự cố chưa đầy đủ và chưa
sử dụng nhiều hỗ trợ của lực lượng chuyên nghiệp; công nghệ lạc hậu; trình
độ hiểu biết và khả năng đánh giá nguy cơ thấp; khó khăn được kể lớn nhất
vẫn ở khâu nhận thức và trình độ chuyên nghiệp.
2.5 Phân định nội dung vấn đề nghiên cứu
Mục tiêu đề tài là làm rõ được thế nào là an toàn và bảo mật thông tin
trong TMĐT, thực trạng và các giải pháp nhằm đảm bảo an toàn dữ liệu và
bảo mật thông tin khách khàng trong TMĐT, sau đó áp dụng vào website
www.thucphamhanoi.com.vn của công ty Thực phẩm Hà Nội.
Căn cứ vào tên đề tài và mục tiêu nghiên cứu của đề tài, em xin phân
định nội dung vấn đề nghiên cứu như sau:
• Nghiên cứu về an toàn dữ liệu, bảo mật thông tin, an toàn thông tin
cho khách hàng và doanh nghiệp.
• Nghiên cứu tổng quan về các hình thức tấn công, phương pháp phòng
tránh khắc phục hậu quả và công cụ để đảm bảo an toàn dữ liệu bảo mật
thông tin.
• Nghiên cứu về vai trò và ứng dụng của an toàn bảo mật thông tin
trong giao dịch thương mại điện tử.
• Nghiên cứu về tình hình ứng dụng an toàn và bảo mật thông tin trong
các doanh nghiệp Việt Nam hiện nay và trên thế giới.
• Nghiên cứu thực trạng an toàn bảo mật thông tin tại công ty Thực
phẩm Hà Nội.
• Đưa ra các giải pháp nhằm đảm bảo an toàn thông tin khách hàng cho
công ty Thực phẩm Hà Nội.