Tải bản đầy đủ (.docx) (61 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Kinh tế - Thương mại

Giải pháp ATBM TT cho website www.hgi.com.vn tại Công ty đầu tư tài chính Hà Nội Vàng hgi

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (931.33 KB, 61 trang )

MỤC LỤC
1
1
LỜI CẢM ƠN
Khóa luận tốt nghiệp là bước cuối cùng dánh dấu sự trưởng thành của một
sinh viên ở giảng đường đại học để trở thành một kỹ sư hay một cử nhân đóng góp
những kiến thức đã học được trên giảng đường vào sự phát triển của đất nước.
Trong quá trình làm khóa luận tốt nghiệp, em đã nhận được sự giúp đỡ tận tình,
sự hỗ trợ động viên từ gia đình, từ quý thầy cô, cùng các bạn. Nhờ đó mà em đã hoàn
thành được luận văn tốt nghiệp như mong muốn, nay cho em xin phép được gửi lời
cảm ơn chân thành và sâu sắc đến :
Ban giám hiệu cùng toàn thể các thầy cô và cán bộ công nhân viên trường đại
học thương mại, vì đã tạo điều kiện cho chúng em học tập và hoàn thiện các kỹ năng
của bản thân, dìu dắt và hỗ trợ chúng em để giúp chúng em hoàn thiện phẩm chất
con người. Đặc biệt, em xin trân trọng cám ơn các thầy cô trong khoa Tin Học Thương
Mại, các thầy cô đã trang bị đầy đủ các nền tảng kiến thức vững chắc , trang bị cho
chúng em phương tiện vào cuộc sống.
Em xin gửi lời cảm ơn trân thành đến ban lãnh đạo và tập thể nhân viên công
ty cổ phần đầu tư tài chính Hà Nội Vàng vì đã luôn hết lòng, hỗ trợ , giúp đỡ em trong
thời gian em thực tập và nghiên cứu tại công ty.
Đặc biệt, em xin trân thành cảm ơn PGS TS Đàm Gia Mạnh, người thầy trực
tiếp hướng dẫn em làm khóa luận này, người đã luôn luôn tận tình chỉ bảo và hướng
dẫn em thực hiện đề tài, giúp em chỉnh sửa, giải quyết các vấn đề này sinh.Nếu như
không có sự giúp đỡ của thầy, em đã không có được kết quả nghiên cứu của ngày hôm
nay. Em cảm ơn thầy đã hướng dẫn em tận tình suốt thời gian qua.
Con xin cảm ơn bố mẹ, gia đình đã mang lại cho con cuộc sống này và đã luôn
luôn ở bên cạnh con , động viên con cố gắng. Cảm ơn các bạn thân thiết đã luôn bên
cạnh , chia sẻ buồn vui trong công việc và trong cuộc sống
Em xin chân thành cảm ơn
Bùi Thị Ngân
2


2
DANH MỤC BẢNG BIỂU,SƠ ĐỒ, HÌNH VẼ
Hình 1.2: Sơ đồ tổ chức công ty đầu tư tài chính HGI.
Bảng 1.3: báo cáo tài chính
Hình 2.1. Giao diện chính website của công ty HGI
Hình 2.2. Hoạt động của website
Hình 2.3. Biểu đồ về tần suất cập nhật thông tin trên website
Hình 2.4. Sự quan tâm của khách hàng đến công tác bảo mật website của HGI
Hình 2.5. Biểu đồ về các thách thức trong công tác bảo mật của công ty
Hình 2.6. Nhận thức tầm quan trọng trong công tác bảo mật thông tin website
Hình 2.7. Thông tin về việc website bị tấn công
Hình 2.8. Các hình thức tấn công vào website của công ty
Hình 2.9. Kiến thức an toàn, bảo mật thông tin trong công ty
Hình 2.10. Giải pháp cần làm đầu tiên khi tiến hành an toàn thông tin cho website
Hình 2.11. Nguyên nhân tấn công DoS
Hình 2.12. Các phương pháp để phòng tránh các cuộc tấn công vào các ứngdụng trên
website
Hình 2.13. Dự kiến đầu tư cho công tác bảo mật thông tin qua website của công ty
3
3
DANH MỤC TỪ VIẾT TẮT
Danh mục từ viết tắt tiếng việt
STT Từ viết tắt Nghĩa của từ viết tắt
1 ATBM TT An toàn bảo mật thông tin
2 CNTT Công nghệ thông tin
3 CSDL Cơ sở dữ liệu
4 DN Doanh nghiệp
5 ĐH Đại học
6 HTTT Hệ thống thông tin
7 Th.S Thạc sĩ

8 TMĐT Thương mại điện tử
9 HGI Công ty cổ phần đầu tư tài chính Hà Nội Vàng
10 TS Tiến sĩ
DANH MỤC VIẾT TẮT TIẾNG ANH
Từ viết tắt Từ đầy đủ Nghĩa tiếng việt
DoS Denial of Service Tấn công từ chối dịch vụ
DDoS Distributed Denial Of Service Tấn công từ chối dịch vụ phân tán
IDS Intrusion Detection System Hệ thống phát hiện xâm nhập
SQL Structured Query Language Ngôn ngữ truy vấn mang tính truy vấn
VPN Virtual Private Network Mạng riêng ảo
4
4
PHẦN I: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI
1.1. Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu.
Xã hội của công nghệ thông tin đang len lỏi vào mọi hình thức kinh doanh của
xã hội và giúp thúc đẩy quá trình kinh doanh diễn ra nhanh hơn, mạnh mẽ hơn. Ngày
nay các phương pháp kinh doanh buôn bán qua mạng trở thành một nhân tố không thể
thiếu giúp thúc đẩy quá trình sản xuất và lưu thông hàng hóa , chính sự bùng nổ của
internet đã tạo ra một cơ hội kinh doanh lớn cho tất cả các cá nhân, doanh nghiệp
nhưng cũng tiềm ẩn các rủi ro thiệt hại như truy cập bất hợp pháp, đánh cắp dữ liệu,
virut , rò rỉ thông tin quan trọng, lỗ hổng trên hệ thống…. mất an toàn dữ liệu đã trở
thành mối lo ngại cho các nhà quản lý, điều hành ở mọi cấp, ở bất kỳ quốc gia nào. Vấn
đề ATBM TT đã trở thành nhu cầu cấp thiết của mọi cá nhân, tổ chức trong xã hội.
Cùng với sự phát triển của TMĐT và internet, ngày nay bất cứ một thứ hàng hóa
nào cũng đều có thể được giao dịch qua mạng internet , ngay cả các dịch vụ như tài
chính- đầu tư cũng được giao dịch khớp lệnh qua internet, do vậy mà thị trường tài
chính toàn cầu trở nên thân thiện hơn, minh bạch hơn và không giới hạn khoảng cách
địa lý giữa mọi nhà đầu tư và các tổ chức vì giao dịch nhờ vào các công ty trung gian
cung cấp sản phẩm tài chính- đầu tư đảm bảo cho khách hàng như công ty đầu tư tài
chính Hà Nội Vàng HGI. Nắm bắt được sự cần thiết phải cho ra đời website của công

ty để nhằm đảm bảo phát triển sản phẩm của công ty, hgi.com.vn đã ra đời để cung cấp
các công cụ tài chính, các thông tin về thị trường tài chính toàn cầu cho khách hàng
của công ty. Vì công ty còn non trẻ và đang từng bước hoàn thiện hình ảnh và uy tín,
vì vậy website của công ty không thể tránh khỏi tấn công của tin tặc nhằm ăn cắp dữ
liệu khách hàng và Doanh nghiệp còn thiếu kinh nghiệm trong viêc quản lý , công tác
bảo mật thông tin trên website. Nếu website của công ty bị hacker tấn công thì tất cả
các thông tin của khách hàng, tài khoản ngân hàng, thông tin tài khoản giao dịch sẽ bị
lộ , vì vậy bảo mật thông tin cho website hgi.com.vn đang là mối quan tâm hết sức
quan trọng của lãnh đạo công ty đầu tư tài chính Hà Nội Vàng hgi nhằm củng cố niềm
tin của các nhà đầu tư khi sử dụng dịch vụ của công ty.
1.2. Tổng quan các vấn đề nghiên cứu
Trong 3 - 5 năm trở lại đây có khá nhiều các đề tài nghiên cứu, sách, đề tài khoa
học, luận văn, luận án, bài báo trên các tạp chí, kỉ yếu hội thảo khoa học… về vấn đề
5
an toàn thông tin, dữ liệu và bảo mật. Tuy nhiên lượng giáo trình về vấn đề này còn
khá ít, hầu hết là sách nước ngoài.
2.1.4.1. Tình hình nghiên cứu tại Việt Nam
Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại
điện tử” của Vũ Anh Tuấn (Khoa CNTT – Đại học Thái Nguyên). Luận văn đã đưa
ra được một số công cụ và phương pháp nhằm đảm bảo an toàn thông tin trong TMĐT
như: mã hóa, chữ ký số… Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ở
việc đảm bảo an toàn thông tin trong TMĐT chứ không bao quát được toàn bộ các vấn
đề về ATTT nói chung và đi sâu vào một doanh nghiệp cụ thể.
Đồ án tốt nghiệp “Nghiên cứu đảm bảo an toàn thông tin bằng kiểm soát truy
nhập” của Đoàn Trọng Hiệp (Khoa CNTT – Đại học dân lập Hải Phòng). Đồ án giúp
ta hiểu rõ hơn về các kĩ thuật, phương pháp và mô hình kiểm soát truy nhập nhằm đảm
bảo an toàn thông tin. Nhưng kết quả của đồ án chỉ là tìm hiểu, nghiên cứu tài liệu để
hệ thống lại các vấn đề chứ không đi vào ứng dụng tại một cơ quan hay tổ chức cụ thể.
Luận văn tốt nghiệp: “Giải pháp ATBM TT khách hàng tại Tổng Công ty
Thương mại Hà Nội” của Võ Kiếm Quân (Khoa HTTT – Đại học Công Nghệ Thông

Tin và Truyền Thông). Luận văn nghiên cứu khá chi tiết về tình hình an toàn thông tin
trong Tổng Công ty Thương mại Hà Nội, đồng thời đề ra được một số phương án, giải
pháp cải thiện tình hình an toàn thông tin. Dù vậy, luận văn vẫn còn một số hạn chế
như chỉ tập trung nghiên cứu về ATTT khách hàng,dựa trên các phương pháp bảo mật
CSDL và mạng mà chưa đi sâu đảm bản an toàn thông tin trước các cuộc tấn công vào
ứng dụng trên website.
Cùng với sự phát triển của CNTT trên thế giới, HTTT cũng bắt đầu phát huy vai
trò trong các tổ chức, doanh nghiệp. Từ đó, vấn đề an ninh thông tin được đặt ra. Đã
có rất nhiều tác giả nghiên cứu về vấn đề này, có thể kể đến như:
− “Information Systems Security Desings Methods: Implications for Information
Sysytems Deverlopment” Richard Baskerville, School of Managerment, Binghamton,
New York(1993).
− “Information Systems Security Management in the New Millenium”, Gurpeet Dhillon
and James Backhouse(Spain).
6
− “Management Planting Guidce for Information Systems Security Auditing”, National
State Auditors Association and the US General Accounting Office.
Trên đây là một số tài liệu nghiên cứu về an ninh thông tin trên thế giới. Các tài
liệu trên xuất phát từ các cá nhân, tổ chức từ các nước khác nhau nhưng đều hướng tới
mục tiêu chung là xây dựng một HTTT an toàn. Có thể thấy rằng, không chỉ ở Việt
Nam mà dù ở bất cứ quốc gia hay vùng lãnh thổ nào thì ATBM TT cũng là một vấn đề
cấp thiết.
Công ty đầu tư tài chính Hà Nội Vàng hgi đã đi vào hoạt động trong lĩnh vực
đầu tư tài chính được gần 3 năm. Công ty không chỉ mong muốn mang lại những dịch
vụ đầu tư tài chính tốt nhất và còn cam kết trở thành công ty mạnh nhất trong giao dịch
đầu tư tài chính, vì vậy việc cho ra đời website Hgi.com.vn để khẳng định và củng cố
niềm tin với các nhà đầu tư là tất yếu Nhưng việc áp dụng công nghệ thông tin vào bảo
mật website vẫn còn nhiều hạn chế , khó khăn như : xảy ra các vụ lừa đảo qua mạng,
các website thường xuyên bị tin tặc và virut tấn công, tình trạng mất an toàn thông tin
của khách hàng ngày càng gia tăng. Tình trạng mất an toàn thông tin khách hàng cũng

là vấn đề bức bách cần giải quyết tại Công ty đầu tư tài chính Hà Nội Vàng hgi, vừa
mới xây dựng website theo hướng TMĐT nên còn gặp rất nhiều khó khăn không chỉ
trong việc định hướng, xây dựng theo đúng tiêu chuẩn của website TMĐT mà công tác
ATBM TT cần có sự quan tâm đúng mức.
Trong bài khóa luận này, em tập trung giải quyết vấn đề ATBM TT cho website
tại Công ty Đầu tư tài chính Hà Nội Vàng qua mạng Internet. Vì vậy, em xin đề xuất
hướng nghiên cứu khóa luận tốt nghiệp với đề tài của mình là:“Giải pháp ATBM TT
cho website: www.hgi.com.vn tại Công ty đầu tư tài chính Hà Nội Vàng hgi”.
1.3. Các mục tiêu nghiên cứu của đề tài khóa luận
Mục tiêu nghiên cứu của đề tài là bao gồm hai mục tiêu sau
• Mục tiêu thứ nhất: Tập hợp và hệ thống hóa một số cơ sở lý luận cơ bản về ATBM TT,
nghiên cứu bằng những phương pháp khác nhau như thu thập các cơ sở dữ liệu sơ cấp
và thứ cấp, phỏng vấn chuyên gia. Từ đó, xem xét đánh giá phân tích thực trạng vấn đề
an toàn bảo mật thông tin cho website www.hgi.com.vn để đưa ra những ưu nhược
điểm.
7
• Mục tiêu thứ hai: Từ những đánh giá phân tích này đưa ra một số kiến nghị, đề xuất
một số giải pháp nhằm đảm bảo ATBM TT cho website www.hgi.com.vn, nhằm hoàn
thiện và nâng cao các tính năng của website, tăng niềm tin của khách hàng đối với
công ty, từ đó nâng cao vị thế cạnh tranh của công ty đầu tư tài chính Hà Nội Vàng hgi
và đáp ứng yêu cầu ngày càng cao của khách hàng trên thị trường tài chính- đầu tư.
1.4. Đối tượng và phạm vi nghiên cứu của đề tài khóa luận
1.4.1. Đối tượng nghiên cứu:
- Tổng quan về hệ thống thông tin, hệ thống thông tin kinh doanh của doanh nghiệp.
- Tổng thể về vai trò và nhiệm vụ của hệ thống thông tin kinh doanh tại Công ty đầu tư tài
chính Hà Nội Vàng hgi
1.4.2. Phạm vi nghiên cứu
Không gian:
− Về mặt lý luận: Tiến hành nghiên cứu hệ thống thông tin,hệ thống thông tin kinh doanh
thông qua các tài liệu tiếng Việt.

− Về mặt thực tiễn: Tiến hành nghiên cứu một số vấn đề về hệ thống thông tin, hệ thống
thông tin kinh doanh trong doanh nghiệp nói chung và thực trạng việc ứng dụng, phát triển
hệ thống thông tin kinh doanh của Công ty đầu tư tài chính Hà Nội Vàng hgi
Thời gian:
− Về mặt lý luận: Nghiên cứu các tài liệu về hệ thống bảo mật thông tin và thông tin kinh
doanh trong ba năm trở lại đây của công ty đầu tư tài chính Hà Nội Vàng hgi
− Về mặt thực tiễn: Nghiên cứu thực trạng việc ứng dụng và phát triển hệ thống thông tin
kinh doanh của Công ty đầu tư tài chính Hà Nội Vàng hgi trong giai đoạn từ năm 2009 đến
đầu năm 2013.
1.5. Phương pháp nghiên cứu
1.5.1. Phương pháp thu thập dữ liệu
Phương pháp thu thập dữ liệu trực tiếp: Em sử dụng phương pháp lấy dữ liệu là
phiếu điều tra trắc nghiệm gồm 13 câu hỏi , hỏi 20- 30 nhân viên tại công ty đầu tư tài
chính Hà Nội Vàng, và phỏng vấn chuyên gia tại bộ phận công nghệ thông tin của
công ty. Từ đó ta có cái nhìn một cách tổng quát hơn về việc ứng dụng CNTT của
doanh nghiệp, cũng như những vần đề về ATBM TT trong doanh nghiệp đang gặp phải
là gì để tìm hướng giải quyết
8
Phương pháp thu thập dữ liệu gián tiếp:Đối tượng và phương pháp thu thập dữ
liệu thông tin ở đây em sử dụng hình thức chính là qua Internet. Nhưng tất cả các
thông tin thu thập này chỉ mang tính tham khảo và dùng để làm căn cứ để xác minh
thông tin.
1.5.2. Phương pháp xử lý dữ liệu
Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập
nhật, ta tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tình
hình nghiên cứu có liên quan đến trong đề tài. Trong quá trình xử lý thông tin, ta cần
chia thông tin ra làm hai nhóm chính:
Xử lý thông tin định lượng: được thể hiện thông qua phương pháp mô tả bằng số
liệu, dữ liệu sau khi thu thập sẽ được đưa ra phân tích.Từ những biểu đồ được hoàn
thành sau khi nhập dữ liệu vào ta sẽ có những đánh giá cụ thể về tình hình kinh doanh

cũng như tình hình ứng dụng CNTT cụ thể là tình hình quản trị website của công ty.
Xử lý thông tin định tính: tức là sử dụng ngôn ngữ để tiến hành các thao tác suy
luận, phân tích, tổng hợp, quy nạp-diễn dịch…Thường thiết lập các sơ đồ phản ánh các
mối liên hệ của các thành tố nằm trong cấu trúc của đối tượng.
1.6. Kết cấu của đề tài khóa luận
Khóa luận gồm 3 phần chính:
Phần 1: Tổng quan nghiên cứu đề tài.
Phần 2: Cơ sở lý luận – Thực trạng về vấn đề an toàn, bảo mật thông tin website
tại Công ty đầu tư tài chính Hà Nội Vàng hgi.
Phần 3: Định hướng phát triển và đề xuất các giải pháp nâng cao ATBM TT cho
website của Công ty đầu tư tài chính Hà Nội Vàng hgi.
9
PHẦN 2: CƠ SỞ LÝ LUẬN - THỰC TRẠNG VỀ VẤN ĐỀN ATBM TT
WEBSITE CỦA CÔNG TY ĐẦU TƯ TÀI CHÍNH HÀ NỘI VÀNG
2.1. Cơ sở lý luận về ATBM TT và các loại hình tấn công vào website TMĐT
2.1.1. Khái niệm về ATBM TT và website TMĐT
2.1.1.1 Khái niệm về ATBM TT
Trước kia giao dịch đơn thuần giữa bên mua và bên bán là “ tiền trao , cháo
múc”. Ngày nay thì việc giao dịch trực tiếp ngày càng giảm, giao dịch từ xa ngày càng
tăng. Bên mua và bên bán không cần phải gặp nhau trực tiếp, do đó rất dễ bị lừa đảo,
gây mất thông tin cũng như tài sản.
Thông tin của các cá nhân, tổ chức và các giao dịch có nhiều nguy cơ bị bên thứ
ba biết được. Thông tin thật dễ dàng thay bị sửa đổi, tạo thành thông tin giả mạo để lừa
đảo. Có thể kể tới các trường hợp bị tin tặc tấn công, bị giả mạo, từ chối thanh toán, sử
dụng thẻ thanh toán giả - hết hạn; việc mất an toàn khi tiến hành giao dịch do thông tin
bị lộ. Do đó, việc bảo mật thông tin và an toàn dữ liệu là rất cần thiết. Vậy ta cần tìm
hiểu thế nào là an toàn dữ liệu?
An toàn dữ liệu(ATDL) là việc đảm bảo được tính bảo mật qua việc đảm bảo dữ
liệu của người sử dụng luôn được bảo vệ, không bị mất mát. Dữ liệu không bị tạo ra,
sửa đổi hay xóa bởi những người không sở hữu và luôn trong trạng thái sẵn sàng.

Đồng thời có tính tin cậy đảm bảo thông tin mà người dùng nhận được là đúng. Trong
TMĐT, cần chú trọng đến việc dữ liệu lưu trữ cũng như trao đổi giữa hai bên giao dịch
phải được giữ bí mật, đảm bảo không bị lộ. Thông tin giao dịch giữa hai bên không bị
sửa đổi hay bị giả mạo bởi một bên thứ ba, đảm bảo độ minh bạch giữa hai bên thực
hiện giao dịch.
Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn, tính sẵn sàng của thông tin:
− Tính bí mật là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền
tương ứng.
− Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin chỉ được
thay đổi bởi những người được cấp quyền.
− Tính sẵn sàng của thông tin là những người được quyền sử dụng có thể truy xuất thông
tin khi họ cần.
(Nguồn: Nguyễn Thị Hội, Slide bài giảng ATBM TT doanh nghiệp, Bộ môn
CNTT- Trường ĐH Thương Mại)
2.1.1.2. Khái niệm về website
10
Website là tập hợp các trang web (web page) có mối quan hệ hệ với nhau, bao
gồm các hình ảnh, video và các tài sản kỹ thuật số được lưu trữ.Có rất nhiều dạng
website nhưng có thể phân làm hai loại chính:
Website cung cấp thông tin như: các báo điện tử, sàn giao dịch, website cung
cấp thông tin theo những chuyên đề cụ thể. Thông thường các website cung cấp người
xem thường xuyên đông.
Website cung cấp sản phẩm hoặc dịch vụ hiểu đơn giản là một “gian hàng” hay
một “catalog” trên mạng Internet, nơi trưng bày và giới thiệu thông tin, hình ảnh về
doanh nghiệp và sản phẩm, dịch vụ của doanh nghiệp hay giới thiệu thông tin DN,
khách hàng có thể truy cập ở bất kỳ lúc nào. (Nguồn: Giáo trình Kiến thức TMĐT -
TS. Nguyễn Đăng Hậu – Viện đào tạo công nghệ và quản lý quốc tế - Khoa CNTT)
Khách hàng có thể xem thông tin ở bất kỳ nơi nào có nối mạng Internet, tiết
kiệm chi phí cho doanh nghiệp trong những vấn đề như in ấn, bửi bưu điện, fax, thông
tin không giới hạn… Vì vậy việc đầu tư xây dựng, nghiên cứu và không ngừng nâng

cấp website của công ty, có ý nghĩa rất quan trọng đối với hoạt động kinh doanh cũng
như quảng bá thương hiệu và tên tuổi của công ty.
Khái niệm website TMĐT được hình thành và phát triển dựa trên nền tảng khái
niệm về website. Vì vậy nó sẽ mang đầy đủ các đặc điểm vốn có của website nhưng nó
còn có một số đặc điểm đặc trưng riêng của website TMĐT:
− Cơ sở dữ liệu phong phú và liên tục được cập nhật.
− Khả năng tương tác với người dùng cao.
− Đòi hỏi cao về hoạt động quản trị và vận hành website.
(Nguồn: Giáo trình Kiến thức TMĐT - TS. Nguyễn Đăng Hậu – Viện đào tạo
công nghệ và quản lý quốc tế - Khoa CNTT)
2.1.2. Các hình thức tấn công dữ liệu trong TMĐT
Các hình thức tấn công trong TMĐT có thể kể đến là hình thức tấn công dữ liệu
thụ động và tấn công chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá
hoại dữ liệu trái phép. Vi phạm tính toàn vẹn, sẵn sàng dữ liệu:
Tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường truyền mà
không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Tấn công thụ
động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm.Tấn công thụ động là
11
loại tấn công mà thông tin tài khoản bị đánh cắp được lưu lại để sử dụng sau. Loại tấn
công này lại có hai dạng đó là tấn công trực tuyến (online) và tấn công ngoại tuyến
(offline). Tấn công offline có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trực
tiếp đến tài sản nạn nhân. Ví dụ, thủ phạm có quyền truy cập máy tính của người dùng
dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu thập dữ liệu của họ.
Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa
đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có khả năng chặn các
gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công chủ động
tuy nguy hiểm nhưng lại dễ phát hiện được. Tấn công chủ động là dạng tấn công tinh
vi đánh cắp và sử dụng tài khoản trong thời gian thực. Tấn công chủ động khá tốn kém
và yêu cầu trình độ kỹ thuật cao.
Trên website chủ yếu có các loại tấn công hay dùng để gây mất an toàn thông

tin, khi bị tần công website của bạn sẽ thuộc sự kiểm soát của tin tặc:
Local Attack: Local Attack là một trong những kiểu hack rất phổ biến và không
được khuyên dùng. Đối với một web server thông thường khi bạn đăng ký một tài
khoản trên server nào đó bạn sẽ được cung cấp một tài khoản trên server đó và một thư
mục để quản lý site của mình. Ví dụ: tenserver/tentaikhoancuaban. Và như vậy cũng
có một tài khoản của người khác tương tự như: tenserver/taikhoan1. Giả sử taikhoan1
bị hack chiếm được thì hacker có thể dùng các thủ thuật, các đoạn scrip, các đoạn mã
lệnh để truy cập sang thư mục chứa site của bạn là tenserver/taikhoancuaban. Và cũng
theo cách này hacker có thể tấn công sang các site của người dùng khác và có thể lấy
thông tin admin, database, các thông tin bảo mật khác hoặc chèn các đoạn mã độc vào
trang index của site bạn.Tấn công trên gọi là Local Attack.
Tấn công từ chối dịch vụ (DoS): Tấn công DoS là kiểu tấn công vô cùng nguy
hiểm mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống
đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tài
nguyên của hệ thống. Nếu kẻ tấn cống không có khả năng thâm nhập vào hệ thống, thì
chúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụ
người dùng bình thường, đó là tần công Denial of Service (DoS). Có thể hiểu cách
thức tấn công ngày bằng ví dụ sau:
12
Hình 2.1.Cách thức tấn công DoS
(Nguồn: Vũ Khánh Quý , Giáo trình Mạng Doanh nghiệp - Bộ môn Mạng máy
tính và Truyền thông - Khoa CNTT, Đại học Sư phạm Kỹ thuật Hưng Yên)
Tưởng tượng rằng có khoảng 1 triệu người (hackers) kết hợp với nhau để phá
hoại công ty A bằng cách phá trung tâm hỗ trợ của công ty này. Các kẻ tấn công hẹn
nhau rằng sáng thứ 3 lúc 9h họ sẽ gọi đến số của công ty A. Dĩ nhiên, trong cùng thời
điểm đó công ty A sẽ không thể nhận cả triệu cuộc gọi và sẽ trở nên tê liệt. Kết quả là
những cuộc gọi của khách hàng sẽ không thể nào liên lạc được vì hệ thống đã bị các
cuộc gọi phá rối làm tê liệt. Vì vậy công ty A cần có khả năng sẽ gặp vấn đề trong kinh
doanh đến khi việc này dừng lại.
Tấn công từ chối dịch vụ phân tán (DDoS): DDoS – Distributed Denial Of

Service là kiểu tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, không
thể cung cấp dịch vụ hoặc phải dừng hoạt động. Trong các cuộc tấn công DDoS, máy
chủ dịch vụ sẽ bị “ ngập” bởi hàng loạt các lệnh truy cập từ lượng kết nối khổng lồ.
Khi lệnh truy cập quá lớn, máy chủ sẽ quá tải và không còn khả năng xử lý các yêu
cầu. Hậu quả là người dùng không thể truy cập vào các dịch vụ trên các trang web bị
tấn công DDoS.
Tấn công bằng phương pháp SQL Injection: SQL Injection hiểu đơn giản là một
kiểu tấn công mà mục tiêu chủ yếu là các website. Trong đó, hacker sẽ “tiêm” các câu
truy vấn SQL (Structured Query Language) độc hại vào website. Hậu quả của các cuộc
tấn công SQL Injection có thể khiến cho cơ sở dữ liệu (CSDL) của các website bị thay
đổi, bị xóa hoặc bị đánh cắp. Nguy hiểm hơn, hacker có thể lợi dụng lỗ hổng SQL
Injection để chiếm quyền kiểm soát của toàn bộ máy chủ.
(Nguồn: Vũ Khánh Quý, Giáo trình Mạng Doanh Nghiệp – Bộ môn Mạng máy
tính và Truyền thông – Khoa CNTT, Đại học Sư phạm Kỹ thuật Hưng Yên)
13
2.1.3. Vai trò và ứng dụng của an toàn dữ liệu, bảo mật thông tin cho website
hgi.com.vn
2.1.3.1. Vai trò của an toàn dữ liệu, bảo mật thông tin cho website tài chính, đầu tư
hgi.com.vn
Theo báo cáo “Tổng quan an toàn thông tin Việt Nam 2012” do Hiệp hội An
toàn Thông tin Việt Nam (VNISA) thực hiện, các cơ quan, tổ chức ở Việt Nam bị tấn
công DDoS trong năm 2012 là 19%. Có đến 63% đơn vị không ước lượng được tổn
thất tài chính khi bị tấn công. VNISA cho biết thêm năm 2012 có đến 33% cơ quan, tổ
chức chưa có kế hoạch phản hồi những cuộc tấn công máy tính; chỉ có 44% cơ quan,
tổ chức áp dụng quy chế an toàn thông tin. Các cơ quan, tổ chức chỉ chi có 5% cho vấn
nạn này và chỉ có 49% tổ chức có kế hoạch đào tạo nhân lực an toàn thông tin.
Tại Việt Nam, chỉ tính riêng từ năm 2012 đến nay có hơn 3.000 doanh nghiệp đã
bị tin tặc tấn công. “Thực tế, các cuộc tấn công mạng vẫn âm thầm diễn ra khắp mọi
nơi, cả Việt Nam và trên toàn thế giới. Tuy nhiên, hầu hết vụ việc không dễ bị phát
hiện cho đến khi chúng gây ra những hậu quả rõ ràng như mất mát dữ liệu, làm tê liệt,

thậm chí sụp đổ hệ thống…”, ông Nguyễn Minh Đức-Giám đốc Bộ phận An ninh
mạng của Bkav-nhận định.
Qua các báo cáo về tình hình an toàn bảo mật thông tin cho thấy vai trò quan
trọng của bảo mật thông tin tại các website, vì một khi website bị tấn công thì không
chỉ gây ra mất mát tổn thất cho chính doanh nghiệp và còn nhiều mất mát quan trọng
hơn như uy tín của công ty, các thông tin của khách hàng bị lộ sẽ dẫn đến hậu quả
nghiêm trọng nếu là thất thoát tiền bạc của họ.
Sự phức tạp và các mối đe dọa về sự mất ATBM HTTT ngày càng tăng khi mà
các phần mềm độc hại ngày càng nhiều và tinh vi. Tìm được một giải pháp tổng thể
với chi phí hợp lý là điều không dễ cho các doanh nghiệp. Mặt khác, nhiều dự án về
phía Nhà nước chậm triển khai cũng gây khó dễ cho các tổ chức và doanh nghiệp
trong nhiều lĩnh vực. Vì vậy, vấn đề sống còn cần phải làm là đảm bảo ATBM cho các
giao dịch, cho HTTT của các ngành và của các doanh nghiệp.
2.1.3.2. Ứng dụng của an toàn dữ liệu và bảo mật thông tin trong các website
Như ta đã biết, website là một phần của tổ hợp cơ sở hạ tầng của doanh nghiệp.
Vì vậy, không có gì đáng ngạc nhiên khi rất nhiều doanh nghiệp dành sự quan tâm đặc
14
biết đến vấn đề bảo mật. Sau đây làm một số giải pháp để bảo mật thông tin trong giao
dịch trên website:
(1) Chữ ký điện tử:
Chữ ký điện tử (hay chữ ký số - Digital Signature) được tạo lập dưới dạng từ,
chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền
hoặc kết hợp một cách logic với thông điệp dữ liệu, có khả năng xác nhận người ký
thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông
điệp dữ liệu được ký” (Điều 21, Khoản 1, Luật giao dịch điện tử ).
Chữ ký điện tử được sử dụng để xác nhận tính hợp pháp của một văn bản hay
hợp đồng trong các giao dịch điện tử. Nó có khả năng kiểm tra được người ký và thời
gian ký, có khả năng xác thực các nội dung tại thời điểm ký, các thành viên thứ ba có
thể kiểm tra chữ ký để giải quyết các tranh chấp (nếu có).
(2) Chứng thực số:

Chứng thực số là một hoạt động chứng thực danh tính của những người tham
gia vào việc gửi và nhận thông tin qua kênh truyền, cung cấp cho họ các công cụ, các
dịch vụ cần thiết để thực hiện việc bảo mật thông tin, chứng thực nguồn gốc và nội
dung thông tin. Chứng thực điện tử được cấp bởi một cơ quan chứng thực có uy tín
trên thế giới. Một chứng thực điện tử bao gồm: Khóa công khai của người sở hữu
chứng thực điện tử này, các thông tin riêng của người sở hữu chứng thực, hạn sử dụng,
tên cơ quan cấp chứng thực điện tử, số hiệu của chứng thực và chữ ký của nhà cung
cấp. Một số chứng thực điện tử đang sử dụng như: Chứng thực cho máy chủ Web
(Server Certificate), chứng thực cho các phần mềm, chứng thực cá nhân, chứng thực
của các nhà cung cấp chứng thực điện tử.
(3) An toàn dữ liệu thanh toán điện tử
Ta biết rằng website là một hình thức trao đổi thông tin mang tính công cộng, có
số lượng người truy cập vào hàng ngày là rất lớn, do đó việc xác định danh tính khách
hàng là hết sức khó khăn. Công tác đảm bảo an toàn cho trang web vừa phải đồng thời
với việc tạo cho web hoạt động liên tục và không hạn chế người truy cập. Mỗi một
trang web đều được dùng để quảng bá hình ảnh của doanh nghiệp, do đó nếu trang
web bị tấn công thì việc quảng bá sản phẩm bị thất bại và hình ảnh doanh nghiệp cũng
suy giảm nhanh chóng. Hiện nay mỗi trang web đều có nguy cơ bị tấn công từ nhiều
15
phía bởi nó có chứa cơ sở dữ liệu là các thông tin nhạy cảm của doanh nghiệp, của đối
tác doanh nghiệp cũng như thông tin của khách hàng.
2.2. Phân tích, đánh giá thực trạng vấn đề ATBM TT cho website tại Công ty đầu
tư tài chính Hà Nội Vàng hgi
2.2.1. Quá trình hình thành phát triển và một số kết quả đạt được của Công ty đầu
tư tài chính Hà Nội Vàng hgi
Công ty đầu tư tài chính HGI ra đời tại thời điểm 2009, khi mà các kênh đầu tư
tài chính về thị trường hàng hóa gồm ngoại tệ, kim loại quý và năng lượng trở nên sôi
động và hấp dẫn các nhà đầu tư tại Việt Nam, với mục đích tạo ra kênh đầu tư minh
bạch, được pháp luật công nhận , đảm bảo tính pháp lý cho các nhà đầu tư tại việt
nam, công ty đã ra đời.

Tên công ty: Công ty Cổ phần Đầu tư Tài chính Hà Nội Vàng
Tên đầy đủ: Công ty Cổ phần Đầu tư Tài chính Hà Nội Vàng
Tên giao dịch: Hanoi Golden Financial Investment Joint Stock Company
Tên viết tắt: Hanoi Golden Investment., JSC (HGI)
Thành lập vào tháng 4/2009: Công ty CP Giao dịch Vàng Hà Nội.
Vốn điều lệ 10 tỷ đồng lúc thành lập.
Chính thức đổi tên vào tháng 11/2009: Công ty CP Đầu Tư Tài Chính Hà Nội Vàng.
Lĩnh vực hoạt động chính: Tư vấn, đầu tư tài chính.
Chi nhánh trực thuộc:
- Công Ty CP Đầu tư tài chính Hà Nội Vàng tại Thành phố Hồ Chí Minh.
- Công Ty CP Đầu tư tài chính Hà Nội Vàng tại Thành phố Đà Nẵng.
- Công Ty CP Đầu tư tài chính Hà Nội Vàng tại Lào.
Trụ sở chính: Tầng 3 - 4, tòa nhà Artex, số 172 Ngọc Khánh, phường Giảng
Võ, quận Ba Đình, TP Hà Nội
Điện thoại: 84-4-621 5588/Fax: 084-4-6261 6096
Email:
Website:
Chi nhánh miền Nam: lầu 11, số 444-446, Đường Cách Mạng Tháng 8, Phường 11,
quận 3, TP. HCM
Điện thoại: 0839931782- 0839931785
16
Chi nhánh miền trung : Lầu 6, tòa nhà trung tâm tài chính dầu khí Đà Nẵng ,
Lô A2.1, đường 30/4 , quận Hải Châu, Tp. Đà Nẵng
Điện thoại: 0511.3625119/ 0511. 3625117
Chi nhánh Lào: số 19 đường Dongpaina, bản Phonsavannuae, Huyện
Sisattanak,
TP Vientien, CHDCND Lào.
Công ty HGI có 2 công ty trực thuộc là Công ty cổ phần truyền thông Hồng
Hạc Media và công ty Cổ phần Đầu tư Xây Dựng Hà Nội Vàng HGCI
HGCI:

Thành lập vào tháng 4/2010: Công ty Cổ phần Đầu Tư Xây Dựng Hà Nội Vàng.
Lĩnh vực hoạt động chính: Tư vấn thiết kế công trình, quản lý dự án, quản lý thi
công xây dựng, phát triển thị trường & marketing dự án.
Nhân sự : Có trên 20 nhân viên chính thức (Cử nhân các trường Đại học Xây
dựng và Kiến trúc)
Thành tích nổi bật:
- Giải ba: Cuộc thi thiết kế cổng quảng trường khu Thánh Gióng
- Giải thưởng: Cuộc thi Kiến trúc Xanh.
- Giải nhì: Cuộc thi thiết kế quy hoạch phố cổ Hà Nội
- Top 5: Cuộc thi thiết kế Công viên Thống Nhất.
Hồng Hạc Media
Thành lập tháng 5/2011: Công ty Cổ phần Truyền thông Hồng Hạc.
Lĩnh vực hoạt động chính: , Xây dựng văn hóa của doanh nghiệp, Tổ chức các
chương trình sự kiện, truyền thông quảng cáo, thiết kế mỹ thuật….
Nhân sự: Có trên 15 nhân viên chính thức và mạng lưới cộng tác viên đông đảo
( Cử nhân các trường Đại học về báo chí, truyền thông, tài chính…)
Các sự kiện tham gia:
- Tổ chức sự kiện, chương trình Lễ hội dân tộc tại Hòa Bình.
- Tham gia tổ chức sự kiện “ Ngày hội sách & văn hóa đọc” của Bộ Văn hóa thể
thao & du lịch vào tháng 4/2012 tại Văn Miếu, Hà Nội.
2.2.2 .Tầm nhìn và sứ mệnh của công ty
• Công ty tài chính chuyên nghiệp hàng đầu
• Môi trường kinh doanh lành mạnh , minh bạch
• Cung cấp kiến thức , thông tin , kinh nghiệm đầu tư.
17
• Quản lý rủi ro và tối đa hóa lợi nhuận cho nhà đầu tư.
• Tuân thủ tuyệt đối tôn chỉ “ Thành công tôn quý”
2.2.3. Sản phẩm của công ty
Sản phẩm của công ty gồm hai sản phẩm chính
• . Sản phẩm đầu tư truyền thống

Hợp đồng đầu tư truyền thống: Khách Hàng mở tài khoản truyền thống và trở
thành nhà đầu tư, sau đó khách hàng giao dịch online qua hệ thống giao dịch của công ty
• Quỹ ủy thác đầu tư
Quỹ ủy thác đầu tư của HGI là địa chỉ tin cậy cho các nhà đầu tư với cam kết ổn
định , chuyên nghiệp và lãi suất cao.
2.2.4. Hoạt động của công ty.
• Quản lý rủi ro cho các công ty xuất khẩu.
• Cung cấp thông tin thị trường chính xác
• Cung cấp gói sản phẩm quản trị rủi ro về hàng và giá
• Đào tạo kiến thức giao dịch thị trường thế giới
• Chăm sóc quý nhà đầu tư của công ty
2.3 .Sơ đồ tổ chức công ty HGI và kết quả, thành tựu đạt được trong quá trình kinh
doanh của công ty
1.2.1. Sơ đồ tổ chức công ty
Hình 1.2: Sơ đồ tổ chức công ty đầu tư tài chính HGI.
(nguồn phòng hành chính )
2.4. Một số kết quả đạt được về quá trình hoạt động kinh doanh của công tyđầu tư
tài chính HGI
18
Trải qua 3 năm hoạt động trên thị trường tài chính - đầu tư, công ty cổ phần đầu tư
HGI đã gặt hái được thành công nhất định, cũng như sự tin tưởng vào sản phẩm của
khách hàng đầu tư vào công ty. Với phương trâm đưa HGI trở thành công ty đầu tư tài
chính hàng đầu Việt Nam , HGI đang ngày càng hoàn thiện chính bản thân mình và đem
lại ích lợi cao nhất cho xã hội, điều này được thể hiện qua báo cáo tài chính của công ty.
Năm Doanh thu
2009 10 tỷ lúc thành lập
2010 60 tỷ VND
2011 160 tỷ VND
2012 3000 tỷ VND
Bảng 1.3: báo cáo tài chính

(nguồn: phòng kế toán)
Công ty đầu tư tài chính HGI đã phát triển bền vững trong 3 năm qua với số vốn
thành lập còn hạn chế nhưng với những nỗ lực tuyệt vời của toàn thể ban lãnh đạo và
nhân viên, công ty đã chứng tỏ thực lực là một công ty có tiềm lực tài chính và kính
thức sâu rộng, vững mạnh, là nơi các nhà đầu tư hoàn toàn yên tâm vì uy tín hoạt động
của công ty.
2.5. Website của công ty Đầu tư tài chính Hà Nội Vàng hgi
Hình 2.1. Giao diện chính website của công ty HGI
(Nguồn: hgi.com.vn)
Website của công ty ra đời vào tháng 4 năm 2009. Website có tên miền là
www.hgi.com.vn. Hiện bộ phận kỹ thuật đang là đơn vị quản lý. Chủ yếu là quảng cáo
19
về công ty, bản tin tài chính , thông tin đánh giá thị trường và chiến lược của công
ty .Với mục tiêu là cầu nối giữa công ty và khách hàng, giúp khác tiếp cận với các sản
phẩm mà công ty cung cấp một cách nhanh chóng. Website của công ty không những
giới thiệu về công ty và các sản phẩm của công ty mà còn có các giao dịch, chuyển
tiền trực tuyến qua mạng. Do đó việc đảm bảo ATBM TT của website cần được quan
tâm đúng đắn.
2.6. Kết quả tổng hợp, đánh giá thực trạng vấn đề bảo mật thông tin cho website
www.hgi.com.vn
2.6.1. Kết quả xử lý phiếu điều tra
Sau khi thu thập các phiếu điều tra phỏng vấn từ các bộ phận, nhân viên trong
công ty đầu tư tài chính HGI . Em có kết quả phân tích như sau:
(1) Website của công ty phục vụ đang phục vụ cho hoạt động gì?
Hình 2.2. Hoạt động của website
(Nguồn: kết quả xử lý bằng phần mềm SPSS)
Kết quả khảo sát cho thấy, website của Công ty cổ phần đầu tư tài chính Hà Nội
Vàng hgi được xây dựng với mục tiêu quảng bá hình ảnh, cung cấp thông tin thị
trường, cùng với các hoạt động kinh doanh online như giao dịch và mở tài khoản
online, rút tiền online, mang lại hiệu quả kinh doanh và tiếp kiệm thời gian cho khách

hàng . Nhưng hoạt động thương mại điện tử vẫn chưa diễn ra sôi động. Có thể giải
thích nguyên nhân này là do website của công ty mới được đưa vào nên còn thiếu về
kiến thức về TMĐT
(2) Tần suất cập nhật thông tin trên website?
Hình 2.3. Biểu đồ về tần suất cập nhật thông tin trên website
(Nguồn: kết quả xử lý bằng phần mềm SPSS)
Có thể thấy rằng, trong thời gian đầu công ty đã chú trọng đến việc cập nhật
thông tin cho website. Có thể giải thích do website mới đưa vào hoạt động nên cần
được cung cấp thông tin, do đó người quản trị phải thường xuyên cập nhật. Nhất là
những thông tin biến động về thị trường tài chính, tiền tệ trên thế giới
(3) Khách hàng có quan tâm đến công tác bảo mật thông tin qua website của công ty
không?
20
Hình 2.4. Sự quan tâm của khách hàng đến công tác bảo mật website của HGI
(Nguồn: kết quả xử lý bằng phần mềm SPSS)
Khách hàng rất quan tâm đến thông tin trên website của công ty có chính xác
hay website công ty có an toàn không. Vì khi khách hàng đăng ký tài khoản, giao dịch
tại công ty, họ cấp số tài khoản. Nếu thông tin này bị lấy cắp thì sẽ ảnh hưởng đến tài
sản của khách hàng và uy tín của công ty. Điều này rất quan trọng đối với người quản
trị mạng tại công ty.
(4) Thách thức lớn nhất về ATBM TT đối với công ty là gì?
Hình 2.5. Biểu đồ về các thách thức trong công tác bảo mật của công ty
(Nguồn: kết quả xử lý bằng phần mềm SPSS)
Từ biểu đồ trên ta thấy rằng, khó khăn chủ yếu của công ty là vấn đề nhân lực
cho việc bảo mật thông tin cho webite chiếm (57%), rõ ràng nguồn nhân lực của công
ty còn kém. Chưa đủ để đáp ứng yêu cầu để website công ty theo hướng TMĐT.
(5) Tầm quan trọng của công tác bảo mật thông tin website đối với công ty
Hình 2.6. Nhận thức tầm quan trọng trong công tác bảo mật thông tin website
(Nguồn: kết quả xử lý bằng phần mềm SPSS)
Với tỷ lệ rất quan trọng và quan trọng khá cao (chiếm 83%), chứng tỏ tầm quan

trọng về ATBM TT trong website của công ty khá lớn. mặc dù công ty còn gặp khó khăn
về nguồn lực nhưng với việc nhận thức như vậy, chắc chắn thời gian tới lãnh đạo công ty
sẽ có những chính sách để giải quyết vần đề bảo mật thông tin một cách tốt nhất.
(6) Website của công ty đã từ bị tấn công hay chưa?
Hình 2.7. Thông tin về việc website bị tấn công
(Nguồn: kết quả xử lý bằng phần mềm SPSS)
21
Qua biểu kết quả thu thập được, thì website của công ty gần như chưa bị tấn
công, hoặc tấn công thì một số nhân viên không có những biện pháp để ngăn chặn,
theo dõi việc tấn công ra sao. Một số nhân viên không quan tâm đến việc website của
công ty hoạt động như thế nào.
(7) Các hình thức tấn công vào webite mà doanh nghiệp đã gặp phải là gì?
Hình 2.8. Các hình thức tấn công vào website của công ty
(Nguồn: kết quả xử lý bằng phần mềm SPSS)
Do website của công ty mới đưa vào hoạt động nên gặp nhiều khó khăn trong
việc chống lại các cuộc tấn công của tin tặc. Chúng xâm nhập phá hoại dữ liệu, thay
đổi giao diện, nội dung website và làm cho website công ty không thể hoạt động. Việc
khắc phục những hậu quả này công ty thường mời những người có chuyên môn tại các
công ty lớn khác về giúp đỡ. Nhưng đây chỉ là giải pháp mang tính tạm thời, công ty
nên cử nhân viên đi học năng cao trình độ để phục vụ cho doanh nghiệp mình.
(8) Một IP flood theo các host phát tán trực tiếp đến một Web server là loại tấn công gì?
Hình 2.9. Kiến thức an toàn, bảo mật thông tin trong công ty
(Nguồn: kết quả xử lý bằng phần mềm Excel)
Qua kết quả trên ta có thể thấy, kiến thức về các hình thức tấn công vào
website của công ty thì nhân viên chưa nắm vững, các kết quả cho ra khá đều nhau.
Nhân viên chưa có kiến thức cơ bản về các loại hình tấn công vào các ứng dụng trên
website. Đó là một điều đáng buồn cho công ty. Đáp án đúng ở đây là Trojan Hors.
22
(9) Giải pháp nào cần làm đầu tiên để có thể tiến hành an toàn thông tin cho website?
Hình 2.10. Giải pháp cần làm đầu tiên khi tiến hành an toàn thông tin cho website

(Nguồn: kết quả xử lý bằng phần mềm SPSS)
Ta thấy thành viên công ty vẫn đề cao giải pháp về hệ thống tường lửa và bảo vệ
chu vi mạng (một phương thức truyền thống nhưng hiệu quả cũng khá cao)
(10) Để ngăn tấn công DoS, nhà quản trị đã sử dụng đã dùng tường lửa đển chặn địa chỉ
IP, nhưng vẫn bị tấn công. Theo anh chị thì nguyên nhân do đâu?
Hình 2.11. Nguyên nhân tấn công DoS
(Nguồn: kết quả xử lý bằng phần mềm SPSS)
Cũng như câu hỏi trước, kiến thức về ATBM TT của nhân viên trong Công ty
HGI phần lớn còn hạn chế. Như vậy, khi gặp phải việc tấn công như trên thì khó có
thể biết nguyên nhân để khắc phục hậu quả.
(11) Để phòng tránh các cuộc tấn công vào các ứng dụng trên website của
doanh nghiệp mình. Theo anh (chị) cần phải làm gì?
Hình 2.12. Các phương pháp để phòng tránh các cuộc tấn công vào các
ứngdụng trên website
(Nguồn: kết quả xử lý bằng phần mềm SPSS)
Việc sử dụng hệ thống lọc tin trên router, firewall được sử dụng nhiều hơn cả.
đây là phương pháp truyền thống nhưng đem lại kết quả cao. Với tình hình mất an toàn
23
thông tin trên mạng như hiện nay, có lẽ công ty nên áp dụng các biện pháp trên để
doanh nghiệp mình đảm bảo an toàn thông tin.
(11) Trong thời gian tới công ty dự định sẽ chi bao nhiêu cho công tác bảo mật thông tin
qua website?
Hình 2.13. Dự kiến đầu tư cho công tác bảo mật thông tin qua website của
côngty
(Nguồn: kết quả xử lý bằng phần mềm SPSS)
Có thể thấy rằng, trong thời gian tới, nguyện vọng của thành viên công ty muốn
đầu từ nhiều hơn nữa cho công tác bảo mật thông tin qua website.
2.2.2. Kết quả điều tra bằng phỏng vấn chuyên gia
(1) Anh (chị) đánh giá như thế nào về hoạt động ứng dụng CNTT trong doanh nghiệp
mình?

Công ty đang sử dụng thương mại điện tử trong lĩnh vực kinh doanh cuả doanh
nghiệp. công ty cũng trang bị đầy đủ internet và máy tính cho tất cả nhân viên.
(2) Công ty đã có chiến lược đầu tư và phát triển website www.hgi.com.vn như thế nào
trong thời gian tới?
Công ty có chiến lược đầu tư, áp dụng HTTT vào kinh doanh trực tuyến. Việc
đầu tiên là nâng cấp website theo hướng TMĐT. sắp tới công ty sẽ làm việc tập đoàn
FPT về An toàn thông tin. Ngoài ra công ty còn cử nhân viên đi học khóa học về
ATBM TT cho doanh nghiệp.
(3) Ngoài nguy cơ mất an toàn thông tin từ mạng Internet, còn có nguy cơ từ chính cá nhân
trong công ty. Vậy anh (chị) có những giải pháp nào để khắc phục vấn đề này?
Vấn đề này liên quan đến đạo đức của nhân viên trong công ty. Vì vậy công ty
cố gắng tạo ra văn hóa công ty, tạo môi trường làm việc tốt cho mọi nhân viên. Do đó,
có thể khẳng định: việc mất an toàn thông tin từ chính nhân viên trong công ty không
thể xảy ra.
(4) Sau thời gian đưa vào vận hành và hoạt động website của công ty đã bộc lộ những
hạn chế lớn nào?
Website chủ yếu dùng để giới thiệu về công ty và quảng bá hình ảnh, cập nhật
thông tin tài chính mà công ty cung cấp. thông tin còn ít.
(5) Tình hình bảo mật website và máy chủ của công ty hiện nay?
24
Công tác bảo mật thông tin trên website của công ty còn khá đơn giản. Hiện
công ty chỉ sử dụng các phần mềm diệt virus, sử dụng tường lửa để bảo vệ dữ liệu
tránh khỏi virus hay xâm nhập từ bên ngoài.
(6) Anh (chị) hiểu thế nào là tấn công vào ứng dụng web?
Các ứng dụng web có lỗ hỗng bảo mật thường bị tin tặc khai thác để chiếm
quyền điều khiển máy chủ web và máy chủ cơ sở dữ liệu. Từ đó tin tặc có thể triển
khai các kiểu tấn công khác như:
− Thay đổi giao diện trang web.
− Chèn các mã độc được cài đặt tự động vào máy người dùng khi họ truy cập vào ứng
dụng.

− Chèn các mã độc để lấy cắp các thông tin về phiên làm việc (session ID).
− Lấy cắp thông tin về được lưu trữ trên cơ sở dữ liệu.
(7) Các hình thức tấn công ứng dụng website mà anh chị biết?
Hiện nay có rất nhiều hình thức tấn công mà tin tặc sử dụng để nhằm vào
website, trong đó có một số loại phổ biến nhất mà các hacker hay dùng:
− Tấn công từ chối dịch vụ (DoS).
− Tấn công Local Attack.
− Tấn công SQL injection.
− Tấn công XSS (Cross-site scripting) - Là một kĩ thuật tấn công bằng cách chèn vào các
website động các thẻ HTML hay những đoạn mã script nguy hiểm có thể gây nguy hại
cho người sử dụng khác.
2.2.3. Kết luận chung cho các kết quả phân tích dữ liệu về website của DN
Theo tìm hiểu thông tin liên quan đến vấn đề ATBM TT cho website
www.hgi.com.vn trên tác giả có những nhận xét sau:
− Website của công ty chưa thực sự phát huy được những chức năng của một website
chuyên nghiệp. Website mới chỉ phục vụ mục đích giới thiệu về công ty, sản phẩm chứ
chưa ứng dụng TMĐT vào giao dịch.Nguyên nhân là do năng lực của đội ngũ kỹ thuật
của công ty còn hạn chế.
− Nhận thức về tầm quan trọng của ATBM TT tại công ty bắt đầu được chú ý, nhưng để
đưa ra các biện pháp tự bảo vệ thì công ty còn lúng túng. Vì vậy mà thái độ của công
ty vẫn e ngại và chưa chủ động tìm ra giải pháp cho vấn đề đảm bảo mật an toàn mạng
nói chung và trên website nói riêng.
− Kiến thức về an toàn thông tin của nhân viên còn hạn chế vì không có hiểu biết đủ về
các loại kiểu tấn công vào chính website để tránh .
25

Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×