LỜI CẢM ƠN
Khóa luận là một sản phẩm nghiên cứu, đúc kết kiến thức của một quá trình học
tập, nghiên cứu lâu dài trong trường đại học. Để có thể hoàn thành bài khóa luận này,
bên cạnh sự cố gắng nỗ lực của bản thân, em đã nhận được nhiều sự chỉ dẫn, giúp đỡ
nhiệt tình từ phía khoa Hệ thống thông tin kinh tế, trường Đại học Thương Mại cũng
như từ phía công ty cổ phần phong cách Anh.
Trước hết, em xin chân thành cảm ơn các thầy cô trong trường Đại học Thương
Mại đã truyền cho cho em những kiến thức bổ ích trong suốt thời gian ngồi trên ghế
nhà trường.
Em xin gửi lời cảm ơn sâu sắc nhất tới thầy giáo - Th.s Phan Đa Phúc đã hướng
dẫn, giúp đỡ và chỉ bảo em trong suất quá trình làm khóa luận.
Em xin chân thành cảm ơn các anh chị trong công ty cổ phần phong cách Anh đã
tạo điều kiện cho em thực tập, tìm hiểu ở công ty và giúp em hoàn thành tốt khóa luận
này.
Em xin chân thành cảm ơn!
Sinh viên thực hiện
Đinh Thị Sương
1
1
MỤC LỤC
2
2
DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ
STT Tên bảng biểu, sơ đồ, hình vẽ Trang
1 Bảng 2.1. Bảng thống kê các số liệu tài chính của công ty (Nguồn: Báo
cáo kiểm toán năm 2012, 2013, 2014)
15
2 Biểu đồ 2.1. Biểu đồ tỉ lệ nhân viên doanh nghiệp sử dụng phần mềm
bảo mật
17
3 Biểu đồ 2.2. Biểu đồ tỉ lệ tầm quan trọng của công tác bảo mật thông tin
khách hàng
18
4 Biểu đồ 2.3. Biểu đồ tỉ lệ thách thức lớn nhất về an toàn bảo mật thông
tin
19
5 Biểu đồ 2.4. Biểu đồ tỉ lệ về hình thức lựa chọn thanh toán của khách
hàng
19
6 Biểu đồ 2.5. Biểu đồ tỉ lệ về phương án bảo mật thông tin cho khách
hàng
20
7 Biểu đồ 2.6. Biểu đồ tỉ lệ về mức độ đảm bảo an toàn thông tin 20
8 Biểu đồ 2.7. Biểu đồ tỉ lệ về tầm quan trọng của an toàn trong thanh
toán điện tử
21
9 Biểu đồ 2.8. Biểu đồ tỉ lệ về mức độ bảo mật của các giải pháp thanh
toán điện tử
21
10 Biểu đồ 2.9. Biểu đồ tỉ lệ mức độ quan tâm an toàn và bảo mật thông tin
khách hàng
22
11 Biểu đồ 2.10. Biểu đồ tỉ lệ mức độ quan tâm của khách hàng về công tác
bảo mật thông tin qua website
22
12 Biểu đồ 2.11. Biểu đồ tỉ lệ về đầu tư cho công tác bảo mật thông tin qua
website
23
13 Biểu đồ 2.12. Biểu đồ tỉ lệ về cấp độ bảo mật thông tin tại công ty 23
14 Biểu đồ 2.13. Biểu đồ tỉ lệ về mức độ sẵn sàng mua hàng qua mạng của
khách hàng
24
15 Hình 3.1: Mô hình giải pháp bảo vệ đa cấp về phần cứng 31
16 Hình 3.2: Mô hình về giải pháp lớp Firewall bên ngoài 31
17 Hình 3.3: Mô hình về lớp Firewall bảo vệ máy chủ 33
18 Hình 3.4: Mô hình giải pháp hai lớp tường lửa 35
19 Hình 3.5: Mô hình giải pháp mạng riêng ảo 36
20 Hình 3.6: Mô hình giải pháp IPS đặt trước Firewall 37
21 Hình 3.7: Mô hình cấu trúc của giao thức SSL 39
22 Hình 3.8: Mô hình lắp đặt mạng không dây tổng thể 40
23 Hình 3.9: Mô hình mã hóa email của giải pháp bảo mật thư điện tử 41
3
3
4
4
DANH MỤC TỪ VIẾT TẮT
STT Từ viết tắt Giải nghĩa
1 CNTT Công nghệ thông tin
2 ATDL An toàn dữ liệu
3 TMĐT Thương mại điện tử
4 HTTT Hệ thống thông tin
5 SSL Secure Socket Layer
6 SET Secure Electronic
7 WEP Wireless Encryption Protocol.
8 VPN Virtual Private Network
5
5
PHẦN I: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU
1.1. Tính cấp thiết của đề tài
Trong một nền kinh tế toàn cầu hóa như hiện nay thì vấn đề thông tin được xem
là sự sống còn đối với các doanh nghiệp.Thế nhưng, rất nhiều doanh nghiệp vẫn chưa
nhận thức được tầm quan trọng của vấn đề bảo mật thông tin và những nguy cơ có thể
xảy ra từ việc rò rỉ thông tin trong chính nội bộ của doanh nghiệp mình.
Hiện nay, sự thâm nhập sâu rộng của CNTT, sự phát triển vượt bậc của công
nghệ mạng và Internet cùng các website thông tin trực tuyến trong các lĩnh vực của
cuộc sống mang lại nhiều lợi ích, nhưng đồng thời cũng đặt ra không ít những thách
thức về an ninh bảo mật.
Tình hình mất an ninh đang diễn biến phức tạp và xuất hiện nhiều nguy cơ đe
dọa đến việc phát triển kinh tế xã hội và đảm bảo quốc phòng, an ninh. Nguy cơ an
ninh mạng và bảo mật an toàn thông tin tại các doanh nghiệp trên thị trường đang ở
mưc báo động khi tình trạng bị hacker, virus, malware tấn công khiến dữ liệu bị xóa,
thông tin bị đánh cắp, bị theo dõi, mất quyền bảo hành, lây truyền virus sang máy tính
khác… liên tục gia tăng không ngừng, gây ra hậu quả và thiệt hại vô cùng lớn về kinh
tế, uy tín cho doanh nghiệp về lâu dài.
Khi vấn đề bảo mật được đảm bảo an toàn thì sẽ là lợi thế kinh doanh của doanh
nghiệp, điều này sẽ giúp doanh nghiệp tiết kiệm được chi phí, thời gian… tránh được
sự cạnh tranh không lành mạnh của đối thủ kinh doanh hay sự phá hoại của đối tượng
bên ngoài. Nếu vấn đề an toàn và bảo mật không được quan tâm đúng, khi xảy ra vấn
đề liên quan trách nhiệm lúc đó sẽ rất lớn, doanh nghiệp bị ảnh hưởng có thể dẫn đến
phá sản hay chịu trách nhiệm trước pháp luật.
Để hiểu rõ được những vấn đề cần quan tâm về an toàn và bảo mật thông tin
trong TMĐT, em đã lựa chọn công ty cổ phần phong cách Anh để tìm hiểu và nghiên
cứu. Qua quá trình thực tập tại công ty, em xin đề xuất đề tài nghiên cứu cho khóa luận
của mình là: “Giải pháp an toàn và bảo mật thông tin của công ty cổ phần phong
cách Anh”.
1.2. Tình hình nghiên cứu trong và ngoài nước về đề tài
Trên thế giới, đông đảo các nhà nghiên cứu, các viện nghiên cứu, các trường đại
học rất chú ý quan tâm tới vấn đề an toàn bảo mật thông tin trong TMĐT. Trong những
6
năm gần đây, nhiều diễn đàn, hội nghị, hội thảo quốc tế về an toàn bảo mật liên tục
được tổ chức.
Tại Việt Nam với sự phát triển mạnh mẽ của TMĐT trong thời gian qua thì sự
quan tâm đến vấn đề an toàn và bảo mật thông tin càng lớn. Các đề tài nghiên cứu cấp
Bộ, cấp Nhà nước, các hội nghị, hội thảo được xuất hiện ngày càng nhiều, cụ thể:
Hội thảo - Triển lãm quốc gia về An ninh Bảo mật 2015 (Security World 2015)
với chủ đề “Tăng cường bảo mật và an toàn thông tin (ATTT) trong môi trường rủi ro
hiện nay” vừa diễn ra tại Hà Nội. Sự kiện do Tổng cục An ninh - Bộ Công an, Tổng
cục Hậu cần Kỹ thuật - Bộ Công an, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam -
Bộ Thông tin và Truyền thông, Trung tâm Công nghệ thông tin và Giám sát an ninh
mạng - Ban Cơ yếu Chính phủ phối hợp cùng Tập đoàn Dữ liệu Quốc tế Việt Nam
(IDG Việt Nam) tổ chức.
Hội thảo ứng dụng chứ ký số và bảo mật thông tin tại doanh nghiệp tổ chức tại
tỉnh Thừa Thiên Huế năm 2011.
Hội thảo Quốc gia về an ninh bảo mật ngày 22/3/2012 tại Hà Nội.
Hội thảo Vai trò của an ninh mạng trong nền kinh tế năng động do Đại sứ quán
Hoa kỳ tổ chức tại Hà Nội năm 2013.
1.3. Mục tiêu nghiên cứu của đề tài
Thứ nhất, đề tài tóm lược và hệ thống hóa các vấn đề lý luận cơ bản liên quan
đến an toàn và bảo mật thông tin trong TMĐT.
Thứ hai, sử dụng các phương pháp nghiên cứu đề khảo sát, đánh giá, phân tích
thực trạng vấn đề an toàn và bảo mật thông tin của doanh nghiệp để đưa ra những ưu,
nhược điểm.
Thứ ba, đề xuất một số kiến nghị, một số giải pháp nhằm nâng cao hiệu quả công
tác đảm bảo an toàn và bảo mật thông tin cho doanh nghiệp.
1.4. Đối tượng và phạm vi nghiên cứu của đề tài
1.4.1. Đối tượng nghiên cứu của đề tài
Nghiên cứu về website của doanh nghiệp và vấn đề mất an toàn và bảo mật thông
tin tại doanh nghiệp.
Nghiên cứu thực trạng an toàn bảo mật của công ty cổ phần phong cách Anh.
7
Nghiên cứu các giải pháp nâng cao an toàn bảo mật thông tin trong doanh
nghiệp.
1.4.2. Phạm vi nghiên cứu của đề tài
Là một đề tài nghiên cứu khóa luận của sinh viên nên phạm vi nghiên cứu của đề
tài chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảng
thời gian ngắn hạn, cụ thể:
Phạm vi về không gian: Đề tài tập trung nghiên cứu tình hình an toàn và bảo mật
thông tin tại công ty cổ phần phong cách Anh.
Phạm vi về thời gian: Các số liệu được khảo sát từ năm 2012 đến năm 2014,
đồng thời trình bày các nhóm giải pháp nâng cao an toàn và bảo mật thông tin cho
doanh nghiệp.
Phạm vi về nội dung: Bảo mật và an toàn mạng đối với cá nhân và doanh
nghiệp.
1.5. Phương pháp thực hiện đề tài
Phương pháp thu thập dữ liệu:
Phương pháp thu thập dữ liệu trực tiếp: Em sử dụng phương pháp lấy dữ liệu là
phiếu điều tra trắc nghiệm và phỏng vấn chuyên gia. Từ đó ta có cái nhìn một cách tổng
quan hơn về vấn đề an toàn và bảo mật thông tin của công ty cổ phần phong cách Anh.
• Phương pháp điều tra bằng phiếu điều tra trắc nghiệm:
Nội dung: Tình trạng an toàn dữ liệu, bảo mật thông tin trong giao dịch TMĐT
và biện pháp mà doanh nghiệp đang áp dụng.
Cách thức tiến hành: Các phiếu điều tra được gửi cho bộ phận lãnh đạo và các
phòng ban trong doanh nghiệp. Sau đó các phiếu điều tra được thu lại và tổng hợp, xử
lý và đưa ra các đánh giá, nhận xét phục vụ cho quán trình nghiên cứu đề tài.
Các câu hỏi mang tính chất tham khảo các ý kiến của các cá nhân về tình trạng
hiện tại của doanh nghiệp, các đánh giá cũng như khó khăn trong quá trình bảo mật
thông tin và các biện pháp dùng để cải thiện vấn đề an toàn dữ liệu.
Ưu điểm: Tiến hành nhanh chóng và tiện lợi mang tính hiệu quả cao.
Nhược điểm: Câu trả lời có thể không chính xác hoặc bị bỏ qua do không có ý
kiến về vấn đề. Câu trả lời mang tình theo mẫu nên không phát huy được hết ý kiến
của từng cá nhân cho vấn đề đặt ra.
8
• Phương pháp phỏng vấn:
Nội dung: Tìm hiểu sâu hơn về vấn đề bảo mật thông tin khách hàng và cách
thức thanh toán giữa khách hàng và doanh nghiệp.
Cách thức tiến hành: Phỏng vấn những người có chuyên môn cao trong công ty
về vấn đề bảo mật thông tin khách hàng như thế nào.
Ưu điểm: Có được các ý kiến cụ thể từ những người có chuyên môn cao và cách
nhìn bao quát về vấn đề tìm hiểu.
Nhược điểm: Mẫu nghiên cứu nhỏ do không có thời gian khảo sát, phỏng vấn
nhiều người nên kết quả thu được mang tính cá nhân cao hơn.
Phương pháp thu thập dữ liệu gián tiếp: Đối tượng và phương pháp thu thập dữ
liệu thông tin, ở đây em sử dụng hình thức chính là qua Internet, sách và báo. Nhưng
tất cả thông tin thu thập này chỉ mang tính tham khảo và dùng để làm căn cứ để xác
minh thông tin.
Phương pháp phân tích và xử lý số liệu:
Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập nhật
thì tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tình hình
nghiên cứu có liên quan đến trong đề tài. Trong quá trình xử lý thông tin, cần chia
thông tin ra làm hai nhóm chính:
Xử lý thông tin định lượng: Được thể hiện thông qua phương pháp mô tả bằng số
liệu, dữ liệu sau khi thu thập sẽ được đưa ra phân tích. Từ những biểu đồ được hoàn
thành sau khi nhập dữ liệu vào, sẽ có những đánh giá cụ thể về thực trạng an toàn và
bảo mật thông tin của công ty cổ phần phong cách Anh.
Xử lý thông tin định tính: Sử dụng ngôn ngữ để tiến hành các thao tác suy luận,
phân tích, tổng hợp, đánh giá.
Ưu điểm: phát hiện ra chủ đề quan trọng nhờ có được thông tin từ các nhân viên
có chuyên môn cao
Nhược điểm: mẫu nghiên cứu nhỏ.
9
1.6. Kết cấu khóa luận
Cấu trúc khóa luận gồm 3 phần chính, cụ thể:
Phần 1: Tổng quan vấn đề nghiên cứu.
Phần 2: Cơ sở lý luận và thực trạng an toàn và bảo mật thông tin của công ty cổ
phần phong cách Anh.
Phần 3: Định hướng phát triển và đề xuất giải pháp, kiến nghị về an toàn và bảo
mật thông tin của công ty cổ phần phong cách Anh.
10
PHẦN II: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG AN TOÀN BẢO MẬT
THÔNG TIN CỦA CÔNG TY CỔ PHẦN PHONG CÁCH ANH
2.1. Về cơ sở lý luận
2.1.1. Một số khái niệm về an toàn và bảo mật trong Thương Mại điện tử
An toàn dữ liệu là: Quá trình đảm bảo cho hệ thống dữ liệu tránh khỏi những
nguy cơ hỏng hóc hoặc mất mát. Các nguy cơ tiềm ẩn về khả năng mất an toàn thông
tin ngẫu nhiên như thiên tai, hỏng vật lý, mất điện… và các nguy cơ có chủ định như
tin tặc, cá nhân bên ngoài phá hỏng vật lý, can thiệp có chủ ý… Nhu cầu bảo mật
thông tin của các tổ chức và cá nhân đang cấp bách hơn bao giờ hết. Trong Thương
Mại điện tử, an toàn dữ liệu nghiên cứu về những nguy cơ gây mất an toàn, tránh khỏi
những nguy cơ này trong quá trình sử dụng hình thức kinh doanh trong giao dịch
TMĐT.[1]
Mục tiêu của ATDL là việc phát hiện các lỗ hổng của hệ thống dữ liệu, dự đoán
trước những nguy cơ tấn công, ngăn chặn những hành động gây mất an toàn dữ liệu từ
bên trong cũng như bên ngoài. Phục hồi tổn thất khi hệ thống dữ liệu bị tấn công.
Trong TMĐT thì mục tiêu đó là phát hiện sớm các lỗ hổng trong các hình thức giao
dịch và thanh toán điện tử, đưa ra các mô hình và giải pháp nhằm đảm bảo cho TMĐT
đạt được độ an toàn cao nhất, các phương pháp khắc phục hậu quả và đảm bảo lợi ích
cho người sử dụng.
Bảo mật thông tin là: Duy trì tính bảo mật, tính toàn vẹn và tính sẵn sàng của
thông tin.
Bảo mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp
quyền tương ứng.[2]
Tính toàn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tin chỉ
được thay đổi bởi những người được cấp quyền.
Tính sẵn sàng của thông tin là những người được quyền sử dụng có thể truy xuất
thông tin khi họ cần.
Các giai đoạn của quá trình bảo mật, gồm: Phòng ngừa, phát hiện tấn công, đối
phó với những cuộc tấn công.
Thông tin: Cũng giống như các tài sản khác như hệ thống máy tính, thiết bị khai
thác, văn phòng, nhà xưởng,… là những tài sản quan trọng của doanh ngiệp. Thông tin
11
trung thực, tin cậy và sẵn sàng là những yếu tố cần thiết để duy trì khả năng cạnh
tranh, khả năng thu lợi nhuận, khả năng xử lý tình huống bất ngờ trong doanh nghiệp.
Thông tin có thể bị mất cấp từ nhiều nguyên nhân khác nhau như: hệ thống máy
tính bị hư, tình báo công nghiệp, tiếp cận trái phép, đánh cắp thông tin khách hàng…
Bên cạnh đó, còn có những nguyên nhân khác như: hệ thống máy tính bị virus tấn
công, bị hacker tấn công.
2.1.2. Các hình thức tấn công dữ liệu trong Thương Mại điện tử
Các hình thức tấn công trong TMĐT có thể kể đến là hình thức tấn công dữ liệu
thụ động và tấn công chủ động. Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá
hoại dữ liệu trái phép. Vi phạm tính toàn vẹn, sẵn sàng dữ liệu.
Hình thức tấn công thụ động: là việc kẻ tấn công lấy được thông tin trên đường
truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích. Tấn
công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm. Hiện nay tấn
công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trước
khi tấn công xảy ra.[3]
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu
lại để sử dụng sau. Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)
và tấn công ngoại tuyến (offline).
Tấn công offline có phạm vi hạn chế và hiệu suất thấp. Đây là dạng đánh cắp tài
khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốn bất kỳ chi phí
nào. Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơn giản chỉ vì họ để
lộ password hay lưu ở dạng không mã hóa trong tập tin có tên dễ đoán trên đĩa cứng.
Một nghiên cứu gần đây cho thấy 50% vụ đánh cắp tài khoản do người gần gũi với nạn
nhân thực hiện.
Tấn công online không có mục tiêu cụ thể. Kẻ tấn công nhắm đến số đông người
dùng trên internet, hy vọng khai thác những hệ thống lỏng lẻo hay lợi dụng sự cả tin
của người dùng để đánh cắp tài khoản. Dạng tấn công này có hiệu suất khá cao. Hình
thức tấn công phổ biến nhất của tấn công online là phishing. Phishing là một loại tấn
công phi kỹ thuật, dùng đánh cắp các thông tin nhạy cảm bằng cách giả mạo người
gửi, cách phòng tránh duy nhất là ý thức của người dùng.
12
Hình thức tấn công chủ động: là hình thức tấn công có sự can thiệp vào dữ liệu
nhằm sửa đổi, thay thế làm lệch đường đi của dữ liệu. Đặc điểm của nó là có khả năng
chặn các gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi. Tấn công
chủ động tuy nguy hiểm nhưng lại dễ phát hiện được.[4]
Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong
thời gian thực. Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao.
Biện pháp phòng vệ tốt nhất chống lại kiểu tấn công chủ động là bảo mật máy
tính phía người dùng: đảm bảo hệ điều hành và tất cả ứng dụng được cập nhật đầy đủ,
cập nhật cơ sở dữ liệu nhận dạng virus và malware, dùng firewall cho các kết nối
Internet, dùng công cụ chống spyware và malware nhằm đảm bảo máy tính không cài
đặt những chương trình không cần thiết… Bộ lọc chống phishing cũng giúp giảm khả
năng người dùng sử dụng các website lừa đảo.
Tấn công từ chối dịch vụ DOS (Denial of service): là tên gọi chung của kiểu tấn
công làm cho một hệ thống nào đó bị quá tải dẫn tới không thể cung cấp dịch vụ hoặc
phải ngừng hoạt động. DOS lợi dụng sự yếu kém trong mô hình bắt tay ba bước của
TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đến server, làm server bị quá tải dẫn tới
không thể phục vụ các kết nối khác. [5]
Tấn công dữ liệu trên thực tế thường sử dụng virus, trojan để ăn cắp dữ liệu, lợi
dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật. Với mục đích
nhằm lấy cắp hoặc phá hỏng dữ liệu cũng như các chương trình ứng dụng.
2.1.3. Các phương pháp phòng tránh, khắc phục hậu quả và công cụ để đảm
bảo an toàn dữ liệu, bảo mật thông tin
Dữ liệu trong khi truyền giữa người gửi và người nhận là lúc dễ bị tấn công nhất.
Hầu hết các phương pháp tấn công nhằm vào dữ liệu đều thực hiện trong quá trình
giao dịch điện tử. Do đó bảo mật kênh truyền dữ liệu trong việc thực hiện các giao
dịch TMĐT là rất quan trọng. Hiện nay để bảo vệ website, bảo mật kênh truyền chủ
yếu tập trung vào các giao thức mã hóa. Một số giao thức bảo mật kênh truyền dữ liệu
như giao thức SSL - Secure socket layer, giao thức SET - Secure electronic, giao thức
WEP - Wireless encryption protocol và sử dụng Firewall.
Giao thức SSL - Secure socket layer: là giao thức đa mục đích, được thiết kế
nhằm tạo các giao tiếp giữa hai chương trình ứng dụng trên một cổng định trước
13
(socket 443) để mã hóa toàn bộ thông tin đi, đến. Hiện nay SSL đã trở thành chuẩn bảo
mật thực hành trên mạng Internet.[6]
SSL xây dựng trên tầng giao vận của mô hình TCP/IP (Transfer Control
Protocol/Internet Protocol – giao thức truyền thông của internet). Qua đó bất kỳ ứng
dụng mạng nào khi cài đặt sử dụng mô hình TCP/IP đều có thể thay đổi cấu hình để có
thể sử dụng giao thức SSL.
SSL được ứng dụng rộng rãi trong các giao dịch yêu cầu thanh toán qua mạng,
được hỗ trợ bởi hầu hết các trình duyệt và các phần mềm phía server, được thiết kế độc
lập với tầng ứng dụng nên có thể sử dụng cho nhiều ứng dụng khác nhau và mọi hoạt
động của SSL đều trong suốt với người sử dụng.
Bên cạnh đó SSL không có những cơ chế xác nhận người dùng một cách chắc
chắn. Người mua hàng có nguy cơ bị lộ thông tin về tài khoản. Vẫn có khả năng bị các
hacker dò tìm ra khóa bí mật dùng để mã hóa thông tin. Nhiều người dùng vẫn đang
dùng SSL V2.0 thay vì SSL V3.0 và không có cơ chế xác nhận lẫn nhau trong quá
trình thiết lập giao thức bắt tay.
Để khắc phục những hạn chế của SSL thì Visa và Master card đã phát triển giao
thức SET - Secure Electronic nhằm hỗ trợ bảo mật trong thanh toán trực tuyến qua
mạng dựa trên kỹ thuật sử dụng đồng tiền số. Giao thức này được hỗ trợ bởi các công
ty lớn như IBM, Microsolf, HP,
Giao thức SET - Secure electronic: SET đảm bảo tính chính xác của thông tin
cho bên gửi và bên nhận, đảm bảo tính toàn vẹn, đảm bảo tính tin cậy của thông tin, rất
an toàn do khó bị bẻ khóa. Qua đó người dùng không sợ lộ các thông tin về tài khoản
của mình khi tiến hành các giao dịch trên mạng do tiến hành xác nhận qua ngân hàng
trung gian. Hạn chế tình trạng từ chối dịch vụ và lừa đảo qua mạng do có cơ chế xác
thực cả hai phía. Tuy vậy SET có độ trễ khi giao dịch, do tính phức tạp của các thuật
toán mã hóa công khai, do thường xuyên tiến hành giao dịch với các ngân hàng trung
gian. Hệ thống cồng kềnh và quá trình giao dịch chậm. Thường xuyên backup các dữ
liệu, chi phí cao cho thiết bị phần cứng: SET yêu cầu các thiết bị phần cứng chuyên
dụng, yêu cầu cài đặt phần mềm chuyên dụng: ví tiền điện tử cài đặt ở máy trạm.[7]
Giao thức WEP - Wireless Encryption Protocol: Được thiết kế để đảm bảo tính
bảo mật cho mạng không dây, phương thức mã hóa, sử dụng thuật toán đối xứng RC4.
14
Với phương thức mã hóa RC4, WEP được xem như một phương thức kiểm soát truy
cập.[8]
Giải pháp WEP tối ưu đó là kết hợp WEP và các giải pháp khác, gia tăng mức độ
bảo mật cho WEP như việc sử dụng khóa WEP có độ dài 128 bit, thực thi chính sách
thay đổi khóa WEP định kỳ, sử dụng các công cụ theo dõi số liệu thống kê dữ liệu trên
đường truyền không dây.
Firewall là: Một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy
cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập
vào hệ thống của một số thông tin khác không mong muốn. Tư tưởng cơ bản của
firewall là đặt cấu hình mạng sao cho tất cả các thông tin vào ra mạng đều phải đi qua
một máy được chỉ định chính là firewall. Tuy nhiên firewall hạn chế quyền truy nhập
của người dùng vào mạng Internet.[9]
Firewall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên
ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong và
cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong. Nó
chặn những luồng thông tin có khả năng nguy hại đến sự an toàn của mạng máy tính,
lưu giữ các thông tin quan trọng và nhạy cảm của đơn vị tránh khỏi sự xâm nhập trái
phép từ bên ngoài. Với nhiệm vụ cơ bản là bảo vệ dữ liệu, những thông tin cần được
bảo vệ do những yêu cầu bảo mật, tính toàn vẹn, tính kịp thời, bảo vệ tài nguyên hệ
thống và danh tiếng của công ty sở hữu các thông tin cần được bảo vệ.
2.1.4 Vai trò và ứng dụng của an toàn dữ liệu, bảo mật thông tin trong giao
dịch Thương mại điên tử
2.1.4.1. Vai trò của an toàn dữ liệu, bảo mật thông tin trong giao địch Thương
mại điện tử
An ninh mạng hiện nay được coi là một trong những vấn đề hot nhất toàn cầu khi
liên tiếp các vụ tấn công mạng diễn ra trên khắp các nước trên thế giới. Tại Việt Nam,
chỉ tính từ đầu năm 2013, đã có 2.405 website của các cơ quan, doanh nghiệp bị
hacker xâm nhập. Các vụ tấn công mạng máy tính ngày càng tinh vi hơn với những
hình thái mới của giới tội phạm mạng mang tính chất quốc gia.
Thực tế đã có rất nhiều website bị thay đổi nội dung thông tin, chiếm quyền điều
khiển, thậm chí bị thay đổi tên miền, bị chiếm quyền sử dụng. Kẻ xấu luôn lợi dụng
15
những không gian mạng để làm việc rửa tiền, ăn cắp tài khoản hay thực hiện những
mục đích cạnh tranh không lành mạnh. Thị trường chứng khoán nước ta phát triển
những năm gần đây đang có hướng tiêu cực, tức là xuống dốc rất nhanh. Nếu hệ thống
thông tin cho thị trường chứng khoán không an toàn sẽ rất nguy hiểm và có thể đi đến
sập đổ thị trường.
Sự phức tạp và các mối đe doạ về sự mất an toàn bảo mật hệ thống thông tin
ngày càng tăng. Tìm được một giải pháp tổng thể với chi phí hợp lý là điều không dễ
cho các doanh nghiệp. Mặt khác, nhiều dự án về phía Nhà nước triển khai chậm cũng
gây khó dễ cho các tổ chức và doanh nghiệp trong nhiều lĩnh vực. Cho nên, vấn đề
sống còn cần phải làm là phải đảm bảo an toàn bảo mật cho các giao dịch, cho hệ
thống thông tin của ngành và của các doanh nghiệp.
2.1.4.2. Ứng dụng của an toàn dữ liệu, bảo mật thông tin trong giao dịch
Thương mại điện tử
Ứng dụng công nghệ thông tin trong kinh doanh được coi là yếu tố quan trọng
giúp doanh nghiệp giữ vững và mở rộng thị trường, tăng tính cạnh tranh, và thực hiện
các thỏa thuận thương mại trong khu vực và trên thế giới. Tất cả quá trình này đòi hỏi
một lượng thông tin trao đổi rất lớn qua mạng, đồng thời yêu cầu độ an toàn và tính
xác thực cao. Các ứng dụng của an toàn dữ liệu, bảo mật thông tin trong giao dịch
TMĐT gồm các công cụ bảo mật như chữ ký số, chứng thực số, mã hóa khóa công
khai, mã hóa khóa bí mật…
Mã hóa khóa bí mật - khóa đối xứng: Theo phương pháp này,người gửi và
người nhận sẽ dùng chung một khóa để mã hóa và giải mã. .[10]
Mã hóa khóa công khai - khóa không đối xứng: Phương pháp này sử dụng hai
khóa khác nhau là khóa công khai (public key) được gửi công khai trên mạng, khóa bí
mật (Private key) thì được giữ bí mật. .[11]
Chữ ký điện tử (hay chữ ký số - Digital signature): Được tạo lập dưới dạng từ,
chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền
hoặc kết hợp một cách logic với thông điệp dữ liệu, có (Server Certificate) chứng thực
cho các phần mềm, chứng thực cá nhân, chứng thực của các nhà cung cấp chứng thực
điện tử [12]
16
Chữ ký số có thể sử dụng trong các giao dịch thư điện tử, các e-mail, để mua
hàng trực tuyến, đầu tư chứng khoán trực tuyến, chuyển tiền ngân hàng, thanh toán
trực tuyến mà không sợ bị đánh cắp tiền như với các tài khoản Visa, Master. Ngoài ra,
chữ ký số cũng có thể dùng để kê khai, nộp thuế trực tuyến, khai báo hải quan và
thông quan trực tuyến mà không phải mất thời gian đi in các tờ khai, đóng dấu đỏ của
công ty rồi đến cơ quan thuế xếp hàng để nộp tờ khai này. Chữ ký số giúp cho các đối
tác có thể ký hợp đồng làm ăn hoàn toàn trực tuyến không cần ngồi trực tiếp với nhau,
chỉ cần ký vào file hợp đồng và gửi qua e-mail.
Mặc dù còn khá mới mẻ đối với phần lớn các doanh nghiệp Việt Nam, chữ ký số
lại đóng vai trò hết sức quan trọng đối với tương lai của TMĐT và chính phủ điện tử
trong bối cảnh hội nhập kinh tế thế giới như hiện nay. Việc ứng dụng chữ ký số trong
TMĐT sẽ đem lại cho doanh nghiệp, tổ chức rất nhiều lợi ích như: tiết kiệm chi phí
giấy tờ, thời gian luân chuyển trong hoạt động quản lý công văn, giấy tờ, thư điện tử.
Bên cạnh đó, còn góp phần đẩy nhanh các giao dịch qua mạng trong khi vẫn đảm bảo
độ an toàn và bảo mật thông tin.
Chữ ký số là công nghệ xác thực, đảm bảo anh ninh, an toàn cho giao dịch trên
môi trường Internet. Chữ ký số sẽ giải quyết vấn đề toàn vẹn dữ liệu và là bằng chứng
chống chối bỏ trách nhiệm trên nội dung đã ký, giúp cho các doanh nghiệp, tổ chức, cá
nhân yên tâm với các giao dịch điện tử của mình trong môi trường Internet.
Chứng thực số: là một hoạt động chứng thực danh tính của những ngươi tham
gia vào việc gửi và nhận thông tin qua kênh truyền, cung cấp cho họ các công cụ, các
dịch vụ cần thiết để thực hiện việc bảo mật thông tin, chứng thực nguồn gốc và nội
dung thông tin. Chứng thực điện tử được cấp bởi một cơ quan chứng thực có uy tín
trên thế giới. Một chứng thực điện tử bao gồm: khóa công khai của người sở hữu
chứng thực điện tử này, các thông tin riêng của người sở hữu chứng thực, hạn sử dụng,
tên cơ quan cấp chứng thực điện tử, số hiệu của chứng thực điện tử và chữ ký của nhà
cung cấp. Một số chứng thực điện tử đang sử dụng như: chứng thực cho máy chủ web
(Server Certificate), chứng thực cho các phần mềm, chứng thực cá nhân, chứng thực
của các nhà cung cấp chứng thực điện tử [13]
An toàn dữ liệu thanh toán điện tử: là một hệ thống cho phép các bên tham gia
mua và bán tiến hành thanh toán với nhau. Các khâu xử lý trong thanh toán điện tử
17
được thực hiện hoàn toàn trên máy tính. Bản chất của nó là mô phỏng lại những mô
hình thanh toán trong mua bán truyền thống nhưng được thực hiện thông qua các máy
tính nối mạng và các giao thức riêng, chuyên dụng [14]
Mô tả hoạt động của một hệ thống Thương Mại có nhiều bên tham gia: Người
mua (người trả tiền) và người bán (người được trả tiền). Đại diện bởi các máy tính của
mình và các máy tính này được nối với nhau thông qua mạng máy tính để thực hiện
các giao thức thanh toán điện tử. Có sự tham gia của các tổ chức tài chính như là các
ngân hàng đại diện cho mỗi bên.
Trong an toàn dữ liệu thanh toán điện tử, các bên khi tham gia giao dịch thay vì
chuyển tiền sẽ trao đổi với nhau các chứng từ được số hóa. Bản chất của quá trình này
là các bên tham gia sẽ sử dụng hệ thống ngân hàng để thực hiện việc chuyển tiền mặt
vào tài khoản của nhau trong quá trình giao dịch.
Hệ thống thanh toán điện tử mang tính độc lập vật lý đảm bảo an toàn của tiền
điện tử không phụ thuộc vào điều kiện vật lý nào. An toàn vì khả năng ngăn chặn gian
lận và giả mạo. Có thể thanh toán ngoại tuyến, chuyển nhượng và phân chia.
Website: là một phần của tổ hợp cơ sở hạ tầng của doanh nghiệp. Website còn gọi
là trang web, trang mạng, là một tập hợp các trang web bao gồm văn bản, hình ảnh,
video, flash vv, thường chỉ nằm trong một tên miền( domain name) hoặc tên miền phụ
(subdomain). Trang web được lưu trữ ( web hosting ) trên máy chủ web ( server web )
có thể truy cập thông qua Internet. Vì vậy không có gì đáng ngạc nhiên khi rất nhiều
doanh nghiệp dành sự quan tâm đặc biệt đến vấn đề bảo mật. Theo các báo cáo của tổ
chức Positive Technologies, trên 50% các cuộc tấn công là thông qua web. Công ty và
tên sản phẩm càng nổi tiếng thì khả năng bị tấn công càng cao. Thêm vào đó, việc mất
dữ liệu và thông tin khách hàng sẽ dẫn tới thiệt hại lớn [15]
Ta biết rằng website là một hình thức trao đổi thông tin mang tính công cộng, có
số lượng người truy cập vào hàng ngày là rất lớn, do đó việc xác định danh tính khách
hàng là hết sức khó khăn. Công tác đảm bảo an toàn cho trang web vừa phải đồng thời
với việc tạo cho web hoạt động liên tục và không hạn chế người truy cập. Mỗi một
trang web đều được dùng để quảng bá hình ảnh của doanh nghiệp, do đó nếu trang
web bị tấn công thì việc quảng bá sản phẩm bị thất bại và hình ảnh doanh nghiệp cũng
suy giảm nhanh chóng. Hiện nay mỗi trang web đều có nguy cơ bị tấn công từ nhiều
phía bởi nó có chứa cơ sở dữ liệu là các thông tin nhạy cảm của doanh nghiệp, của đối
tác doanh nghiệp cũng như thoong tin của khách hàng.
18
Bảo mật web là hình thức bảo vệ các thông tin và tài nguyên của hệ thống máy
tính. Hacker sẽ tấn công vào máy tính của người dùng để lấy cắp thông tin khi nhận và
truyền tin. Tấn công vào hệ thống máy chủ lấy cắp thông tin của hệ thống hoặc làm tê
liệt hoạt động của hệ thống máy chủ web. Có thể giả mạo người dùng để thực hiện các
giao dịch giả và nghe lén thông tin trên đường truyền. Hiện nay các phương pháp sử
dụng để bảo mật web đó là bảo mật Server, máy cá nhân, đường truyền và bảo mật
thanh toán điện tử.
Bên cạnh đó cũng có một số giải pháp khác đảm bảo an toàn trong TMĐT đó là
mạng vành đai (Demilitarized Zone - DMZ), tường lửa cá nhân (Personal Firewall),
mạng riêng ảo (Virtual Private Network).
2.2. Đánh giá, phân tích thực trạng về an toàn và bảo mật thông tin của
công ty cổ phần phong cách Anh.
.
Tên tiếng Việt : CÔNG TY CỔ PHẦN PHONG CÁCH ANH.
Tên giao dịch quốc tế : ANH’S STYLE JOINT STOCK COMPANY.
Quy mô nhân sự : 210 người.
Giám đốc : TRẦN THỊ THU TRANG.
Chủ doanh nghiệp : TRẦN THỊ THU TRANG.
Ngày thành lập : Năm 2004 tại Hà Nội.
Số đăng ký kinh doanh : 0101525194.
Vốn điều lệ : 130,000,000,000 VNĐ ( Một trăm ba mươi tỷ đồng).
Địa chỉ : Số 3, phố Ngọc Khánh, phường Ngọc Khánh, quân Ba
Đình, Thành phố Hà Nội, Việt Nam.
Điện thoại : +84437233039
Công ty cổ phần phong cách anh kinh doanh trong các lĩnh vực chính sau:
Sản xuất may mặc các sản phẩm trang phục công sở cho khối ngân hàng, bảo
hiểm tài chính, các Tổng công ty như Tổng công ty Điện lực Dầu khí, Tổng công ty
Viễn thông Viettel, Tổng công ty đầu tư và phát triển Đường Cao Tốc Việt Nam, Kiểm
toán nhà nước…
Tổ chức hoạt động kinh doanh:
Xưởng may số 1: Tòa nhà Time House, lô B, ô D23 đường Trần Thái Tông, Cầu
Giấy, Hà Nội. Diện tích : 2.500 m2.
Xưởng may số 2: Khu chợ Đồng Vàng, thôn Kim Long Thượng, xã Hoàng Long,
huyện Phú Xuyên, Hà nội. Diện tích nhà xưởng : 500 m2.
19
Máy móc thiết bị : Công ty CP Phong Cách Anh đầu tư nhiều máy móc thiết bị
chuyên dụng để sản xuất sản phẩm, đồng thời được chuyển giao dây chuyền công nghệ
máy móc hiện đại từ công ty Alsinger – công ty liên doanh với Đan Mạch.
Nhân sự: Với hơn 10 năm hoạt động trong lĩnh vực sản xuất kinh doanh chuyên
về may mặc trang phục cho các khối ngân hàng, tài chính, bảo hiểm, các tổng công ty
(từ 2004 đến nay), chúng tôi có đội ngũ cán bộ chuyên môn được đào tạo từ các
trường đại học chuyên nghành, có nhiều kinh nghiệm, năng lực tay nghề cao.
2.2.1. Một số kêt quả đạt được trong quá trình hoạt động kinh doanh của công
ty cổ phần phong cách Anh
Tóm tắt các số liệu về tài chính trong 03 năm tài chính gần đây: 2012, 2013, 2014.
Bảng 2.1. Bảng thống kê các số liệu tài chính của công ty.
(Đơn vị: VNĐ)
STT Nội dung Năm 2012 Năm 2013 Năm 2014
1 Tổng tài sản 92.295.411.183 170.999.772.355 200.057.892.423
2 Tổng nợ phải trả 33.882.172.289 67.679.634.986 58.867.356.674
3 Tài sản ngắn hạn 33.402.294.607 57.953.820.512 76.485.645.178
4 Tổng nợ ngắn hạn 33.176.172.289 45.997.888.738 78.145.689.004
5 Doanh thu 57.897.524.879 58.245.856.745 63.486.013.356
6 Lợi nhuận trước thuế 3.947.576.791 4.024.512.826 4.156.024.549
7 Lợi nhuận sau thuế 2.960.682.593 3.320.137.369 3.489.304.941
(Nguồn: Báo cáo kiểm toán năm 2012, 2013, 2014)
Nhận xét: Trong năm 2014, công ty cổ phần phong cách Anh đạt mục tiêu tăng
trưởng ổn định, giữ được khối khách hàng trọng điểm.Cụ thể về giá trị tổng tài sản của
công ty tăng 29.058.120.068 tỷ đồng trong khi đó tổng nợ phải trả lại giảm
8.812.278.312 tỷ so với năm 2013.
Nhìn vào báo cáo kết quả kinh doanh của doanh nghiệp ta thấy có sự tăng đáng
kể doanh thu của năm 2014 so với doanh thu của năm 2013, tăng 5.240.156.611 tỷ so
với năm 2013.
Từ những số liệu thống kê về hoạt động kinh doanh 3 năm liên tiếp từ 2012 đến
2014 ta thấy doanh nghiệp vẫn đang không ngừng phát triển về mặt quy mô tổ chức
lẫn thị trường kinh doanh của doanh nghiệp.
2.2.2. Phân tích thực trạng an toàn và bảo mật thông tin của công ty cổ phần
phong cách Anh
20
Website của doanh nghiệpwww.PhongcachAnh.com.vnra đời vào năm 2007,
nhưng hiện tại đang tạm ngừng sử dụng để xây dựng và bảo trì. Với mục tiêu là tuyên
truyền cho nội bộ doanh nghiệp sử dụng thành thạo rồi sau đó mới quảng bá rộng rãi
ra bên ngoài. Website chỉ mới dừng lại ở việc giới thiệu về công ty và các sản phẩm
mới chứ chưa có các giao dịch, mua hàng trực tuyến qua mạng.
Nhờ việc ứng dụng CNTT và HTTT vào hoạt động quản lý, kinh doanh nên công
ty đã từng bước hiện đại hóa các hoạt động của mình. Các phần mềm word, excel,
phần mềm quản lý nhân sự, phần mềm kế toán đã góp phần cải thiện các hoạt động
quản lý, đưa ra các báo cáo tài chính một cách nhanh chóng, chính xác, kịp thời, góp
phần vào việc giảm thiểu chi phí, tăng lợi nhuận cho công ty. Cụ thể, là:
Về việc quản lý nhân viên: Hoạt động quản lý nhân viên được công ty thực hiện
khá tốt, ứng dụng phần mềm quản lý nhân sự (Perfect HRM 2012) giúp nhà quản lý dễ
dàng quản lý nhân viên trong công ty, cung cấp giải pháp tổng thể trong lĩnh vực quản
lý nhân sự, tiền lương. Phần mềm hỗ trợ những tính năng mới như quản lý bảo hiểm
xã hội, thuế thu nhập cá nhân, hỗ trợ các chức năng tìm kiếm, truy vấn động, lập các
báo cáo thống kê nhanh. Bên cạnh đó, tránh được việc quản lý nhân viên một cách thủ
công gây nhiều tổn thất, chi phí quản lý cho công ty. Tình trạng mất mát và không
kiểm soát được thông tin nhân viên dần được khắc phục.
Tuy nhiên, trong những năm tới số lượng nhân viên trong công ty và số lượng
khách hàng có xu hướng ngày càng tăng, công ty kinh doanh thêm lĩnh vực mới, khối
lượng công việc ngày càng nhiều, Điều đó làm cho công tác quản lý thông tin khách
hàng, thông tin của doanh nghiệp rất khó khăn và mất nhiều thời gian, chi phí.
Hiện tại công ty chưa có bộ phận chuyên trách về CNTT, đây cũng là yếu tố dẫn
đến việc khó khăn trong quản lý thông tin và đảm bảo an toàn thông tin tại công ty cổ
phần phong cách Anh.
Về an toàn bảo mật thông tin tại công ty:
Hiện nay ở công ty, vấn đề bảo mật an toàn thông tin cần được xem xét ở hai
khía cạnh:
Thứ nhất là: ý thức về an toàn thông tin của từng cá nhân trong doanh nghiệp
chưa cao. Thứ hai là: vấn đề bảo mật cho hệ thống: Các biện pháp được áp dụng để
đảm bảo an toàn thông tin cho hệ thống, dữ liệu của công ty:
21
• Đối với hệ thống mạng của công ty: Cài đặt Firewall cho router, giám sát dung
lượng mạng LAN.
• Đối với các phòng ban: mới chỉ dừng lại ở mức độ cài đặt phần mềm diệt vius
BKAV, đặt mật khẩu cho một số dữ liệu quan trọng hoặc cho các máy tính chứa nhiều
dữ liệu quan trọng.
• Có ứng dụng google drive để lưu trữ những thông tin quan trọng, đề phòng
trường hợp mất mát thông tin.
Và sau đây, em đã phát phiếu điều tra về tình hình sử dụng phần mềm có bản
quyền của nhân viên trong công ty để có thể thấy rõ hơn về tình trạng an toàn bảo mật
thông tin tại công ty cổ phần phong cách Anh.
Biểu đồ 2.1. Biểu đồ tỉ lệ nhân viên doanh nghiệp sử dụng phần mềm bảo mật
22
Căn cứ vào biểu đồ trên, thấy rằng doanh nghiệp có sử dụng công nghệ thông tin.
Tuy nhiên ý thức sử dụng và đảm bảo an toàn thông tin của các thành viên trong doanh
nghiệp còn thấp, cụ thể: có 30% sử dụng phần mềm có bản quyền, 5% không sử dụng
phần mềm miễn phí cũng như phần mềm bản quyền và 65% là sử dụng phần mềm
miễn phí.Mức độ quan tâm đến an toàn bảo mật thông tin doanh nghiệp đối với các
thành viên là khác nhau, doanh nghiệp chưa chú trọng nâng cao về cả ý thức, trách
nhiệm và có chính sách bảo mật riêng.Do vậy, khi sử dụng các phần mềm miễn phí từ
các trang chia sẻ không an toàn trên mạng dẫn đến nguy cơ lây lan virus, spyware tới
máy tính cá nhân là tương đối cao. Do sử dụng phần mềm không có bản quyền cho
chính hệ điều hành nên dễ phát sinh những lỗ hổng bảo mật khi sử dụng máy tính cá
nhân truy cập mạng internet. Bên cạnh đó, ý thức bảo vệ tài khoản cá nhân khi kết nối
mạng internet còn thấp, nhân viên thường xuyên sử dụng wifi công cộng không được
bảo vệ khi truy cập những tài khoản cá nhân, để mất khẩu yếu, sử dụng chung mật
khẩu cho nhiều trang web, nhiều ứng dụng trên mạng trong thời gian dài.
Nguy cơ mất thông tin trong hệ thống còn tiềm ẩn ngay trong cấu trúc phần cứng
của các thiết bị tin học.
Dưới đây là kết quả điều tra sau khi em đã phát phiếu điều tra để tham khảo ý
kiến của các nhân viên trong công ty, từ đó tổng hợp lại các số liệu để xây dựng biểu
đồ về tình hình an toàn và bảo mật thông tin của công ty nhằm phát hiện những khó
khăn, thuận lợi tại đây.Qua đó đánh giá được thực trạng về an toàn và bảo mật thông
tin tại công ty cũng như đề xuất các giải pháp, ý kiến đối với công ty. Cụ thể:
Câu hỏi 1: Tầm quan trọng của công tác bảo mật thông tin khách hàng đối với
công ty?
Biểu đồ 2.2. Biểu đồ tỉ lệ tầm quan trọng của công tác bảo mật thông tin khách hàng
Tần số xuất hiện của “rất quan trọng” là nhiều nhất chiếm 9/20 lần và chiếm 45%
sự lựa chọn, rồi mới tới “quan trọng” và “bình thường”.
Câu hỏi 2: Thách thức lớn nhất về an toàn bảo mật thông tin đối với công ty là?
Biểu đồ 2.3. Biểu đồ tỉ lệ thách thức lớn nhất về an toàn bảo mật thông tin
Tần suất số xuất hiện của “nhân lực” là nhiều hơn 12/20 lần và chiếm 60% sự lựa
chọn, rồi mới tới “ngân sách”.
23
Câu hỏi 3: Hiện nay khi mua hàng, đa số khách hàng thanh toán cho công ty
bằng hình thức nào?
Biểu đồ 2.4. Biểu đồ tỉ lệ về hình thức lựa chọn thanh toán của khách hàng
Ta thấy tần số xuất hiện của “trả tiền mặt” là nhiều nhất 10/20 lần và chiếm 50%
sự lựa chọn, tiếp theo đó là “dùng thẻ thanh toán nội địa hay quốc tế” và “chuyển tiền
qua bưu điện hay chuyển phát”.
24
Câu hỏi 4: Hiện nay công ty đang làm gì để tiến hành bảo mật thông tin cho
khách hàng?
Biểu đồ 2.5. Biểu đồ tỉ lệ về phương án bảo mật thông tin cho khách hàng
Ta thấy tần số xuất hiện của “quản lý email” là nhiều nhất 12/20 lần và chiếm
60% sự lựa chọn, tiếp theo đó là “quản lý website” và “quản lý cơ sở dữ liệu”.
Câu hỏi 5: Việc đảm bảo an toàn thông tin này được thực hiện thường xuyên
không?
Biểu đồ 2.6. Biểu đồ tỉ lệ về mức độ đảm bảo an toàn thông tin
Ta thấy tần số xuất hiện của “thường xuyên” là nhiều nhất 17/20 lần và chiếm
85% sự lựa chọn.
25