LỜI CẢM ƠN Khóa luận sản phẩm nghiên cứu, đúc kết kiến thức trình học tập, nghiên cứu lâu dài trường đại học Để hồn thành khóa luận này, bên cạnh cố gắng nỗ lực thân, em nhận nhiều dẫn, giúp đỡ nhiệt tình từ phía khoa Hệ thống thơng tin kinh tế, trường Đại học Thương Mại từ phía cơng ty cổ phần phong cách Anh Trước hết, em xin chân thành cảm ơn thầy cô trường Đại học Thương Mại truyền cho cho em kiến thức bổ ích suốt thời gian ngồi ghế nhà trường Em xin gửi lời cảm ơn sâu sắc tới thầy giáo - Th.s Phan Đa Phúc hướng dẫn, giúp đỡ bảo em suất trình làm khóa luận Em xin chân thành cảm ơn anh chị công ty cổ phần phong cách Anh tạo điều kiện cho em thực tập, tìm hiểu cơng ty giúp em hồn thành tốt khóa luận Em xin chân thành cảm ơn! Sinh viên thực Đinh Thị Sương i LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com MỤC LỤC LỜI CẢM ƠN .i MỤC LỤC ii DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ iv DANH MỤC TỪ VIẾT TẮT vi PHẦN I: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 1.1 Tính cấp thiết đề tài .1 1.2 Tình hình nghiên cứu nước đề tài 1.3 Mục tiêu nghiên cứu đề tài 1.4 Đối tượng phạm vi nghiên cứu đề tài .2 1.4.1 Đối tượng nghiên cứu đề tài 1.4.2 Phạm vi nghiên cứu đề tài 1.5 Phương pháp thực đề tài 1.6 Kết cấu khóa luận .5 PHẦN II: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG AN TOÀN BẢO MẬT THÔNG TIN CỦA CÔNG TY CỔ PHẦN PHONG CÁCH ANH 2.1 Về sở lý luận 2.1.1 Một số khái niệm an toàn bảo mật Thương Mại điện tử 2.1.2 Các hình thức cơng liệu Thương Mại điện tử 2.1.3 Các phương pháp phòng tránh, khắc phục hậu cơng cụ để đảm bảo an tồn liệu, bảo mật thông tin 2.1.4 Vai trò ứng dụng an tồn liệu, bảo mật thơng tin giao dịch Thương mại điên tử 10 2.2 Đánh giá, phân tích thực trạng an tồn bảo mật thông tin công ty cổ phần phong cách Anh 14 2.2.1 Một số kêt đạt q trình hoạt động kinh doanh cơng ty cổ phần phong cách Anh .15 2.2.2 Phân tích thực trạng an tồn bảo mật thơng tin công ty cổ phần phong cách Anh 16 2.2.3 Đánh giá thực trạng an tồn bảo mật thơng tin cơng ty cổ phần phong cách Anh 24 ii LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com PHẦN III: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP, KIẾN NGHỊ VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN CỦA CÔNG TY CỔ PHẦN PHONG CÁCH ANH 27 3.1 Định hướng phát triển công ty an tồn bảo mật thơng tin 27 3.2 Các đề xuất giải pháp nâng cao hiệu an tồn bảo mật thơng tin cơng ty cổ phần phong cách Anh 29 3.3 Một số kiến nghị liên quan đến nâng cao hiệu công tác đảm bảo an tồn thơng tin cơng ty cổ phần phong cách Anh .42 KẾT LUẬN 44 TÀI LIỆU THAM KHẢO .45 iii LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ STT Tên bảng biểu, sơ đồ, hình vẽ Trang Bảng 2.1 Bảng thống kê số liệu tài cơng ty (Nguồn: Báo 15 cáo kiểm toán năm 2012, 2013, 2014) Biểu đồ 2.1 Biểu đồ tỉ lệ nhân viên doanh nghiệp sử dụng phần mềm 17 bảo mật Biểu đồ 2.2 Biểu đồ tỉ lệ tầm quan trọng công tác bảo mật thông tin 18 khách hàng Biểu đồ 2.3 Biểu đồ tỉ lệ thách thức lớn an tồn bảo mật thơng 19 tin Biểu đồ 2.4 Biểu đồ tỉ lệ hình thức lựa chọn toán khách 19 hàng Biểu đồ 2.5 Biểu đồ tỉ lệ phương án bảo mật thông tin cho khách 20 hàng Biểu đồ 2.6 Biểu đồ tỉ lệ mức độ đảm bảo an tồn thơng tin 20 Biểu đồ 2.7 Biểu đồ tỉ lệ tầm quan trọng an tồn tốn 21 điện tử Biểu đồ 2.8 Biểu đồ tỉ lệ mức độ bảo mật giải pháp 21 toán điện tử 10 Biểu đồ 2.9 Biểu đồ tỉ lệ mức độ quan tâm an tồn bảo mật thơng tin 22 khách hàng 11 Biểu đồ 2.10 Biểu đồ tỉ lệ mức độ quan tâm khách hàng công tác 22 bảo mật thông tin qua website 12 Biểu đồ 2.11 Biểu đồ tỉ lệ đầu tư cho công tác bảo mật thông tin qua 23 website 13 Biểu đồ 2.12 Biểu đồ tỉ lệ cấp độ bảo mật thông tin công ty 23 14 Biểu đồ 2.13 Biểu đồ tỉ lệ mức độ sẵn sàng mua hàng qua mạng 24 khách hàng 15 16 Hình 3.1: Mơ hình giải pháp bảo vệ đa cấp phần cứng Hình 3.2: Mơ hình giải pháp lớp Firewall bên 31 31 iv LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 17 Hình 3.3: Mơ hình lớp Firewall bảo vệ máy chủ 33 18 Hình 3.4: Mơ hình giải pháp hai lớp tường lửa 35 19 Hình 3.5: Mơ hình giải pháp mạng riêng ảo 36 20 Hình 3.6: Mơ hình giải pháp IPS đặt trước Firewall 37 21 Hình 3.7: Mơ hình cấu trúc giao thức SSL 39 22 Hình 3.8: Mơ hình lắp đặt mạng khơng dây tổng thể 40 23 Hình 3.9: Mơ hình mã hóa email giải pháp bảo mật thư điện tử 41 v LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com DANH MỤC TỪ VIẾT TẮT STT Từ viết tắt Giải nghĩa CNTT Công nghệ thông tin ATDL An toàn liệu TMĐT Thương mại điện tử HTTT Hệ thống thông tin SSL Secure Socket Layer SET Secure Electronic WEP Wireless Encryption Protocol VPN Virtual Private Network vi LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com PHẦN I: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 1.1 Tính cấp thiết đề tài Trong kinh tế tồn cầu hóa vấn đề thơng tin xem sống doanh nghiệp.Thế nhưng, nhiều doanh nghiệp chưa nhận thức tầm quan trọng vấn đề bảo mật thông tin nguy xảy từ việc rị rỉ thơng tin nội doanh nghiệp Hiện nay, thâm nhập sâu rộng CNTT, phát triển vượt bậc công nghệ mạng Internet website thông tin trực tuyến lĩnh vực sống mang lại nhiều lợi ích, đồng thời đặt khơng thách thức an ninh bảo mật Tình hình an ninh diễn biến phức tạp xuất nhiều nguy đe dọa đến việc phát triển kinh tế xã hội đảm bảo quốc phòng, an ninh Nguy an ninh mạng bảo mật an tồn thơng tin doanh nghiệp thị trường mưc báo động tình trạng bị hacker, virus, malware cơng khiến liệu bị xóa, thơng tin bị đánh cắp, bị theo dõi, quyền bảo hành, lây truyền virus sang máy tính khác… liên tục gia tăng khơng ngừng, gây hậu thiệt hại vô lớn kinh tế, uy tín cho doanh nghiệp lâu dài Khi vấn đề bảo mật đảm bảo an tồn lợi kinh doanh doanh nghiệp, điều giúp doanh nghiệp tiết kiệm chi phí, thời gian… tránh cạnh tranh không lành mạnh đối thủ kinh doanh hay phá hoại đối tượng bên Nếu vấn đề an tồn bảo mật khơng quan tâm đúng, xảy vấn đề liên quan trách nhiệm lúc lớn, doanh nghiệp bị ảnh hưởng dẫn đến phá sản hay chịu trách nhiệm trước pháp luật Để hiểu rõ vấn đề cần quan tâm an tồn bảo mật thơng tin TMĐT, em lựa chọn công ty cổ phần phong cách Anh để tìm hiểu nghiên cứu Qua q trình thực tập cơng ty, em xin đề xuất đề tài nghiên cứu cho khóa luận là: “Giải pháp an tồn bảo mật thơng tin cơng ty cổ phần phong cách Anh” 1.2 Tình hình nghiên cứu ngồi nước đề tài Trên giới, đông đảo nhà nghiên cứu, viện nghiên cứu, trường đại học ý quan tâm tới vấn đề an tồn bảo mật thơng tin TMĐT Trong LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com năm gần đây, nhiều diễn đàn, hội nghị, hội thảo quốc tế an toàn bảo mật liên tục tổ chức Tại Việt Nam với phát triển mạnh mẽ TMĐT thời gian qua quan tâm đến vấn đề an tồn bảo mật thông tin lớn Các đề tài nghiên cứu cấp Bộ, cấp Nhà nước, hội nghị, hội thảo xuất ngày nhiều, cụ thể: Hội thảo - Triển lãm quốc gia An ninh Bảo mật 2015 (Security World 2015) với chủ đề “Tăng cường bảo mật an tồn thơng tin (ATTT) môi trường rủi ro nay” vừa diễn Hà Nội Sự kiện Tổng cục An ninh - Bộ Công an, Tổng cục Hậu cần Kỹ thuật - Bộ Công an, Trung tâm ứng cứu khẩn cấp máy tính Việt Nam Bộ Thơng tin Truyền thơng, Trung tâm Công nghệ thông tin Giám sát an ninh mạng - Ban Cơ yếu Chính phủ phối hợp Tập đoàn Dữ liệu Quốc tế Việt Nam (IDG Việt Nam) tổ chức Hội thảo ứng dụng ký số bảo mật thông tin doanh nghiệp tổ chức tỉnh Thừa Thiên Huế năm 2011 Hội thảo Quốc gia an ninh bảo mật ngày 22/3/2012 Hà Nội Hội thảo Vai trò an ninh mạng kinh tế động Đại sứ quán Hoa kỳ tổ chức Hà Nội năm 2013 1.3 Mục tiêu nghiên cứu đề tài Thứ nhất, đề tài tóm lược hệ thống hóa vấn đề lý luận liên quan đến an toàn bảo mật thông tin TMĐT Thứ hai, sử dụng phương pháp nghiên cứu đề khảo sát, đánh giá, phân tích thực trạng vấn đề an tồn bảo mật thông tin doanh nghiệp để đưa ưu, nhược điểm Thứ ba, đề xuất số kiến nghị, số giải pháp nhằm nâng cao hiệu công tác đảm bảo an tồn bảo mật thơng tin cho doanh nghiệp 1.4 Đối tượng phạm vi nghiên cứu đề tài 1.4.1 Đối tượng nghiên cứu đề tài Nghiên cứu website doanh nghiệp vấn đề an tồn bảo mật thơng tin doanh nghiệp Nghiên cứu thực trạng an toàn bảo mật công ty cổ phần phong cách Anh LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nghiên cứu giải pháp nâng cao an tồn bảo mật thơng tin doanh nghiệp 1.4.2 Phạm vi nghiên cứu đề tài Là đề tài nghiên cứu khóa luận sinh viên nên phạm vi nghiên cứu đề tài mang tầm vi mô, giới hạn doanh nghiệp giới hạn khoảng thời gian ngắn hạn, cụ thể: Phạm vi không gian: Đề tài tập trung nghiên cứu tình hình an tồn bảo mật thông tin công ty cổ phần phong cách Anh Phạm vi thời gian: Các số liệu khảo sát từ năm 2012 đến năm 2014, đồng thời trình bày nhóm giải pháp nâng cao an tồn bảo mật thơng tin cho doanh nghiệp Phạm vi nội dung: Bảo mật an toàn mạng cá nhân doanh nghiệp 1.5 Phương pháp thực đề tài Phương pháp thu thập liệu: Phương pháp thu thập liệu trực tiếp: Em sử dụng phương pháp lấy liệu phiếu điều tra trắc nghiệm vấn chuyên gia Từ ta có nhìn cách tổng quan vấn đề an tồn bảo mật thơng tin cơng ty cổ phần phong cách Anh  Phương pháp điều tra phiếu điều tra trắc nghiệm: Nội dung: Tình trạng an tồn liệu, bảo mật thơng tin giao dịch TMĐT biện pháp mà doanh nghiệp áp dụng Cách thức tiến hành: Các phiếu điều tra gửi cho phận lãnh đạo phòng ban doanh nghiệp Sau phiếu điều tra thu lại tổng hợp, xử lý đưa đánh giá, nhận xét phục vụ cho quán trình nghiên cứu đề tài Các câu hỏi mang tính chất tham khảo ý kiến cá nhân tình trạng doanh nghiệp, đánh khó khăn q trình bảo mật thông tin biện pháp dùng để cải thiện vấn đề an toàn liệu Ưu điểm: Tiến hành nhanh chóng tiện lợi mang tính hiệu cao Nhược điểm: Câu trả lời khơng xác bị bỏ qua khơng có ý kiến vấn đề Câu trả lời mang tình theo mẫu nên không phát huy kiến cá nhân cho vấn đề đặt LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com  Phương pháp vấn: Nội dung: Tìm hiểu sâu vấn đề bảo mật thơng tin khách hàng cách thức tốn khách hàng doanh nghiệp Cách thức tiến hành: Phỏng vấn người có chun mơn cao cơng ty vấn đề bảo mật thông tin khách hàng Ưu điểm: Có ý kiến cụ thể từ người có chun mơn cao cách nhìn bao quát vấn đề tìm hiểu Nhược điểm: Mẫu nghiên cứu nhỏ khơng có thời gian khảo sát, vấn nhiều người nên kết thu mang tính cá nhân cao Phương pháp thu thập liệu gián tiếp: Đối tượng phương pháp thu thập liệu thông tin, em sử dụng hình thức qua Internet, sách báo Nhưng tất thông tin thu thập mang tính tham khảo dùng để làm để xác minh thơng tin Phương pháp phân tích xử lý số liệu: Sau phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cập nhật tiến hành tổng hợp tài liệu, có nhìn tổng quan tồn cảnh cụ thể tình hình nghiên cứu có liên quan đến đề tài Trong q trình xử lý thơng tin, cần chia thơng tin làm hai nhóm chính: Xử lý thơng tin định lượng: Được thể thông qua phương pháp mô tả số liệu, liệu sau thu thập đưa phân tích Từ biểu đồ hoàn thành sau nhập liệu vào, có đánh giá cụ thể thực trạng an tồn bảo mật thơng tin cơng ty cổ phần phong cách Anh Xử lý thông tin định tính: Sử dụng ngơn ngữ để tiến hành thao tác suy luận, phân tích, tổng hợp, đánh giá Ưu điểm: phát chủ đề quan trọng nhờ có thơng tin từ nhân viên có chun mơn cao Nhược điểm: mẫu nghiên cứu nhỏ LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com nghiệp truyền thông, kiểm sốt truy cập, trì cải tiến, quản lý liên tục, tính tn thủ) ảnh hưởng đến an ninh thông tin doanh nghiệp nhằm đảm bảo thuộc tính nó: Tính tin cậy (Confidentiality), tính tồn vẹn (Integrity) tính sẵn sàng (Availability) Giải pháp cụ thể sau:  Giải pháp bảo vệ đa cấp phần cứng Hình 3.1: Mơ hình giải pháp bảo vệ đa cấp phần cứng Lớp Firewall bên Đây lớp an ninh chủ lực chuyên dùng để chống lại công từ môi trường bên hacker, virus, spam….bảo vệ hệ thống giảm thiểu tối đa ảnh hưởng xấu từ bên ngồi kết nối với mơi trường bên ngồi Trong thực tế: nguy xâm nhập vào hệ thống nội doanh nghiệp từ đối tượng ngoại vi (như hacker, virus…), thông tin cung cấp tới người dùng, khách hàng phải toàn vẹn người dùng phép truy cập dê dàng từ bên Hình 3.2: Mơ hình giải pháp lớp Firewall bên 33 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Lớp an ninh trung gian Lớp an ninh chủ yếu dựa tính an ninh thiết bị mạng, hệ điều hành, Đối với thiết bị mạng cao cấp triển khai tính an ninh mạng như:  Access control list hạn chế truy cập người dùng cuối qua phần vùng, ứng dụng không thuộc phạm vi truy xuất  Thiết lập quyền truy cập thông qua username, password  Hạn chế kết nối vào hệ thống (kết nối vật lý) vị trí khơng phép thơng qua tính port security, VLAN access control list thiết bị mạng  Phân vùng VLAN hạn chế liệu vơ ích (Broadcast, ARP signal…) tràn ngập từ khu vực qua khu vực khác, tận dụng tối đa băng thơng cho thơng tin có ích (traffic thực người dùng) hệ thống Ngăn chặn khuyếch tán Virus hay ảnh hưởng liên đới trường hợp không ổn định hệ thống phần cứng từ vùng qua vùng khác Firewall bảo vệ hệ thống máy chủ (serverfarm) - internal firewall Phân hệ tường lửa nội (internal firewall) đóng vai trị quan trọng chốt chặn bảo mật cuối bảo vệ toàn hệ thống liệu doanh nghiệp Phân hệ đồng thời cửa ngõ kiểm soát trước vào khu vực nhạy cảm hệ thống, khu vực máy chủ trung tâm Điểm đặc biệt ngồi việc ngăn chặn cơng từ mơi trường bên ngồi xâm nhập vào hệ thống, thiết bị tường lửa cịn phải phân tích truy cập từ mạng LAN, lọc ngăn chặn công xuất phát từ nội Hơn tầm quan trọng vậy, thiết bị tường lửa phân hệ phải loại có cơng suất xử lý (throughput) cao đặc biệt có khả hoạt động thiết bị ngăn chặn xâm nhập IPS (Intrusion Prevention System) Trung tâm liệu nơi chứa đựng tất tài sản vơ giá doanh nghiệp mặt tài chính, thơng tin khách hàng… khu vực có tầm quan trọng sống hệ thống cần có giải pháp bảo vệ an tồn cao khả cơng nghệ 34 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hình 3.3: Mơ hình lớp Firewall bảo vệ máy chủ  Một số lựa chọn bảo mật cụ thể khác giải pháp, bảo gồm: Phần mềm phòng chống Virus, chống spam tổng thể (BKAV, McAfee, TrendMicro, Symantec,…) Đây thành phần khơng thể thiếu cho hệ thống có khả phòng chống thâm nhập cao, nhằm chống lại lây nhiễm từ môi trường bên người dùng gây Giải pháp ngăn chặn mát liệu (data lost prevention) Đó giải pháp chống thất thơng tin như: chống chép thơng tin khỏi hệ thống, chống gởi mail kèm tập tin nhạy cảm định trước nhằm hỗ trợ doanh nghiệp giảm thiểu tối đa khả bị đánh cắp thông tin quan trọng "lộ" thông tin với đối thủ cạnh tranh Giải pháp an ninh vật lý cho phịng máy chủ Đó việc giám sát an ninh vật lý cho phòng máy chủ như: hệ thống kiểm soát vào ra, hệ thống camera theo dõi chuyên dụng riêng cho phòng máy chủ Hệ thống giám sát quản trị hệ thống an ninh thông tin Bất kỳ hệ thống an ninh mạng dù có đại đến đâu không phát huy hết tác dụng khơng có hệ thống giám sát giúp người quản trị phát ngăn chăn thâm nhập trái phép kịp thời đưa giải pháp hỗ trợ Xây dựng sách an ninh cho doanh nghiệp Đây thành phần quan trọng có tầm ảnh hưởng lớn đến hệ thống an ninh Xây dựng sách an ninh đặc thù phù hợp cho doanh nghiệp 35 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com  Giải pháp hệ thống tường lửa: Trong công nghệ mạng, Firewall kỹ thuật tích hợp vào hệ thống mạng nhằm ngăn chặn việc truy cập liệu trái phép, nhằm bảo vệ nguồn thông tin nội hạn chế xâm nhập không mong muốn vào hệ thống Cũng hiểu FireWall chế bảo vệ trust network (mạng nội bộ) khỏi Untrust Network (mạng internet) * Firewall cứng Là loại firewall tích hợp trực tiếp lên phần cứng(như Router Cisco, Check point , Planet, Juniper…) * Firewall mềm Là phần mềm cài đặt máy tính đóng vai trị làm firewall Có loại Stateful Firewall (Tường lửa có trạng thái) Stateless Firewall (Tường lửa khơng trạng thái) Áp dụng:Lắp đặt chương trình FireWall bảo vệ cho kết nối Internet (Check point, Microsoft ISA…), giải pháp FireWall tích hợp thiết bị phần cứng (Router, Remote Access Server) hay thiết bị FireWall chuyên dụng (Cisco PIX FireWall) Vị trí lắp đặt Firewall hệ thống: Tường lửa lắp đặt vùng biên giới hệ thống mạng hay hệ thống máy tính Việc sử dụng tường lửa hệ thống có nhiều yếu điểm nguy cơ, cụ thể: - Hai nguy mà bạn thường gặp sử dụng tường lửa hệ thống mạng cấu hình sai lỗi phần mềm Do chưa nắm vững kỹ thuật cấu hình, đưa sách bảo mật khơng phù hợp sai lầm q trình thực hiện, tường lửa khóa cứng hệ thống trở nên tác dụng bảo vệ hệ thống, từ ngồi Internet truy cập vào phân vùng mạng bên - Nguy thứ hai, khó tránh hơn, lỗi Zero-day xảy với phần mềm tường lửa, kể với thiết bị phần cứng Các lỗi Zero-day lỗi giới hacker phát ra, nhà sản xuất chưa biết chưa kịp đưa giải pháp để khắc phục, sửa lỗi hay thông báo với người dùng 36 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nguyên nhân hệ thống thơng tin cơng ty có lọc với mối nguy hại từ bên ngồi Nếu cơng xun qua tường lửa này, hacker xâm nhập vào phân vùng mạng hệ thống Giải pháp sử dụng hai lớp tường lửa: Mặc dù chi phí cao hơn, xem giải pháp an tồn cho hệ thống mạng bên Mơ hình giải pháp: Hình 3.4: Mơ hình giải pháp hai lớp tường lửa Hiệu quả:Giải pháp làm giảm khả chịu tải hai tường lửa sử dụng, thiết bị phía ngồi ngăn chặn lọc bớt công từ Internet trước chúng vào đến tường lửa bên Ngược lại, tường lửa bên lại lọc luồng liệu không cần thiết từ bên trước chúng đến thiết bị bên giao tiếp với mạng WAN  Giải pháp mạng riêng ảo VPN: Mạng riêng ảo hay VPN (Virtual Private Network) mạng dành riêng để kết nối máy tính lại với thơng qua mạng Internet cơng cộng Những máy tính tham gia mạng riêng ảo "nhìn thấy nhau" mạng nội - LAN (Local Area Network) Mạng VPN an tồn bảo vệ lưu thơng mạng cung cấp riêng tư, chứng thực toàn vẹn liệu thơng qua giải thuật mã hố Để cung cấp kết nối máy tính, gói thơng tin bao bọc header có chứa thơng tin định tuyến, cho phép liệu gửi từ máy truyền qua môi trường mạng chia sẻ đến máy nhận, truyền đường ống riêng gọi tunnel 37 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Áp dụng: Đối với công ty cổ phần phong cách Anh doanh nghiệp nhỏ nên lựa chọn hình thức Intranet/ Internal VPN Đó đảm bảo tính riêng tư q trình truyền liệu phận công ty, không cho phép phận khác truy cập nhằm hạn chế xâm nhập trái phép cá nhân có ý đồ khơng tốt cơng ty đảm bảo an toàn liệu cho phận Khi truyền gói tin, cơng ty cần phải áp dụng chế mã hóa chứng thực để bảo mật: SSL (Secure Socket Layer),IPSec (IP Security Tunnel Mode, PPTP (Point to Point Tunneling Protocol), L2TP (Layer Tunneling Protocol) cần xác thực, xác nhận quản lý tài khoản (AAA Authentication, Authorization, Accounting): AAA sử dụng để tăng tính bảo mật truy nhập từ xa VPN để bảo đảm an tồn thơng tin Mơ hình giải pháp: Hình 3.5: Mơ hình giải pháp mạng riêng ảo Hiệu quả:kết nối nhanh chóng, dễ dàng với chi phí thấp giúp doanh nghiệp nâng cao hiệu cơng việc Người dùng kết nối nào, nơi đâu, thông tin liên tục cần truy cập Internet Ngồi ra, doanh nghiệp phát triển mơ hình “làm việc từ xa” để giảm chi phí thuê mặt bằng, tăng thời gian làm việc nhờ giảm thời gian di chuyển nhân viên  Giải pháp sử dụng công nghệ ngăn chặn xâm nhập mạng IPS: IPS (Intrusion Prevention Systems – Hệ thống ngăn ngừa xâm nhập) hệ thống theo dõi, ngăn ngừa kịp thời hoạt động xâm nhập không mong muốn IPS giải pháp ngăn ngừa xâm nhập nhằm mục đích bảo vệ tài nguyên, liệu mạng Chúng làm giảm bớt mối đe dọa công việc loại bỏ lưu lượng mạng bất hợp pháp, cho phép hoạt động hợp pháp tiếp tục 38 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Chức IPS xác định hoạt động nguy hại, lưu giữ thông tin Sau kết hợp với firewall để dừng hoạt động này, cuối đưa báo cáo chi tiết hoạt động xâm nhập trái phép IPS ngăn chặn công dạng sau:  Ứng dụng không mong muốn công kiểu “Trojan horse” nhằm vào mạng ứng dụng cá nhân, qua việc sử dụng nguyên tắc xác định danh sách kiểm soát truy nhập  Sự lạm dụng ứng dụng giao thức qua việc sử dụng qui tắc giao thức ứng dụng chữ kí  Những cơng q tải hay lạm dụng ứng dụng việc sử dụng giới hạn tài nguyên dựa sở ngưỡng Ưu điểm:  Cung cấp giải pháp bảo vệ toàn diện tài nguyên hệ thống  Ngăn chặn kịp thời công biết chưa biết Hạn chế:  Có thể gây tình trạng phát nhầm (faulse positives), khơng cho phép truy cập hợp lệ tới hệ thống Áp dụng: Đối với trường hợp cơng ty, mạng có quy mơ nhỏ giải pháp IPS thường cân nhắc nhiều tính chất kết hợp phát hiện, cảnh báo ngăn chặn Cụ thể, nên triển khai IPS trước firewall bảo vệ toàn hệ thống bên kể firewall, vùng DMZ Có thể giảm thiểu nguy bị cơng từ chối dịch vụ đồi với firewall Mơ hình IPS đặt trước firewall: Hình 3.6: Mơ hình giải pháp IPS đặt trước Firewall 39 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hiệu quả:  Theo dõi hoạt động bất thường hệ thống  Xác định tác động đến hệ thống cách thức nào, hoạt động xâm nhập xảy vị trí cấu trúc mạng  Tương tác với hệ thống firewall để ngăn chặn kip thời hoạt động thâm nhập hệ thống  Dễ mở rộng theo qui mơ tổ chức, triển khai hệ thống để bảo vệ từ hệ thống mạng trung tâm đến văn phòng chi nhánh  Giải pháp mật mã SSL: Giao thức SSL - Secure socket layer: Là giao thức đa mục đích, thiết kế nhằm tạo giao tiếp hai chương trình ứng dụng cổng định trước (socket 443) để mã hóa tồn thơng tin đi, đến Hiện SSL trở thành chuẩn bảo mật thực hành mạng Internet Với việc sử dụng SSL, Web site cung cấp khả bảo mật thông tin, xác thực toàn vẹn liệu đến người dùng SSL thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an tồn chống giả mạo luồng thông tin qua Internet hai ứng dụng Giao thức SSL bao gồm giao thức con: giao thức SSL record giao thức SSL handshake Giao thức SSL record xác định định dạng dùng để truyền liệu Giao thức SSL handshake (gọi giao thức bắt tay) sử dụng SSL record protocol để trao đổi số thông tin server client vào lấn thiết lập kết nối SSL Mã hoá SSL xuất hai mức bản, mã hoá mức thấp mã hoá mức cao Mã hoá SSL mức thấp mã hoá 40 56 bit Mã hoá SSL mức cao mã hoá 128 bit 256 bit Việc phiên SSL xuất mã hoá mức cao hay mức thấp phụ thuộc vào cấu hình hệ thống client kiểu xác thực SSL đặt máy chủ web Nhiều hệ thống client khơng thể sử dụng mã hố SSL 128 bit trừ có xác thực SGC 40 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Cấu trúc SSL giao thức SSL: Hình 3.7: Mơ hình cấu trúc giao thức SSL Để sử dụng bảo vệ SSL, client lẫn server phải biết phía bên sử dụng SSL Nói chung, có ba khả để giải vấn đề này: Sử dụng số cổng chuyên dụng dành riêng Internet Asigned Numbers Authority (IANA) Trong trường hợp này, số cổng riêng biệt phải gán cho giao thức ứng dụng vốn sử dụng SSL Sử dụng số cổng chuẩn cho giao thức ứng dụng để thương lượng tùy chọn bảo mật phần giao thức ứng dụng Sử dụng tùy chọn TCP để thương lượng việc sử dụng giao thức bảo mật, chẳng hạn SSL suốt giai đoạn thiết lập nối kết TCP thơng thường  Giải pháp an tồn mạng khơng dây: Thuật ngữ “mạng máy tính khơng dây” nói đến cơng nghệ cho phép hai hay nhiều máy tính giao tiếp với dùng giao thức mạng chuẩn không cần dây cáp mạng Các mạng máy tính khơng dây sử dụng sóng điện từ khơng gian (sóng vơ tuyến sóng ánh sáng) thu, phát liệu qua khơng khí, giảm thiểu nhu cầu kết nối dây Việc sử dụng mạng không dây tiện lợi đơn giản, tiềm ẩn nhiều nguy an tồn thơng tin Do đó, người quản trị mạng cần nghiên cứu, phân tích đặc điểm mạng Internet khơng dây, kỹ thuật công mạng Internet không dây để từ đưa giải pháp an ninh mạng, bảo mật cho mạng Internet không dây dựa tiêu chí: tính bảo mật, tính tồn vẹn, xác thực hai chiều tính sẵn sàng 41 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Các giải pháp cụ thể: Thay đổi mật mặc định hệ thống: Mật nên kết hợp sử dụng ký tự phức tạp (#, $, &, ) Mã hóa tệp tin trước trao đổi, chia sẻ: Nên sử dụng AP (Access Point) có chức mã hóa liệu bất chức lên Mã hóa liệu làm tăng mức độ an tồn trao đổi thơng tin Cập nhật thường xuyên phần mềm, lỗi cho AP: Thường xuyên kiểm tra sửa lỗi hay nâng cấp website nhà sản xuất để đảm bảo an toàn Kết nối sử dụng VPN: VPN (Virtual Private Network) mạng riêng ảo Đây kỹ thuật tạo mạng riêng mơi trường Internet có sử dụng biện pháp mã hóa VPN cho phép nhân viên kết nối cách an toàn tới mạng cục họ họ xa văn phịng VPN mã hóa kết nối nơi gửi nơi nhận Nếu có VPN, đảm bảo đăng nhập vào cần sử dụng mạng không dây công ty Tắt chức chia sẻ file: Để ngăn chặn kẻ công khỏi truy cập vào tệp tin quan trọng Mơ hình giải pháp: Hình 3.8: Mơ hình lắp đặt mạng khơng dây tổng thể 42 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hiệu quả:  Cài đặt nhanh chóng, giá thành hợp lý thời gian cho cáp kết nối  Dễ dàng mở rộng kết nối mạng  Có thể vào mạng vị trí khơng gian doanh nghiệp với chất lượng dịch vụ cao không bị phụ thuộc vào dây cáp  Giúp cho việc truyền tải, tiếp nhận thông tin nhanh chóng tiện lợi  Tăng tính linh hoạt sử dụng, tốc độ khả bảo mật cho người dùng nội doanh nghiệp  Giải pháp bảo mật thư điện tử: Bảo mật hệ thống email với Ironport: Giải pháp IronPort Email Security Cisco tập hợp thiết bị bảo mật hoạt động tinh vi Giải pháp thiết kế linh hoạt cho tất mơ hình doanh nghiệp từ nhỏ đến lớn Bằng cách giảm thời gian chết ảnh hưởng spam, virus nhiều mối đe dọa khác, giải pháp giúp doanh nghiệp quản trị hiệu hệ thống email giảm gánh nặng cho nhân viên kỹ thuật Ngoài bảo vệ hệ thống email khỏi mối đe dọa trước mắt, giải pháp IronPort Email Security ngăn ngừa nguy xảy đến tương lai Mã hóa email: Hình 3.9: Mơ hình mã hóa email giải pháp bảo mật thư điện tử 43 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Hiệu quả:Thực việc mã hoá nội dung, nâng cao tính bảo mật với tốc độ cao mà khơng làm ảnh hưởng đến tốc độ chung toàn hệ thống Sử dụng hệ thống dịch vụ Registered Envelope Service, thư gửi kiểm sốt mã hóa cách tự động Thông tin đảm bảo tuyệt đối người nhận cần xác thực với hệ thống Cisco để nhận đọc thư Ngoài ra, tự động diệt loại bỏ thư bị nhiễm virus trước chúng lọt vào hệ thống mạng, có khả định dạng vơ hiệu hóa email gắn đoạn mã đơc trước chương trình diệt virus có sẵn đưa cách diệt mẫu virus 3.3 Một số kiến nghị liên quan đến nâng cao hiệu công tác đảm bảo an tồn thơng tin cơng ty cổ phần phong cách Anh Các quốc gia giới không ngừng đầu tư, xây dựng hành lang pháp lý nhằm phục vụ cho hoạt động thương mại điện tử diễn thuận lợi Việt Nam khơng nằm ngồi xu cần có điều chỉnh luật pháp cho phù hợp với phát triển không ngừng xã hội tất yếu, đặc biệt điều luật liên quan đến thương mại điện tử Sau vài kiến nghị với nhà nước:  Tiếp tục nghiên cứu hoàn thiện Luật Giao dịch điện tử, Luật Công nghệ thông tin, nghị định, văn hướng dẫn áp dụng luật Nhà nước cho phù hợp, đáp ứng yêu cầu hội nhập với điều luật quốc tế thương mại điện tử  Tiếp tục nghiên cứu sửa đổi Luật Thương mại cho phù hợp với giao dịch thương mại thông qua mạng Internet, thiết bị điện tử khác  Hợp tác tích cực với quốc gia có kinh tế điện tử đại nhằm tranh thủ giúp đỡ, hỗ trợ mặt kinh nghiệm xây dựng thực thi sách pháp luật liên quan tới thương mại điện tử, tắt đón đầu việc nắm bắt cơng nghệ đại thương mại điện tử nói chung  Tăng cường ngân sách đầu tư cho hoạt động an tồn bảo mật thơng tin quốc gia, song song với việc đào tạo kiến thức an tồn bảo mật thơng tin cần thiết Qua cần trọng công tác đào tạo đội ngũ cán đủ đạo đức tư cách, am hiểu hoạt động lĩnh vực cơng nghệ thơng tin Trực tiếp tìm hiểu thực nghiên cứu luận văn hoạt động kinh doanh công ty cổ phần phong cách Anh nói chung, hoạt động an tồn bảo mật thơng tin khách hàng thơng qua website nói riêng, em xin đưa vài kiến nghị với công ty 44 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com để giúp cơng ty hồn thiện cơng tác an tồn bảo mật thông tin đạt hiệu cao thị trường kinh doanh trực tuyến Đó là:  Cơng ty phải nhanh chóng đầu tư thêm sở hạ tầng máy móc phục vụ cho tất hoạt động công ty Đầu tư thêm số máy tính, nâng cấp máy chủ server, tăng tốc độ đường truyền Internet băng thông rộng việc cần thiết Luôn đảm bảo dịch vụ phần mềm tự động hóa ln nhanh chóng giúp cơng ty vận hành tốt  Cơng ty phải hồn thiện website www.phongcachanh.com.vn.Thay đổi giao diện trang web cho phù hợp với trang bán hàng trực tuyến, thay đổi danh mục, quảng cáo cho sản phẩm dựa hình ảnh nhiều thơng tin chi tiết sản phẩm, hồn thiện chức tìm kiếm sản phẩm trang web, hỗ trợ khách hàng sử dụng giỏ hàng đặt móng cho tốn trực tuyến thời gian nhanh Áp dụng giải pháp bảo mật bao phủ tồn q trình quản lý nhằm đảm bảo an tồn thơng tin cho khách hành thơng qua website  Bên cạnh nhân tố cốt lõi nguồn nhân lực Vì vậy, cơng ty cần mở chiến dịch trang bị nâng cao nguồn nhân lực cho Một mặt tự đào tạo cho nhân viên công ty, cần thúc đẩy trang bị thêm kiến thức an tồn bảo mật thơng tin thương mại điện tử cho nhân viên gửi đào tạo website, doanh nghiệp lớn Một mặt công ty cần mở đợt tuyển dụng nhân viên đào tạo chuyên môn kiến thức an tồn bảo mật thơng tin thương mại điện tử sâu rộng, giàu lực có đạo đức tinh thần trách nhiệm cao, bao gồm cá nhân tốt nghiệp chuyên ngành Công nghệ thông tin Điều trang bị tốt cho công ty, tạo thuận tiện cơng việc máy có hỗ trợ tin cậy từ phía nhân viên 45 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com KẾT LUẬN Trong tình hình kinh tế nay, việc cạnh tranh thị trường nước thị trường giới trở thành chiến không mua bán truyền thống mà hình thức bán hàng trực tuyến An tồn thơng tin cho khách hàng mối quan tâm hàng đầu doanh nghiệp muốn tồn phát triển thị trường trực tuyến Website tạo niềm tin vững cho khách hàng, thoả mãn nhu cầu khách hàng nhiều có chỗ đứng tốt thị trường Do đó, hoạt động nhằm đảm bảo an tồn thơng tin cho khách hàng thơng qua website trở thành hoạt động quan trọng hàng đầu doanh nghiệp Nó giúp đưa hình ảnh doanh nghiệp vào tâm trí khách hàng nhanh chóng hiệu Càng yên tâm mua bán website doanh nghiệp làm cho khả biết đến website cơng ty cao hơn, từ thu hút nhiều khách hàng đến với doanh nghiệp ngày nhiều Đối với công tycổ phần phong cách Anh, bước nâng cao mức đầu tư cho website mình, thơng qua việc nâng cấp xây dựng trọng hiệu cho cơng tác an tồn liệu bảo mật thông tin, hiệu chưa cao đội ngũ nhân viên chưa đủ trình độ an tồn thơng tin chưa tìm hướng rõ ràng phù hợp với Bên cạnh người sử dụng vị trí yếu việc đảm bảo an toàn cho hệ thống Chính việc nâng cao kiến thức an toàn, bảo mật cho người sử dụng điều cần thiết Mong thời gian tới, công ty làm tốt hoạt động giao dịch thương mại điện tử website www.PhongcachAnh.com.vncủa mình, giúp cho doanh nghiệp ngày phát triển, đủ sức cạnh tranh với nhiều thương hiệu có uy tín ngành 46 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com TÀI LIỆU THAM KHẢO Báo cáo Thương Mại Điện Tử năm 2006 Bộ Công Thương Báo cáo Thương Mại Điện Tử năm 2007 Bộ Công Thương Báo cáo Thương Mại Điện Tử năm 2008 Bộ Công Thương www.huecity.vn (Trung tâm công nghệ thông tin truyền thông) www.vnisa.org.vn (Hiệp hội an tồn thơng tin Việt Nam) www.antoanmang.vn (An tồn mạng Việt Nam) [1] Giáo trình “An toàn liệu Thương mại điện tử” “Cơng nghệ bảo mật chữ kí điện tử” Bộ môn Công nghệ thông tin, Đại học Thương Mại [2] Giáo trình “An tồn liệu Thương mại điện tử” “Cơng nghệ bảo mật chữ kí điện tử” Bộ môn Công nghệ thông tin, Đại học Thương Mại [3]http://nld.com.vn/cong-nghe-thong-tin/cac-kieu-tan-cong-danh-cap-tai-khoan206521.htm [4]http://nld.com.vn/cong-nghe-thong-tin/cac-kieu-tan-cong-danh-cap-tai-khoan206521.htm [5]http://voer.edu.vn/c/rui-ro-bien-phap-phong-tranh-rui-ro-trong-thuong-mai-dien-tu/ f39895c2/cdd20613 [6]http://xpt.vn/thiet-ke-website/Tin-cong-nghe-thong-tin/Secure-Socket-Layer-(SSL)la-gi?-310.web [7]http://kenhdaihoc.com/forum/threads/hay-trinh-bay-giao-thuc-giao-dich-dien-tubao-mat-set.29331/ [8] Giáo trình “An tồn liệu Thương mại điện tử” “Cơng nghệ bảo mật chữ kí điện tử” Bộ môn Công nghệ thông tin, Đại học Thương Mại [9] http://datacenter-vdc.blogspot.com/2013/11/tong-quan-ve-firewall.html [10]http://kenhdaihoc.com/forum/threads/so-sanh-giua-ma-hoa-doi-xung-va-ma-hoabat-doi-xung-ung-dung-cua-chung.29343/ [11]http://www.pcworld.com.vn/articles/cong-nghe/cong-nghe/2005/04/1187412/chuky-dien-tu-dam-bao-an-toan-du-lieu-truyen-tren-mang/ [12]http://www.pcworld.com.vn/articles/cong-nghe/cong-nghe/2005/04/1187412/chuky-dien-tu-dam-bao-an-toan-du-lieu-truyen-tren-mang/ [13] Giáo trình “An toàn liệu Thương mại điện tử” “Cơng nghệ bảo mật chữ kí điện tử” Bộ môn Công nghệ thông tin, Đại học Thương Mại .[14] http://www.vjol.info/index.php/bct-cn1/article/viewFile/9995/9165 [15]http://web.redidea.vn/faq/42-hoi-dap/84-website-la-gi.html 47 LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... tồn bảo mật thơng tin công ty cổ phần phong cách Anh LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com PHẦN II: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG AN TỒN BẢO MẬT THƠNG TIN CỦA CÔNG TY CỔ PHẦN PHONG. .. doanh công ty cổ phần phong cách Anh .15 2.2.2 Phân tích thực trạng an tồn bảo mật thông tin công ty cổ phần phong cách Anh 16 2.2.3 Đánh giá thực trạng an tồn bảo mật. .. phân tích thực trạng an tồn bảo mật thông tin công ty cổ phần phong cách Anh Tên tiếng Việt : CÔNG TY CỔ PHẦN PHONG CÁCH ANH Tên giao dịch quốc tế : ANH? ??S STYLE JOINT STOCK COMPANY Quy mô nhân :