Tính sẵn dùng Availability...4 Ví dụ: Trong hệ thống quản lý thông tin của Shopee, cần đảm bảo rằng người dùng, khách hàng luôn có thể tra cứu các thông tin về sản phẩm, số lượng hàng củ
Trang 1BỘ CÔNG THƯƠNG TRƯỜNG ĐẠI HỌC CÔNG NGHIỆP TP HỒ CHÍ
MINH
MÔN: AN TOÀN THÔNG TIN
Đề tài:
Sự ảnh hưởng của an toàn thông tin đến cá nhân tổ
chức và xã hội
GVHD: Ngô Hữu Dũng
LHP: 420300365915
Thực hiện: Nhóm 4
TP.Hồ Chí Minh, tháng 2 năm 2023
Trang 2STT Họ và tên MSSV Đánh giá
Trang 3Mục lục
1 Tổng quan an toàn thông tin 1
a Khái niệm an toàn thông tin 1
b Sự cần thiết của an toàn thông tin 1
c Mục đích của an toàn thông tin 1
2 Mặt tích cực khi có an toàn thông tin, bất lợi khi không có an toàn thông tin 1
a Tích cực khi có an toàn thông tin: 2
b Những bất lợi khi không có an toàn thông tin: 2
3 Ví dụ : Hệ thống thông tin shopee 2
4 Mô tả quy trình hoạt động của hệ thống shopee 2
a Quy trình dành cho Người Mua 2
b Quy trình dành cho Người Bán 3
c Quy trình thanh toán 3
d Quy trình giải quyết tranh chấp/Xử lý khiếu nại 3
5 3 tính cần thiết CIA của hệ thống shopee 4
a Tính bảo mật (Confidentiality) 4
b Tính toàn vẹn (Integrity) 4
c Tính sẵn dùng (Availability) 4
Ví dụ: Trong hệ thống quản lý thông tin của Shopee, cần đảm bảo rằng người dùng, khách hàng luôn có thể tra cứu các thông tin về sản phẩm, số lượng hàng của từng loại sản phẩm, luôn có thể kiểm tra, theo dõi quá trình vận chuyển hàng hóa bất kỳ lúc nào, và luôn có thể sử dụng hoặc quy đổi Xu thành các voucher khi thanh toán bất cứ lúc nào khách hàng cần sử dụng đến 4
6 Lí do shopee bảo mật thông tin 4
7 Kết luận: 6
Trang 41 Tổng quan an toàn thông tin.
a Khái niệm an toàn thông tin
An toàn thông tin là các hoạt động bảo vệ tài sản thông tin và là một lĩnh vực rộng lớn Nó bao gồm cả những sản phẩm và những quy trình nhằm ngăn chặn truy cập trái phép, hiệu chỉnh, xóa thông tin, An toàn thông tin liên quan đến hai khía cạnh đó là an toàn về mặt vật lý và an toàn về mặt kỹ thuật
Mục tiêu cơ bản của an toàn thông tin:
- Đảm bảo tính bảo mật
- Đảm bảo tính toàn vẹn
- Đảm bảo tính xác thực
- Đảm bảo tính sẵn sàng
b Sự cần thiết của an toàn thông tin
Hệ thống thông tin là thành phần thiết yếu trong mọi cơ quan, tổ chức và đem lại khả năng xử lý thông tin, là tài sản quan trọng nhưng hệ thống thông tin cũng chứa rất nhiều điểm yếu Máy tính được phát triển rất nhanh để đáp ứng yêu cầu của người dùng, phiên bản được phát hành liên tục, tính năng mới được thêm vào ngày càng nhiều, các phần mềm không được kiểm tra kỹ trước khi phát hành có thể dễ dàng bị lợi dụng Việc phát triển của hệ thống mạng làm cho người dùng truy cập thông tin dễ dàng hơn và tin tặc cũng có nhiều mục tiêu tấn công dễ dàng hơn
c Mục đích của an toàn thông tin
Bảo vệ tài nguyên của hệ thống
Các hệ thống máy tính lưu giữ rất nhiều thông tin và tài nguyên cần được bảo vệ Những thông tin và tài nguyên này có thể là dữ liệu kế toán, bán hàng, nghiên cứu, sáng chế, thông tin về tổ chức Đối với nhiều tổ chức, toàn bộ dữ liệu quan trọng thường được lưu trong một cơ sở dữ liệu được quản lý và sử dụng bởi các chương trình phần mềm Các tấn công vào hệ thống có thể xuất phát từ những đối thủ của tổ chức hoặc cá nhân do đó, các phương pháp để bảo đảm an toàn cho những thông tin này có thể rất phức tạp và nhạy cảm Hậu quả mà những tấn công thành công để lại sẽ rất nghiêm trọng
Bảo đảm tính riêng tư
Các hệ thống máy tính lưu giữ rất nhiều thông tin cá nhân cần được giữ bí mật Những thông tin này bao gồm: Số thẻ bảo hiểm xã hội, số thẻ ngân hàng, số thẻ tín dụng, thông tin về gia đình, Các hãng này có những quy định bắt buộc để bảo đảm những thông tin cá nhân được bí mật và bắt buộc phải thực hiện những quy định đó để bảo đảm tính riêng tư
2 Mặt tích cực khi có an toàn thông tin, bất lợi khi không có an toàn thông tin.
Trang 5a Tích cực khi có an toàn thông tin:
Phòng chống lấy cắp thông tin cá nhân, phòng chống virus, đảm bảo an toàn thông tin với tài liệu, hạn chế việc người dùng bị tấn công mạng đánh cắp dữ liệu, sử dụng web
an toàn, phòng chống tấn công tin tặc, đảm bảo thông tin được lưu trữ truyền tải an toàn
b Những bất lợi khi không có an toàn thông tin:
- Mất mát, lộ lọt dữ liệu do lỗi người dùng
- Mất dữ liệu do hỏng phần cứng, phần mềm
- Mất mát, lộ lọt dữ liệu do bị thất lạc hoặc lấy trộm thiết bị
- Mất, lộ lọt dữ liệu do mã độc, tin tặc
Đối với các doanh nghiệp, tập đoàn lớn cũng như các tổ chức, cơ quan của nhà nước, các nguy cơ lộ lọt dữ liệu là một vấn đề hết sức nghiêm trọng Các nguy cơ này có thể được phân loại thành các nguy cơ có chủ ý, vô ý hoặc nguy cơ từ bên trong hay bên ngoài
3 Ví dụ : Hệ thống thông tin shopee.
Công ty mẹ Shopee thuộc sở hữu của tập đoàn SEA, hay ở Việt Nam được biết đến nhiều nhất dưới tên công ty GARENA
Là một sàn thương mại điện tử để cung cấp cho
khách hàng trải nghiệm việc mua sắm trực tuyến một
cách dễ dàng, an toàn và tiện lợi bởi quá trình thanh
toán và vận chuyển nhanh chóng
Hiện tại đã có mặt trên tổng cộng 7 nước khu
vực châu á gồm: Singapore; Malaysia; Thái Lan; Đài
Loan; Indonesia; Việt Nam, và Philipines Đây là trang
shopee của Việt Nam: Shopee.vn
4 Mô tả quy trình hoạt động của hệ thống shopee.
a Quy trình dành cho Người Mua
- Đăng nhập tài khoản Shopee
- Tìm kiếm, tham khảo thông tin sản phẩm, dịch vụ, khuyến mại và các người bán mà người mua đang quan tâm
- Tham khảo thông tin về giá và chính sách hỗ trợ bên bán sản phẩm, dịch vụ
- Dựa trên thông tin tham khảo từ người bán Người mua có thể liên hệ với chủ gian hàng qua thông tin liên hệ để hỏi thêm thông tin sản phẩm, dịch vụ hoặc tiếp xúc trực tiếp để xem và mua sản phẩm, dịch vụ
- Người mua đưa ra quyết định đặt hàng trực tuyến bằng cách click vào “Đặt hàng”
- Người mua lựa chọn cách thức giao dịch tùy theo chính sách của từng gian hàng đặt ra
Trang 6- Đơn hàng của người mua sẽ được chuyển thông tin đến người bán Tùy vào thỏa thuận giữa 2 bên mà Shopee có thể hỗ trợ vận chuyển và thanh toán mà hai bên đã giao dịch
- Người mua nhận sản phẩm, dịch vụ
- Người mua thắc mắc, khiếu nại người bán (nếu có) qua tổng đài hỗ trợ của Shopee
b Quy trình dành cho Người Bán
- Đăng ký tài khoản Shopee
- Shopee xác nhận và kích hoạt tài khoản
- Sau khi đăng nhập, người bán tiến hành đăng tải thông tin bán hàng:
+ Chuẩn bị tin bài bằng chữ và hình ảnh
+ Các tin bài cần đăng phải được chia thành 02 phần thông tin và hình ảnh sản phẩm
+ Các nội dung bằng chữ bị giới hạn 3.000 ký tự cho phần mô tả sản phẩm, không có quy định về định dạng chữ do Shopee sẽ tự động điều chỉnh phông chữ cho đồng nhất
+ Các nội dung bằng hình ảnh được định dạng theo dạng ảnh jpg, bmp, hoặc png Số lượng ảnh tối đa cho 01 lần đăng tin là 09 ảnh
- Đưa nội dung lên sàn giao dịch TMĐT Shopee
- Shopee kiểm duyệt thông tin sản phẩm, dịch vụ của người bán khi đưa lên sàn giao dịch TMĐT Shopee
c Quy trình thanh toán
- Người mua và người bán có thể tham khảo các phương thức thanh toán sau đây và lựa chọn phương thức phù hợp:
+ Cách 1: Thanh toán khi nhận hàng (COD – giao hàng và thu tiền tận nơi) + Cách 2: Thanh toán online qua ví điện tử ShopeePay hoặc thẻ tín dụng/ghi nợ
+ Cách 3: Thanh toán vào mã đơn hàng thông qua việc chuyển khoản vào tài khoản của Shopee hoặc tài khoản của tổ chức do Shopee chỉ định
d Quy trình giải quyết tranh chấp/Xử lý khiếu nại
+ Bước 1: Người mua cần bấm khiếu nại ngay trong ứng dụng Shopee/ website www.shopee.vn, mục "Đơn Mua"
+ Bước 2: Bộ phận giải quyết khiếu nại của Shopee sẽ tiếp nhận các yêu cầu của người khiếu nại/các bên tranh chấp
+ Bước 3: Khiếu nại Trả hàng/Hoàn tiền được xử lý theo chính sách trả hàng và hoàn tiền của Shopee
Trang 7+ Bước 4: Trong trường hợp nằm ngoài khả năng và thẩm quyền của Shopee thì sẽ yêu cầu các bên tranh chấp đưa vụ việc giải quyết tại cơ quan nhà nước có thẩm quyền theo quy định của pháp luật
5 3 tính cần thiết CIA của hệ thống shopee.
a Tính bảo mật (Confidentiality)
Là nguyên tắc đảm bảo kiểm soát truy cập thông tin, tức là thông tin chỉ được phép truy cập (đọc) bởi những đối tượng (người, chương trình máy tính) được cấp phép
Ví dụ: Trên nền tảng thương mại điện tử Shopee, người dùng được phép xem những đánh giá sản phẩm của người dùng khác như thế, biết được họ mua phân loại sản phẩm nào, mua sản phẩm đó vào lúc nào Nhưng người dùng không được phép truy cập thông tin cá nhân, số điện thoại, địa chỉ của người dùng khác
b Tính toàn vẹn (Integrity)
Là sự đảm bảo dữ liệu là đáng tin cậy và chính xác, tức là thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được cho phép và phải đảm bảo rặng thông tin vẫn còn chính xác khi được lưu trữ hay truyền đi
Ví dụ: Shopee Xu là một loại tiền ảo trên sàn giao dịch Shopee Chúng được dùng như tiền mua hàng trên Shopee để giảm giá cho đơn hàng của khách hàng Ngoài ra số
Xu này cũng có thể dùng để đổi lấy mã giảm giá hoặc tham gia các trò chơi, các hoạt động mà Shopee tổ chức trên Shopee.vn hoặc Shopee App Vì thế, trong hệ thống của Shopee không cho phép khách hàng tự ý thay đổi thông tin tích Xu trong tài khoản của mình
c Tính sẵn dùng (Availability)
Là sự đảm bảo liên tục và mức độ đáp ứng kịp thời của hệ thống khi có yêu cầu truy cập dữ liệu hoặc thao tác từ người dùng Đảm bảo thông tin và dịch vụ luôn sẵn sàng khi những người dùng hoặc ứng dụng được ủy quyền yêu cầu
Ví dụ: Trong hệ thống quản lý thông tin của Shopee, cần đảm bảo rằng người dùng, khách hàng luôn có thể tra cứu các thông tin về sản phẩm, số lượng hàng của từng loại sản phẩm, luôn có thể kiểm tra, theo dõi quá trình vận chuyển hàng hóa bất kỳ lúc nào, và luôn có thể sử dụng hoặc quy đổi Xu thành các voucher khi thanh toán bất cứ lúc nào khách hàng cần sử dụng đến
d Tính xác thực (Authenticity): việc xác thực nguồn gốc của thông tin trong hệ thống (thuộc sở hữu của đối tượng nào) để đảm bảo thông tin đến từ một nguồn đáng tin cậy
Ví dụ: Khi đăng kí tài khoản ở Shopee, họ sẽ yêu cầu cung cấp các giấy tờ và các thông tin để xác thực danh tính người dùng, khi đăng kí phòng khách sạn ở Traveloka thì sẽ xác thực bằng cách gửi OTP về số điện thoại đã đăng kí
Trang 86 Lí do shopee bảo mật thông tin.
Trong những năm gần đây, thương mại điện tử tại Việt Nam chứng kiến sự phát triển vượt bậc với các tên tuổi lớn như Tiki, Shopee, Lazada, Sendo,… Bên cạnh tiềm năng phát triển, vẫn tồn tại những thách thức và rủi ro về hệ thống bảo mật thông tin đã kìm hãm sự bứt phá của các doanh nghiệp thương mại điện tử như: vấn đề bảo mật đối với hệ thống công nghệ thông tin, khó khăn trong việc bảo vệ dữ liệu khách hàng trước rủi ro bị tin tặc tấn công đánh cắp Việc rủi ro về bảo mật thông tin sẽ đem đến những hậu quả khôn lường cho cả khách hàng và doanh nghiệp
Thế nên, doanh nghiệp Shopee đã nhìn thấy được vấn đề trọng yếu mà mình cần quản lý đó chính là đảm bảo tính an toàn thông tin Shopee hiện đang là một doanh nghiệp thuộc top đầu trong lĩnh vực này nên lượng thông tin khách hàng trao đổi hằng ngày là vô cùng lớn, đặc biệt là các thông tin cá nhân của khách hàng nên cần phải được bảo đảm an toàn tuyệt đối
Nếu doanh nghiệp mắc phải các rủi ro về thông tin sẽ gây ra những hậu quả nghiêm trọng như:
- Gian lận thanh toán: Đã xuất hiện ngay từ khi thương mại điện tử ra đời, đây là hình thức mà kẻ gian hoặc hacker lợi dụng lỗi của hệ thống thanh toán của Shopee để thực hiện những giao dịch ảo dẫn tới thất thoát lớn cho doanh nghiệp
- Spam: Khi mà email marketing đang là kênh thúc đẩy doanh số hiệu quả của Shopee, thì đó cũng là kênh để những kẻ phá phách thực hiện hành vi Spam Không chỉ vậy, chúng còn có thể spam bình luận, form liên hệ trên phần đánh giá sản phẩm của khách hàng bằng những đường link có gắn mã độc, hoặc spam với tần suất lớn khiến cho tốc độ tải trang giảm đáng kể
- Phishing: Hacker thường giả mạo thành doanh nghiệp Shopee để lừa người tiêu dùng cung cấp thông tin nhạy cảm như số thẻ tín dụng, tài khoản – mật khẩu Để đạt được mục đích này, chúng tạo ra một website giả trông gần giống như website của Shopee khiến người dùng nhầm lẫn và nhập thông tin quan trọng Cũng có khi chúng gửi một email, tin nhắn SMS hoặc thực hiện một cuộc gọi mạo danh nhân viên của doanh nghiệp để chiếm được lòng tin của nạn nhân
- Bots: Kẻ gian có thể viết ra một chương trình (bot) có khả năng thu thập dữ liệu quan trọng trong website của Shopee, từ đó tạo ra lợi thế cạnh tranh riêng cho họ Những thông tin dễ bị thu thập là các mặt hàng đang “hot”, số lượng hàng tồn kho, hay số lượng hàng đã bán Những thông tin này tuy không ảnh hưởng trực tiếp, nhưng ảnh hưởng gián tiếp tới doanh thu của doanh nghiệp nếu như kẻ xấu biết tận dụng đúng cách
Để ngăn chặn và khắc phục các hậu quả trên, doanh nghiệp Shopee cần phải đưa ra những giải pháp để bảo mật thông tin:
Trang 9- Sử dụng HTTPS: Là tiêu chuẩn bắt buộc dành cho mọi website HTTPS giúp bảo mật thông điệp truyền tải giữa server và client Điều này không chỉ giúp bảo mật tài khoản của người dùng, mà còn giúp website của Shopee phòng tránh nhiều rủi ro bị tấn công Bên cạnh đó, chứng chỉ SSL của HTTPS còn có những ích lợi lớn đối với website của doanh nghiệp: Hiện khóa xanh bảo mật, giúp tăng sự tin tưởng của người dùng, không bị trình duyệt (Chrome, Firefox, Safari) chặn vì thiếu bảo mật,…
- Bảo mật server và Admin panel: Việc áp dụng các biện pháp end-point security (bảo mật tại điểm cuối) là cần thiết cho website Shopee Ngoài ra, các quản trị viên website cũng cần có kiến thức để tự bảo vệ tài khoản Admin của mình bằng cách: Đặt mật khẩu khó, thay đổi mật khẩu định kỳ; cẩn trọng với những phần mềm, đường link, email không tin cậy; đặt cảnh báo khi có địa chỉ IP lạ đăng nhập vào Admin panel
- Bảo mật hệ thống thanh toán: Cổng thanh toán là một mục tiêu hấp dẫn của kẻ gian, vì nó chứa thông tin giao dịch của khách hàng và website Shopee, đặc biệt là thông tin thẻ tín dụng Để bảo mật cổng thanh toán, doanh nghiệp cần tuân thủ các chuẩn sau: Tích hợp chứng chỉ SSL mã hóa thông tin truyền tải, chuẩn bảo mật PCI DSS, mật khẩu OTP, mã hóa MD5 128 bit, cơ chế lưu token của người dùng, không lưu giữ thông tin thẻ của người dùng
Đồng thời, doanh nghiệp Shopee cũng liên kết với một đối tác thanh toán bên thứ
ba Khi đó, cần chọn những cổng thanh toán uy tín, có các kênh thanh toán phù hợp với khách hàng, quy trình thanh toán đơn giản, và cam kết bảo mật cao
- Sử dụng phần mềm diệt virus: Các giải pháp bảo mật tại điểm cuối (end-point security) là cần thiết dành cho doanh nghiệp Shopee Không chủ doanh nghiệp nào muốn mình bị nhiễm virus hay mã độc tống tiền Vì thế mỗi máy tính làm việc cần trang bị một phần mềm diệt virus hiệu quả Một vài phần mềm hiệu quả, đơn giản như Bitdefender, Windows Defender, Malwarebytes sẽ là ứng viên tiềm năng
- Bảo mật nhiều tầng: Các nhà lãnh đạo cần thực hiện bảo mật với nhiều tầng khác nhau, từ các giải pháp endpoint tới các giải pháp đánh giá hệ thống mạng từ bên trong, kiểm thử khả năng xâm nhập hay tổ chức các chương trình bug bounty để huy động nguồn lực cộng đồng – nâng cao bảo mật lên mức tối đa
- Cảnh báo người dùng và đối tác: Đôi khi rủi ro không đến trực tiếp mà đến gián tiếp từ khách hàng và đối tác của doanh nghiệp Mỗi ngày Shopee có lượng khách hàng truy cập vào website là vô cùng lớn Đó cũng là kênh mà kẻ tấn công có thể lợi dụng để nhắm vào Vì thế, cần đảm bảo khách hàng và đối tác của Shopee được cung cấp kiến thức bảo mật cơ bản để phòng tránh các rủi ro thường gặp
7 Kết luận:
- Mỗi cá nhân, tổ chức, doanh nghiệp đều có những thông tin hết sức quan trọng cần thiết cho công việc và mang tính bảo mật riêng của cá nhân, tổ chức, doanh nghiệp
đó, phục vụ cho họ trong suốt quá trình hoạt động ở nhiều lĩnh vực khác nhau Chính vì
Trang 10thế mà hệ thống thông tin được đặt ra để những thông tin ấy được xử lí một cách nhanh chóng, được lưu trữ một cách an toàn và giúp cho quá trình vận hành công việc diễn ra hiệu quả hơn.Mỗi hệ thống an toàn thông tin sẽ đảm bảo thông tin của bạn được xác định một cách chặt chẽ hơn, tránh những xâm hại từ đối thủ hay sự đánh cấp thông tin đối với những thông tin, tài liệu quan trọng, mang tính bảo mật
- Như hệ thống an toàn thông tin của Shopee được đặt ra nhằm đảm bảo toàn bộ hệ thống và quá trình mua bán trên sàn điện tử diễn ra một cách thuận lợi nhất Tạo sự an toàn cho khách hàng khi thông tin của họ được lưu trữ và bảo mật một cách nghiêm ngặt
để đảm bảo quá trình mua sắm được hiệu quả hơn
- Tóm lại, hệ thống an toàn thông tin là rất cần thiết cho mỗi cá nhân, tổ chức, doanh nghiệp, xã hội hiện nay Ngoài việc nắm bắt, xử lý thông tin hiệu quả nó sẽ giúp bạn đảm bảo được sự an toàn bảo mật thông tin của cá nhân, của tổ chức