CHƯƠNG 1 : TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI
4.1 Các kết luận và phát hiện qua nghiên cứu
4.1.3. Nguyên nhân các tồn tại
Đối với các vấn đề cịn tồn tại thì có nhiều nguyên nhân dẫn tới hoạt động website của công ty chưa đi ổn định và chưa tận dụng được các ưu thế của mình để triển khai thương mại điện tử. Trong tất cả các nguyên nhân chủ quan và khách quan đó, ta nhận thấy các ngun nhân chính cho các tồn tại kể trên là:
Hoạt động kinh doanh phụ thuộc phần nhiều vào công việc kinh doanh truyền thống, chủ yếu vẫn còn nặng về giao dịch trực tiếp, lại chưa tiết kiệm chi phí tối đa, đồng thời chưa áp dụng triệt để lợi ích kinh doanh TMĐT. Lí do chính là cơng ty chưa đầu tư thời gian và tiền của xứng đáng đến kinh doanh trực tuyến, từ cơ sở hạ tầng máy móc, nhân lực chun mơn cao đến các chiến lược xúc tiến TMĐT khác.
Bên cạnh đó doanh nghiệp cịn xem nhẹ cơng tác bảo mật và an toàn dữ liệu. Đó là một hạn chế bởi ngay hiện tại khi doanh nghiệp sử dụng email cho việc giao dịch với khách hàng vẫn nghĩ đó là an tồn, nhưng thực tế email cũng rất dễ bị các hacker tấn công nhằm đánh cắp thông tin quan trọng, về khách hàng tiềm năng, chi tiết nghiệp vụ quan trọng của khách
hàng với công ty hoặc chính sách kinh doanh đặc biệt của cơng ty đối với khách hàng quan trọng.
4.2 Dự báo triển vọng và quan điểm giải quyết vấn đề an toàn và bảo mật thông tin khách hàng trong giao dịch thương mại điện tử tại công ty thực phẩm Hà Nội
4.2.1 Dự báo tình hình trong thời gian tới
Số liệu năm 2008 cho thấy trung bình một người châu Á dành 28% thời gian trong ngày cho Internet, chỉ sau TiVi (34%). Tỷ lệ này vẫn đang tiếp tục tăng, vì Internet ngày càng chứng minh những tiện ích vượt trội đem lại. Với các cỗ máy tìm kiếm ngày càng hồn thiện, hệ thống email, website tích hợp nhiều tiện ích, cơng nghệ mới và nhiều dịch vụ hấp dẫn ra đời, Internet đang thuyết phục hàng triệu người trở thành một phần của mạng lưới đầy quyền lực này mỗi ngày. Bên cạnh đó thì tình hình an tồn bảo mật thơng tin lại khơng mấy sáng sủa.
Tại Việt Nam, một cuộc khảo sát hiện trạng an tồn thơng tin phía nam với 70% đơn vị là doanh nghiệp đã đưa ra những con số sau: 58% doanh nghiệp đã gán trách nhiệm an tồn thơng tin cho nhân viên chuyên trách; trong khi 20% doanh nghiệp có đầu tư hệ thống anti-virus thì có đến 40% doanh nghiệp hiện khơng có hệ thống tường lửa (filewall); 70% DN khơng có qui trình xử lí sự cố an tồn thơng tin; 85% doanh nghiệp cho biết khơng có chính sách an tồn thơng tin; 46% doanh nghiệp hiện khơng có quĩ dự phịng cho các rủi ro an ninh mạng... Nhìn chung, các con số mang lại từ cuộc khảo sát cho thấy một mức độ thấp về an tồn thơng tin tại các doanh nghiệp Việt Nam, trước hết ngay trong nhận thức, từ đó khơng thiết lập được các chính sách. Năm 2006 số lượng virus xuất xứ từ Việt Nam tăng đột biến. Tháng 6/2006 phát hiện 20 loại virus và đến cuối năm 2006 đã lên đến con
số hơn 150, tăng gần 6 lần. Tình hình bảo mật web site của doanh nghiệp cũng không hơn, chiếm 24% biểu đồ thống kê các hình thức tấn cơng trên Internet; số lượng tấn cơng từ nước ngồi vào Việt Nam năm 2006 tăng gần 3 lần so với 2005. Và những đe dọa từ Internet còn tiếp tục tăng.
Trong thời gian tới các vụ xâm nhập trái phép phá hoại dữ liệu của các doanh nghiệp, phát tán virus, trộm tài khoản tín dụng qua mạng và các website đồi truỵ vẫn sẽ phổ biến. Môi trường tội phạm mạng trở nên khơng biên giới thì cơng tác phịng chống càng phức tạp, khó khăn hơn, đặc biệt là đối với công tác bảo vệ an tồn thơng tin khách hàng cho các doanh nghiệp mới bước chân vào lĩnh vực giao dịch trực tuyến thương mại điện tử.
4.2.2 Định hướng phát triển của công ty
Theo Cục Thương mại điện tử và Cơng nghệ thơng tin, một tiêu chí quan trọng để đánh giá website thương mại điện tử là chính sách bảo mật thơng tin khách hàng. Tuy nhiên các doanh nghiệp Việt Nam lại chưa chú ý đến yếu tố này. Điều tra của Vụ Thương mại điện tử cho thấy, vấn đề bảo vệ dữ liệu cá nhân trong giao dịch điện tử được đánh giá là trở ngại thứ 3 trong số 7 trở ngại hàng đầu đối với sự phát triển của Thương mại điện tử Việt Nam. Đến năm 2008, vấn đề này tiếp tục “tăng tiến” lên vị trí độc tơn. Nếu khơng có những biện pháp ngăn chặn kịp thời thì trong tương lai sẽ rất nguy hiểm, nhất là giai đoạn trước mắt 2010-2015.
Một cuộc điều tra khác về vấn đề tương tự cũng đã được tiến hành trên 50 website TMĐT. Kết quả cho thấy, chỉ có 12% website có cơng bố chính sách bảo vệ thơng tin cá nhân và chỉ có 6% xây dựng cơ chế cho phép khách hàng lựa chọn đồng ý hoặc từ chối cung cấp thông tin cá nhân khi tham gia giao dịch. Để thực sự có thể “vá” thành cơng lỗ hổng này, Cục Thương mại điện tử khuyến cáo các doanh nghiệp cần phải nhanh chóng vào
cuộc, thiết lập an ninh thơng tin của tất cả khách hàng. Lúc này, doanh nghiệp sẽ thực sự đứng trung gian trong quan hệ mua và bán giữa các khách hàng với nhau. Thơng tin cũng như tính xác thực lẫn khả năng tài chính của hai bên đều được bảo đảm qua doanh nghiệp. Theo kết quả khảo sát năm 2008 của Bộ Công Thương, 18% trong số 132 doanh nghiệp cho biết đã có quy chế bảo vệ thơng tin cá nhân, 40% khác sẽ xây dựng quy chế trong tương lai gần. Đây là bước đi cần thiết để nâng cao tính minh bạch thực sự cho Thương mại điện tử Việt Nam.
Vấn đề bảo đảm an tồn thơng tin trong giao dịch điện tử, nhìn nhận một cách tồn diện, thực sự là một vấn đề phức tạp và bao hàm nhiều khía cạnh, nó khơng đơn giản như lời khuyên của một số chuyên gia nghiệp dư về công nghệ thơng tin là “muốn tiếp cận với Internet thì hãy trang bị bức tường lửa, nếu cần sự bảo vệ thì hãy mã hóa và mật khẩu là đủ để xác thực”. Thực tế việc bảo đảm an tồn thơng tin trong giao dịch muốn đạt hiệu quả thiết thực và tiết kiệm cần phải được hiểu theo khái niệm như là “biết cách bảo vệ để chống lại sự tấn công tiềm ẩn”. Bởi vậy, nó phải là tổng hịa các giải pháp của hạ tầng cơ sở bảo mật. Các doanh nghiệp trong đó cơng ty Thực phẩm Hà Nội cũng cần áp dụng trong thời gian tới để có thể bảo mật thơng tin khách hàng một cách tồn diện và hiệu quả nhất. Đó là:
Về mặt pháp lý và tổ chức trước hết cơng ty phải xây dựng chính sách an tồn thơng tin cho giao dịch điện tử nhằm tạo sự rõ ràng và có thể tiên liệu được, phản ánh được sự cân bằng quyền lợi của các chủ thể tham gia giao dịch điện tử, quan tâm tính riêng tư và an tồn xã hội, bảo đảm sự thi hành pháp luật và lợi ích an ninh quốc gia; ban hành các văn bản quy phạm pháp luật cần thiết, tiêu chuẩn mật mã và chữ ký điện tử sử dụng trong giao dịch điện tử, giải quyết khiếu nại và tố cáo khi có sự tranh chấp liên quan
đến sử dụng mật mã; tổ chức các cơ quan chứng nhận, cấp phép, quản lý và phân phối sản phẩm mật mã, phản ứng giải quyết sự cố, thanh tra và kiểm tra, vấn đề lưu trữ và phục hồi khố..
Trong đó đối với các kỹ thuật an tồn, vấn đề đặt ra là kỹ thuật nào được chấp nhận để đảm bảo an tồn thơng tin trong giao dịch điện tử, ví dụ: cơng nghệ mã hóa đối xứng, mã hóa phi đối xứng, cơng nghệ chữ ký số, cơng nghệ chữ ký sinh học.. ; các chuẩn công nghệ đối với các kỹ thuật an tồn; cơng nhận về mặt pháp lý các kỹ thuật an tồn được chấp nhận, ví dụ: văn bản pháp quy về chữ ký ký điện tử nói chung và về chữ ký số nói riêng. Đối với các dịch vụ an toàn, vấn đề đặt ra là ai được phép cung cấp dịch vụ, được phép đến mức nào. Có cho phép các tổ chức tư nhân hoặc nước ngồi cung cấp dịch vụ xác thực khơng? Ai được phép cung cấp các dịch vụ mã hóa?.. Đối với các cơ chế quản lý an tồn thì ai là người quản lý, quản lý đến mức nào và quản lý như thế nào các dịch vụ và cơ chế an tồn. Cụ thể như dịch vụ xác thực CA có cần quản lý khơng, ai quản lý và quy trình cấp phép cung cấp dịch vụ, xuất nhập khẩu kỹ thuật và thiết bị mã hóa do ai quản lý và quản lý đến mức nào..
Về mặt kỹ thuật đó là kết hợp chặt chẽ với hạ tầng công nghệ, quy định thống nhất tiêu chuẩn cấu trúc thiết lập hệ thống mạng và sử dụng công nghệ, ngôn ngữ giao tiếp và phần mềm ứng dụng, tổ chức hệ thống chứng thực và phân phối khóa mã, các cơng cụ nghiệp vụ kỹ thuật kiểm tra và phát hiện xâm nhập; các giải pháp dự phòng, khắc phục sự cố xảy ra trong giao dịch điện tử.
Trước hết cơng ty phải được “giác ngộ” về an tồn thơng tin trong giao dịch điện tử, cần biết phải bảo vệ cái gì trong hệ thống, ước định mức rủi ro và các nguy cơ tiềm tàng khi kết nối mạng với các đối tượng khác,
việc mở rộng mạng trong tương lai có ý thức đầu tư bảo mật cho hệ thống ngay từ khi bắt đầu xây dựng; chấp nhận và chấp hành chính sách, các quy định pháp luật về sử dụng mật mã, và phải chịu trách nhiệm trước pháp luật về bảo vệ bí mật quốc gia trong qúa trình xử lý và truyền tải thơng tin trong giao dịch điện tử.
Với hệ thống thông tin mở, sử dụng công nghệ đa phương tiện như hiện nay thì về mặt lý thuyết khơng thể đảm bảo an tồn thơng tin 100%, điều cốt yếu là chúng ta phải tiên liệu được các nguy cơ tấn công tiềm ẩn đối với cái cần phải bảo vệ và biết bảo vệ như thế nào cho hiệu qủa đối với hệ thống của mình. Cuối cùng, yếu tố con người vẫn là quyết định. Con người không được đào tạo kỹ năng và khơng có ý thức bảo mật cũng là kẽ hở cho những kẻ bất lương khai thác, và nếu con người trong hệ thống phản bội lại lợi ích của cơ quan, xí nghiệp và rộng hơn là của quốc gia thì khơng có giải pháp kỹ thuật an tồn nào có hiệu quả. Nói cách khác, an tồn thơng tin trong giao dịch điện tử cần phải được bổ sung giải pháp an toàn nội bộ đặc biệt chống lại những đe doạ từ bên trong.
4.3 Các đề xuất về giải pháp và kiến nghị nhằm nâng cao hiệu quả an tồn bảo mật thơng tin cho khách hàng
4.3.1. Các đề xuất về giải pháp nâng cao hiệu quả an tồn bảo mật thơng tin khách hàng cho website www.thucphamhanoi.com.vn
Đối với nhiều doanh nghiệp hoặc cá nhân, dữ liệu trong hệ thống máy tính, hoặc tài nguyên trong mạng là một tài sản vô giá quyết định số mạng của cả một doanh nghiệp hoặc một tổ chức. Do vậy, việc lưu trữ và bảo mật là hết sức cần thiết khi mà ngày nay, doanh nghiệp nào cũng đều có kết nối với Internet hoặc có mạng WAN diện rộng, đây là điều kiện rất dễ bị xâm
nhập ăn cắp dữ liệu hoặc phá hủy dữ liệu. Công ty Thực phẩm Hà Nội cũng vậy, do đó cần có các giải pháp hiệu quả để hệ thống máy tính của khách hàng ln ln được bảo mật và bất khả xâm phạm từ những người muốn xâm nhập vào hệ thống với mục đích ăn cắp hoặc phá hoại dữ liệu.
Những giải pháp đầu tiên mà công ty Thực phẩm Hà Nội cần làm trong quá trình bảo đàm an tồn thơng tin cho khách hàng đó là việc quản lí nghiêm khắc nhân viên, ký thoả thuận với nhân viên nghiệp vụ đảm bảo giữ bí mật thơng tin khách hàng. Tất cá thông tin khách hàng của doanh nghiệp đều phải đảm bảo bí mật. Dù là nhân viên bán hàng hay nhân viên phục vụ khách hàng đều phải ký thỏa thuận này. Việc xử lý, loại bỏ tất cả những tư liệu, giấy tờ liên quan đến khách hàng đều phải huỷ qua máy tài liệu. Các loại giấy tờ, thơng tin, phần mềm in ấn vi tính đều khơng được mang ra khỏi công ty. Giáo dục đạo đức cho nhân viên. Đưa ra cơ chế an toàn liên quan đến việc tuyển, sử dụng nhân viên và sa thải nhân viên, kịp thời bố trí, điều chỉnh, điều động cán bộ nhân viên.
Các giải pháp an tồn thơng tin trong giao dịch thương mại điện tử hiện nay có thể kể tới như an tồn chứng thực điện tử, an tồn thư tín điện tử, an tồn mạng riêng ảo, Firewall, Honeypot.. hệ thống phát hiện xâm nhập, các kĩ thuật thăm dị.. Bên cạnh đó các thơng tin khách hàng mà cơng ty cần bảo mật giữ an tồn đó là những thơng tin quan trọng về khách hàng tiềm năng của công ty, chi tiết nghiệp vụ quan trọng của khách hàng với công ty, chính sách kinh doanh đặc biệt của cơng ty đối với khách hàng quan trọng. Các doanh nghiệp tổ chức, cá nhân hay chính phủ hiện đang gia tăng nhu cầu sử dụng hệ thống mạng để chia sẻ thông tin trong nội bộ cũng như với khách hàng và đối tác. Trong xã hội hiện đại, thông tin đã trở thành tài sản có giá trị nên các doanh nghiệp, tổ chức cần phải quan tâm thích đáng
hơn nữa tới vấn đề an tồn thơng tin. Cơng ty Thực phẩm Hà Nội cần có những giải pháp hiệu quả khơng những giúp doanh nghiệp giảm bớt nguy cơ bị tấn công vào hệ thống mà còn đem lại hiệu quả kinh tế cao cho doanh nghiệp.
Giải pháp được đưa ra ở đây đó là cơng ty Thực phẩm Hà Nội cần áp dụng các giải pháp bảo mật bao phủ tồn bộ q trình quản lý an tồn thông tin hoặc giải quyết các yêu cầu bảo mật cụ thể cho khách hàng của công ty, bao gồm:
1. Giải pháp tư vấn tổng thể hệ thống an tồn thơng tin. 2. Giải pháp hệ thống tường lửa và bảo vệ chu vi mạng. 3. Giải pháp mạng riêng ảo VPN.
4. Giải pháp thiết kế hệ thống phát hiện và ngăn ngừa các truy cập trái phép (IDS/IPS).
5. Giải pháp mật mã Cryptography, PKI, SSL. 6. Giải pháp an tồn mạng khơng dây.
7. Giải pháp bảo mật thư điện tử.
Bên cạnh đó các giải pháp an tồn, bảo mật thông tin như: thiết lập nên các FireWall, sử dụng cơng nghệ mã hố dữ liệu, sử dụng mạng riêng ảo VPN… Phân bố lựa chọn thiết bị, lựa chọn trình ứng dụng sao cho việc bảo mật và an toàn là tối ưu. Lắp đặt các phần mềm chống virus cho PC, Server cho đến toàn bộ hệ thống bao gồm hệ thống mail, Internet gateway… (Trend Micro, Norton, McAfee…), lắp đặt các chương trình FireWall bảo vệ cho các kết nối Internet. (Check point, Microsoft ISA…), các giải pháp FireWall được tích hợp trên thiết bị phần cứng (Router, Remote Access Server) hay các thiết bị FireWall chuyên dụng (Cisco PIX FireWall). VPN dựa trên thiết bị và công nghệ của Cisco. Sử dụng linh hoạt và kết hợp nhiều giải pháp bao
gồm cả phần cứng lẫn phần mềm trên cơ sở hệ thống của khách hàng để bảo đảm hệ thống được thiết kế một cách tối ưu, đáp ứng được các yêu cầu khác nhau của khách hàng. Nhưng điều đầu tiên cần làm trước khi áp dụng các giải pháp bảo mật thơng tin cho khách hàng đó là cơng ty Thực phẩm Hà Nội cần xác định được mục tiêu của mình, tiếp đó là xây dựng chiến lược cơng nghệ thơng tin một cách tồn diện. Rồi phân tích đánh giá mức độ sẵn sàng của doanh nghiệp mình và sau cùng mới áp dụng các giải pháp trên để