Việc bảo mật hệ thống và an ninh thông tin được thực hiện dưới nhiều hình thức khác nhau, nhằm đảm bảo tất cả các thông tin của khách hàng được trung chuyển, xử lý và lưu trữ với độ an toàn cao nhất, chống lại mọi sự xâm nhập, sửa đổi và tấn công trái phép.
Việc bảo mật hệ thống trong giải pháp được triển khai nhiều lớp từ mức vật lý như bảo mật đường truyền dẫn, bảo mật cho cơ sở hạ tầng mạng lưới, bảo mật hệ điều hành và cơ sở dữ liệu cho tới mức ứng dụng. Ngoài ra, giải pháp còn áp dụng các chính sách an ninh nghiêm ngặt, trong đó các quy định về an ninh và bảo mật được triển khai một cách định kỳ - nhằm đảm bảo phát hiện kịp thời các lỗi an ninh, lỗ hổng hệ thống.
Đối với các dịch vụ thanh toán trực tuyến qua Internet, hệ thống bảo mật được ứng dụng các công nghệ và kỹ thuật được sử dụng phổ biến thông qua các công ty an ninh bảo mật hàng đầu thế giới. Ngoài việc triển khai các kỹ thuật mã hoá dữ liệu sử dụng công nghệ SSL, các kỹ thuật VPN sử dụng thuật toán 3DES, các thuật toán nhằm đảm bảo tính toàn vẹn. an ninh dữ liệu.
Qua các phiếu điều tra cho thấy công ty cũng đang có mối quan tâm, có hướng đi đúng đắn trong việc nâng cấp website lên thành website thương mại điện tử, đồng thời cũng có dự định đầu tư thêm vào cho hoạt động an
toàn bảo mật thông tin khách hàng qua website
www.thucphamhanoi.com.vn. Xác định được tầm quan trọng và các thông tin khách hàng công ty cần bảo vệ, cũng như hiểu rõ nhược điểm cần khắc phục và ưu thế hiện tại của mình.
CHƯƠNG 4: CÁC KẾT LUẬN VÀ GIẢI PHÁP AN TOÀN BẢO MẬT THÔNG TIN KHÁCH HÀNG CHO CÔNG TY THỰC PHẨM HÀ NỘI 4.1 Các kết luận và phát hiện qua nghiên cứu
4.1.1. Những thành tựu đạt được
Công ty TNHH nhà nước một thành viên Thực phẩm Hà Nội được thành lập vào năm 1957 nhưng mãi tới năm 2007 website riêng của doanh nghiệpwww.thucphamhanoi.com.vnmới bắt đầu đi vào hoạt động.
Dù chưa hoàn thiện và chưa được đánh giá cao nhưng website đã phần nào đó quảng bá cho công ty, giới thiệu hình ảnh của công ty cùng các sản phẩm dịch vụ mới, hỗ trợ khách hàng đặt hàng, và giao tiếp trực tiếp với doanh nghiệp. Website đã xây dựng được giao diện và các module cần thiết
cho một website chuẩn bị để kinh doanh trực tuyến và đặt mục tiêu theo đuổi trong thời gian tới đó chính là kinh doanh Thương mại điện tử.
Nói riêng về hoạt động đảm bảo an toàn thông tin cho khách hàng của công ty, do công ty chỉ lấy danh sách gửi và nhận email cho các khách hàng và đặt sự quan tâm khá cao đến hoạt động này, nên các email quảng cáo được gửi đi đã thu được sự phản hồi tốt từ một số khách hàng trung thành vừa không gây sự khó chịu cho họ mà đồng thời email còn nhận được đa số các đơn đặt hàng lớn, bên cạnh đó cung cấp được nhiều thông tin về sản phẩm mới hơn cho khách hàng.
Qua các phiếu điều tra nghiên cứu cho thấy, hiện nay công tác bảo mật an toàn thông tin cho khách hàng tại công ty Thực phẩm Hà Nội vẫn đang được thực hiện. Tuy chưa có các hoạt động giao dịch thương mại điện tử, mua bán hàng hóa trực tuyến trên website nhưng hầu hết khách hàng đặt hàng thông qua email. Bước đầu công ty Thực phẩm Hà Nội đã và đang có các hoạt động quản lí website, quản lí email và hệ cơ sở dữ liệu để bảo mật an toàn thông tin cho khách hàng thông qua các quyết định và quy chế đối với cán bộ nhân viên. Bên cạnh đó như ta đã biết việc quản lí email hiện nay tưởng đơn giản nhưng cũng là hết sức quan trọng. Trong thời gian tới công ty dự định sẽ nâng cấp website www.thucphamhanoi.com.vn để website không chỉ giới thiệu sản phẩm mới hoặc hình ảnh công ty, mà còn để hoạt động giao dịch mua bán hàng hóa và thanh toán trực tuyến. Vậy nên rất cần có các giải pháp mới giúp cho doanh nghiệp có thể bảo mật an toàn thông tin cho khách hàng trong môi trường giao dịch thương mại điện tử, nơi các hoạt động mua bán và thanh toán đều là trực tuyến.
Cũng như các doanh nghiệp cùng ngành khác, Công ty TNHH Thực Phẩm Hà Nội cũng không tránh khỏi một số hạn chế cụ thể sau:
Công ty có một hạ tầng cơ sở với 100% máy tính được nối mạng nhưng số nhân viên sử dụng mạng và máy tính làm việc chưa phải tất cả, đây chưa phải là điều tốt cho việc áp dụng kinh doanh trực tuyến. Các phần mềm hỗ trợ chỉ dừng lại ở công tác quản lý hoạt động, quản lý nhân sự, các phần mềm kế toán tự viết mà chưa trang bị các phần mềm làm tăng sức cạnh tranh của hệ thống. Nguồn nhân lực chưa được đào tạo chuyên sâu về nghiệp vụ và tác nghiệp TMĐT cũng như bảo mật an toàn thông tin, vì thế những giải pháp hướng tới an toàn thông tin cho khách hàng trong giao dịch TMĐT chưa cụ thể và chưa đem lại hiệu quả cao.
Website www.thucphamhanoi.com.vn còn chưa hoàn thiện cũng là một hạn chế lớn, cản trở công ty đến với TMĐT. Bên cạnh đó, mặc dù đã có các quyết định và quy chế về việc công tác sử dụng hòm thư của công ty nhưng độ an toàn bảo mật thông tin vẫn chưa cao. Nhất là hiện nay khi nguy cơ bị tấn công thông qua thư điện tử là rất lớn.
4.1.3. Nguyên nhân các tồn tại
Đối với các vấn đề còn tồn tại thì có nhiều nguyên nhân dẫn tới hoạt động website của công ty chưa đi ổn định và chưa tận dụng được các ưu thế của mình để triển khai thương mại điện tử. Trong tất cả các nguyên nhân chủ quan và khách quan đó, ta nhận thấy các nguyên nhân chính cho các tồn tại kể trên là:
Hoạt động kinh doanh phụ thuộc phần nhiều vào công việc kinh doanh truyền thống, chủ yếu vẫn còn nặng về giao dịch trực tiếp, lại chưa tiết kiệm chi phí tối đa, đồng thời chưa áp dụng triệt để lợi ích kinh doanh
TMĐT. Lí do chính là công ty chưa đầu tư thời gian và tiền của xứng đáng đến kinh doanh trực tuyến, từ cơ sở hạ tầng máy móc, nhân lực chuyên môn cao đến các chiến lược xúc tiến TMĐT khác.
Bên cạnh đó doanh nghiệp còn xem nhẹ công tác bảo mật và an toàn dữ liệu. Đó là một hạn chế bởi ngay hiện tại khi doanh nghiệp sử dụng email cho việc giao dịch với khách hàng vẫn nghĩ đó là an toàn, nhưng thực tế email cũng rất dễ bị các hacker tấn công nhằm đánh cắp thông tin quan trọng, về khách hàng tiềm năng, chi tiết nghiệp vụ quan trọng của khách hàng với công ty hoặc chính sách kinh doanh đặc biệt của công ty đối với khách hàng quan trọng.
4.2 Dự báo triển vọng và quan điểm giải quyết vấn đề an toàn và bảo mật thông tin khách hàng trong giao dịch thương mại điện tử tại công ty thực phẩm Hà Nội
4.2.1 Dự báo tình hình trong thời gian tới
Số liệu năm 2008 cho thấy trung bình một người châu Á dành 28% thời gian trong ngày cho Internet, chỉ sau TiVi (34%). Tỷ lệ này vẫn đang tiếp tục tăng, vì Internet ngày càng chứng minh những tiện ích vượt trội đem lại. Với các cỗ máy tìm kiếm ngày càng hoàn thiện, hệ thống email, website tích hợp nhiều tiện ích, công nghệ mới và nhiều dịch vụ hấp dẫn ra đời, Internet đang thuyết phục hàng triệu người trở thành một phần của mạng lưới đầy quyền lực này mỗi ngày. Bên cạnh đó thì tình hình an toàn bảo mật thông tin lại không mấy sáng sủa.
Tại Việt Nam, một cuộc khảo sát hiện trạng an toàn thông tin phía nam với 70% đơn vị là doanh nghiệp đã đưa ra những con số sau: 58% doanh nghiệp đã gán trách nhiệm an toàn thông tin cho nhân viên chuyên
trách; trong khi 20% doanh nghiệp có đầu tư hệ thống anti-virus thì có đến 40% doanh nghiệp hiện không có hệ thống tường lửa (filewall); 70% DN không có qui trình xử lí sự cố an toàn thông tin; 85% doanh nghiệp cho biết không có chính sách an toàn thông tin; 46% doanh nghiệp hiện không có quĩ dự phòng cho các rủi ro an ninh mạng... Nhìn chung, các con số mang lại từ cuộc khảo sát cho thấy một mức độ thấp về an toàn thông tin tại các doanh nghiệp Việt Nam, trước hết ngay trong nhận thức, từ đó không thiết lập được các chính sách. Năm 2006 số lượng virus xuất xứ từ Việt Nam tăng đột biến. Tháng 6/2006 phát hiện 20 loại virus và đến cuối năm 2006 đã lên đến con số hơn 150, tăng gần 6 lần. Tình hình bảo mật web site của doanh nghiệp cũng không hơn, chiếm 24% biểu đồ thống kê các hình thức tấn công trên Internet; số lượng tấn công từ nước ngoài vào Việt Nam năm 2006 tăng gần 3 lần so với 2005. Và những đe dọa từ Internet còn tiếp tục tăng.
Trong thời gian tới các vụ xâm nhập trái phép phá hoại dữ liệu của các doanh nghiệp, phát tán virus, trộm tài khoản tín dụng qua mạng và các website đồi truỵ vẫn sẽ phổ biến. Môi trường tội phạm mạng trở nên không biên giới thì công tác phòng chống càng phức tạp, khó khăn hơn, đặc biệt là đối với công tác bảo vệ an toàn thông tin khách hàng cho các doanh nghiệp mới bước chân vào lĩnh vực giao dịch trực tuyến thương mại điện tử.
4.2.2 Định hướng phát triển của công ty
Theo Cục Thương mại điện tử và Công nghệ thông tin, một tiêu chí quan trọng để đánh giá website thương mại điện tử là chính sách bảo mật thông tin khách hàng. Tuy nhiên các doanh nghiệp Việt Nam lại chưa chú ý đến yếu tố này. Điều tra của Vụ Thương mại điện tử cho thấy, vấn đề bảo vệ dữ liệu cá nhân trong giao dịch điện tử được đánh giá là trở ngại thứ 3 trong số 7 trở ngại hàng đầu đối với sự phát triển của Thương mại điện tử Việt
Nam. Đến năm 2008, vấn đề này tiếp tục “tăng tiến” lên vị trí độc tôn. Nếu không có những biện pháp ngăn chặn kịp thời thì trong tương lai sẽ rất nguy hiểm, nhất là giai đoạn trước mắt 2010-2015.
Một cuộc điều tra khác về vấn đề tương tự cũng đã được tiến hành trên 50 website TMĐT. Kết quả cho thấy, chỉ có 12% website có công bố chính sách bảo vệ thông tin cá nhân và chỉ có 6% xây dựng cơ chế cho phép khách hàng lựa chọn đồng ý hoặc từ chối cung cấp thông tin cá nhân khi tham gia giao dịch. Để thực sự có thể “vá” thành công lỗ hổng này, Cục Thương mại điện tử khuyến cáo các doanh nghiệp cần phải nhanh chóng vào cuộc, thiết lập an ninh thông tin của tất cả khách hàng. Lúc này, doanh nghiệp sẽ thực sự đứng trung gian trong quan hệ mua và bán giữa các khách hàng với nhau. Thông tin cũng như tính xác thực lẫn khả năng tài chính của hai bên đều được bảo đảm qua doanh nghiệp. Theo kết quả khảo sát năm 2008 của Bộ Công Thương, 18% trong số 132 doanh nghiệp cho biết đã có quy chế bảo vệ thông tin cá nhân, 40% khác sẽ xây dựng quy chế trong tương lai gần. Đây là bước đi cần thiết để nâng cao tính minh bạch thực sự cho Thương mại điện tử Việt Nam.
Vấn đề bảo đảm an toàn thông tin trong giao dịch điện tử, nhìn nhận một cách toàn diện, thực sự là một vấn đề phức tạp và bao hàm nhiều khía cạnh, nó không đơn giản như lời khuyên của một số chuyên gia nghiệp dư về công nghệ thông tin là “muốn tiếp cận với Internet thì hãy trang bị bức tường lửa, nếu cần sự bảo vệ thì hãy mã hóa và mật khẩu là đủ để xác thực”. Thực tế việc bảo đảm an toàn thông tin trong giao dịch muốn đạt hiệu quả thiết thực và tiết kiệm cần phải được hiểu theo khái niệm như là “biết cách bảo vệ để chống lại sự tấn công tiềm ẩn”. Bởi vậy, nó phải là tổng hòa các giải pháp của hạ tầng cơ sở bảo mật. Các doanh nghiệp trong đó công ty
Thực phẩm Hà Nội cũng cần áp dụng trong thời gian tới để có thể bảo mật thông tin khách hàng một cách toàn diện và hiệu quả nhất. Đó là:
Về mặt pháp lý và tổ chức trước hết công ty phải xây dựng chính sách an toàn thông tin cho giao dịch điện tử nhằm tạo sự rõ ràng và có thể tiên liệu được, phản ánh được sự cân bằng quyền lợi của các chủ thể tham gia giao dịch điện tử, quan tâm tính riêng tư và an toàn xã hội, bảo đảm sự thi hành pháp luật và lợi ích an ninh quốc gia; ban hành các văn bản quy phạm pháp luật cần thiết, tiêu chuẩn mật mã và chữ ký điện tử sử dụng trong giao dịch điện tử, giải quyết khiếu nại và tố cáo khi có sự tranh chấp liên quan đến sử dụng mật mã; tổ chức các cơ quan chứng nhận, cấp phép, quản lý và phân phối sản phẩm mật mã, phản ứng giải quyết sự cố, thanh tra và kiểm tra, vấn đề lưu trữ và phục hồi khoá..
Trong đó đối với các kỹ thuật an toàn, vấn đề đặt ra là kỹ thuật nào được chấp nhận để đảm bảo an toàn thông tin trong giao dịch điện tử, ví dụ: công nghệ mã hóa đối xứng, mã hóa phi đối xứng, công nghệ chữ ký số, công nghệ chữ ký sinh học.. ; các chuẩn công nghệ đối với các kỹ thuật an toàn; công nhận về mặt pháp lý các kỹ thuật an toàn được chấp nhận, ví dụ: văn bản pháp quy về chữ ký ký điện tử nói chung và về chữ ký số nói riêng. Đối với các dịch vụ an toàn, vấn đề đặt ra là ai được phép cung cấp dịch vụ, được phép đến mức nào. Có cho phép các tổ chức tư nhân hoặc nước ngoài cung cấp dịch vụ xác thực không? Ai được phép cung cấp các dịch vụ mã hóa?.. Đối với các cơ chế quản lý an toàn thì ai là người quản lý, quản lý đến mức nào và quản lý như thế nào các dịch vụ và cơ chế an toàn. Cụ thể như dịch vụ xác thực CA có cần quản lý không, ai quản lý và quy trình cấp phép cung cấp dịch vụ, xuất nhập khẩu kỹ thuật và thiết bị mã hóa do ai quản lý và quản lý đến mức nào..
Về mặt kỹ thuật đó là kết hợp chặt chẽ với hạ tầng công nghệ, quy định thống nhất tiêu chuẩn cấu trúc thiết lập hệ thống mạng và sử dụng công nghệ, ngôn ngữ giao tiếp và phần mềm ứng dụng, tổ chức hệ thống chứng thực và phân phối khóa mã, các công cụ nghiệp vụ kỹ thuật kiểm tra và phát hiện xâm nhập; các giải pháp dự phòng, khắc phục sự cố xảy ra trong giao dịch điện tử.
Trước hết công ty phải được “giác ngộ” về an toàn thông tin trong giao dịch điện tử, cần biết phải bảo vệ cái gì trong hệ thống, ước định mức rủi ro và các nguy cơ tiềm tàng khi kết nối mạng với các đối tượng khác, việc mở rộng mạng trong tương lai có ý thức đầu tư bảo mật cho hệ thống ngay từ khi bắt đầu xây dựng; chấp nhận và chấp hành chính sách, các quy định pháp luật về sử dụng mật mã, và phải chịu trách nhiệm trước pháp luật về bảo vệ bí mật quốc gia trong qúa trình xử lý và truyền tải thông tin trong giao dịch điện tử.
Với hệ thống thông tin mở, sử dụng công nghệ đa phương tiện như hiện nay thì về mặt lý thuyết không thể đảm bảo an toàn thông tin 100%, điều cốt yếu là chúng ta phải tiên liệu được các nguy cơ tấn công tiềm ẩn đối với cái cần phải bảo vệ và biết bảo vệ như thế nào cho hiệu qủa đối với hệ