Giải pháp ATBM TT cho website www.hgi.com.vn tại Công ty đầu tư tài chính Hà Nội Vàng hgi

Kết luận chung cho các kết quả phân tích dữ liệu về website của DN...24 PHẦN 3: CÁC KẾT LUẬN VÀ GIẢI PHÁP AN TOÀN BẢO MẬT THÔNG TIN CHO WEBSITE: www.hgi.com.vn TẠI CÔNG TY CỔ PHẦN ĐẦU TƯ

MỤC LỤC

MỤC LỤC i

LỜI CẢM ƠN iii

DANH MỤC BẢNG BIỂU,SƠ ĐỒ, HÌNH VẼ iv

DANH MỤC TỪ VIẾT TẮT v

PHẦN I: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI 1

1.1 Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu 1

1.2 Tổng quan các vấn đề nghiên cứu 1

1.3 Các mục tiêu nghiên cứu của đề tài khóa luận 3

1.4 Đối tượng và phạm vi nghiên cứu của đề tài khóa luận 4

1.4.1 Đối tượng nghiên cứu: 4

1.4.2 Phạm vi nghiên cứu 4

1.5 Phương pháp nghiên cứu 4

1.5.2 Phương pháp xử lý dữ liệu 5

1.6 Kết cấu của đề tài khóa luận 5

PHẦN 2: CƠ SỞ LÝ LUẬN - THỰC TRẠNG VỀ VẤN ĐỀN ATBM TT WEBSITE CỦA CÔNG TY ĐẦU TƯ TÀI CHÍNH HÀ NỘI VÀNG 6

2.1 Cơ sở lý luận về ATBM TT và các loại hình tấn công vào website TMĐT 6

2.1.2 Các hình thức tấn công dữ liệu trong TMĐT 7

2.2 Phân tích, đánh giá thực trạng vấn đề ATBM TT cho website tại Công ty đầu tư tài chính Hà Nội Vàng HGI 12

2.2.2 Tầm nhìn và sứ mệnh của công ty 13

2.2.3 Sản phẩm của công ty 14

2.2.4 Hoạt động của công ty 14

2.3 Sơ đồ tổ chức công ty HGI và kết quả, thành tựu đạt được trong quá trình kinh doanh của công ty 14

1.2.1 Sơ đồ tổ chức công ty 14

2.4 Một số kết quả đạt được về quá trình hoạt động kinh doanh của công tyđầu tư tài chính HGI 15

2.5 Website của công ty Đầu tư tài chính Hà Nội Vàng HGI 15

2.6 Kết quả tổng hợp, đánh giá thực trạng vấn đề bảo mật thông tin cho website

www.hgi.com.vn 16

2.6.1 Kết quả xử lý phiếu điều tra 16

2.2.2 Kết quả điều tra bằng phỏng vấn chuyên gia 22

2.2.3 Kết luận chung cho các kết quả phân tích dữ liệu về website của DN 24

PHẦN 3: CÁC KẾT LUẬN VÀ GIẢI PHÁP AN TOÀN BẢO MẬT THÔNG TIN CHO WEBSITE: www.hgi.com.vn TẠI CÔNG TY CỔ PHẦN ĐẦU TƯ TÀI CHÍNH HÀ NỘI VÀNG hgi 25

3.1 Các kết luận và phát hiện qua nghiên cứu vấn đề ATBM TT cho website của Công ty cổ phần đầu tư tài chính Hà Nội Vàng hgi 25

3.1.2 Các tồn tại 26

3.2 Dự báo triển vọng và quan điểm giải quyết vấn đề ATBM TT website hgi.com.vn tại Công ty cổ phần đầu tư tài chính Hà Nội Vàng hgi 27

3.3 Đề xuất về giải pháp và kiến nghị nhằm nâng cao hiệu quả ATBM TT cho khách hàng 28

3.3.1 Các đề xuất về giải pháp nâng cao hiệu quả ATBM TT cho website www.hgi.com.vn 28

3.3.2 Một số kiến nghị liên quan đến nâng cao hiệu quả công tác bảo mật, an toàn thông tin cho website tại DN 32

3.4 Những hạn chế của đề tài nghiên cứu và các vấn đề cần tiếp tục 34

KẾT LUẬN vi

PHỤ LỤC viii

LỜI CẢM ƠN

Khóa luận tốt nghiệp là bước cuối cùng dánh dấu sự trưởng thành của mộtsinh viên ở giảng đường đại học để trở thành một kỹ sư hay một cử nhân đóng gópnhững kiến thức đã học được trên giảng đường vào sự phát triển của đất nước

Trong quá trình làm khóa luận tốt nghiệp, em đã nhận được sự giúp đỡ tận tình,

sự hỗ trợ động viên từ gia đình, từ quý thầy cô, cùng các bạn Nhờ đó mà em đã hoànthành được luận văn tốt nghiệp như mong muốn, nay cho em xin phép được gửi lờicảm ơn chân thành và sâu sắc đến :

Ban giám hiệu cùng toàn thể các thầy cô và cán bộ công nhân viên trường đạihọc thương mại, vì đã tạo điều kiện cho chúng em học tập và hoàn thiện các kỹ năngcủa bản thân, dìu dắt và hỗ trợ chúng em để giúp chúng em hoàn thiện phẩm chấtcon người Đặc biệt, em xin trân trọng cám ơn các thầy cô trong khoa Tin Học ThươngMại, các thầy cô đã trang bị đầy đủ các nền tảng kiến thức vững chắc , trang bị chochúng em phương tiện vào cuộc sống

Em xin gửi lời cảm ơn trân thành đến ban lãnh đạo và tập thể nhân viên công

ty cổ phần đầu tư tài chính Hà Nội Vàng vì đã luôn hết lòng, hỗ trợ , giúp đỡ em trongthời gian em thực tập và nghiên cứu tại công ty

Đặc biệt, em xin trân thành cảm ơn PGS TS Đàm Gia Mạnh, người thầy trựctiếp hướng dẫn em làm khóa luận này, người đã luôn luôn tận tình chỉ bảo và hướngdẫn em thực hiện đề tài, giúp em chỉnh sửa, giải quyết các vấn đề này sinh.Nếu nhưkhông có sự giúp đỡ của thầy, em đã không có được kết quả nghiên cứu của ngàyhôm nay Em cảm ơn thầy đã hướng dẫn em tận tình suốt thời gian qua

Con xin cảm ơn bố mẹ, gia đình đã mang lại cho con cuộc sống này và đã luôn luôn ở bên cạnh con , động viên con cố gắng Cảm ơn các bạn thân thiết đã luôn bên cạnh , chia sẻ buồn vui trong công việc và trong cuộc sống

Em xin chân thành cảm ơn

Bùi Thị Ngân

DANH MỤC BẢNG BIỂU,SƠ ĐỒ, HÌNH VẼ

DANH MỤC TỪ VIẾT TẮT

Danh mục từ viết tắt tiếng việt

9 HGI Công ty cổ phần đầu tư tài chính Hà Nội Vàng

DANH MỤC VIẾT TẮT TIẾNG ANH

DoS Denial of Service Tấn công từ chối dịch vụ

DDoS Distributed Denial Of Service Tấn công từ chối dịch vụ phân tánIDS Intrusion Detection System Hệ thống phát hiện xâm nhập

SQL Structured Query Language Ngôn ngữ truy vấn mang tính truy vấnVPN Virtual Private Network Mạng riêng ảo

PHẦN I: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI

1.1 Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu.

Xã hội của công nghệ thông tin đang len lỏi vào mọi hình thức kinh doanh của

xã hội và giúp thúc đẩy quá trình kinh doanh diễn ra nhanh hơn, mạnh mẽ hơn Ngàynay các phương pháp kinh doanh buôn bán qua mạng trở thành một nhân tố không thểthiếu giúp thúc đẩy quá trình sản xuất và lưu thông hàng hóa , chính sự bùng nổ củainternet đã tạo ra một cơ hội kinh doanh lớn cho tất cả các cá nhân, doanh nghiệpnhưng cũng tiềm ẩn các rủi ro thiệt hại như truy cập bất hợp pháp, đánh cắp dữ liệu,virut , rò rỉ thông tin quan trọng, lỗ hổng trên hệ thống… mất an toàn dữ liệu đã trởthành mối lo ngại cho các nhà quản lý, điều hành ở mọi cấp, ở bất kỳ quốc gia nào Vấn

đề ATBM TT đã trở thành nhu cầu cấp thiết của mọi cá nhân, tổ chức trong xã hội

Cùng với sự phát triển của TMĐT và internet, ngày nay bất cứ một thứ hànghóa nào cũng đều có thể được giao dịch qua mạng internet , ngay cả các dịch vụ nhưtài chính- đầu tư cũng được giao dịch khớp lệnh qua internet, do vậy mà thị trường tàichính toàn cầu trở nên thân thiện hơn, minh bạch hơn và không giới hạn khoảng cáchđịa lý giữa mọi nhà đầu tư và các tổ chức vì giao dịch nhờ vào các công ty trung giancung cấp sản phẩm tài chính- đầu tư đảm bảo cho khách hàng như công ty đầu tư tàichính Hà Nội Vàng HGI Nắm bắt được sự cần thiết phải cho ra đời website của công

ty để nhằm đảm bảo phát triển sản phẩm của công ty, hgi.com.vn đã ra đời để cung cấpcác công cụ tài chính, các thông tin về thị trường tài chính toàn cầu cho khách hàngcủa công ty Vì công ty còn non trẻ và đang từng bước hoàn thiện hình ảnh và uy tín,

vì vậy website của công ty không thể tránh khỏi tấn công của tin tặc nhằm ăn cắp dữliệu khách hàng và Doanh nghiệp còn thiếu kinh nghiệm trong viêc quản lý , công tácbảo mật thông tin trên website Nếu website của công ty bị hacker tấn công thì tất cảcác thông tin của khách hàng, tài khoản ngân hàng, thông tin tài khoản giao dịch sẽ bị

lộ , vì vậy bảo mật thông tin cho website hgi.com.vn đang là mối quan tâm hết sức

quan trọng của lãnh đạo công ty đầu tư tài chính Hà Nội Vàng hgi nhằm củng cố niềmtin của các nhà đầu tư khi sử dụng dịch vụ của công ty.

1.2 Tổng quan các vấn đề nghiên cứu

Trong 3 - 5 năm trở lại đây có khá nhiều các đề tài nghiên cứu, sách, đề tài khoahọc, luận văn, luận án, bài báo trên các tạp chí, kỉ yếu hội thảo khoa học… về vấn đề

an toàn thông tin, dữ liệu và bảo mật Tuy nhiên lượng giáo trình về vấn đề này cònkhá ít, hầu hết là sách nước ngoài

2.1.4.1 Tình hình nghiên cứu tại Việt Nam

Luận văn thạc sĩ với đề tài “Bảo mật và an toàn thông tin trong thương mại điện tử” của Vũ Anh Tuấn (Khoa CNTT – Đại học Thái Nguyên) Luận văn đã đưa

ra được một số công cụ và phương pháp nhằm đảm bảo an toàn thông tin trong TMĐTnhư: mã hóa, chữ ký số… Tuy nhiên, nội dung nghiên cứu của luận văn chỉ dừng lại ởviệc đảm bảo an toàn thông tin trong TMĐT chứ không bao quát được toàn bộ các vấn

đề về ATTT nói chung và đi sâu vào một doanh nghiệp cụ thể

Đồ án tốt nghiệp “Nghiên cứu đảm bảo an toàn thông tin bằng kiểm soát truy nhập” của Đoàn Trọng Hiệp (Khoa CNTT – Đại học dân lập Hải Phòng) Đồ án giúp

ta hiểu rõ hơn về các kĩ thuật, phương pháp và mô hình kiểm soát truy nhập nhằm đảmbảo an toàn thông tin Nhưng kết quả của đồ án chỉ là tìm hiểu, nghiên cứu tài liệu để

hệ thống lại các vấn đề chứ không đi vào ứng dụng tại một cơ quan hay tổ chức cụ thể

Luận văn tốt nghiệp: “Giải pháp ATBM TT khách hàng tại Tổng Công ty Thương mại Hà Nội” của Võ Kiếm Quân (Khoa HTTT – Đại học Công Nghệ Thông

Tin và Truyền Thông) Luận văn nghiên cứu khá chi tiết về tình hình an toàn thông tintrong Tổng Công ty Thương mại Hà Nội, đồng thời đề ra được một số phương án, giảipháp cải thiện tình hình an toàn thông tin Dù vậy, luận văn vẫn còn một số hạn chếnhư chỉ tập trung nghiên cứu về ATTT khách hàng,dựa trên các phương pháp bảo mật

CSDL và mạng mà chưa đi sâu đảm bản an toàn thông tin trước các cuộc tấn công vàoứng dụng trên website

Cùng với sự phát triển của CNTT trên thế giới, HTTT cũng bắt đầu phát huy vaitrò trong các tổ chức, doanh nghiệp Từ đó, vấn đề an ninh thông tin được đặt ra Đã

có rất nhiều tác giả nghiên cứu về vấn đề này, có thể kể đến như:

 “Information Systems Security Desings Methods: Implications for Information Sysytems Deverlopment” Richard Baskerville, School of Managerment,

Binghamton, New York(1993)

 “Information Systems Security Management in the New Millenium”, Gurpeet

Dhillon and James Backhouse(Spain)

 “Management Planting Guidce for Information Systems Security Auditing”,

National State Auditors Association and the US General Accounting Office

Trên đây là một số tài liệu nghiên cứu về an ninh thông tin trên thế giới Các tàiliệu trên xuất phát từ các cá nhân, tổ chức từ các nước khác nhau nhưng đều hướng tớimục tiêu chung là xây dựng một HTTT an toàn Có thể thấy rằng, không chỉ ở ViệtNam mà dù ở bất cứ quốc gia hay vùng lãnh thổ nào thì ATBM TT cũng là một vấn đềcấp thiết

Công ty đầu tư tài chính Hà Nội Vàng hgi đã đi vào hoạt động trong lĩnh vựcđầu tư tài chính được gần 3 năm Công ty không chỉ mong muốn mang lại những dịch

vụ đầu tư tài chính tốt nhất và còn cam kết trở thành công ty mạnh nhất trong giao dịchđầu tư tài chính, vì vậy việc cho ra đời website Hgi.com.vn để khẳng định và củng cốniềm tin với các nhà đầu tư là tất yếu Nhưng việc áp dụng công nghệ thông tin vào bảomật website vẫn còn nhiều hạn chế , khó khăn như : xảy ra các vụ lừa đảo qua mạng,các website thường xuyên bị tin tặc và virut tấn công, tình trạng mất an toàn thông tincủa khách hàng ngày càng gia tăng Tình trạng mất an toàn thông tin khách hàng cũng

là vấn đề bức bách cần giải quyết tại Công ty đầu tư tài chính Hà Nội Vàng hgi, vừamới xây dựng website theo hướng TMĐT nên còn gặp rất nhiều khó khăn không chỉtrong việc định hướng, xây dựng theo đúng tiêu chuẩn của website TMĐT mà công tácATBM TT cần có sự quan tâm đúng mức

Trong bài khóa luận này, em tập trung giải quyết vấn đề ATBM TT cho websitetại Công ty Đầu tư tài chính Hà Nội Vàng qua mạng Internet Vì vậy, em xin đề xuất

hướng nghiên cứu khóa luận tốt nghiệp với đề tài của mình là:“Giải pháp ATBM TT cho website: www.hgi.com.vn tại Công ty đầu tư tài chính Hà Nội Vàng hgi” 1.3 Các mục tiêu nghiên cứu của đề tài khóa luận

Mục tiêu nghiên cứu của đề tài là bao gồm hai mục tiêu sau

 Mục tiêu thứ nhất: Tập hợp và hệ thống hóa một số cơ sở lý luận cơ bản vềATBM TT, nghiên cứu bằng những phương pháp khác nhau như thu thập các cơ sở dữliệu sơ cấp và thứ cấp, phỏng vấn chuyên gia Từ đó, xem xét đánh giá phân tích thực

trạng vấn đề an toàn bảo mật thông tin cho website www.hgi.com.vn để đưa ra những

ưu nhược điểm

 Mục tiêu thứ hai: Từ những đánh giá phân tích này đưa ra một số kiến nghị,

đề xuất một số giải pháp nhằm đảm bảo ATBM TT cho website www.hgi.com.vn,

nhằm hoàn thiện và nâng cao các tính năng của website, tăng niềm tin của khách hàngđối với công ty, từ đó nâng cao vị thế cạnh tranh của công ty đầu tư tài chính Hà NộiVàng hgi và đáp ứng yêu cầu ngày càng cao của khách hàng trên thị trường tài chính-đầu tư

1.4 Đối tượng và phạm vi nghiên cứu của đề tài khóa luận

1.4.1 Đối tượng nghiên cứu:

- Tổng quan về hệ thống thông tin, hệ thống thông tin kinh doanh của doanh nghiệp

- Tổng thể về vai trò và nhiệm vụ của hệ thống thông tin kinh doanh tại Công ty đầu

tư tài chính Hà Nội Vàng hgi

1.4.2 Phạm vi nghiên cứu

Không gian:

 Về mặt lý luận: Tiến hành nghiên cứu hệ thống thông tin,hệ thống thông tin kinhdoanh thông qua các tài liệu tiếng Việt.

 Về mặt thực tiễn: Tiến hành nghiên cứu một số vấn đề về hệ thống thông tin, hệthống thông tin kinh doanh trong doanh nghiệp nói chung và thực trạng việc ứng dụng, pháttriển hệ thống thông tin kinh doanh của Công ty đầu tư tài chính Hà Nội Vàng hgi

1.5 Phương pháp nghiên cứu

1.5.1 Phương pháp thu thập dữ liệu

Phương pháp thu thập dữ liệu trực tiếp: Em sử dụng phương pháp lấy dữ liệu là

phiếu điều tra trắc nghiệm gồm 13 câu hỏi , hỏi 20- 30 nhân viên tại công ty đầu tư tàichính Hà Nội Vàng, và phỏng vấn chuyên gia tại bộ phận công nghệ thông tin củacông ty Từ đó ta có cái nhìn một cách tổng quát hơn về việc ứng dụng CNTT củadoanh nghiệp, cũng như những vần đề về ATBM TT trong doanh nghiệp đang gặpphải là gì để tìm hướng giải quyết

Phương pháp thu thập dữ liệu gián tiếp:Đối tượng và phương pháp thu thập dữ

liệu thông tin ở đây em sử dụng hình thức chính là qua Internet Nhưng tất cả cácthông tin thu thập này chỉ mang tính tham khảo và dùng để làm căn cứ để xác minhthông tin

1.5.2 Phương pháp xử lý dữ liệu

Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cậpnhật, ta tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tìnhhình nghiên cứu có liên quan đến trong đề tài Trong quá trình xử lý thông tin, ta cầnchia thông tin ra làm hai nhóm chính:

Xử lý thông tin định lượng: được thể hiện thông qua phương pháp mô tả bằng số

liệu, dữ liệu sau khi thu thập sẽ được đưa ra phân tích.Từ những biểu đồ được hoànthành sau khi nhập dữ liệu vào ta sẽ có những đánh giá cụ thể về tình hình kinh doanhcũng như tình hình ứng dụng CNTT cụ thể là tình hình quản trị website của công ty

Xử lý thông tin định tính: tức là sử dụng ngôn ngữ để tiến hành các thao tác suy

luận, phân tích, tổng hợp, quy nạp-diễn dịch…Thường thiết lập các sơ đồ phản ánh cácmối liên hệ của các thành tố nằm trong cấu trúc của đối tượng

1.6 Kết cấu của đề tài khóa luận

Khóa luận gồm 3 phần chính:

Phần 1: Tổng quan nghiên cứu đề tài

Phần 2: Cơ sở lý luận – Thực trạng về vấn đề an toàn, bảo mật thông tin websitetại Công ty đầu tư tài chính Hà Nội Vàng hgi

Phần 3: Định hướng phát triển và đề xuất các giải pháp nâng cao ATBM TTcho website của Công ty đầu tư tài chính Hà Nội Vàng hgi

PHẦN 2: CƠ SỞ LÝ LUẬN - THỰC TRẠNG VỀ VẤN ĐỀN ATBM TT WEBSITE CỦA CÔNG TY ĐẦU TƯ TÀI CHÍNH HÀ NỘI VÀNG

2.1 Cơ sở lý luận về ATBM TT và các loại hình tấn công vào website TMĐT

2.1.1 Khái niệm về ATBM TT và website TMĐT

2.1.1.1 Khái niệm về ATBM TT

Trước kia giao dịch đơn thuần giữa bên mua và bên bán là “ tiền trao , cháomúc” Ngày nay thì việc giao dịch trực tiếp ngày càng giảm, giao dịch từ xa ngày càngtăng Bên mua và bên bán không cần phải gặp nhau trực tiếp, do đó rất dễ bị lừa đảo,gây mất thông tin cũng như tài sản

Thông tin của các cá nhân, tổ chức và các giao dịch có nhiều nguy cơ bị bên thứ

ba biết được Thông tin thật dễ dàng thay bị sửa đổi, tạo thành thông tin giả mạo để lừađảo Có thể kể tới các trường hợp bị tin tặc tấn công, bị giả mạo, từ chối thanh toán, sửdụng thẻ thanh toán giả - hết hạn; việc mất an toàn khi tiến hành giao dịch do thông tin

bị lộ Do đó, việc bảo mật thông tin và an toàn dữ liệu là rất cần thiết Vậy ta cần tìmhiểu thế nào là an toàn dữ liệu?

An toàn dữ liệu(ATDL) là việc đảm bảo được tính bảo mật qua việc đảm bảo dữ

liệu của người sử dụng luôn được bảo vệ, không bị mất mát Dữ liệu không bị tạo ra,sửa đổi hay xóa bởi những người không sở hữu và luôn trong trạng thái sẵn sàng.Đồng thời có tính tin cậy đảm bảo thông tin mà người dùng nhận được là đúng TrongTMĐT, cần chú trọng đến việc dữ liệu lưu trữ cũng như trao đổi giữa hai bên giao dịchphải được giữ bí mật, đảm bảo không bị lộ Thông tin giao dịch giữa hai bên không bịsửa đổi hay bị giả mạo bởi một bên thứ ba, đảm bảo độ minh bạch giữa hai bên thựchiện giao dịch

Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn, tính sẵn sàng của thông tin:

 Tính bí mật là đảm bảo thông tin chỉ được tiếp cận bởi những người đượccấp quyền tương ứng.

 Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tinchỉ được thay đổi bởi những người được cấp quyền

 Tính sẵn sàng của thông tin là những người được quyền sử dụng có thể truyxuất thông tin khi họ cần

(Nguồn: Nguyễn Thị Hội, Slide bài giảng ATBM TT doanh nghiệp, Bộ môn CNTT- Trường ĐH Thương Mại)

2.1.1.2 Khái niệm về website

Website là tập hợp các trang web (web page) có mối quan hệ hệ với nhau, baogồm các hình ảnh, video và các tài sản kỹ thuật số được lưu trữ.Có rất nhiều dạngwebsite nhưng có thể phân làm hai loại chính:

Website cung cấp thông tin như: các báo điện tử, sàn giao dịch, website cungcấp thông tin theo những chuyên đề cụ thể Thông thường các website cung cấp ngườixem thường xuyên đông

Website cung cấp sản phẩm hoặc dịch vụ hiểu đơn giản là một “gian hàng” haymột “catalog” trên mạng Internet, nơi trưng bày và giới thiệu thông tin, hình ảnh vềdoanh nghiệp và sản phẩm, dịch vụ của doanh nghiệp hay giới thiệu thông tin DN,

khách hàng có thể truy cập ở bất kỳ lúc nào (Nguồn: Giáo trình Kiến thức TMĐT

-TS Nguyễn Đăng Hậu – Viện đào tạo công nghệ và quản lý quốc tế - Khoa CNTT)

Khách hàng có thể xem thông tin ở bất kỳ nơi nào có nối mạng Internet, tiếtkiệm chi phí cho doanh nghiệp trong những vấn đề như in ấn, bửi bưu điện, fax, thôngtin không giới hạn… Vì vậy việc đầu tư xây dựng, nghiên cứu và không ngừng nângcấp website của công ty, có ý nghĩa rất quan trọng đối với hoạt động kinh doanh cũngnhư quảng bá thương hiệu và tên tuổi của công ty

Khái niệm website TMĐT được hình thành và phát triển dựa trên nền tảng kháiniệm về website Vì vậy nó sẽ mang đầy đủ các đặc điểm vốn có của website nhưng nócòn có một số đặc điểm đặc trưng riêng của website TMĐT:

Cơ sở dữ liệu phong phú và liên tục được cập nhật.

Khả năng tương tác với người dùng cao

Đòi hỏi cao về hoạt động quản trị và vận hành website

(Nguồn: Giáo trình Kiến thức TMĐT - TS Nguyễn Đăng Hậu – Viện đào tạo công nghệ và quản lý quốc tế - Khoa CNTT)

2.1.2 Các hình thức tấn công dữ liệu trong TMĐT

Các hình thức tấn công trong TMĐT có thể kể đến là hình thức tấn công dữ liệuthụ động và tấn công chủ động Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, pháhoại dữ liệu trái phép Vi phạm tính toàn vẹn, sẵn sàng dữ liệu:

Tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường truyền mà

không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích Tấn công thụđộng rất khó phát hiện và khó phòng tránh nên rất nguy hiểm.Tấn công thụ động làloại tấn công mà thông tin tài khoản bị đánh cắp được lưu lại để sử dụng sau Loại tấncông này lại có hai dạng đó là tấn công trực tuyến (online) và tấn công ngoại tuyến(offline) Tấn công offline có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cập trựctiếp đến tài sản nạn nhân Ví dụ, thủ phạm có quyền truy cập máy tính của người dùng

dễ dàng cài đặt trình “key logger” hay trình gián điệp để thu thập dữ liệu của họ

Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa

đổi, thay thế làm lệch đường đi của dữ liệu Đặc điểm của nó là có khả năng chặn cácgói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi Tấn công chủ độngtuy nguy hiểm nhưng lại dễ phát hiện được Tấn công chủ động là dạng tấn công tinh

vi đánh cắp và sử dụng tài khoản trong thời gian thực Tấn công chủ động khá tốn kém

và yêu cầu trình độ kỹ thuật cao

Trên website chủ yếu có các loại tấn công hay dùng để gây mất an toàn thôngtin, khi bị tần công website của bạn sẽ thuộc sự kiểm soát của tin tặc:

Local Attack: Local Attack là một trong những kiểu hack rất phổ biến và không

được khuyên dùng Đối với một web server thông thường khi bạn đăng ký một tàikhoản trên server nào đó bạn sẽ được cung cấp một tài khoản trên server đó và một thưmục để quản lý site của mình Ví dụ: tenserver/tentaikhoancuaban Và như vậy cũng

có một tài khoản của người khác tương tự như: tenserver/taikhoan1 Giả sử taikhoan1

bị hack chiếm được thì hacker có thể dùng các thủ thuật, các đoạn scrip, các đoạn mãlệnh để truy cập sang thư mục chứa site của bạn là tenserver/taikhoancuaban Và cũngtheo cách này hacker có thể tấn công sang các site của người dùng khác và có thể lấythông tin admin, database, các thông tin bảo mật khác hoặc chèn các đoạn mã độc vàotrang index của site bạn.Tấn công trên gọi là Local Attack

Tấn công từ chối dịch vụ (DoS): Tấn công DoS là kiểu tấn công vô cùng nguy

hiểm mà một người làm cho một hệ thống không thể sử dụng, hoặc làm cho hệ thống

đó chậm đi một cách đáng kể với người dùng bình thường, bằng cách làm quá tải tàinguyên của hệ thống Nếu kẻ tấn cống không có khả năng thâm nhập vào hệ thống, thìchúng cố gắng tìm cách làm cho hệ thống đó sụp đổ và không có khả năng phục vụngười dùng bình thường, đó là tần công Denial of Service (DoS) Có thể hiểu cáchthức tấn công ngày bằng ví dụ sau:

nhau rằng sáng thứ 3 lúc 9h họ sẽ gọi đến số của công ty A Dĩ nhiên, trong cùng thờiđiểm đó công ty A sẽ không thể nhận cả triệu cuộc gọi và sẽ trở nên tê liệt Kết quả lànhững cuộc gọi của khách hàng sẽ không thể nào liên lạc được vì hệ thống đã bị cáccuộc gọi phá rối làm tê liệt Vì vậy công ty A cần có khả năng sẽ gặp vấn đề trong kinhdoanh đến khi việc này dừng lại.

Tấn công từ chối dịch vụ phân tán (DDoS): DDoS – Distributed Denial Of

Service là kiểu tấn công làm cho hệ thống máy tính hay hệ thống mạng quá tải, khôngthể cung cấp dịch vụ hoặc phải dừng hoạt động Trong các cuộc tấn công DDoS, máychủ dịch vụ sẽ bị “ ngập” bởi hàng loạt các lệnh truy cập từ lượng kết nối khổng lồ.Khi lệnh truy cập quá lớn, máy chủ sẽ quá tải và không còn khả năng xử lý các yêucầu Hậu quả là người dùng không thể truy cập vào các dịch vụ trên các trang web bịtấn công DDoS

Tấn công bằng phương pháp SQL Injection: SQL Injection hiểu đơn giản là một

kiểu tấn công mà mục tiêu chủ yếu là các website Trong đó, hacker sẽ “tiêm” các câutruy vấn SQL (Structured Query Language) độc hại vào website Hậu quả của các cuộctấn công SQL Injection có thể khiến cho cơ sở dữ liệu (CSDL) của các website bị thayđổi, bị xóa hoặc bị đánh cắp Nguy hiểm hơn, hacker có thể lợi dụng lỗ hổng SQLInjection để chiếm quyền kiểm soát của toàn bộ máy chủ

(Nguồn: Vũ Khánh Quý, Giáo trình Mạng Doanh Nghiệp – Bộ môn Mạng máy tính và Truyền thông – Khoa CNTT, Đại học Sư phạm Kỹ thuật Hưng Yên)

2.1.3 Vai trò và ứng dụng của an toàn dữ liệu, bảo mật thông tin cho website hgi.com.vn

2.1.3.1 Vai trò của an toàn dữ liệu, bảo mật thông tin cho website tài chính, đầu tư hgi.com.vn

Theo báo cáo “Tổng quan an toàn thông tin Việt Nam 2012” do Hiệp hội Antoàn Thông tin Việt Nam (VNISA) thực hiện, các cơ quan, tổ chức ở Việt Nam bị tấn

công DDoS trong năm 2012 là 19% Có đến 63% đơn vị không ước lượng được tổnthất tài chính khi bị tấn công VNISA cho biết thêm năm 2012 có đến 33% cơ quan, tổchức chưa có kế hoạch phản hồi những cuộc tấn công máy tính; chỉ có 44% cơ quan,

tổ chức áp dụng quy chế an toàn thông tin Các cơ quan, tổ chức chỉ chi có 5% cho vấnnạn này và chỉ có 49% tổ chức có kế hoạch đào tạo nhân lực an toàn thông tin

Tại Việt Nam, chỉ tính riêng từ năm 2012 đến nay có hơn 3.000 doanh nghiệp

đã bị tin tặc tấn công “Thực tế, các cuộc tấn công mạng vẫn âm thầm diễn ra khắp mọinơi, cả Việt Nam và trên toàn thế giới Tuy nhiên, hầu hết vụ việc không dễ bị pháthiện cho đến khi chúng gây ra những hậu quả rõ ràng như mất mát dữ liệu, làm tê liệt,thậm chí sụp đổ hệ thống…”, ông Nguyễn Minh Đức-Giám đốc Bộ phận An ninhmạng của Bkav-nhận định

Qua các báo cáo về tình hình an toàn bảo mật thông tin cho thấy vai trò quantrọng của bảo mật thông tin tại các website, vì một khi website bị tấn công thì khôngchỉ gây ra mất mát tổn thất cho chính doanh nghiệp và còn nhiều mất mát quan trọnghơn như uy tín của công ty, các thông tin của khách hàng bị lộ sẽ dẫn đến hậu quảnghiêm trọng nếu là thất thoát tiền bạc của họ

Sự phức tạp và các mối đe dọa về sự mất ATBM HTTT ngày càng tăng khi màcác phần mềm độc hại ngày càng nhiều và tinh vi Tìm được một giải pháp tổng thểvới chi phí hợp lý là điều không dễ cho các doanh nghiệp Mặt khác, nhiều dự án vềphía Nhà nước chậm triển khai cũng gây khó dễ cho các tổ chức và doanh nghiệptrong nhiều lĩnh vực Vì vậy, vấn đề sống còn cần phải làm là đảm bảo ATBM cho cácgiao dịch, cho HTTT của các ngành và của các doanh nghiệp

2.1.3.2 Ứng dụng của an toàn dữ liệu và bảo mật thông tin trong các website

Như ta đã biết, website là một phần của tổ hợp cơ sở hạ tầng của doanh nghiệp

Vì vậy, không có gì đáng ngạc nhiên khi rất nhiều doanh nghiệp dành sự quan tâm đặc

biết đến vấn đề bảo mật Sau đây làm một số giải pháp để bảo mật thông tin trong giaodịch trên website:

(1)Chữ ký điện tử:

Chữ ký điện tử (hay chữ ký số - Digital Signature) được tạo lập dưới dạng từ,chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liềnhoặc kết hợp một cách logic với thông điệp dữ liệu, có khả năng xác nhận người kýthông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông

điệp dữ liệu được ký” (Điều 21, Khoản 1, Luật giao dịch điện tử ).

Chữ ký điện tử được sử dụng để xác nhận tính hợp pháp của một văn bản hayhợp đồng trong các giao dịch điện tử Nó có khả năng kiểm tra được người ký và thờigian ký, có khả năng xác thực các nội dung tại thời điểm ký, các thành viên thứ ba cóthể kiểm tra chữ ký để giải quyết các tranh chấp (nếu có)

(2)Chứng thực số:

Chứng thực số là một hoạt động chứng thực danh tính của những người thamgia vào việc gửi và nhận thông tin qua kênh truyền, cung cấp cho họ các công cụ, cácdịch vụ cần thiết để thực hiện việc bảo mật thông tin, chứng thực nguồn gốc và nộidung thông tin Chứng thực điện tử được cấp bởi một cơ quan chứng thực có uy tíntrên thế giới Một chứng thực điện tử bao gồm: Khóa công khai của người sở hữuchứng thực điện tử này, các thông tin riêng của người sở hữu chứng thực, hạn sử dụng,tên cơ quan cấp chứng thực điện tử, số hiệu của chứng thực và chữ ký của nhà cungcấp Một số chứng thực điện tử đang sử dụng như: Chứng thực cho máy chủ Web(Server Certificate), chứng thực cho các phần mềm, chứng thực cá nhân, chứng thựccủa các nhà cung cấp chứng thực điện tử

(3)An toàn dữ liệu thanh toán điện tử

Ta biết rằng website là một hình thức trao đổi thông tin mang tính công cộng, có

số lượng người truy cập vào hàng ngày là rất lớn, do đó việc xác định danh tính kháchhàng là hết sức khó khăn Công tác đảm bảo an toàn cho trang web vừa phải đồng thờivới việc tạo cho web hoạt động liên tục và không hạn chế người truy cập Mỗi mộttrang web đều được dùng để quảng bá hình ảnh của doanh nghiệp, do đó nếu trangweb bị tấn công thì việc quảng bá sản phẩm bị thất bại và hình ảnh doanh nghiệp cũngsuy giảm nhanh chóng Hiện nay mỗi trang web đều có nguy cơ bị tấn công từ nhiềuphía bởi nó có chứa cơ sở dữ liệu là các thông tin nhạy cảm của doanh nghiệp, của đốitác doanh nghiệp cũng như thông tin của khách hàng

2.2 Phân tích, đánh giá thực trạng vấn đề ATBM TT cho website tại Công ty đầu

tư tài chính Hà Nội Vàng hgi

2.2.1 Quá trình hình thành phát triển và một số kết quả đạt được của Công ty đầu

tư tài chính Hà Nội Vàng hgi

Công ty đầu tư tài chính HGI ra đời tại thời điểm 2009, khi mà các kênh đầu tưtài chính về thị trường hàng hóa gồm ngoại tệ, kim loại quý và năng lượng trở nên sôiđộng và hấp dẫn các nhà đầu tư tại Việt Nam, với mục đích tạo ra kênh đầu tư minhbạch, được pháp luật công nhận , đảm bảo tính pháp lý cho các nhà đầu tư tại việt nam,công ty đã ra đời

Tên công ty: Công ty Cổ phần Đầu tư Tài chính Hà Nội Vàng

Tên đầy đủ: Công ty Cổ phần Đầu tư Tài chính Hà Nội Vàng

Tên giao dịch: Hanoi Golden Financial Investment Joint Stock Company

Tên viết tắt: Hanoi Golden Investment., JSC (HGI)

Thành lập vào tháng 4/2009: Công ty CP Giao dịch Vàng Hà Nội

Vốn điều lệ 10 tỷ đồng lúc thành lập.

Chính thức đổi tên vào tháng 11/2009: Công ty CP Đầu Tư Tài Chính Hà Nội Vàng.Lĩnh vực hoạt động chính: Tư vấn, đầu tư tài chính

Chi nhánh trực thuộc:

- Công Ty CP Đầu tư tài chính Hà Nội Vàng tại Thành phố Hồ Chí Minh

- Công Ty CP Đầu tư tài chính Hà Nội Vàng tại Thành phố Đà Nẵng

- Công Ty CP Đầu tư tài chính Hà Nội Vàng tại Lào

Trụ sở chính: Tầng 3 - 4, tòa nhà Artex, số 172 Ngọc Khánh, phường Giảng

Chi nhánh miền trung : Lầu 6, tòa nhà trung tâm tài chính dầu khí Đà Nẵng ,

Lô A2.1, đường 30/4 , quận Hải Châu, Tp Đà Nẵng

Thành lập vào tháng 4/2010: Công ty Cổ phần Đầu Tư Xây Dựng Hà Nội Vàng.

Lĩnh vực hoạt động chính: Tư vấn thiết kế công trình, quản lý dự án, quản lý thicông xây dựng, phát triển thị trường & marketing dự án

Nhân sự : Có trên 20 nhân viên chính thức (Cử nhân các trường Đại học Xâydựng và Kiến trúc)

Thành tích nổi bật:

- Giải ba: Cuộc thi thiết kế cổng quảng trường khu Thánh Gióng

- Giải thưởng: Cuộc thi Kiến trúc Xanh

- Giải nhì: Cuộc thi thiết kế quy hoạch phố cổ Hà Nội

- Top 5: Cuộc thi thiết kế Công viên Thống Nhất

Hồng Hạc Media

Thành lập tháng 5/2011: Công ty Cổ phần Truyền thông Hồng Hạc.

Lĩnh vực hoạt động chính: , Xây dựng văn hóa của doanh nghiệp, Tổ chức cácchương trình sự kiện, truyền thông quảng cáo, thiết kế mỹ thuật…

Nhân sự: Có trên 15 nhân viên chính thức và mạng lưới cộng tác viên đông đảo( Cử nhân các trường Đại học về báo chí, truyền thông, tài chính…)

Các sự kiện tham gia:

- Tổ chức sự kiện, chương trình Lễ hội dân tộc tại Hòa Bình

- Tham gia tổ chức sự kiện “ Ngày hội sách & văn hóa đọc” của Bộ Văn hóa thểthao & du lịch vào tháng 4/2012 tại Văn Miếu, Hà Nội

2.2.2 Tầm nhìn và sứ mệnh của công ty

 Công ty tài chính chuyên nghiệp hàng đầu

 Môi trường kinh doanh lành mạnh , minh bạch

 Cung cấp kiến thức , thông tin , kinh nghiệm đầu tư

 Quản lý rủi ro và tối đa hóa lợi nhuận cho nhà đầu tư

 Tuân thủ tuyệt đối tôn chỉ “ Thành công tôn quý”

2.2.3 Sản phẩm của công ty

Sản phẩm của công ty gồm hai sản phẩm chính

 Sản phẩm đầu tư truyền thống

Hợp đồng đầu tư truyền thống: Khách Hàng mở tài khoản truyền thống và trởthành nhà đầu tư, sau đó khách hàng giao dịch online qua hệ thống giao dịch của công ty

 Quỹ ủy thác đầu tư

Quỹ ủy thác đầu tư của HGI là địa chỉ tin cậy cho các nhà đầu tư với cam kết ổnđịnh , chuyên nghiệp và lãi suất cao

2.2.4 Hoạt động của công ty.

 Quản lý rủi ro cho các công ty xuất khẩu

 Cung cấp thông tin thị trường chính xác

 Cung cấp gói sản phẩm quản trị rủi ro về hàng và giá

 Đào tạo kiến thức giao dịch thị trường thế giới

 Chăm sóc quý nhà đầu tư của công ty

2.3 Sơ đồ tổ chức công ty HGI và kết quả, thành tựu đạt được trong quá trình kinh doanh của công ty

1.2.1 Sơ đồ tổ chức công ty

Hình 1.2: Sơ đồ tổ chức công ty đầu tư tài chính HGI.

(nguồn phòng hành chính )

2.4 Một số kết quả đạt được về quá trình hoạt động kinh doanh của công tyđầu tư tài chính HGI

Trải qua 3 năm hoạt động trên thị trường tài chính - đầu tư, công ty cổ phần đầu tưHGI đã gặt hái được thành công nhất định, cũng như sự tin tưởng vào sản phẩm củakhách hàng đầu tư vào công ty Với phương trâm đưa HGI trở thành công ty đầu tư tàichính hàng đầu Việt Nam , HGI đang ngày càng hoàn thiện chính bản thân mình và đemlại ích lợi cao nhất cho xã hội, điều này được thể hiện qua báo cáo tài chính của công ty

2.5 Website của công ty Đầu tư tài chính Hà Nội Vàng hgi

Hình 2.1 Giao diện chính website của công ty HGI

(Nguồn: hgi.com.vn)

Website của công ty ra đời vào tháng 4 năm 2009 Website có tên miền làwww.hgi.com.vn Hiện bộ phận kỹ thuật đang là đơn vị quản lý Chủ yếu là quảngcáo về công ty, bản tin tài chính , thông tin đánh giá thị trường và chiến lược của công

ty Với mục tiêu là cầu nối giữa công ty và khách hàng, giúp khác tiếp cận với các sảnphẩm mà công ty cung cấp một cách nhanh chóng Website của công ty không nhữnggiới thiệu về công ty và các sản phẩm của công ty mà còn có các giao dịch, chuyểntiền trực tuyến qua mạng Do đó việc đảm bảo ATBM TT của website cần được quantâm đúng đắn

2.6 Kết quả tổng hợp, đánh giá thực trạng vấn đề bảo mật thông tin cho website www.hgi.com.vn

2.6.1 Kết quả xử lý phiếu điều tra

Sau khi thu thập các phiếu điều tra phỏng vấn từ các bộ phận, nhân viên trongcông ty đầu tư tài chính HGI Em có kết quả phân tích như sau:

(1)Website của công ty phục vụ đang phục vụ cho hoạt động gì?

(2)Tần suất cập nhật thông tin trên website?

Hình 2.3 Biểu đồ về tần suất cập nhật thông tin trên website

(Nguồn: kết quả xử lý bằng phần mềm SPSS)

Có thể thấy rằng, trong thời gian đầu công ty đã chú trọng đến việc cập nhậtthông tin cho website Có thể giải thích do website mới đưa vào hoạt động nên cầnđược cung cấp thông tin, do đó người quản trị phải thường xuyên cập nhật Nhất lànhững thông tin biến động về thị trường tài chính, tiền tệ trên thế giới

(3)Khách hàng có quan tâm đến công tác bảo mật thông tin qua website của

Hình 2.4 Sự quan tâm của khách hàng đến công tác bảo mật website của HGI

(Nguồn: kết quả xử lý bằng phần mềm SPSS)

Khách hàng rất quan tâm đến thông tin trên website của công ty có chính xáchay website công ty có an toàn không Vì khi khách hàng đăng ký tài khoản, giao dịchtại công ty, họ cấp số tài khoản Nếu thông tin này bị lấy cắp thì sẽ ảnh hưởng đến tàisản của khách hàng và uy tín của công ty Điều này rất quan trọng đối với người quảntrị mạng tại công ty

(4)Thách thức lớn nhất về ATBM TT đối với công ty là gì?

23.30%

20.00%

nhân lực ngân sách CNTT

Hình 2.5 Biểu đồ về các thách thức trong công tác bảo mật của công ty

(Nguồn: kết quả xử lý bằng phần mềm SPSS)

Từ biểu đồ trên ta thấy rằng, khó khăn chủ yếu của công ty là vấn đề nhân lựccho việc bảo mật thông tin cho webite chiếm (57%), rõ ràng nguồn nhân lực của công

ty còn kém Chưa đủ để đáp ứng yêu cầu để website công ty theo hướng TMĐT

(5)Tầm quan trọng của công tác bảo mật thông tin website đối với công ty

50.00%

33.00%

10.00%7.00%

rất quan trọng quan trọng bình thường không quan trọng

Hình 2.6 Nhận thức tầm quan trọng trong công tác bảo mật thông tin website

(Nguồn: kết quả xử lý bằng phần mềm SPSS)

Với tỷ lệ rất quan trọng và quan trọng khá cao (chiếm 83%), chứng tỏ tầm quantrọng về ATBM TT trong website của công ty khá lớn mặc dù công ty còn gặp khó khăn

về nguồn lực nhưng với việc nhận thức như vậy, chắc chắn thời gian tới lãnh đạo công ty

sẽ có những chính sách để giải quyết vần đề bảo mật thông tin một cách tốt nhất

(6)Website của công ty đã từ bị tấn công hay chưa?

có tấn công nhưng không rõ

(7)Các hình thức tấn công vào webite mà doanh nghiệp đã gặp phải là gì?

Hình 2.8 Các hình thức tấn công vào website của công ty

(Nguồn: kết quả xử lý bằng phần mềm SPSS)

Do website của công ty mới đưa vào hoạt động nên gặp nhiều khó khăn trongviệc chống lại các cuộc tấn công của tin tặc Chúng xâm nhập phá hoại dữ liệu, thayđổi giao diện, nội dung website và làm cho website công ty không thể hoạt động Việckhắc phục những hậu quả này công ty thường mời những người có chuyên môn tại cáccông ty lớn khác về giúp đỡ Nhưng đây chỉ là giải pháp mang tính tạm thời, công tynên cử nhân viên đi học năng cao trình độ để phục vụ cho doanh nghiệp mình

(8)Một IP flood theo các host phát tán trực tiếp đến một Web server là loại tấn