LỜI CẢM ƠN Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận được sự hướng dẫn nhiệt tình của giáo viên hướng dẫn Th S Bùi Quang Trường, cùng sự giúp đỡ của ban giám đốc và toàn[.]
Trang 1Em cũng xin được gửi lời cảm ơn chân thành tới ban giám đốc cũng như cácanh/chị làm việc tại Công ty CP đầu tư và phát triển phần mềm SDIC vì sự quan tâm,ủng hộ và hỗ trợ cho em trong quá trình thực tập và thu thập tài liệu.
Em xin được gửi lời cảm ơn tới các thầy cô giáo trong khoa Hệ Thống Thông TinKinh Tế về sự động viên khích lệ mà em đã nhận được trong suốt quá trình học tập vàhoàn thành khóa luận này
Trong quá trình nghiên cứu đề tài, mặc dù rất rỗ lực, cố gắng tuy nhiên vẫn khôngtránh khỏi những thiếu sót Em rất mong nhận được những ý kiến đóng góp từ cácthầy/cô giáo, từ các nhân viên trong Công ty CP đầu tư và phát triển phần mềm SDIC
để hoàn thiện hơn nữa khóa luận tốt nghiệp của mình
Em xin chân thành cảm ơn!
Hà Nội, Ngày… tháng…năm 2012
Sinh viên thực hiệnTrần Văn Huấn
Trang 2MỤC LỤC
LỜI CẢM ƠN i DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ v DANH MỤC TỪ VIẾT TẮT vi Phần 1: TỔNG QUAN VỀ AT & BM HTTT QL TẠI CÔNG TY CỔ PHẦN ĐẦU
TƯ VÀ PHÁT TRIỂN PHẦN MỀM SDIC 1 1.1 Tính cấp thiết nghiên cứu đề tài:
6
Trang 32.1.1 Một số khái niệm cơ bản:
2.1.3 Phân định nội dung vấn đề nghiên cứu của đề tài:
Trang 42.2.1 Tổng quan về Công ty CP đầu tư phát triển phần mềm SDIC:
CP đầu tư và phát triển phần mềm SDIC: 18
2.2.2.1 Ảnh hưởng của những nhân tố bên ngoài tới việc nâng cao hiệu quả AT & BM HTTT QL: 18 2.2.2.2 .Ảnh hưởng của những nhân tố bên trong tới việc nâng cao hiệu quả AT & BM HTTT QL: 20
2.2.3 Kết quả xử lý dữ liệu sơ cấp thu thập từ phiếu điều tra và phỏng vấn:
3.1.1 Những kết quả công ty đã đạt được:
27
Trang 53.1.2 Hạn chế còn tồn tại:
28
3.1.3 Nguyên nhân của những hạn chế trên: 28
3.2 Dự báo triển vọng và quan điểm giải quyết việc nâng cao hiệu quả AT & BM HTTT QL của Công ty CP đầu tư và phát triển phần mềm SDIC: 29
3.2.1 Dự báo triển vọng AT & BM HTTT QL tại Công ty CP đầu tư phát triển phần mềm SDIC: 29
3.2.2 Quan điểm giải quyết việc nâng cao hiệu quả AT & BM HTTT QL tại Công ty CP đầu tư phát triển phần mềm SDIC: 30
3.3 Các đề xuất về giải pháp nâng cao tính AT & BM HTTT QL: 31
3.4 Các kiến nghị: 34
3.4.1 Các kiến nghị với nhà nước: 34
3.4.2 Kiến nghị với các doanh nghiệp: 36
3.4.2.1 Kiến nghị với các DN hoạt động trong lĩnh vực phát triển phần mềm: 36
3.4.2.2 Kiến nghị với Công ty CP đầu tư và phát triển phần mềm SDIC: 36
KẾT LUẬN 1
TÀI LIỆU THAM KHẢO 3
PHỤ LỤC 4
Trang 7DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ
Hình 2.1: Ba mục tiêu bảo mật thông tin 7
Hình 2.2: Hạ tầng công nghệ của Công ty SDIC giai đoạn 2009 – 2011 15
Bảng 2.1: Cơ cấu nguồn nhân lực của công ty SDIC từ 2009 đến 2011 16
Bảng 2.2: Một số chỉ tiêu chủ yếu công ty đã đạt được 3 năm 2009 – 2011 16
Hình 2.3: Mức độ quan trọng của các thành phần trong một HTTT 21
Hình 2.4: Các nhân tố bên ngoài ảnh hưởng tới hoạt động của HTTT quản lý 21
Hình 2.5: Các nhân tố bên trong ảnh hưởng tới hoạt động của HTTT quản lý 22
Hình 2.6: Hệ thống của Công ty đã từng bị tấn công hay chưa? (từ năm 2009) 22
Hình 2.7: Các hình thức tấn công mà tổ chức gặp phải là gì? 23
Hình 2.8: Mục tiêu của HTTT quản lý trong thời gian tới 23
Hình 2.9: Mức độ an toàn, bảo mật thông tin trong công ty 24
Hình 3.1: Giải pháp nâng cao AT & BM HTTT QL bằng Firewall 32
Hình 3.2: Quy trình an toàn và bảo mật 38
Trang 8DANH MỤC TỪ VIẾT TẮT
1 Danh mục từ viết tắt Tiếng Việt:
AT & BM HTTT QL : An toàn và bảo mật hệ thống thông tin quản lý
ACL : Access Control List – Danh sách điều khiển truy cập
CIA : Confidentiality Integrity Availability – Mô hình bảo mật CIACRM : Customer relationship management – Quản lý quan hệ khách hàngDDOS : Distributed Denial Of Service – Tấn công từ chối dịch vụ phân tánDOS : Denial Of Service – Tấn công từ chối dịch vụ
DMZ : Demilitarized Zone – Vùng phi quân sự
HRM : Human resource management – Quản lý nguồn nhân lực
IBM : International Business Machines – Tập đoàn IBM
IPS : Instrusion Prevention System – Hệ thống giám sát, cảnh báo và
ngăn chặn xâm nhập
OS : Operating System – Hệ điều hành
SDIC : Software Development Investment Joint Stock Company – Công
ty Cổ phần đầu tư và phát triển phần mềm SDICTCP/IP : Transmission Control Protocol/ Internet Protocol – Giao thức điều
khiển truyền vận /Giao thức liên mạng
2 Danh mục từ viết tắt Tiếng Anh:
Trang 9Phần 1: TỔNG QUAN VỀ AT & BM HTTT QL TẠI CÔNG TY CỔ PHẦN
ĐẦU TƯ VÀ PHÁT TRIỂN PHẦN MỀM SDIC 1.1 Tính cấp thiết nghiên cứu đề tài:
Những hệ thống trên nền intetnet đã trở thành một thành phần rất cần thiết để kinhdoanh thành công trong môi trường hiện nay HTTT góp phần quan trọng vào hiệu quảhoạt động, tinh thần và năng suất lao động của nhân viên, phục vụ và đáp ứng thỏamãn khách hàng HTTT cung cấp các thông tin vô cúng cần thiết cho việc ra quyếtđịnh của các cấp quản trị và các doanh nhân Công nghệ thông tin đang giữ đang giữvai trò ngày càng lớn trong kinh doanh Công nghệ thông tin có thể hỗ trợ mọi DN cảithiện hiệu quả và hiệu suất của các quy trình nghiệp vụ kinh doanh, quản trị ra quyếtđịnh, công tác nhóm làm việc, qua đó tăng cường vị thế cạnh tranh của DN trong mộtthị trường thay đổi nhanh
HTTT cung cấp các thông tin quan trọng, thông tin nằm ở kho dữ liệu hay đangtrên đường truyền có thể bị trộm cắp, có thể bị làm sai lệch, có thể bị giả mạo Điều đó
có thể ảnh hưởng tới các tổ chức, các công ty hay cả một quốc gia Những bí mật kinhdoanh, tài chính là mục tiêu của các đối thủ cạnh tranh Những tin tức về an ninh quốcgia là mục tiêu của các tổ chức tình báo trong và ngoài nước
Theo báo cáo “Hiện trạng An toàn thông tin trong các tổ chức doanh nghiệp ViệtNam 2011” của Hiệp hội an toàn thông tin Việt Nam – VNISA công bố ngày 23 tháng
11 năm 2011 tại Hà Nội cho thấy, có tới 52% số tổ chức vẫn không hoặc chưa có quytrình thao tác chuẩn để ứng phó với những cuộc tấn công máy tính Ba công nghệ đượcdùng nhiều nhất vẫn là phần mềm chống virus, tường lửa và bộ lọc chống thư rác.Những công nghệ chuyên sâu hoặc hẹp hơn như mã hoá, hệ thống phát hiện xâm nhập,chứng chỉ số, chữ ký số… có tỷ lệ sử dụng thấp Đặc biệt, những công nghệ bảo mậtcấp cao như quản lý định danh, hệ thống quản lý chống thất thoát dữ liệu, sinh trắchọc… mới được ứng dụng rất hạn chế tại Việt Nam (dao động quanh ngưỡng 5%).Như vậy, có thể thấy các DN Việt Nam chưa đầu tư, chú trọng tới việc đảm bảo antoàn và bảo mật thông tin trong HTTT của DN mình, nhiều DN còn không nhận ranhững cuộc tấn công vào HTTT của DN Chính vấn đề này đã làm mất mát thông tin
và gây tổn thất không nhỏ cho DN
Công ty Cổ phần đầu tư và phát triển phần mềm SDIC là một công ty công nghệthông tin trẻ hoạt động trong lĩnh vực gia công phần mềm tin học và cung cấp các dịch
Trang 10vụ tin học văn phòng Cũng như bao công ty hoạt động trong lĩnh vực CNTT khác,Công ty SDIC cũng gặp phải một số khó khăn như quản lý luồng thông tin vào ra củacông ty, quản lý truy cập mạng của nhân viên, đảm bảo bí mật thông tin trong hệ thốngquản lý của công ty Chính vì vậy mà một số khâu quản lý của công ty còn thiếu linhhoạt, chưa phát huy được hiệu quả của các công cụ đảm bảo AT & BM HTTT QL củacông ty Một HTTT hoạt động tốt được đảm bảo an toàn và bảo mật tôt có thể cải thiệnquan hệ khách hàng, thúc tiến hoạt động sản xuất kinh doanh, từ đó tạo ra lợi thế cạnhtranh và xây dựng hình ảnh tốt hơn cho công ty SDIC.
Đặc biệt để tồn tại và phát triển trong kỷ nguyên công nghệ số như hiện nay, vớiviệc mở cửa hội nhập sâu rộng, nâng cao năng lực cạnh tranh có được những quyếtđịnh và chiến lược tốt cho sự phát triển bền vững của DN thì việc nâng cao đảm bảo
AT & BM HTTT QL để có được nguồn thông tin tin cậy phục vụ đắc lực cho việcquản lý kinh doanh của các cấp quản lý trong Công ty SDIC là rất cần thiết
1.2 Xác lập các vấn đề nghiên cứu:
Từ những phân tích trên em đã chọn đề tài: “Giải pháp nâng cao hiệu quả tính an
toàn và bảo mật hệ thống thông tin quản lý cho công ty cổ phần đầu tư và phát triển
BM HTTT QL
tại công tyTrong đề tài này với mong muốn giúp DN đạt được hiệu quả cao hơn trong vấn đềđảm bảo AT & BM HTTT QL Em sẽ tập trung nghiên cứu trên cơ sở lý luận về lýthuyết an toàn, bảo mật thông tin nói chung và AT & BM HTTT QL nói riêng, đặc biệt
là các yếu tố ảnh hưởng và các tiêu chí đo lường hiệu quả các giải pháp đảm bảo AT &
BM HTTT QL để có thể đánh giá được chính xác nhất về thực trạng cũng như hiệuquả của các giải pháp đảm bảo AT & BM HTTT QL của công ty Từ đó khóa luận đưa
ra những giải pháp phù hợp nhằm nâng cao hiệu quả của các biện pháp đảm bảo AT &
BM HTTT QL của Công ty Cổ phần đầu tư và phát triển phần mềm SDIC
1.3 Các mục tiêu nghiên cứu:
Việc nghiên cứu khóa luận nhằm các mục tiêu sau:
- Hệ thống hóa một số cơ sở lý luận về AT & BM HTTT QL trong DN
- Trên cơ sở lý luận, các công cụ phân tích để đánh giá thực trạng hoạt động đảmbảo AT & BM HTTT QL tại Công ty Cổ phần đầu tư và phát triển phần mềm SDIC
Trang 11- Trên cơ sở lý luận và phân tích thực trạng để đưa ra các giải pháp khả thi nhằmnâng cao hiệu quả hoạt động đảm bảo AT & BM HTTT QL cho Công ty Cổ phần đầu
tư và phát triển phần mềm SDIC
1.4 Đối tượng và phạm vi nghiên cứu:
a Đối tượng nghiên cứu: Các giải pháp công nghệ và giải pháp con người để đảm
bảo nâng cao hoạt động AT & BM HTTT QL là đối tượng nghiên cứu chính của đềtài
b Phạm vi nghiên cứu:
- Phạm vi thời gian: Đề tài sẽ phân tích các hoạt động AT & BM HTTT QL của
DN thông qua các báo cáo kinh doanh, các tài liệu điều tra liên quan trong 3 năm gầnđây (2009, 2010, 2011) và có những đề xuất cho hoạt động đảm bảo AT & BM HTTT
QL của công ty trong năm 2012, 2013 và định hướng đến năm 2015
- Phạm vi không gian: Nghiên cứu thực trạng hoạt động AT & BM HTTT QLcủa Công ty Cổ phần đầu tư và phát triển phần mềm SDIC
- Phạm vi nội dung: Nội dung nghiên cứu xoay quanh hoạt động AT & BMHTTT QL trong Công ty Cổ phần đầu tư và phát triển phần mềm SDIC để xác định ưuđiểm, nhược điểm của các hoạt động đó Đồng thời phân tích thực trạng triển khai,thuận lợi, khó khăn, đánh giá hiệu quả và có những đề xuất cụ thể nhằm nâng cao hiệuquả hoạt động đảm bảo AT & BM HTTT QL cho Công ty Cổ phần đầu tư và pháttriển phần mềm SDIC
1.5 Phương pháp nghiên cứu:
1.5.1 Phương pháp thu thập dữ liệu thứ cấp:
Dữ liệu thứ cấp là những thông tin đã được thu thập và xử lý trước đây vì các mụctiêu khác nhau của công ty
- Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanhcủa công ty trong vòng 3 năm: 2009, 2010, 2011 được thu thập từ phòng hành chính,phòng kế toán, phòng nhân sự của công ty, từ phiếu điều tra phỏng vần và các tài liệuthống kê khác
- Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sáchbáo của các năm trước có liên quan tới đề tài nghiên cứu và từ internet
1.5.2 Phương pháp thu thập dữ liệu sơ cấp:
a Phương pháp sử dụng phiếu điều tra:
Trang 12- Nội dung: Bảng câu hỏi gồm 10 câu hỏi theo hai hình thức câu hỏi đóng và câuhỏi mở Các câu hỏi đều xoay quanh các hoạt động đảm bảo AT & BM HTTT QLđược triển khai và hiệu quả của các hoạt động này đối với Công ty Cổ phần đầu tư vàphát triển phần mềm SDIC
- Cách thức tiến hành: Bảng câu hỏi sẽ được phát cho 10 nhân viên trong công ty
để thu thập ý kiến
- Mục đích: Nhằm thu thập những thông tin về hoạt động AT & BM HTTT QLcủa công ty để từ đó đánh giá thực trạng triển khai và đưa ra những giải pháp đúng đắn
để nâng cao hiệu quả của các hoạt động đảm bảo AT & BM HTTT QL trong Công ty
Cổ phần đầu tư và phát triển phần mềm SDIC
b Phương pháp phỏng vấn chuyên gia:
- Nội dung: Gồm 5 câu hỏi mở để phỏng vấn trực tiếp một chuyên gia quản lýtrực tiếp HTTT quản lý của công ty để có thể ghi chép các câu trả lời
- Cách thức tiến hành: Phỏng vấn cá nhân anh Tạ Kim Ngọc – Trưởng phòng giacông phần mềm vào ngày 10/4/2012 tại trụ sở công ty: P1301 Nhà B11B Khu NamTrung Yên - Cầu Giấy - Hà Nội
- Mục đích: Thu thập nhứng thông tin chuyên sâu và chi tiết về các hoạt độngđảm bảo AT & BM HTTT QL tại Công ty CP đầu tư và phát triển phần mềm SDIC
1.5.3 Phương pháp phân tích và xử lý số liệu:
- Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package forSocial Sciences)
SPSS là một phần mềm cung cấp hệ thống quản lý dữ liệu và phân tích thống kêtrong một môi trường đồ họa, sử dụng các trình đơn mô tả và các hộp thoại đơn giản
để thực hiện hầu hết các công việc thống kê phân tích số liệu Người dùng có thể dễdàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị…
- Phương pháp định tính: Phân tích, tổng hợp thông tin thông qua câu hỏi phỏngvấn chuyên gia, phiếu điều tra và các tài liệu thứ cấp thu thập được
1.6 Kết cấu của khóa luận:
Ngoài lời cảm ơn, danh mục bảng biểu sơ đồ hình vẽ, danh mục từ viết tắt, phụ lụckhóa luận gồm 3 phần:
Phần 1: Tổng quan AT & BM HTTT QL tại Công ty Cổ phần đầu tư và phát triểnphần mềm SDIC
Trang 13Phần 2: Cơ sở lý luận và thực trạng về AT & BM HTTT QL của Công ty Cổ phầnđầu tư và phát triển phần mềm SDIC.
Phần 3: Định hướng phát triển và đề xuất nhằm nâng cao hiệu quả AT & BMHTTT QL tại Công ty Cổ phần đầu tư phát triển phần mềm SDIC
Trang 14Phần 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VỀ AT & BM HTTT QL CỦA
CÔNG TY CP ĐẦU TƯ PHÁT TRIỂN PHẦN MỀM SDIC
2.1 Cơ sở lý luận:
2.1.1 Một số khái niệm cơ bản:
2.1.1.1 Khái niệm dữ liệu, thông tin, HTTT, HTTT quản lý trong DN:
Dữ liệu: Là những ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu chung chung…
dữ liệu chưa mang cho con người sự hiểu biết mà phải thông qua quá trình xử lý dữliệu thành thông tin thì con người mới có thể hiểu được về đối tượng mà dữ liệu đangbiểu hiện
Thông tin: Theo nghĩa thông thường, thông tin là điều hiểu biết về một sự kiện,một hiện tượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu….Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối vớingười sử dụng Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau quátrình xử lý dữ liệu
Hệ thống thông tin: Là một tập hợp và kết hợp của các phần cứng, phần mềm vàcác hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phânphối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổchức
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau.Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ,thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Vớibên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơnhoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển
Hệ thống thông tin quản lý (MIS): Hệ thống thông tin quản lý được hiểu như làmột hệ thống dùng để tiến hành quản lý cùng với những thông tin được cung cấpthường xuyên Ngày nay, do công nghệ máy tính đã tham gia vào tất cả các hoạt độngquản lý nên nói đến MIS là nói đến hệ thống thông tin quản lý được trợ giúp của máytính
Theo quan điểm của các nhà công nghệ thông tin, MIS là một mạng lưới máy tính
có tổ chức nhằm phối hợp việc thu thập, xử lý và truyền thông tin
Trang 15MIS là tập hợp các phương tiện, các phương pháp và các bộ phận có liên hệ chặtchẽ với nhau, nhằm đảm bảo cho việc thu thập, lưu trữ, tìm kiếm xử lý và cung cấpnhững thông tin cần thiết cho quản lý.
Nguồn: Bài giảng Hệ thống thông tin quản lý, Trường Đại học Thương mại Hà Nội.
2.1.1.2 Khái niệm về an toàn, bảo mật HTTT quản lý:
An toàn thông tin: Thông tin được coi là an toàn khi thông tin đó không bị làmhỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không đượcphép
Bảo mật thông tin: Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thôngtin
Hình 2.1: Ba mục tiêu bảo mật thông tin
- Tính bảo mật (Confidentially): Đảm bảo chỉ có những cá nhân được cấp quyềnmới được phép truy cập vào hệ thống Đây là yêu cầu quan trọng của bảo mật thôngtin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàng đầu,việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ làm chothông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thể dẫnđến phá sản
- Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng, chínhxác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực Chỉ các cánhân được cấp quyền mới được phép chỉnh sửa thông tin Kẻ tấn công không chỉ có ýđịnh đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất giá trị sử dụngbằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty
- Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn sàngphục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập đượcvào hệ thống Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ hữu ích khi
Tính toàn vẹn
Tính sẵn sàng
Tính bảo mật
Trang 16người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm bảo nhưng yêucầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất giá trị.
Nguồn: Bộ môn Công nghệ thông tin (2007), Giáo trình an toàn dữ liệu, Trường Đại học Thương mại Hà Nội
Từ các phân tích trên ta có thể nhận định: Một HTTT nói chung và một HTTTquản lý nói riêng được coi là an toàn và bảo mật khi tính riêng tư của nội dung thôngtin được đảm bảo theo đúng các tiêu chí trong một thời gian xác định
2.1.1.3 Các nhân tố ảnh hưởng đến hiệu quả AT & BM HTTT QL trong DN:
Một HTTT quản lý hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cả môitrường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi trường vi mô.Nhưng có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm bảo AT &
BM HTTT QL trong doanh nghiệp là: Yếu tố con người và yếu tố công nghệ
Con người: Là yếu tố quyết định sự thành công trong tiến trình kiến tạo hệ thống
và tính hữu hiệu của hệ thống trong tiến trình khai thác vận hành
Con người là chủ thể trong việc thực hiện các quá trình của hệ thống thông tin quản
lý Mỗi người có vị trí nhất định trong hệ thống tuỳ thuộc chuyên môn, nghề nghiệp,năng lực sở trường và yêu cầu công việc của hệ thống Con người có thể hoạt độngđộc lập hoặc trong một nhóm, thực hiện những chức năng, nhiệm vụ, mục tiêu nhấtđịnh của hệ thống
Người quản lý HTTT đóng một vai trò quan trọng về phương diện công nghệ trongcác tổ chức Người quản lý HTTT đảm nhiệm hầu hết mọi công việc từ việc lập nênnhững kế hoạch cho đến việc giám sát an ninh của hệ thống và điều khiển sự vận hànhcủa mạng lưới thông tin quản lý
Những người quản lý HTTT máy tính lên kế hoạch, phối hợp, chỉ đạo việcnghiên cứu và thiết kế các chương trình cần đến máy vi tính của các công ty Họ giúpxác định được cả mục tiêu kinh doanh và kỹ thuật bằng sự quản lý hàng đầu đồng thờivạch ra những kế hoạch chi tiết cụ thể để đạt được những mục tiêu đó Ví dụ khi làmviệc với đội ngũ nhân viên của mình, máy tính và các nhà quản lý HTTT có thể pháttriển những ý tưởng của các sản phẩm và dịch vụ mới hoặc có thể xác định được khảnăng tin học của tổ chức đó có thể hổ trợ cho việc quản lý dự án một cách hiệu quảnhư thế nào
Trang 17Những người quản lý HTTT máy tính chỉ đạo công việc của những người phântích hệ thống, các lập trình viên, các chuyên gia hỗ trợ và những nhân viên khác cóliên quan Nhà quản lý vạch ra kế hoạch và sắp xếp các hoạt động như cài đặt và nângcấp phần mềm, phần cứng, các thiết kế hệ thống và chương trình, sự phát triển mạngmáy tính và sự thực thi của các địa chỉ mạng liên thông và mạng nội bộ Họ đặc biệtngày càng quan tâm đến sự bảo quản, bảo dưỡng, duy trì và an ninh của HTTT quản
lý
Việc đảm bảo khả năng hữu dụng, tính liên tục, tính an ninh của dịch vụ công nghệthông tin và hệ thống dữ liệu là nhiệm vụ quan trọng của các nhà quản trị
Công nghệ thông tin: Là yếu tố tạo nên nền móng cho các hoạt động sản xuất kinh
doanh cũng như các hoạt động hỗ trợ kinh doanh của DN CNTT là yếu tố quyết địnhđến việc lựa chọn và kết hợp các sản phẩm CNTT để đảm bảo an toàn và bảo mậtHTTT
CNTT đang có khuynh hướng xóa nhòa các biên giới, mở ra không gian rộng rãihơn cho các DN, vì thế ứng dụng CNTT đang tạo ra những cơ hội mới với nhữngnguyên tắc mới CNTT như một thách thức đồng thời cũng là nhân tố quan trọng phổbiến nhất, lan tỏa mạnh nhất và hứa hẹn giúp các DN Việt Nam nhanh chóng hòa nhậpvào nền kinh tế toàn cầu
Công nghệ được chia làm hai loại: Phần cứng và phần mềm
Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bị thuthập, xử lý và lưu trữ thông tin…
Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòng trốngvirus, những ứng dụng, hệ điều hành, giải pháp mã hóa…
2.1.1.4 Thông tin và những tác động cụ thể của những công cụ AT & BM HTTT QL:
Thông tin DN: Là những thông tin của DN về nhân sự, cơ cấu tổ chức, các vănbản, chính sách, mục tiêu sản xuất kinh doanh của DN Những thông tin có tính nhệcảm như: Báo cáo tài chính, báo cáo kết quả hoạt động kinh doanh, thông tin kháchhàng,…
Tác động của các công cụ đảm bảo an toàn và bảo mật tới HTTT DN: Những công
cụ an toàn, bảo mật thông tin hoạt động hiệu quả thì các sự cố tấn công từ bên trongcũng như từ bên ngoài sẽ bị hạn chế và các hoạt động chủ yếu của DN vẫn khôngngừng hẳn Đồng thời, khi các công cụ an toàn, bảo mật được ứng dụng thì các hoạt
Trang 18động hay các thông tin bị mất mát, hỏng hóc sẽ được khắc phục kịp thời mà không gâythiệt hại về mặt vật chất và thông tin cho DN.
Khi HTTT quản lý hoạt động hiệu quả, an toàn và bí mật thì các thông tin màHTTT cung cấp cho các cấp quản trị sẽ có chất lượng và độ tin cậy cao
2.1.2 Tổng quan các công trình nghiên cứu có liên quan đến AT & BM HTTT QL:
An toàn, bảo mật là vấn đề đã được đề cập rất lâu chính vì vậy đã có khá nhiều cáccông trình nghiên cứu An toàn, bảo mật thông tin được đề cập đến trong một số tàiliệu sau:
- Bài giảng an toàn và bảo mật thông tin doanh nghiệp – Bộ môn CNTT –Trường ĐH Thương Mại Bài giảng chủ yếu xoay quanh các vấn đề lý thuyết các loạitấn công và mất mát thông tin từ đó có một số biện pháp chung về an toàn và bảo mậtthông tin cho DN
- Luận văn tốt nghiệp: Giải pháp nhằm nâng cao bảo mật HTTT quản trị tại công
ty cổ phần công nghệ cao – Nguyễn Hữu Dũng – Khoa Thương Mại Điện Tử - ĐHThương Mại (2009) Luận văn cũng đã đưa ra được lý thuyết và một số giải phápnhưng các giải pháp vẫn đang ở mức khái quát và chưa mang tính khả thi, cụ thể
- Đề tài: “Giải pháp nâng cao hiệu quả tính an toàn, bảo mật hệ thống thông tin
quản lý cho công ty cổ phần đầu tư và phát triển phần mềm SDIC” tập trung vào việc
đánh giá và nâng cao hiệu quả các hoạt động đảm bảo AT & BM HTTT QL tại mộtdoanh nghiệp cụ thể và đề tài không trùng lặp nội dung với các công trình nghiên cứutrước đó
2.1.3 Phân định nội dung vấn đề nghiên cứu của đề tài:
2.1.3.1 Xác định đối tượng cần đảm bảo an toàn, bảo mật:
Để đảm bảo một HTTT quản lý được an toàn và bảo mật tức là phải đảm bảo thôngtin đầu vào và đầu ra của HTTT đó được đảm bảo an toàn và bảo mật Do đó đối tượngchính của HTTT quản lý cần đảm bảo đó là thông tin của HT đó
Thông tin trong DN có ở nhiều mức độ và mỗi mức độ cần có những chính sách về
an toàn và bảo mật khác nhau Có những thông tin được đưa vào diện bảo mật ở mứcrất cao và rất ít người được biết đến những thông tin này, có những thông tin lại ởnhững mức độ cần an toàn, bảo mật ở mức thấp hơn DN cần xác định đúng đắn cácthông tin cần đảm bảo an toàn, bảo mật để từ đó có các chính sách, công cụ hợp lý để
hỗ trợ, kiểm soát các thông tin này
Trang 192.1.3.2 Xác định mục tiêu AT & BM HTTT QL:
Phát hiện các lỗ hổng của HTTT, dự đoán trước các nguy cơ tấn công
Ngăn trặn những hành động gây mất an toàn, bảo mật thông tin từ bên trong cũngnhư từ bên ngoài
Một hệ thống thông tin an toàn và bảo mật phải đảm bảo được ba yêu cầu: Tính sẵnsàng, tính bảo mật và tính toàn vẹn
Phân loại tấn công: Các loại tấn công được phân làm 3 loại chính:
Kỹ thuật tấn công xã hội (Social Engineering Attacks): Kẻ tấn công lợi dụng sựbất cẩn hay sự cả tin của những người trong công ty để lấy được thông tin xác nhậnquyền truy nhập của người dùng và có thể truy nhập vào hê thống bằng thông tin đó
Tấn công phần mềm (Software Attacks): Loại này nhằm vào các ứng dụng(Applications), hệ điều hành (OS) và các giao thức (Protocols) Mục đích là để pháhủy hay vô hiệu hóa các ứng dụng, hệ điều hành hay các giao thức đang chạy trên cácmáy tính, để đạt được quyền truy nhập vào hệ thống và khai thác thông tin Loại tấncông này có dùng độc lập hoặc kết hợp với một số loại khác
Tấn công phần cứng (Hardware Attacks): Nhằm vào ổ cứng, bo mạch chủ,CPU, cáp mạng …mục đích là để phá hủy phần cứng vô hiệu hóa phần mềm, là cơ sởcho tấn công từ chối dịch vụ (DoS)
Các kĩ thuật tấn công thường gặp: (Xem phụ lục 4).
2.1.3.4 Lựa chọn công cụ đảm bảo AT & BM HTTT QL:
Trang 20Người sử dụng chỉ quan tâm tới các ứng dụng họ có thể sử dụng, nhưng để tiếp cậnđược với các ứng dụng thông tin phải được truyền đi trên mạng theo nhiều lớp phứctạp Và tại mỗi điểm trên mạng thông tin đều có thể là mục tiêu của các hacker, ngườilàm công tác bảo mật cần xây dựng được một bức tranh toàn cảnh về đường đi củathông tin và các biện pháp bảo mật thích hợp tại mỗi lớp.
Trong các lớp của mô hình TCP/IP thường tiến hành các phương pháp bảo mật kếthợp
Lớp 1: Tại đây sẽ có các chính sách lọc gói tin ngay trên các router kết nối tới nhà
cung cấp dịch vụ, chúng ta sẽ sử dụng các ACL, firewall, IPS tích hợp trên phần mềmIOS để bước đầu ngăn chặn ngay các dịch vụ không cần thiết
Lớp 2: Sử dụng NIPS (Network IPS - Hệ thống giám sát và so sánh dòng dữ liệu
lưu thông trên mạng) để quan sát những dữ liệu vào ra Internet, khi có các dấu hiệucủa sự tấn công hay xâm nhập lập tức thông báo cho trung tâm quản lý hoặc trong
trường hợp khẩn cấp có thế khóa ngay các kết nối này lại.
Lớp 3: Tại đây sử dụng bức tường lửa (firewall với chức năng dự phòng) cho phép
ngăn cách làm 3 vùng DMZ, Outside và Inside Các máy chủ công cộng sẽ thuộc vùngDMZ và được bảo vệ rất nghiêm ngặt Chức năng phân vùng của firewall: (Xem phụlục 5)
Lớp 4: Đây là lớp bảo vệ cuối cùng sử dụng NIPS và HIPS (Host IPS – Hệ thống
giám sát một máy tính) cài trên các máy chủ Hệ thống này sẽ phát hiện những tấncông đã lọt qua được vòng ngoài Tại đây, HIPS sẽ quan sát các dấu hiệu tấn côngngay trên các hệ điều hành và cho phép có những thông báo cho quản trị mạng hoặcđóng băng các kết nối trong trường hợp khẩn cấp
Cụ thể các công nghệ bảo mật đó được tổ chức phân lớp lần lượt như sau: (Xemphụ lục 6)
2.1.3.5 Hoạch định ngân sách AT & BM HTTT QL:
Việc công ty dành bao nhiêu ngân sách cho chương trình đảm bảo AT & BMHTTT QL sẽ ảnh hưởng tới việc chọn các công cụ đảm bảo an toàn và bảo mật, cũngnhư quy mô của chương trình đối với các mục tiêu mà DN đề ra, công ty phải tính toánlàm sao với chi phí thấp nhất nhưng vẫn đạt được những mục tiêu mà HTTT quản lýcần hướng tới Các ngành khác nhau có mức ngân sách dành cho các hoạt động antoàn và bảo mật khác nhau
Trang 21Có bốn phương pháp xác định ngân sách dành cho hoạt động đảm bảo AT & BMHTTT QL mà các công ty thường áp dụng:
- Xác định theo tỷ lệ phần trăm trên doanh thu: Có nghĩa là ngân sách dành chohoạt động AT & BM HTTT QL sẽ phụ thuộc vào biến động của mức tiêu thụ hằngnăm của DN
- Cân bằng cạnh tranh: Tức là xác định ngân sách ngang bằng với mức chi củacác hãng cạnh tranh
- “Căn cứ vào mục tiêu và nhiệm vụ” phải hoàn thành: Đòi hỏi người quản trịHTTT phải xác định được những mục tiêu cụ thể của chiến dịch đảm bảo AT & BMHTTT QL rồi sau đó ước tính chi phí của các hoạt động cần thiết để đạt được nhữngmục tiêu đó
- Theo khả năng tài chính của DN: Có nghĩa là ngân sách dành cho chương trìnhđảm bảo AT & BM HTTT QL nhiều hay ít là tùy thuộc vào khả năng tài chính của
DN Phương pháp này bỏ qua sự ảnh hưởng của hoạt động đảm bảo AT & BM HTTT
QL đối với mức doanh thu mà DN có được, nó dẫn đến ngân sách dành cho AT & BMHTTT QL hằng năm không ổn định
2.1.3.6 Đánh giá hiệu quả chương trình AT & BM HTTT QL:
Sau khi thực hiện kế hoạch đảm bảo an toàn và bảo mật HTTT quản lý, người quảntrị hệ thống phải đo lường được tác động của nó đến tổng thể DN như thế nào Điềunày đòi hỏi người quản trị HTTT phải đánh giá tác động của các công cụ đảm bảo AT
& BM HTTT QL trước khi áp dụng và sau khi áp dụng đã mang lại những thuận lợihay những khó khăn gì, hoạt động của DN có bị sáo trộn hay không,…
Người quản trị cần thu thập thông tin về tác động của chương trình đảm bảo AT &
BM HTTT QL tới HTTT của DN và phản ứng của các cấp lãnh đạo, các nhân viêntrong DN,…để làm cơ sở đánh giá những tác động của chương trình Để có lượngthông tin đầy đủ người quản trị cần thu thập cả thông tin định lượng được như doanhthu, chi phí… và thông tin không định lượng được như mức độ hài lòng, thoái mái củanhân viên, mức độ thu thập, lưu trữ, phản hồi thông tin của HTTT để có được cái nhìntoàn diện về HTTT trước và sau khi áp dụng chương trình đảm bảo AT & BM HTTT
QL của DN
2.2 Thực trạng AT & BM HTTT QL của công ty cổ phần đầu tư phát triển phần mềm SDIC:
Trang 222.2.1 Tổng quan về Công ty CP đầu tư phát triển phần mềm SDIC:
2.2.1.1 Thông tin chung:
Tên công ty : CÔNG TY CỔ PHẦN ĐẦU TƯ PHÁT TRIỂN PHẦN
MỀM SDICTên giao dịch : SOFTWARE DEVELOPMENT INVESTMENT JOINT
STOCK COMPANYTên giao dịch viết tắt : SDIC - SOFT.,JSC
Trụ sở chính : P1301 Nhà B11B Khu Nam Trung Yên - Cầu Giấy - Hà Nội
Hiện nay, Công ty đã có trên 30 nhân viên với nhiều năm kinh nghiệm về gia côngphần mềm và cung cấp các dịch vụ tin học Công ty hiện đang trang bị cơ sở trangthiết bị công nghệ thông tin tiến tiến Với tiềm năng phát triển to lớn công ty đang cóchiến lược đến năm 2015 đầu tư mở rộng quy mô và xâm nhập vào các thị trườngtrong nước và ngoài nước có liên quan đến công nghệ thông tin và các thiết bị tin học
2.2.1.2 Công ty SDIC hiện đang hoạt động kinh doanh trên các lĩnh vực sau:
- Gia công các sản phẩm phần mềm tin học;
- Cho thuê, mua bán, xuất nhập khẩu các loại sản phẩm phần mềm tin học;
- Dịch vụ bảo dưỡng, bảo trì các loại sản phẩm phần mềm và hệ điều hành máytính;
- Thiết kế website (không bao gồm thiết kế công trình);
- Mua bán, xuất nhập khẩu các loại thiết bị điện tử, tin học;
- Dịch vụ thiết lập mạng máy tính (LAN, WAN);
- Dịch vụ bảo hành, bảo dưỡng, sửa chữa thiết bị tin học;
Trang 23- Đào tạo và cung ứng nguồn nhân lực CNTT (không bao gồm dịch vụ cung ứngnguồn nhân lực cho các doanh nghiệp xuất khẩu lao động);
- Thực hiện các dự án cung cấp phần mềm, thiết bị công nghệ thông tin theo yêucầu của khách hàng
- Cung cấp máy chủ, máy tính để bàn, máy tính xách tay và các thiết bị tin họcvăn phòng và linh kiện điện tử của các hãng IBM, HP, Dell, Toshiba, Acer, Sony tất cảđều có chứng nhận xuất xứ chính hãng, chứng nhận chất lượng và bảo hành chínhhãng, phần mềm bản quyền kèm theo
Với đội ngũ chuyên gia được đào tạo chính quy ở cả trong và ngoài nước, cộng với
sự tư vấn của các chuyên gia công tác lâu năm trong các lĩnh vực chuyên ngành, công
ty SDIC đã đem đến cho khách hàng trên phạm vị cả nước những sản phẩm có chấtlượng cao, bám sát nhu cầu người sử dụng
2.2.1.3 Thực trạng về điều kiện ứng dụng AT & BM HTTT QL tại Công ty SDIC:
a Thực trạng về cơ sở hạ tầng:
Là công ty kinh doanh trong lĩnh vực CNTT nên ngay khi thành lập Công ty CPđầu tư và phát triển phần mềm SDIC đã chú trọng đầu tư cho cơ sở hạ tầng đặc biệtcho hạ tầng CNTT Trong 3 năm gần đây công ty đã xây dựng được hạ tầng CNTT thểhiện ở hình 2.2
Hình 2.2: Hạ tầng công nghệ của Công ty SDIC giai đoạn 2009 – 2011
Nguồn: Phòng Kỹ thuật
Đến năm 2011, tỷ lệ máy tính cá nhân trên một nhân viên của công ty đạt tỷ lệ1:1.17, đây là con số mà không phải DN nào cũng có được, tất cả hệ thống máy tínhcủa công ty đều được kết nối internet tốc độ cao
b Thực trạng về nguồn nhân lực:
Trang 24Do hoạt động kinh doanh của công ty ngày càng được mở rộng vì vậy mà cơ cấunguồn nhân lực của công ty được bổ xung thường xuyên cả về số lượng và chất lượng.tính đến năm 2011, tổng số cán bộ của công ty là 30, trong đó có 2 cán bộ có trình độtrên đại học chiếm 6.7 %, nhân viên có trình độ đại học là 25 chiếm 83.3 % Đây làmột tỷ lệ phản ánh nguồn nhân lực của công ty rất mạnh về trình độ học vấn cũng nhưkhả năng cạnh tranh với các DN có cùng lĩnh vực hoạt động.
Cơ cấu nguồn nhân lực của công ty thể hiện ở bảng 3.1
c Chính sách và chi phí đảm bảo AT & BM HTTT QL tại công ty SDIC:
Dựa vào bảng phân tích kết quả hoạt động kinh doanh có thể thấy SDIC có sự pháttriển qua các năm, đồng thời cũng tăng ngân sách cho chương trình đảm bảo an toàn
và bảo mật HTTT quản lý
Đơn vị tính: Đồng
Doanh thu bán hàng và cung cấp
Chi phí thuế thu nhập DN 550.971.719 803.531.000 1.126.527.012
Chi phí cho hoạt động an toàn và
bảo mật HTTT quản lý
22.767.322 23.351.666 40.573.000
Lợi nhuận sau thuế thu nhập DN 3.856.802.035 5.624.717.002 7.885.689.081
Bảng 2.2: Một số chỉ tiêu chủ yếu công ty đã đạt được 3 năm 2009 – 2011
Nguồn: Phòng Kế toán.
Năm 2009, doanh thu của công ty là 8.162.543.988 VNĐ, đây là con số khá ấntượng vì Việt Nam đang trong thời kỳ bị ảnh hưởng của cuộc khủng hoảng kinh tế thế
Trang 25giới Nhưng đến năm 2010, mặc dù vẫn chịu ảnh hưởng của cuộc khủng hoảng tàichính nhưng doanh thu của công ty đã tăng lên đáng kể đạt 11.963.480.469 VNĐ tăng147% so với năm 2009 Đây là kết quả của sự nỗ lực, cố gắng giảm tối thiểu mức ảnhhưởng của cuộc khủng hoảng tới hoạt động kinh doanh của công ty.
Đến năm 2011, nền kinh tế thế giới đã có phần khởi sắc hơn những năm trước, điềunày cũng đã ảnh hưởng tích cực tới nền kinh tế trong nước nói chung và hoạt độngkinh doanh của công ty SDIC nói riêng Năm 2011, doanh thu công ty đạt16.414.764.842 VNĐ tăng 137% so với năm 2010 và tăng 201% so với năm 2009 Vớitiềm năng về kinh tế, chắc chắn trong những năm tiếp theo doanh thu của công ty sẽtiếp tục có những khởi sắc đáng lạc quan
2.2.1.4 Tổng hợp và đánh giá thực trạng về điều kiện ứng dụng AT & BM HTTT QL tại công ty SDIC:
SDIC là một công ty công nghệ thông tin trẻ hoạt động trong lĩnh vực gia côngphần mềm tin học và cung cấp các dịch vụ tin học văn phòng Websitewww.sdic.com.vn là nơi cung cấp các thông tin và các hoạt động chính của công ty.Với đặc thù về hoạt động kinh doanh nên công ty đã được trang bị khá đầy đủ vềCNTT đồng thời với đội ngũ nhân viên có trình độ học vấn cao và giàu kinh nghiệmtrong lĩnh vực CNTT điều này tạo điều kiện rất lớn để công ty dễ dàng triển khai cácchương trình an toàn và bảo mật HTTT quản lý
Hiệu quả của các công cụ đảm bảo AT & BM HTTT QL còn được thể hiện thôngqua việc tăng doanh thu của công ty qua các năm Ngân sách đầu tư cho chương trìnhđảm bảo AT & BM HTTT QL của công ty ngày càng tăng, chứng tỏ công ty ngàycàng quan tâm tới AT & BM HTTT QL của công ty
Với khả năng cạnh tranh cao và tạo được niềm tin với các khách hàng, công tySDIC đã ngày càng tạo được uy tín và vị thế trên thị trường gia công phần mềm vàcung cấp thiết bị tin học ở Việt Nam
Tuy nhiên ta thấy năm 2011 chi phí cho hoạt động đảm bảo AT & BM HTTT QLtăng nhiều so với năm trước (tăng 173.7 % so với năm 2010) nhưng lợi nhuận tăng íthơn so với năm 2010 (tăng 137 % so với năm 2010) Điều này đặt ra vấn đề cần phảilựa chọn một cách cẩn thận các công cụ đảm bảo AT & BM HTTT QL để phân bổngân sách phù hợp, tập trung vào những công cụ an ninh bảo mật HTTT hiệu quả đểmang lại kết quả tốt hơn
Trang 262.2.2 Ảnh hưởng của các nhân tố môi trường đến AT & BM HTTT QL của Công
ty CP đầu tư và phát triển phần mềm SDIC:
2.2.2.1 Ảnh hưởng của những nhân tố bên ngoài tới việc nâng cao hiệu quả AT & BM HTTT QL:
a Hạ tầng CNTT:
Chương trình đảm bảo AT & BM HTTT QL dựa trên nền tảng CNTT, đặc biệtphần cứng và phần mềm chuyên dụng, nên yếu tố về CNTT có ảnh hưởng rất lớn tớihiệu quả của chương trình đảm bảo an toàn và bảo mật HTTT quản lý
Cải tiến bằng CNTT thường bắt đầu với quá trình công nghệ sản xuất, loại cảitiến này yêu cầu thay đổi nhiều về các chức năng, nhiệm vụ và trách nhiệm các bộphận so với các loại cải tiến khác Nó làm thay đổi từ bên trong tổ chức và các côngviệc, nhiệm vụ của các nhân viên
b Chính sách, hệ thống pháp luật:
Để tiến hành các hoạt động đảm bảo AT & BM HTTT QL cần có khung pháp luật
và chính sách đầy đủ, cụ thể và chi tiết để các DN có thể thực hiện một cách dễ dàng
- Cơ hội:
Trang 27 Tạo hành lang pháp lý cho vấn đề an ninh mạng và HTTT của DN, là những chỉdẫn cụ thể cho việc nên kế hoạch và triển khai các chương trình đảm bảo AT & BMHTTT QL tại Công ty SDIC.
Nhà nước rất quan tâm đến vấn đề an ninh mạng và truyền thông và đã banhành ra các văn bản luật, các chính sách liên quan đến an toàn và bảo mật thông tin
- Thách thức:
Chưa có văn bản cụ thể về vấn đề đảm bảo AT & BM HTTT QL, chỉ mới cóquyết định số 63/QĐ - TTg ban hành ngày 13 tháng 1 năm 2010, Thủ tướng Chính phủ
đã ký: “Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020” Nghị định
số 97/2008 NĐ – CP ngày 28 tháng 8 năm 2008 về “Quản lý cung cấp, sử dụng dịch
vụ internet và thông tin điện tử trên internet”
Công ty cần phải quan tâm tới việc đạt mục tiêu của chươn trình đảm bảo AT &
BM HTTT QL đồng thời phải thực hiện đúng các quy định của pháp luật
c Yếu tố kinh tế:
Kinh tế là yếu tố phản ánh chân thực về thực trạng hoạt động của các DN, từ đóyêu tố kinh tế phản ánh gián tiếp các chương trình đảm bảo AT & BM HTTT QL màcác DN đang áp dụng
- Cơ hội: Công ty SDIC nhận được sự đầu tư của Tập đoàn bưu chính viễn thôngViệt Nam (VNPT Group), ngân hàng Việt Nam thịnh vượng (VB Bank) nên có thể nóihoạt động kinh doanh của công ty có rất nhiều thuận lợi
- Thách thức:
Trong hai năm 2009 và 2010 do bị ảnh hưởng của cuốc khủng hoảng kinh tế thếgiới đã có tác động không nhỏ tới nền kinh tế của nước ta, thu nhập của người dân vàcác DN cũng bị giảm sút và nguồn đầu tư cũng bị thu hẹp
Triển vọng kinh tế thế giới năm 2012 đang được giới phân tích quốc tế đánh giáxấu đi đáng kể do khủng hoảng nợ công ở Châu Âu lan rộng, xếp hạng tín nhiệm củaHoa Kỳ giảm sút và kinh tế Trung Quốc có dấu hiệu giảm tốc Tính bất định và khólường của kinh tế thế giới tiếp tục ở mức rất cao trong năm 2012, thậm chí một sốđánh giá cho rằng kinh tế thế giới có thể lại rơi vào một cuộc suy thoái nặng nề mới
Việc thắt chặt chính sách tài khóa của nhà nước trong năm 2012 sẽ gây khókhăn cho các DN trong quá trình tiếp cận vốn
d Yếu tố văn hóa – xã hội:
Trang 28Văn hóa – xã hội có ảnh hưởng sâu sắc đến hoạt động quản trị và kinh doanh củamột DN DN cần phải phân tích các yếu tố văn hóa, xã hội nhằm nhận biết các cơ hội
và nguy cơ có thể xảy ra
- Cơ hội: Do là một DN hoạt động trong lĩnh vực CNTT nên công ty SDIC đã cómột số hoạt động dần được tự động hóa Đây là vấn đề có ảnh hưởng tích cực tới việcxây dựng một nền văn hóa mới trong công ty SDIC
- Thách thức: Thay đổi môi trương văn hóa trong công ty SDIC để phù hợp vớichương trình đảm bảo AT & BM HTTT QL là một khó khăn và thường không có sựhưởng ứng của các nhân viên trong công ty SDIC
2.2.2.2 Ảnh hưởng của những nhân tố bên trong tới việc nâng cao hiệu quả AT & BM HTTT QL:
a Ngân sách dành cho chính sách AT & BM HTTT QL:
Ngân sách trung bình dành cho chương trình đảm bảo AT & BM HTTT QL củacông ty hằng năm hơn 30 triệu đồng nên việc lựa chọn các công cụ đảm bảo AT & BMHTTT QL là một việc quan trọng trong khi xác lấp các mục tiêu của công ty Mỗicông cụ đảm bảo AT & BM HTTT QL có các mức chi phí khác nhau nên công ty luônphải cân nhắc các mục tiêu cần đạt được và chi phí cho từng công cụ mà đảm bảo đạtđược các mục tiêu đề ra của chương trình đảm bảo AT & BM HTTT QL với mức chiphí thấp nhất
b Nguồn nhân lực danh cho AT & BM HTTT QL:
Các công việc đảm bảo AT & BM HTTT QL đòi hỏi kinh nghiệm và chuyên mônnhất định của nhân lực phụ trách công việc này như khả năng về nắm bắt các điểm yếucủa HTTT, khả năng khắc phục sự cố một cách nhanh chóng Một vấn đề mà công tyhay gặp phải là khả năng kết nối giữa các phòng ban để tạo nên một HTTT an toàn vfbảo mật trước các mối đe dọa từ bên ngoài cũng như từ bên trong HTTT đó
2.2.3 Kết quả xử lý dữ liệu sơ cấp thu thập từ phiếu điều tra và phỏng vấn:
2.2.3.1 Kết quả xử lý phiếu điều tra và tổng hợp phỏng vấn:
a Kết quả xử lý phiếu điều tra:
Mức độ quan trọng của các thành phần trong một HTTT quản lý:
Đánh giá mức độ quan trọng của các thành phần trong một HTTT quản lý thì theođánh giá của 10 anh/chị cho biết thành phần con người được đánh giá có vai trò quyếtđịnh trong HTTT quản lý (điểm quan trọng là 0.35), thành phần quan trọng thứ hai là
Trang 29cơ sở dữ liệu (điểm quan trọng là 0.25), tiếp đến là phần cứng (điểm quan trọng là0.2), phần mềm (điểm quan trọng là 0.2), thành phần mạng được đánh giá là có mức
độ quan trọng thấp nhất (điểm quan trọng là 0.1).Điều này được thể hiện ở hình 2.3dưới đây
Hình 2.3: Mức độ quan trọng của các thành phần trong một HTTT
Nguồn: Kết quả xử lý phiếu điều tra qua phần mềm SPSS
Các nhân tố bên ngoài ảnh hưởng tới hoạt động của HTTT quản lý:
Đánh giá các nhân tố bên ngoài ảnh hưởng tới hoạt động của HTTT quản lý thì50% số người được điều tra cho rằng đó là nhân tố chính sách – pháp luật, 70% sốngười cho rằng là nhân tố kinh tế và 90% cho rằng do nhân tố CNTT quyết định, cònnhân tố văn hóa – xã hội chỉ ảnh hưởng 30% Điều này được thể hiện ở hình 2.4 dướiđây
Hình 2.4: Các nhân tố bên ngoài ảnh hưởng tới hoạt động của HTTT quản lý
Nguồn: Kết quả xử lý phiếu điều tra qua phần mềm SPSS
Các nhân tố bên trong ảnh hưởng tới hoạt động của HTTT quản lý:
Trang 30Hình 2.5: Các nhân tố bên trong ảnh hưởng tới hoạt động của HTTT quản lý
Nguồn: Kết quả xử lý phiếu điều tra qua phần mềm SPSS
Đánh giá các nhân tố bên trong ảnh hưởng tới hoạt động của HTTT quản lý thì có60% số người được hỏi cho rằng nhân tố phối hợp giữa các phòng ban là ảnh hưởngtới hoạt động của HTTT quản lý, 50% cho rằng sau đó là nhân tố ngân sách dành choHTTT quản lý, 40% cho rằng đó là việc lập kế hoạch ứng dụng HTTT quản lý và 20%cho rằng là do người thực hiện kế hoạch HTTT quản lý
Hệ thống của công ty đã từng bị tấn công hay chưa? (từ năm 2009)
Phần lớn số người được hỏi vẫn mơ hồ khi được hỏi: “Hệ thống của công ty đãtừng bị tấn công hay chưa? (từ năm 2009)” Có tới 40% số người được hỏi trả lời làkhông biết hệ thống của công ty đã bị tấn công, chỉ có 1 người được hỏi khẳng định làHTTT của công ty có bị tấn công và được theo dõi đầy đủ Điều này thể hiện ở hình2.6 dưới đây:
Hình 2.6: Hệ thống của Công ty đã từng bị tấn công hay chưa? (từ năm 2009)
Nguồn: Kết quả xử lý phiếu điều tra qua phần mềm SPSS
Các hình thức tấn công mà tổ chức gặp phải là gì?
Trang 31Hình 2.7: Các hình thức tấn công mà tổ chức gặp phải là gì?
Nguồn: Kết quả xử lý phiếu điều tra qua phần mềm SPSS
(a): Không gặp phải tấn công nào
(b): Phá hoại dữ liệu hay HTTT (ví dụ: cố tình xóa dữ liệu quan trọng,…)
(c): Thay đổi diện mạo, nội dung website (trang chủ)
(d): Tấn công từ chối dịch vụ (DoS)
(e): Các kiểu tấn công làm suy giảm hiệu năng mạng (gây quá tải mạng)
(f): HTTT nhiễm phải virut hay worm (những mã độc hại, malware tự lây lan)(g): Xâm nhập HTTT bởi người trong HTTT
(h): Xâm nhập HTTT bởi người bên ngoài
Theo hình 2.7 ta thấy phần lớn số người biết HTTT bị tấn công cho rằng HTTT của
họ thường gặp kiểu tấn công làm suy giảm hiệu năng mạng (gây quá tải mạng) vàHTTT bị nhiễm phải virut hay worm (những mã độc hại, malware tự lây lan) Đâycũng là những kiểu tấn công điển hình vào các DN Việt Nam hiện nay
Mục tiêu HTTT quản lý trong thời gian tới:
Hình 2.8: Mục tiêu của HTTT quản lý trong thời gian tới
Nguồn: Kết quả xử lý phiếu điều tra qua phần mềm SPSS
(a): Cải thiện dịch vụ khách hàng
(b): Đạt được lợi thế cạnh tranh và tránh các bất lợi cạnh tranh
(c): Hỗ trợ cho các chức năng kinh doanh cốt lõi
Trang 32(d): Tác động đến DN thông qua sự đổi mới
(e): Cải thiện liên lạc nội bộ và bên ngoài
(f): Cải thiện quản lý thông tin
(g): Cải thiện chất lượng sản phẩm
(h): Nâng cao hiệu quả công việc cho nhân viên
Từ hình 2.8 ta thấy, mục tiêu chiến lược của HTTT quản lý mà công ty đang hướngtới trong thời gian tới là: Cải thiện liên lạc nội bộ và bên ngoài, nâng cao hiệu quảcông việc cho nhân viên
Mức độ an toàn, bảo mật thông tin trong công ty:
Hình 2.9: Mức độ an toàn, bảo mật thông tin trong công ty
Nguồn: Kết quả xử lý phiếu điều tra qua phần mềm SPSS
Từ hình 2.9 ta thấy, mức độ an toàn bảo mật thông tin trong doanh nghiệp chưacao: Có 4 người cho rằng mức độ bảo mật mới chỉ ở mức trung bình và 1 người chorằng mức độ đó ở mức yếu
b Kết quả phỏng vấn chuyên gia:
Theo anh Tạ Kim Ngọc – Trưởng phòng gia công phần mềm Công ty CP đầu tư vàphát triển phần mềm SDIC thì hiện tại công ty đang sử dụng một số công cụ đảm bảo
an toàn và bảo mật HTTT bằng tường lửa phần cứng và phần mềm, hiện tại công tyvẫn đang dùng máy trạm được cài đặt làm máy chủ và chưa có hệ điều hành trên máychủ đáp ứng được vấn đề đảm bảo an toàn và bảo mật cho toàn hệ thống của công ty.Anh Ngọc cho biết: Trong thời gian tới để hoạt động đảm bảo AT & BM HTTT
QL của công ty có kết quả tốt hơn thì mục tiêu dành cho HTTT là cải thiện liên lạc nội
bộ và bên ngoài đồng thời nâng cao hiệu quả làm việc cho các nhân viên
Để đạt được mục tiêu đề ra thì công ty chú trọng đến các hoạt động đảm bảo antoàn và bảo mật mạng nhiều hơn, sử dụng đồng bộ các công cụ đảm bảo AT & BMHTTT QL như phần cứng và phần mềm, sử dụng máy chủ có hệ điều hành chống xâmnhập mạng và các hình thức mã hóa dữ liệu trên máy chủ Bên cạnh đó công ty sẽ tăng