Một số giải pháp nâng cao tính an toàn bảo mật cho HTTT của công ty cổ phần công nghệ Tinh Vân

Tuy nhiên, công ty vẫn chưa có sự đầu tưđúng mức cho vấn đề an toàn bảo mật hệ thống thông tin ATBM HTTT của mình.Việc thu thập, xử lý và sử dụng thông tin của công ty vẫn còn rời rạc, t

LỜI CẢM ƠN

Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận được

sự hướng dẫn nhiệt tình của giáo viên hướng dẫn Th.S Nguyễn Thị Hội, cùng sự giúp

đỡ của ban giám đốc và toàn thể nhân viên công ty cổ phần công nghệ Tinh Vân

Trước hết, em xin gửi lời cảm ơn sâu sắc nhất tới cô Th.S Nguyễn Thị Hội –

Giáo viên hướng dẫn đã giúp đỡ em có những định hướng đúng đắn khi thực hiện khóaluận tốt nghiệp cũng như những kỹ năng nghiên cứu cần thiết khác

Em cũng xin được gửi lời cảm ơn chân thành tới ban giám đốc cũng như cácanh/chị làm việc tại công ty cổ phần công nghệ Tinh Vân vì sự quan tâm, ủng hộ và hỗtrợ cho em trong quá trình thực tập và thu thập tài liệu

Em xin được gửi lời cảm ơn tới các thầy cô giáo trong khoa Hệ Thống ThôngTin Kinh Tế về sự động viên khích lệ mà em đã nhận được trong suốt quá trình học tập

và hoàn thành khóa luận này

Đây là đề tài tuy không mới nhưng khá phức tạp và các nghiên cứu chuyên sâu

về vấn đề này còn nhiều giới hạn Mặt khác, thời gian nghiên cứu khóa luận khá hạnhẹp, trình độ và khả năng của bản thân em còn hạn chế Vì vậy, khóa luận chắc chắn sẽgặp phải nhiều sai sót Em kính mong cô giáo Nguyễn Thị Hội, các thầy cô giáo trongkhoa Hệ Thống Thông Tin Kinh Tế, các anh/chị nhân viên trong công ty cổ phần côngnghệ Tinh Vân góp ý, chỉ bảo để khóa luận có giá trị cả về lý luận và thực tiễn

Em xin chân thành cảm ơn!

MỤC LỤC

LỜI CẢM ƠN i

MỤC LỤC ii

DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ v

DANH MỤC TỪ VIẾT TẮT vi

CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU 1

1.1 Tầm quan trọng, ý nghĩa của đề tài 1

1.2 Tổng quan vấn đề nghiên cứu 2

1.3 Mục tiêu nghiên cứu của đề tài 3

1.4 Đối tượng và phạm vi nghiên cứu của đề tài 4

1.5 Phương pháp nghiên cứu của đề tài 4

1.5.1 Khái niệm phương pháp nghiên cứu 4

1.5.2 Các phương pháp được sử dụng trong đề tài khoá luận 5

1.5.2.1 Phương pháp thu thập dữ liệu 5

1.5.2.2 Phương pháp xử lý dữ liệu 6

1.6 Kết cấu khóa luận 6

CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG CỦA ATBM THÔNG TIN TRONG HTTT CỦA CÔNG TY CỔ PHẦN CÔNG NGHỆ TINH VÂN 7

2.1 Cơ sở lý luận ATBM thông tin trong HTTT 7

2.1.1 Một số khái niệm cơ bản 7

2.1.1.1 Khái niệm dữ liệu, thông tin, HTTT trong doanh nghiệp 7

2.1.1.2 Khái niệm về an toàn, bảo mật HTTT 7

2.1.1.3 Các nhân tố ảnh hưởng đến hiệu quả ATBM HTTT trong doanh nghiệp 8

2.1.1.4 Vai trò của an toàn bảo mật thông tin trong doanh nghiệp 10

2.1.2 Các nguy cơ và hình thức tấn công trong HTTT trong doanh nghiệp 10

2.1.2.1 Các nguy cơ mất ATTT trong HTTT 10

2.1.2.2 Hình thức tấn công HTTT 12

2.1.3 Phân định nội dung nghiên cứu 13

2.2 Phân tích đánh giá thực trạng ATBM thông tin trong HTTT của công ty cổ phần công nghệ Tinh Vân 14

2.2.1 Tổng quan về công ty cổ phần công nghệ Tinh Vân 14

2.2.1.1 Thông tin chung 14

2.2.1.2 Sơ đồ tổ chức 15

2.2.2 Vài nét về hoạt động sản xuất kinh doanh của công ty cổ phần Tinh Vân 16

2.2.2.1 Các lĩnh vực hoạt động kinh doanh chủ yếu của doanh nghiệp 16

2.2.2.2 Khái quát hoạt động sản xuất kinh doanh của Công ty Cổ phần Công nghệ Tinh Vân 17

2.2.3 Thực trạng của công tác ATBM HTTT trong công ty cổ phần công nghệ Tinh Vân 17

2.2.3.1 Trang thiết bị phần cứng 17

2.2.3.2 Về các phần mềm ứng dụng 18

2.2.3.3 Thực trạng sử dụng và quản lý website 19

2.2.3.4 Công nghệ sử dụng trong đảm bảo an toàn bảo mật HTTT 20

2.2.3.5 Tình hình tổ chức và quản lý con người 21

2.2.4 Kết quả xử lí phiếu điều tra và phân tích các dữ liệu thứ cấp 22

2.2.4.1 Kết quả xử lý phiếu điều tra 22

2.2.4.2 Đánh giá thực trạng công tác ATBM HTTT trong công ty cổ phần công nghệ Tinh Vân 25

CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN, ĐỀ XUẤT GIẢI PHÁP NÂNG CAO HIỆU QUẢ ATBM TRONG HTTT TẠI CÔNG TY CỔ PHẦN CÔNG NGHỆ TINH VÂN 27

3.1 Định hướng phát triển ATBM thông tin trong HTTT của công ty cổ phần Tinh Vân 27

3.2 Các giải pháp nhằm nâng cao hiệu qủa ATBM thông tin trong HTTT của công ty Cổ phần công nghệ Tinh Vân 28

3.2.1.Bảo mật bằng nâng cấp hệ thống máy chủ 28

3.2.2 Bảo mật bằng kỹ năng sử dụng các thiết bị công nghệ cho nhân viên 30

3.2.3 Bảo mật bằng phần mềm mới 39

3.2.4 Nâng cao hiệu quả quản lý cơ sở dữ liệu 48

3.3 Một số đề xuất, kiến nghị về ATBM HTTT đối với công ty cổ phần công nghệ Tinh Vân 50

3.3.1 Các kiến nghị với nhà nước 50

3.3.2 Kiến nghị với công ty cổ phần công nghệ Tinh Vân 52

KẾT LUẬN CỦA KHÓA LUẬN 54

DANH MỤC TÀI LIỆU THAM KHẢO vii

PHỤ LỤC 1 viii

PHỤ LỤC 2 x

DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ

Hình 2.1 Ba mục tiêu bảo mật thông tin

Hình 2.2 Các hình thức tấn công vào HTTT doanh nghiệp

Hình 2.3 Sơ đồ tổ chức của công ty cổ phần công nghệ Tinh Vân

Hình 2.4 Bảng kết quả hoạt động sản xuất kinh doanh của công ty trong ba năm

2010- 2012Hình 2.5 Thông số về phần cứng máy trạm tại công ty cổ phần công nghệ Tinh

VânHình 2.6 Cơ cấu nguồn nhân lực của công ty cổ phần Tinh Vân từ 2010 đến

2012Hình 2.7 Kết quả sử dụng SPSS đánh giá phiếu điều tra – 1

Hình 2.8 Kết quả sử dụng SPSS đánh giá phiếu điều tra – 2

Hình 2.9 Kết quả sử dụng SPSS đánh giá phiếu điều tra – 3

Hình 2.10 Kết quả sử dụng SPSS đánh giá phiếu điều tra - 4

Hình 2.11 Kết quả sử dụng SPSS đánh giá phiếu điều tra - 5

Hình 2.12 Kết quả sử dụng SPSS đánh giá phiếu điều tra - 6

Hình 2.13 Kết quả sử dụng SPSS đánh giá phiếu điều tra - 7

Hình 2.14 Bảng so sánh kỹ thuật giữa server cũ và server đề xuất

Hình 2.15 Các tùy chọn Netsh wlan

Hình 2.16 Một ví dụ export Netsh wlan

Hình 2.17 Bổ sung thêm một profile mới với Netsh wlan

Hình 2.18 Hiện các profile không dây với Netsh wlan

Hình 2.19 Các kết quả của việc kết nối với WLAN

Hình 2.20 Bảng thông số yêu cầu đối với máy trạm khi cài đặt Kaspersky® Small

Office SecurityHình 2.21 Bảng thông số yêu cầu đối với máy chủ khi cài đặt Kaspersky® Small

Office Security

DANH MỤC TỪ VIẾT TẮT

CSDL Cơ sở dữ liệu

CRM Customer Relationship Management Quản lý quan hệ khách hàng

HTTP HyperText Transport Protocol Giao thức truyền tải siêu văn bản

NAT Network Address Translation Chuyển đổi địa chỉ mạng

SSL Secure Sockets Layer Giao thức an ninh thông tin

mạngWEP Wireless Encryption Protocol Giao thức mã hoá mạng không

dây

CHƯƠNG 1: TỔNG QUAN VỀ ĐỀ TÀI NGHIÊN CỨU

1.1 Tầm quan trọng, ý nghĩa của đề tài

Thông tin và dữ liệu là tài sản vô cùng quý giá và cần thiết trong bất cứ lĩnh vựcnào, từ quân sự cho đến kinh tế, từ tổ chức cho đến cá nhân, việc nắm bắt được thôngtin, dữ liệu một cách nhanh chóng và kịp thời có thể giúp cá nhân và tổ chức đưa ranhưng cách giải quyết đúng đắn, giúp họ đứng vững và phát triển trước sự thay đổicủa xã hội

Ngày nay, với sự phát triển của công nghệ thông tin, Internet trở thành cầu nốichia sẻ kiến thức, thông tin giúp con người đến gần nhau hơn Ứng dụng tin học vàolĩnh vực kinh tế giúp ta nắm bắt thông tin một cách chính xác kịp thời, đầy đủ, gópphần nâng cao hiệu quả kinh doanh, thúc đẩy nền kinh tế mở rộng và phát triển Vìvậy, trong quá trình quản lý các cơ quan, doanh nghiệp phải thấy rõ được tầm quantrọng của hệ thống thông tin (HTTT) Nó không những giúp doanh nghiệp đáp ứngmọi nhu cầu của khách hàng hiện tại mà còn nâng cao được năng lực sản xuất, giúpcho các doanh nghiệp có đủ sức cạnh tranh với thị trường trong và ngoài nước

Có thể coi HTTT như là thành phần quan trọng của doanh nghiệp, nó quyết địnhmọi hoạt động hàng ngày của doanh nghiệp Nhưng cũng chính vì tầm quan trọng đó

mà khi HTTT bị mất an toàn có thể gây thiệt hại nặng nề cho doanh nghiệp Chính vìvậy, cần có những giải pháp để nâng cao an toàn bảo mật cho HTTT doanh nghiệp

Công ty cổ phần công nghệ Tinh Vân chuyên cung cấp các sản phẩm phầnmềm đóng gói và phần mềm giải pháp, sản phẩm trực tuyến và mobile cho nên cácthông tin và dữ liệu liên quan đến : Nhà cung cấp, đối tác nhập khẩu, khách hàng, bảnquyền phần mềm… là rất quan trọng Nó ảnh hưởng trực tiếp và gián tiếp đến hoạtđộng kinh doanh và sản xuất của công ty Tuy nhiên, công ty vẫn chưa có sự đầu tưđúng mức cho vấn đề an toàn bảo mật hệ thống thông tin (ATBM HTTT) của mình.Việc thu thập, xử lý và sử dụng thông tin của công ty vẫn còn rời rạc, tính nhất quánchưa cao

Do đó qua quá trình tìm hiểu và thực tập tại công ty cổ phần công nghệ Tinh

Vân em xin thực hiện đề tài khoá luận: “ Một số giải pháp nâng cao tính an toàn bảo

mật cho HTTT của công ty cổ phần công nghệ Tinh Vân”.

1.2 Tổng quan vấn đề nghiên cứu

An toàn bảo mật HTTT không phải là vấn đề mới, đã có nhiều công trình,nghiên cứu chuyên sâu về vấn đề này Tuy nhiên, mỗi công trình nghiên cứu về nhữngkhía cạnh riêng của hệ thống thông tin, thương mại điện tử, …

- Man Young Rhee (2003) Internet Security: Cryptographic principles,

algorithms and protocols John Wiley & Sons

Cuốn sách này viết để phản ánh vai trò trung tâm của các hoạt động, nguyêntắc , các thuật toán và giao thức bảo mật Internet Đưa ra các biện pháp khắc phục cácmối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tínhtoàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh Internet.Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai và sau đótruy cập vào mạng Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có thể bị thay đổibởi kẻ tấn công thông qua đường truyền Internet Các tài liệu trong cuốn sách này trìnhbày lý thuyết và thực hành về bảo mật Internet được thông qua một cách nghiêm ngặt,

kỹ lưỡng và chất lượng Kiến thức của cuốn sách được viết để phù hợp cho sinh viên

và sau đại học, các kỹ sư chuyên nghiệp và các nhà nghiên cứu về các nguyên tắc bảomật Internet

TMĐT, cũng như những nguy cơ mất mát dữ liệu, các hình thức tấn công trongTMĐT Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về antoàn dữ liệu trong hoạt động của mình Ngoài ra, trong giáo trình này cũng đề cập đếnmột số phương pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng như cácbiện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay, giúp các nhà kinh doanh

có thể vận dụng thuận lợi hơn trong những công việc hàng ngày của mình

- Phan Đình Diệu (2002), Giáo trình “ Lý thuyết mật mã và an toàn thông

tin”, Đại học Quốc gia Hà Nội.

Nội dung chính là khái quát chung về lý thuyết mật mã, các công cụ toán học cóliên quan đến việc đảm bảo an toàn thông tin Hệ mật khoá đối xứng, hệ mật khoácông khai; Chữ ký điện tử, ứng dụng và thực hành…

Thành công: Đã đưa ra những vấn đề cơ bản liên quan đến: Khái niệm , mục

tiêu, yêu cầu an toàn thông tin, cũng như các nguy cơ gây ra mất an toàn thông tin, cáchình thức tấn công Bên cạnh đó, các đề tài còn đề cập đến phương pháp phòng tránhcác tấn công gây mất an toàn thông tin cũng như biện pháp khắc phục hậu quả thôngdụng, phổ biến hiện nay

Tồn tại: Các đề tài chủ yếu đi sâu nghiên cứu về an toàn dữ liệu trong Thương

mại điện tử, hệ thống mạng hoặc website Vẫn chưa đi sâu nghiên cứu về nguy cơ mất

an toàn HTTT, liên quan đến con người ( nhà quản trị mạng, nhân viên công nghệthông tin )…

Như đã nêu ở phần 1.1 em lựa chọn đề tài: “ Một số giải pháp nâng cao an toàn

bảo mật cho HTTT của công ty cổ phần công nghệ Tinh Vân” sẽ kế thừa và phát triển,

phân tích rõ hơn các nguy cơ gây mất an toàn HTTT Để từ đó đưa ra các giải phápnhằm khắc phục, nâng cao an toàn và bảo mật HTTT trong công ty

1.3 Mục tiêu nghiên cứu của đề tài

Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một số lý thuyết cơbản về an toàn bảo mật HTTT, nghiên cứu bằng những phương pháp khác nhau nhưthu thập các cơ sở dữ liệu sơ cấp và thứ cấp Từ đó, xem xét đánh giá phân tích thựctrạng vấn đề an toàn bảo mật HTTT để đưa ra những ưu nhược điểm Từ những đánhgiá phân tích này, đưa ra một số kiến nghị đề xuất, một số giải pháp nhằm nâng caotính an toàn bảo mật HTTT Giúp cho công ty nhận diện những nguy cơ và thách thức

của vấn đề an toàn bảo mật HTTT Từ đó, có những giải pháp nâng cao tính an toànbảo mật, ngăn chặn các nguy cơ tấn công HTTT hiện tại và tương lai.

Các mục tiêu cụ thể cần giải quyết trong đề tài:

- Làm rõ cơ sở lý luận về an toàn bảo mật HTTT trong công ty cổ phần côngnghệ Tinh Vân

- Đánh giá thực trạng an toàn bảo mật HTTT trong công ty cổ phần công nghệTinh Vân dựa trên tài liệu thu thập được

- Trên cơ sở lý luận và thực trạng đề ra các giải pháp nâng cao an toàn bảomật HTTT trong công ty cổ phần công nghệ Tinh Vân

1.4 Đối tượng và phạm vi nghiên cứu của đề tài

- Đối tượng của đề tài là vấn đề an toàn bảo mật HTTT tại công ty cổ phầncông nghệ Tinh Vân

- Các giải pháp công nghệ và giải pháp con người để đảm bảo ATBM HTTTcủa doanh nghiệp

- HTTT của doanh nghiệp

- Các chính sách phát triển đảm bảo an toàn bảo mật (ATBM) thông tin trongcông ty

- Các giải pháp ATBM trên thế giới áp dụng được cho HTTT của doanh nghiệp

Là một đề tài nghiên cứu luận văn của sinh viên nên phạm vi nghiên cứu của đềtài chỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảngthời gian ngắn hạn Cụ thể:

- Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn bảo mật HTTTtại công ty cổ phần công nghệ Tinh Vân nhằm đưa ra một số giải pháp nâng cao antoàn bảo mật HTTT

- Về thời gian: Các hoạt động ATBM HTTT của công ty thông qua các báocáo kinh doanh, số liệu được khảo sát từ năm 2010 giữa năm 2013, đồng thời trình bàycác nhóm giải pháp, định hướng phát triển trong tương lai của công ty

1.5 Phương pháp nghiên cứu của đề tài

1.5.1 Khái niệm phương pháp nghiên cứu

Phương pháp là phạm trù trung tâm của phương pháp luận nghiên cứu khoa học,phương pháp không chỉ là vấn đề lý luận mà còn vấn đề có ý nghĩa thực tiễn to lớn,bởi vì chính phương pháp quyết định thành công của mọi nghiên cứu khoa học

Bản chất của phương pháp nghiên cứu khoa học chính là việc con người sửdụng một cách có ý thức các quy luật vận động như một phương tiện để khám phá

chính đối tượng đó ( Dương Thiệu Thống, Phương pháp nghiên cứu khoa học giáo dục và tâm lý, NXB Thống Kê, 2007).

1.5.2 Các phương pháp được sử dụng trong đề tài khoá luận

1.5.2.1 Phương pháp thu thập dữ liệu

Việc thu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu Phươngpháp thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệu chứađựng các thông tin liên quan tới đối tượng nghiên cứu của đề tài mình thực hiện

Phương pháp sử dụng phiếu điều tra:

- Nội dung: Bảng câu hỏi gồm 7 câu hỏi, các câu hỏi đều xoay quanh các hoạtđộng đảm bảo ATBM HTTT được triển khai và hiệu quả của các hoạt động này đốivới công ty cổ phần công nghệ Tinh Vân

- Cách thức tiến hành: Bảng câu hỏi sẽ được phát cho 10 nhân viên trong công

ty để thu thập ý kiến

- Mục đích: Nhằm thu thập những thông tin về hoạt động ATBM HTTT củacông ty để từ đó đánh giá thực trạng triển khai và đưa ra những giải pháp đúng đắn đểnâng cao hiệu quả của các hoạt động đảm bảo ATBM HTTT trong công ty cổ phầncông nghệ Tinh Vân

Phương pháp thu thập dữ liệu thứ cấp:

Dữ liệu thứ cấp là những thông tin đã được thu thập và xử lý trước đây vì cácmục tiêu khác nhau của công ty

- Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanhcủa công ty trong vòng 3 năm: 2010, 2011, 2012 được thu thập từ phòng hành chính,phòng kế toán, phòng nhân sự của công ty, từ phiếu điều tra phỏng vấn và các tài liệuthống kê khác

- Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí,sách báo của các năm trước có liên quan tới đề tài nghiên cứu và từ Internet

Sau khi đã thu thập đầy đủ các thông tin cần thiết thì ta tiến hành phân loại sơ

bộ các tài liệu đó Từ đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ sungvào, nếu đủ rồi thì tiến hành bước tiếp theo là xử lý dữ liệu

Phương pháp này được sử dụng cho chương 2 của khoá luận để thu thập dữ liệuliên quan đến vấn đề an toàn bảo mật tại công ty cổ phần công nghệ Tinh Vân

1.5.2.2 Phương pháp xử lý dữ liệu

Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cậpnhật, ta tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tìnhhình nghiên cứu có liên quan đến trong đề tài Trong quá trình xử lý thông tin, ta cầnchia thông tin ra làm hai phương pháp chính:

- Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package forSocial Sciences)

SPSS là một phần mềm cung cấp hệ thống quản lý dữ liệu và phân tích thống kêtrong một môi trường đồ họa, sử dụng các trình đơn mô tả và các hộp thoại đơn giản

để thực hiện hầu hết các công việc thống kê phân tích số liệu Người dùng có thể dễdàng sử dụng SPSS để phân tích hồi quy, thống kê tần suất, xây dựng đồ thị…

- Phương pháp định tính: Phân tích, tổng hợp thông tin thông qua câu hỏiphỏng vấn, phiếu điều tra và các tài liệu thu thập được

Phương pháp này được sử dụng cho cuối chương 2 và chương 3 của khoá luậnnhằm tìm ra nguyên nhân, thực trạng của vấn đề an toàn bảo mật HTTT tại công ty cổphần công nghệ Tinh Vân, để từ đó đưa ra các giải pháp phù hợp

1.6 Kết cấu khóa luận

Khóa luận bao gồm ba phần:

Phần 1: Tổng quan về đề tài nghiên cứu

Phần 2: Cơ sở lý luận và thực trạng của ATBM thông tin trong HTTT của công

ty cổ phần công nghệ Tinh Vân

Phần 3: Định hướng phát triển, đề xuất giải pháp nâng cao hiệu quả ATBMthông tin trong HTTT tại công ty cổ phần công nghệ Tinh Vân

CHƯƠNG 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG CỦA ATBM THÔNG TIN TRONG HTTT CỦA CÔNG TY CỔ PHẦN CÔNG

NGHỆ TINH VÂN

2.1 Cơ sở lý luận ATBM thông tin trong HTTT

2.1.1 Một số khái niệm cơ bản

2.1.1.1 Khái niệm dữ liệu, thông tin, HTTT trong doanh nghiệp

Theo [1] thì khái niệm dữ liệu là: những ký tự, số liệu, các tập tin rời rạc hoặccác dữ liệu chung chung…dữ liệu chưa mang cho con người sự hiểu biết mà phảithông qua quá trình xử lý dữ liệu thành thông tin thì con người mới có thể hiểu được

về đối tượng mà dữ liệu đang biểu hiện

Theo [1] thì khái niệm thông tin là: điều hiểu biết về một sự kiện, một hiệntượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu…

Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối vớingười sử dụng Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau quátrình xử lý dữ liệu

Theo [1] thì khái niệm hệ thống thông tin là: một tập hợp và kết hợp của cácphần cứng, phần mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thuthập, tạo, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụcác mục tiêu của tổ chức

Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khácnhau Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội

bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnhtranh.Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về kháchhàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển

2.1.1.2 Khái niệm về an toàn, bảo mật HTTT

Theo [2] thì khái niệm an toàn thông tin: Thông tin được coi là an toàn khithông tin đó không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏbởi người không được phép

Bảo mật thông tin: Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng củathông tin

Hình 2.1: Ba mục tiêu bảo mật thông tin

(Nguồn:[ 2])

- Tính bảo mật (Confidentially): Đảm bảo chỉ có những cá nhân được cấpquyền mới được phép truy cập vào hệ thống Đây là yêu cầu quan trọng của bảo mậtthông tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàngđầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ làmcho thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thểdẫn đến phá sản

- Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng,chính xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực Chỉcác cá nhân được cấp quyền mới được phép chỉnh sửa thông tin Kẻ tấn công khôngchỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất giá trị

sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty

- Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵnsàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhậpđược vào hệ thống Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ hữuích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm bảonhưng yêu cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất giá trị

Từ các phân tích trên ta có thể nhận định: Một HTTT được coi là an toàn và bảomật khi tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chí trongmột thời gian xác định

2.1.1.3 Các nhân tố ảnh hưởng đến hiệu quả ATBM HTTT trong doanh nghiệp

Một HTTT hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cả môitrường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi trường vi mô.Nhưng có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm bảo ATBMHTTT trong doanh nghiệp là: Yếu tố con người và yếu tố công nghệ

Tính sẵn sàng

Con người: Là yếu tố quyết định sự thành công trong tiến trình kiến tạo hệ

thống và tính hữu hiệu của hệ thống trong tiến trình khai thác vận hành

Con người là chủ thể trong việc thực hiện các quá trình của hệ thống thông tin.Mỗi người có vị trí nhất định trong hệ thống tuỳ thuộc chuyên môn, nghề nghiệp, nănglực sở trường và yêu cầu công việc của hệ thống Con người có thể hoạt động độc lậphoặc trong một nhóm, thực hiện những chức năng, nhiệm vụ, mục tiêu nhất định của

hệ thống

Người quản lý HTTT đóng một vai trò quan trọng về phương diện công nghệtrong các tổ chức Người quản lý HTTT đảm nhiệm hầu hết mọi công việc từ việc lậpnên những kế hoạch cho đến việc giám sát an ninh của hệ thống và điều khiển sự vậnhành của mạng lưới thông tin quản lý

Những người quản lý HTTT máy tính lên kế hoạch, phối hợp, chỉ đạo việcnghiên cứu và thiết kế các chương trình cần đến máy vi tính của các công ty Họ giúpxác định được cả mục tiêu kinh doanh và kỹ thuật bằng sự quản lý hàng đầu đồng thờivạch ra những kế hoạch chi tiết cụ thể để đạt được những mục tiêu đó Ví dụ khi làmviệc với đội ngũ nhân viên của mình, máy tính và các nhà quản lý HTTT có thể pháttriển những ý tưởng của các sản phẩm và dịch vụ mới hoặc có thể xác định được khảnăng tin học của tổ chức đó có thể hổ trợ cho việc quản lý dự án một cách hiệu quảnhư thế nào

Những người quản lý HTTT máy tính phân công công việc cho những ngườiphân tích hệ thống, các lập trình viên, các chuyên gia hỗ trợ và những nhân viên khác

có liên quan Nhà quản lý vạch ra kế hoạch và sắp xếp các hoạt động như cài đặt vànâng cấp phần mềm, phần cứng, các thiết kế hệ thống và chương trình, sự phát triểnmạng máy tính, sự thực thi của các địa chỉ mạng liên thông và mạng nội bộ Họ đặcbiệt ngày càng quan tâm đến sự bảo quản, bảo dưỡng, duy trì và an ninh của HTTT

Việc đảm bảo khả năng hữu dụng, tính liên tục, tính an ninh của dịch vụ côngnghệ thông tin và hệ thống dữ liệu là nhiệm vụ quan trọng của các nhà quản trị

Công nghệ thông tin (CNTT): Là yếu tố tạo nên nền móng cho các hoạt động

sản xuất kinh doanh cũng như các hoạt động hỗ trợ kinh doanh của doanh nghiệp.CNTT là yếu tố quyết định đến việc lựa chọn và kết hợp các sản phẩm CNTT để đảmbảo an toàn và bảo mật HTTT

CNTT đang có khuynh hướng mở rộng không gian cho hoạt động sản xuất kinhdoanh của các doanh nghiệp, vì thế ứng dụng CNTT đang tạo ra những cơ hội mới vàcác thách thức mới cho doanh nghiệp CNTT cũng là nhân tố quan trọng phổ biếnnhất, có sức lan tỏa mạnh nhất giúp các doanh nghiệp Việt Nam nhanh chóng hòa nhậpvào nền kinh tế toàn cầu.

Công nghệ được chia làm hai loại: Phần cứng và phần mềm

 Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bịthu thập, xử lý và lưu trữ thông tin…

 Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòngchống virus, những ứng dụng, hệ điều hành, giải pháp mã hóa…

2.1.1.4 Vai trò của an toàn bảo mật thông tin trong doanh nghiệp

An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vữngcủa các doanh nghiệp Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vô giá

Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng,minh bạch hơn Một môi trường thông tin an toàn, trong sạch sẽ có tác động khôngnhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uytín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tinlành mạnh Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức

Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệthại đến hoạt động kinh doanh sản xuất của doanh nghiệp

Do vậy, đảm bảo an toàn thông tin (ATTT) doanh nghiệp cũng có thể coi là mộthoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp

2.1.2 Các nguy cơ và hình thức tấn công trong HTTT trong doanh nghiệp

2.1.2.1 Các nguy cơ mất ATTT trong HTTT

Xét theo nguyên nhân, có thể chia nguy cơ mất ATTT thành 2 loại:

- Nguy cơ ngẫu nhiên

Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quannhư thiên tai(lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là nhữngnguyên khách quan, khó dự đoán trước, khó tránh được nhưng đó lại không phải lànguy cơ chính của việc mất ATTT

- Nguy cơ có chủ định

Hình 2.2 Các hình thức tấn công vào HTTT doanh nghiệp.

(Nguồn: Bộ thông tin và truyền thông-VNCERT năm 2010)

Cùng với sự phát triển của xã hội, sự bùng nổ CNTT, thì nguy cơ mất ATTTcũng ngày càng gia tăng Nguy cơ mất ATTT ở Việt Nam đang tăng lên khi chúng tađang đứng thứ 5 trong tổng số 10 nước có nguy cơ mất ATTT cao nhất trong năm

2010 dựa trên các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mậtnước ngoài như McAfee, Kaspersky hay CheckPoint…Theo đánh giá của các chuyêngia, tội phạm công nghệ cao đang gia tăng với xu hướng có tính quốc tế rõ rệt, việc tấncông cơ sở dữ liệu của các cơ quan nhà nước, e-banking, các công ty thương mại điện

tử liên tục xảy ra Ngoài ra, số lượng lớn các vụ tấn công gây thiệt hại về kinh tếnhưng rất khó ước tính cũng trở thành mối đe doạ cho sự cạnh tranh, phát triển của nềnkinh tế

Vnisa phía Nam đã thực hiện một cuộc khảo sát đối với 300 doanh nghiệp vềATTT tính từ tháng 1-2010 đến tháng 6-2012 cho thấy có 33% doanh nghiệp cho hay

họ đã phát hiện sự cố tấn công an ninh mạng, giảm 1% so với năm 2009 Tuy nhiên,

có 29% doanh nghiệp không thể biết được hệ thống mạng của mình có bị tấn công haykhông Trong số cuộc tấn công an ninh mạng được phát hiện, có 27,5% do Trojan hayRootkit, 42% là do virus hay worm Hầu hết các doanh nghiệp nhận định rằng, động

cơ tấn công để thu lợi bất chính tăng lên gấp 3 lần so với năm trước 40% doanhnghiệp ước tính mức độ thiệt hại lớn nhất do các sự cố gây ra là từ virus

Trên đây là các nguy cơ đến từ môi trường bên ngoài doanh nghiệp Trên thực

tế, vấn đề ATTT của doanh nghiệp còn luôn phải đối mặt với các nguy cơ xuất phát từchính nội tại doanh nghiệp như: nguy cơ do yếu tố kĩ thuật(thiết bị mạng, máy chủ,HTTT, ); nguy cơ do lập kế hoạch, triển khai, thực thi, vận hành; nguy cơ trong quytrình, chính sách an ninh bảo mật,…; nguy cơ do yếu tố con người (vận hành, đạo đứcnghề nghiệp)

Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưulại để sử dụng sau Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)

và tấn công ngoại tuyến (offline) Tấn công offline có mục tiêu cụ thể, thực hiện bởithủ phạm truy cập trực tiếp đến tài sản nạn nhân Ví dụ, thủ phạm có quyền truy cậpmáy tính của người dùng dễ dàng cài đặt trình “key logger” hay trình gián điệp để thuthập dữ liệu của người dùng

Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửađổi, thay thế làm lệch đường đi của dữ liệu Đặc điểm của nó là có khả năng chặn cácgói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi Tấn công chủ độngtuy nguy hiểm nhưng lại dễ phát hiện được

Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trongthời gian thực Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao

Ngoài ra, còn một số hình thức tấn công như tấn công lặp lại là việc bắt thôngđiệp, chờ thời gian và gửi tiếp Hay tấn công từ chối dịch vụ (DoS - Denial of Service)

là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tớikhông thể cung cấp dịch vụ hoặc phải ngưng hoạt động DoS lợi dụng sự yếu kémtrong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đếnserver, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác

Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thông tin, lợidụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật Với mục đíchnhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương trình ứng dụng.

2.1.3 Phân định nội dung nghiên cứu

Thông tin doanh nghiệp: Là những thông tin của doanh nghiệp về nhân sự, cơ cấu

tổ chức, các văn bản, chính sách, mục tiêu sản xuất kinh doanh của doanh nghiệp Nhữngthông tin quan trọng như: Báo cáo tài chính, báo cáo kết quả hoạt động kinh doanh, thôngtin khách hàng,… Vì vậy, công ty cần phải chú tâm đến vấn đề ATBM HTTT

Để đảm bảo một HTTT được an toàn bảo mật tức là phải đảm bảo thông tin đầuvào và đầu ra của HTTT đó được đảm bảo an toàn bảo mật Do đó đối tượng chính củaHTTT cần đảm bảo đó là thông tin của hệ thống đó

Thông tin trong doanh nghiệp có ở nhiều mức độ và mỗi mức độ cần có nhữngchính sách về an toàn bảo mật khác nhau Có những thông tin được đưa vào diện bảomật ở mức rất cao và rất ít người được biết đến những thông tin này, có những thôngtin lại ở những mức độ cần an toàn, bảo mật ở mức thấp hơn Doanh nghiệp cần xácđịnh đúng đắn các thông tin cần đảm bảo an toàn, bảo mật để từ đó có các chính sách,công cụ hợp lý để hỗ trợ, kiểm soát các thông tin này

Cần xác định rõ các loại tấn công vào HTTT của công ty để từ đó lựa chọn cáccông cụ thích hợp để đảm bảo an toàn, bảo mật HTTT

- Các công cụ kỹ thuật được sử dụng trong đề tài:

 Sử dụng phần mềm diệt virus

Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận biếtnhiều loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó luôn nhận biếtđược các virus mới

 Firewall

Firewall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truycập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhậpvào hệ thống của một số thông tin khác không mong muốn

 Bảo vệ dữ liệu máy tính

Để bảo vệ sự toàn vẹn dữ liệu, hay các thông tin quan trọng thì chúng ta nên cónhững biện pháp để lấy lại thông tin khi bị tin tặc tấn công phá hoại, hay thay đổi thông tin.Sau đây có một số cách để bảo vệ dữ liệu:

Sao lưu dữ liệu theo chu kỳ là biện pháp đúng đắn nhất hiện nay để bảo vệ dữ liệu Tạo các dữ liệu phục hồi cho toàn hệ thống không dừng lại các tiện ích sẵn cócủa hệ điều hành (ví dụ System Restore của Windows Me, XP ) mà có thể cần đến

các phần mềm của hãng thứ ba.

Thường xuyên sao lưu dữ liệu theo chu kỳ đến một nơi an toàn như các thiết bị nhớ

mở rộng (ổ USB, ổ cứng di động, ghi ra đĩa quang ), hình thức này có thể thực hiện theo chu

kỳ hàng tuần hoặc khác hơn tuỳ theo mức độ cập nhật, thay đổi của dữ liệu của bạn

Đứng trước những thách thức và nguy cơ mất an toàn thông tin đang ngày cànggia tăng và phức tạp hơn, doanh nghiệp phải có những biện pháp để tự bảo vệ mình.Bên cạnh các công cụ kỹ thuật mà doanh nghiệp đã sử dụng thì công ty cũng cần chútrọng đến các giải pháp nâng cao ATBM HTTT trong công ty

- Dưới đây là các giải pháp nâng cao ATBM HTTT của công ty cổ phần côngnghệ Tinh Vân đưa ra trong đề tài:

 Giải pháp phần cứng: Nâng cấp máy chủ

 Giải pháp phần mềm: Ứng dụng các phần mềm bảo mật, phần mềm mã hóa mới

 Nâng cao hiệu quả quản lý cơ sở dữ liệu

 Đào tạo nguồn nhân lực và nâng cao kỹ năng sử dụng các thiết bị cho nhânviên

2.2 Phân tích đánh giá thực trạng ATBM thông tin trong HTTT của công ty cổ phần công nghệ Tinh Vân.

2.2.1 Tổng quan về công ty cổ phần công nghệ Tinh Vân.

2.2.1.1 Thông tin chung

Công ty cổ phần công nghệ Tinh Vân

Địa chỉ: Tầng 3, Khách sạn Thể Thao, Làng Sinh viên Hacinco, Quận Thanh

đã luôn khẳng định mình là một trong những đơn vị đi đầu trong lĩnh vực công nghệthông tin, đặc biệt là phần mềm và nội dung số tại Việt Nam

Tầm nhìn

Tinh Vân định hướng thành một tập đoàn công nghệ hàng đầu, phát triển bềnvững trên nền tảng của sức mạnh tri thức và tính nhân bản, vươn ra thị trường toàn

cầu, nỗ lực đóng góp cộng đồng và phát huy tối đa tài năng, sức sáng tạo cho mỗithành viên.

Chiến lược

Trong chặng đường phát triển 2010-2015, tất cả các đơn vị thành viên của TinhVân đang được định hướng phát triển với chiến lược “mass hóa” Phục vụ cho hàngngàn tổ chức, cho hàng triệu người Việt Nam và vươn tới thị trường toàn cầu là mụctiêu và niềm cảm hứng của chúng tôi Để phục vụ cho chiến lược này, hiện tại TinhVân đang chú trọng đầu tư cho những công nghệ nền tảng như Cloud, chuyển hướngphát triển sản phẩm sang SaaS, cũng như tập trung mạnh hơn vào thị trường internet

và công nghệ mobile

2.2.1.2 Sơ đồ tổ chức

Hình 2.3: Sơ đồ tổ chức của công ty cổ phần công nghệ Tinh Vân

(Nguồn: Phòng Hành chính – Nhân sự)

Ban Công đoàn: Thực hiện chức năng đại diện, bảo vệ quyền lợi, lợi ích hợp

pháp, chính đáng của các thành viên trong tổ chức Chăm lo đời sống vật chất, vănhóa, tinh thần cho anh em Tuyên truyền các quy định, chính sách của ban giám đốctới anh chị em trong tổ chức

Phòng Kinh doanh – Thị trường, Hỗ trợ khách hàng: Thực hiện chức năng là

cầu nối giữa công ty và khách hàng, thực hiện nhiệm vụ sau bán hàng của công ty – hỗtrợ khách hàng

Phòng Công nghệ - Giái pháp, Quản lý chất lượng: Thực hiện việc xây dựng và

phát triển các giải pháp phần mềm, các giải pháp tích hợp Đây là bộ phận quan trọngtrong việc tạo ra và triển khai các sản phẩm, giải pháp, dịch vụ chất lượng, hữu ích gópphần nâng cao uy tín của công ty với các khách hàng và xã hội

Phòng Tài chính – Kế toán, Hành chính – Nhân sự, IT: Thực hiện chức năng

quản trị văn phòng, các thủ tục hành chính và kế toán của công ty, phụ trách việc tuyểndụng, quản lý, đào tạo nhân sự Hỗ trợ và triển khai các vấn đề về IT

2.2.2 Vài nét về hoạt động sản xuất kinh doanh của công ty cổ phần Tinh Vân

2.2.2.1 Các lĩnh vực hoạt động kinh doanh chủ yếu của doanh nghiệp

- Phát triển các sản phẩm phần mềm, xây dựng các giải pháp CNTT chuyênnghiệp cho khách hàng thuộc khối Chính phủ và Giáo dục

- Tư vấn, triển khai ERP, HRM và các giải pháp CNTT khác cho doanh nghiệp

- Gia công và xuất khẩu phần mềm

- Phát triển các dịch vụ trực tuyến, ứng dụng trên mobile và nội dung số

- Kinh doanh và phát triển game cho mobile

Tinh Vân nhận được những giải thưởng uy tín trong lĩnh vực CNTT tại ViệtNam trong nhiều năm liên tục từ 2002 đến 2011 như: Sao Khuê, Cúp vàng CNTT,TOP5 ICT, Giải thưởng CNTT-TT Thành phố Hồ Chí Minh, Bằng khen của Bộtrưởng Bộ Thông tin và Truyền thông… Sản phẩm và dịch vụ của Tinh Vân luôngiành được những giải thưởng cao nhất của Hội Tin học Việt Nam, Hội Tin học Thànhphố Hồ Chí Minh và Hiệp hội doanh nghiệp Phần mềm Việt Nam

Toàn bộ lãnh đạo và nhân viên Tinh Vân cam kết không ngừng phấn đấu, phát huytrí tuệ và sức sáng tạo, tập trung tối đa sức mạnh đoàn kết tập thể, mang lại cho khách hàng

sự hài lòng và những giá trị nổi trội thông qua các sản phẩm và dịch vụ hoàn hảo, trở thànhmột trong những doanh nghiệp hàng đầu trong thời đại hội nhập ngày nay

2.2.2.2 Khái quát hoạt động sản xuất kinh doanh của Công ty Cổ phần Công nghệ Tinh Vân.

Kết quả hoạt động kinh doanh của công ty trong 3 năm từ 2010-2012

6 Lợi nhuận trước thuế 465.954.688 670.167.212 999.977.456

7 Lợi nhuận sau thuế 264.879.456 545.976.232 860.452.454

Hình 2.4 Bảng kết quả hoạt động sản xuất kinh doanh của công ty ba năm 2010- 2012

( Thông tin nội bộ do công ty cung cấp)

Qua bảng kết quả hoạt động sản xuất kinh doanh của công ty trong ba năm chochúng ta thấy:

Về doanh thu: Năm 2010 tổng doanh thu đạt 87.545.196.231 Năm 2011 và

2012 doanh thu liên tục tăng và đạt mức lần lượt là 127.240.678.437 và199.288.297.614 Chứng tỏ hoạt động kinh doanh của công ty ngày càng hiệu quả

Về lợi nhuận sau thuế: Công ty có dấu hiệu của sự tăng trưởng nhưng mức tăng

trưởng không đồng đều qua các năm Năm 2012 do ảnh hưởng của lạm phát nên mứctăng trưởng lợi nhuận sau thuế của công ty giảm hơn so vơi mức tăng năm 2011

2.2.3 Thực trạng của công tác ATBM HTTT trong công ty cổ phần công nghệ Tinh Vân.

2.2.3.1 Trang thiết bị phần cứng

Công ty có 2 máy chủ được đặt tại phòng quản trị mạng Mỗi phòng ban đượctrang bị từ 7 – 8 máy tính bàn cho nhân viên ngoài ra có 2 – 4 máy tính cá nhân Tất cảđều được kết nối trực tiếp vào mạng internet thông qua các cổng mạng đã lắp đặt sẵn

- Hệ thống máy chủ

 Máy chủ chỉ dùng các phần mềm bình thường, chạy Windows server 2003các ứng dụng chia sẻ tài nguyên

 Máy chủ HP Proliant ML115 T01 (457772-371) AMD Opteron 4450B Dual Core

 Processor: 2.30 Ghz / 4(2-32bit/33MHz 2-PCIE)/ 1024 MB PC2-6400 ECC(DDR2-800Mhz)/ 160GB Non-Hot Plug SATA/ 48x IDE/ nVidia MCP55S Pro/

Network Controller: Embedded NC320i PCIe Gigabit Server Adapter.

Ổ cứng (HDD) 160Gb / 4MB cache/SATA

Bàn phím + Chuột Multimedia

Hình 2.5: Thông số về phần cứng máy trạm tại công ty cổ phần công nghệ Tinh Vân

Các máy trạm được lắp đặt trong từng phòng ban, được cài đặt các phần mềmchuyên dụng để đáp ứng, phục vụ cho hệ thống thông tin của công ty

Phần mềm ứng dụng chuyên biệt: phần mềm Kế toán Misa, phần mềm quản lýnhân sự, Phần mềm kế toán hỗ trợ đắc lực trong nghiệp vụ kế toán cũng như quản lýdoanh nghiệp, sở dĩ phần mềm tuân thủ theo đúng chế độ kế toán, tự động hóa toàn bộcác khâu kế toán từ khâu lập chứng từ, hạch toán, báo cáo Ngoài ra, phần mềm có tính

an toàn và bảo mật tốt, đơn giản, dễ sử dụng

 Phần mềm kế toán – tài chính là phần mềm kế toán phản ánh hiện trạng và sựbiến động về vốn, tài sản của doanh nghiệp dưới dạng tổng quát hay nói cách khác làphản ánh các dòng vật chất và dòng tiền tệ trong mối quan hệ giữa doanh nghiệp với môitrường kinh tế bên ngoài Sản phẩm của kế toán tài chính là các báo cáo tài chính Ngoàiviệc sử dụng cho ban lãnh đạo doanh nghiệp còn để cung cấp cho các đối tượng khác như:nhà đầu tư, cơ quan thuế, cơ quan tài chính, lương nhân viên…

 Việc ứng dụng công nghệ thông tin đã mang lại bước đột phá mới cho côngtác quản lý tài chính - kế toán, giúp doanh nghiệp nắm bắt thông tin về tài chính, ngânsách, quỹ tổ chức… một cách chính xác và kịp thời Từ đó bộ phận kế toán có thể đưa

ra các kế hoạch và quyết định đúng đắn, giảm chi phí và tăng khả năng cạnh tranh,nâng cao kết quả hoạt động nhờ dự đoán được hướng sản xuất kinh doanh.

Công ty sử dụng phần mềm quản trị cơ sở dữ liệu SQL 2008 Mỗi phòng ban sửdụng những phần mềm khác nhau tùy từng nghiệp vụ của phòng ban đó

2.2.3.3 Thực trạng sử dụng và quản lý website

- Tên Website: tinhvan.com

- Website này cung cấp chủ yếu các thông tin về:

+ Giới thiệu về công ty

+ Giới thiệu các sản phẩm, dịch vụ của công ty

+ Các tin tức được đăng tải về công ty

+ Báo giá giao dịch

+ Tư vấn khách hàng

+ Thông tin tuyển dụng của công ty

+ Thông tin đối tác

Nhìn chung, website còn khá đơn giản, chỉ mới giới thiệu chung nhất về Công

ty cũng như các sản phẩm, dịch vụ mà Công ty cung cấp, chưa có sự giao dịch trựctiếp giữa khách hàng với nhân viên của công ty Có thể nói đây là một điểm hạn chếcủa website này

Website cung cấp tất cả các tính năng giúp các nhà lãnh đạo điều hành côngviệc, nhân viên có thể tìm hiểu thông tin khách hàng, khách hàng tìm hiểu và giao dịchvới công ty… Website còn cung cấp tính năng chăm sóc khách hàng, tư vấn cho kháchhàng khi họ yêu cầu

Chưa có giao dịch trực tuyến giữa khách hàng và công ty qua website, kháchhàng chỉ có thể tìm hiểu thông tin về doanh nghiệp

2.2.3.4 Công nghệ sử dụng trong đảm bảo an toàn bảo mật HTTT

- FireWall: NAT (Network Address Translation), 2008 và Norton personalFirewall 2010 FireWall kiểm soát luồng thông tin từ Intranet và Internet Cho phép hoặccấm những dịch vụ truy cập ra ngoài ( Từ Intranet ra Internet) Cho phép hoặc cấm nhữngdịch vụ truy cập vào trong (Từ Internet vào Intranet ) Theo dõi luồng dữ liệu mạng giữaInternet và Intranet Kiểm soát địa chỉ truy cập, cấm địa chỉ truy cập Kiểm soát người sửdụng và việc truy cập của người sử dụng Kiểm soát nội dung thông tin lưu chuyển trênmạng, antivirus ( BKAV Pro), Web antivirus (PC tools doctor ASD.Net), mail antivirus

Tuy nhiên Firewall hạn chế quyền truy nhập của người dùng vào mạng Internet.

Có những hạn chế trong khi bị tấn công từ bên trong mạng, như một người nào đó sửdụng các thiết bị lưu trữ kết nối trực tiếp vào các máy tính và ăn cắp các thông tin trên

máy Gây ra hiện tượng thắt cổ chai tại bức tường lửa.

- Giao thức SSL: Phiên bản SSL 3.0, 2010 được thiết kế như là một giao thứcriêng cho vấn đề bảo mật có thể hỗ trợ cho rất nhiều ứng dụng Giao thức SSL hoạtđộng bên trên TCP/IP và bên dưới các giao thức ứng dụng tầng cao hơn như là HTTP(Hyper Text Transport Protocol), IMAP ( Internet Messaging Access Protocol) và FTP(File Transport Protocol) Trong khi SSL có thể sử dụng để hỗ trợ các giao dịch antoàn cho rất nhiều ứng dụng khác nhau trên Internet, thì hiện nay SSL được sử dụng

chính cho các giao dịch trên Web

- SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã đượcchuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:

- Xác thực server: Cho phép người sử dụng xác thực được server muốn kếtnối Lúc này, phía browser sử dụng các kỹ thuật mã hoá công khai để chắc chắn rằngcertificate và public ID của server là có giá trị và được cấp phát bởi một CA(certificate authority) trong danh sách các CA đáng tin cậy của client Điều này rấtquan trọng đối với người dùng Ví dụ như khi gửi mã số credit card qua mạng thìngười dùng thực sự muốn kiểm tra liệu server sẽ nhận thông tin này có đúng là server

mà họ định gửi đến không

- Xác thực Client: Cho phép phía server xác thực được người sử dụng muốnkết nối Phía server cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra xemcertificate và public ID của server có giá trị hay không và được cấp phát bởi một CA(certificate authority) trong danh sách các CA đáng tin cậy của server không Điều nàyrất quan trọng đối với các nhà cung cấp

- Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server được mãhoá trên đường truyền nhằm nâng cao khả năng bảo mật Điều này rất quan trọng đốivới cả hai bên khi có các giao dịch mang tính riêng tư Ngoài ra, tất cả các dữ liệuđược gửi đi trên một kết nối SSL đã được mã hoá còn được bảo vệ nhờ cơ chế tự độngphát hiện các xáo trộn, thay đổi trong dữ liệu (đó là các thuật toán băm – hashalgorithm)

Giao thức SSL bao gồm 2 giao thức con: giao thức SSL record và giao thức SSLhandshake Giao thức SSL record xác định các định dạng dùng để truyền dữ liệu Giaothức SSL handshake (gọi là giao thức bắt tay) sẽ sử dụng SSL record protocol để traođổi một số thông tin giữa server và client vào lấn đầu tiên thiết lập kết nối SSL.

2.2.3.5 Tình hình tổ chức và quản lý con người

Do hoạt động kinh doanh của công ty ngày càng được mở rộng vì vậy mà cơcấu nguồn nhân lực của công ty được bổ sung thường xuyên cả về số lượng và chấtlượng Tính đến năm 2012, tổng số cán bộ của công ty là 108, trong đó có 8 cán bộ cótrình độ trên đại học chiếm 7.4 %, nhân viên có trình độ đại học là 85 chiếm 78.7 %.Đây là một tỷ lệ phản ánh nguồn nhân lực của công ty rất mạnh về trình độ học vấncũng như khả năng cạnh tranh với các doanh nghiệp có cùng lĩnh vực hoạt động

Cơ cấu nguồn nhân lực của công ty thể hiện ở bảng :

2.2.4 Kết quả xử lí phiếu điều tra và phân tích các dữ liệu thứ cấp.

2.2.4.1 Kết quả xử lý phiếu điều tra

Sau khi phỏng vấn và thu thập dữ liệu từ các nhân viên trong công ty cổ phầncông nghệ Tinh Vân và xử lý qua SPSS, chúng ta có kết quả như sau:

Câu 1: Việc đảm bảo an toàn bảo mật HTTT được thực hiện thường xuyên không?

Mức độthườngxuyên

Trị số phầntrăm

Tích luỹ giátrị phần trăm

Mức độthườngxuyên

Trị số phầntrăm

Tích luỹ giátrị phần trăm

Hình 2.7 Kết quả sử dụng SPSS đánh giá phiếu điều tra – 1

Tần suất xuất hiện của “thỉnh thoảng” là nhiều nhất 4/10 lần và chiếm 40% sựlựa chọn, rồi mới đến lựa chọn “thường xuyên” Ta thấy, công ty thỉnh thoảng mớikiểm tra, xử lý các vấn đề liên quan đến an toàn và bảo mật HTTT

Câu 2: Mức độ quan trọng của các thành phần trong HTTT của công ty như thế nào?

Mức độquan trọng Trị số phầntrăm trị phần trămTích luỹ giá

Hình 2.8: Kết quả sử dụng SPSS đánh giá phiếu điều tra – 2

Tần suất xuất hiện của “con người” là nhiều nhất là 3/10 lần và chiếm 30% sựlựa chọn, sau đó mới đến “phần cứng, phần mềm, cơ sở dữ liệu” chiếm 20% Vậy tathấy công ty cũng đánh giá được tầm quan trọng của con người trong công ty

Câu 3: Thách thức lớn nhất về an toàn bảo mật dữ liệu đối với công ty là gì?

Trị số phầntrăm

Tích luỹ giátrị phần trăm

Hình 2.9 Kết quả sử dụng SPSS đánh giá phiếu điều tra-3

Tần suất xuất hiện của “nhân lực” là nhiều hơn 6/10 lần và chiếm 60% sự lựachọn, rồi mới tới “ngân sách” Nhân lực được coi là thách thức lớn nhất đối với công

ty cổ phần công nghệ Tinh Vân Trình độ nhận thức và chuyên môn về CNTT củacông ty vẫn còn thấp và chưa chuyển biến nhiều Trong công ty chỉ có 5 nhân viênđảm nhận vai trò quản lý hệ thống CNTT của công ty

Câu 4 Mức độ an toàn, bảo mật thông tin trong công ty?

Mức độ đánhgiá Trị số phầntrăm trị phần trămTích luỹ giá

Hình 2.10: Kết quả sử dụng SPSS đánh giá phiếu điều tra- 4

Mức độ an toàn bảo mật thông tin trong doanh nghiệp chưa cao: Có 4 ngườicho rằng mức độ bảo mật mới chỉ ở mức trung bình và 1 người cho rằng mức độ đó ởmức yếu

Câu 5: Hiện nay công ty đang sử dụng phương pháp, cách thức nào để bảo mật thông tin cho khách hàng?

Phương pháp, cách thức

bảo mật

Trị số phầntrăm

Tích luỹ giátrị phần trăm

Hình 2.11 Kết quả sử dụng SPSS đánh giá phiếu điều tra-5

Tần suất xuất hiện của “quản lí email” là nhiều nhất 4/10 lần và chiếm 40% sựlựa chọn, tiếp theo đó là “quản lí hệ cơ sở dữ liệu” Công ty vẫn sử dụng hình thứcquản lý email để bảo mật thông tin của khách hàng, cho thấy độ bảo mật bằng hìnhthức này dễ bị tấn công và nguy cơ mất mát thông tin của khách hàng cao

Câu 6: Trong thời gian tới công ty dự định sẽ chi bao nhiêu cho công tác bảo mật thông tin và dữ liệu?

trăm

Tích luỹ giátrị phần trăm

Hình 2.12 Kết quả sử dụng SPSS đánh giá phiếu điều tra-7

Tần suất xuất hiện của “30-70 triệu” là nhiều nhất 6/10 lần và chiếm 60% sự lựachọn, rồi mới tới “<10 triệu” và “>70 triệu” Vấn đề bảo mật hiện nay là rất quantrọng tuy nhiên thể hiện qua số tiền đầu tư vào bảo mật hệ thống chỉ 30-70 triệu vẫn làquá nhỏ so với các mối quan tâm khác của công ty cổ phần công nghệ Tinh Vân

Câu 7: Tần suất sao lưu dữ liệu trong công ty?

Mức độthườngxuyên

Trị số phầntrăm

Tích luỹ giátrị phần trăm

Hình 2.13 Kết quả sử dụng SPSS đánh giá phiếu điều tra-8

Ở câu hỏi thứ bảy: “Tần suất sao lưu dữ liệu của Công ty?” phần lớn ý kiến cho

rằng dữ liệu của công ty được sao lưu từ 1 đến 3 tháng một lần Với tần suất sao lưunhư vậy, nếu có gặp sự cố về ATTT thì mức độ thiệt hại cũng giảm bớt đi vì thông tinkhông bị mất đi nhiều

2.2.4.2 Đánh giá thực trạng công tác ATBM HTTT trong công ty cổ phần

công nghệ Tinh Vân.

Qua quá trình thu thập và phân tích kết quả phiếu điều tra, có thể đưa ra nhậnxét về tình hình ATBM HTTT của công ty cổ phần công nghệ Tinh Vân như sau:

 Tất cả các máy tính và phòng ban được kết nối Internet và mạng LAN, chophép việc truy nhập dữ liệu được dễ dàng và nhanh chóng Công ty đã sử dụng một sốphần mềm giúp ngăn chặn các hành vi truy cập và khai thác dữ liệu trái phép như:FireWall, giao thức WEP…

 Các thiết bị phần cứng đã được trang bị của cơ sở hạ tầng CNTT đều trongtình trạng còn mới, hoạt động tốt và ổn định Đây sẽ là một sự khởi đầu tốt cho kếhoạch xây dựng một hệ thống đảm bảo ATBM HTTT cho Công ty

 Các phần mềm ứng dụng là phần mềm có bản quyền Việc mua bản quyềnphần mềm giúp tránh được những rủi ro từ việc tải phần mềm miễn phí (có kèm theovirus, mã độc…) đồng thời có thể thường xuyên được cập nhật thông tin về các nguy

cơ ATTT, cập nhật các bản vá lỗi của nhà sản xuất

 Cơ chế sao lưu dữ liệu thường xuyên giúp công ty hạn chế tối thiểu nhữngtổn thất khi thông tin gặp phải sự cố như hỏng hóc hay bị sửa đổi, bị xóa

 Phần lớn nhân viên và ban lãnh đạo công ty đã nhận thức được tầm quantrọng của ATBM HTTT đối với hoạt động kinh doanh và sự phát triển của công ty.

 Công ty đã có bộ phận chuyên trách về CNTTT, cũng có kiến thức về ATBMHTTT trong doanh nghiệp

- Điểm yếu

 Công ty chưa có sự đầu tư thỏa đáng cho hạ tầng CNTT Hệ thống máy chủ

sử dụng windows server 2003 chưa phù hợp để ứng dụng các giải pháp bảo mật mới

Về phần mềm bảo mật công ty chưa cập nhật các phần mềm bảo mật mới, tính năngtoàn diện và phù hợp với công ty

 Kiến thức về HTTT và ATBM của nhân viên trong công ty chưa cao, dẫnđến nhiều nguy cơ mất ATTT của doanh nghiệp Như đã nói ở phần 2.2.3.5 công ty có

1 nhóm chuyên trách về CNTT, gồm một tổ trưởng và 4 thành viên Với quy mô ngàycàng mở rộng thì số lượng nhân viên chuyên trách về CNTT chưa đủ để đảm bảoATBM HTTT toàn công ty

 Các hình thức bảo đảm ATBM HTTT trong công ty còn quá sơ sài, chưa đủ

để đảm bảo mục tiêu an toàn bảo mật của hệ thống

 ATBM thông tin chưa cao nên chưa đảm bảo thông tin của khách hàng, thiếu

sự tin tưởng của khách hàng

 Công ty chưa có sự đầu tư thích đáng cho ATBM HTTT của công ty.Việctriển khai hoạt động đảm bảo an toàn bảo mật HTTT nên được lập kế hoạch rõ ràngchi tiết để phối hợp được hoạt động giữa các phòng ban, kết hợp với các công cụ anninh bảo mật để đạt được mục tiêu cuối cùng, đồng thời cần tính toán chi phí cụ thểphân bổ cho từng công cụ khi triển khai Mỗi công cụ đảm bảo ATBM HTTT đòi hỏingân sách khác nhau và có tác động nhất định tới HTTT của doanh nghiệp Vì vậy, cầnphải xác định ngân sách phù hợp và các yếu tố có liên quan để chương trình đảm bảoATBM HTTT đạt hiệu quả cao

CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN, ĐỀ XUẤT GIẢI PHÁP NÂNG CAO HIỆU QUẢ ATBM TRONG HTTT TẠI

CÔNG TY CỔ PHẦN CÔNG NGHỆ TINH VÂN