Giải pháp đảm bảo an toàn thông tin cho hệ thống thông tin của công ty Cổ phần Truyền thông Việt

DANH MỤC CÁC TỪ VIẾT TẮT HTTT Hệ thống thông tinWLAN Wireless local area network Mạng cục bộ không dây SQLI Structured Query Language Tấn công bằng cách sử dụng quyền chứng thực của ngư

LỜI CẢM ƠN

Cùng với sự phát triển của công nghệ thông tin, mạng máy tính và Internet ngàycàng phát triển đa dạng phong phú Các dịch vụ trên mạng đã thâm nhập vào hầu hếtcác lĩnh vực trong đời sống xã hội Các thông tin trên Internet cũng đa dạng hơn về nộidung và hình thức, trong đó có rất nhiều thông tin cần được bảo mật cao hơn bởi tínhkinh tế, chính xác và tính tin cậy của nó

Nên hiện nay, an toàn bảo mật thông tin đang là một trong những vấn đề đượcquan tâm nhiều nhất trên khắp thế giới từ chính phủ các quốc gia, doanh nghiệp, tổchức hay cá nhân Tầm quan trọng của an toàn bảo mật thông tin là không thể phủnhận tuy nhiên không phải bất kì doanh nghiệp nào cũng có thể đạt được những tiêuchí trong đánh giá về an ninh thông tin Trong khóa luận tốt nghiệp này, em xin trìnhbày về một số yếu điểm mà Công ty Cổ phần Truyền thông Việt gặp phải trong bảomật thông tin và giải pháp khắc phục những yếu điểm đó

Để thực hiện và hoàn thành được khóa luận tốt nghiệp này em xin gửi lời cảm ơn sâusắc đến cá nhân thầy hướng dẫn làm khóa luận của em là thầy PGS.TS Đàm Gia Mạnhcũng như các thầy cô trong bộ môn Công nghệ thông tin đã tận tình chỉ bảo và giúp

em bổ sung kiến thức trong lí thuyết cũng như thực tiễn Ngoài ra em xin gửi lời cảm

ơn chân thành tới ban lãnh đạo Công ty Cổ phần Truyền thông Việt đã tạo điều kiệngiúp đỡ em trong suốt quá trình thực tập cũng như làm khóa luận tốt nghiệp Cuốicùng em xin cảm ơn tới toàn thể thầy cô giáo, lãnh đạo trường Đại học Thương Mại đãcho em môi trường học tập chuyên nghiệp trong suốt 4 năm qua Sự giúp đỡ và giảngdạy tận tình của thầy cô và các anh chị trong công ty là hành trang quý báu cho em saunày

Em xin kính chúc quý thầy cô cùng các anh chị luôn dồi dào sức khỏe và thànhcông trong cuộc sống

MỤC LỤC

LỜI CẢM ƠN i

DANH MỤC BẢNG iv

DANH MỤC BIỂU ĐỒ iv

DANH MỤC HÌNH iv

DANH MỤC CÁC TỪ VIẾT TẮT v

PHẦN 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 1

1.1 Tầm quan trọng, ý nghĩa của đề tài 1

1.1.1 Tầm quan trọng của đề tài 1

1.1.2 Ý nghĩa của đề tài 2

1.2 Tình hình nghiên cứu vấn đề bảo mật thông tin trong và ngoài nước 2

1.2.1 Tình hình nghiên cứu ngoài nước 2

1.2.2 Tình hình trong nước 2

1.3 Mục tiêu cần giải quyết của đề tài 4

1.4 Đối tượng, phạm vi nghiên cứu đề tài 4

1.5 Phương pháp thực hiện đề tài 4

1.6 Kết cấu khóa luận 5

PHẦN 2: CƠ SỞ LÍ LUẬN VÀ THỰC TRẠNG VẤN ĐỀ AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN TẠI CÔNG TY CỔ PHẦN TRUYỀN THÔNG VIỆT 6 2.1 Cơ sở lí luận 6

2.1.1 Một số khái niệm cơ bản: 6

2.1.1.1 Khái niệm về mạng máy tính, hệ thống thông tin, website 6

2.1.1.2 Khái niệm về an toàn, bảo mật thông tin 7

2.1.2 Các đặc trưng của một HTTT bảo mật 7

2.1.2.1 Tính bí mật 7

2.1.2.2 Tính toàn vẹn 8

2.1.2.3 Tính khả dụng 10

2.1.3 Nguyên tắc xây dựng hệ thống bảo mật 11

2.1.3.1 Chính sách và cơ chế 11

2.1.4 Các nhân tố ảnh hưởng đến hiệu quả an toàn, bảo mật Hệ thống thông tin trong Doanh nghiệp 12

2.2 Thực trạng vấn đề bảo mật HTTT tại Công ty Cổ phần Truyền thông Việt 14

2.2.1 Giới thiệu về Công ty Cổ phần Truyền thông Việt 14

2.2.2 Phân tích, đánh giá thực trạng vấn đề bảo mật Hệ thống thông tin của Công ty Cổ phần Truyền thông Việt 16

2.2.2.1 Thực trạng vấn đề bảo mật của công ty Cổ phần Truyền thông Việt 16

2.2.2.2 Phân tích, đánh giá thực trạng vấn đề bảo mật của Công ty CP Truyền thông 20

PHẦN 3: GIẢI PHÁP BẢO MẬT THÔNG TIN CHO CÔNG TY CỔ PHẦN TRUYỀN THÔNG VIỆT 23

3.1 Mục tiêu của Ban Giám Đốc công ty về vấn đề bảo mật 23

3.1.1 Mục tiêu 23

3.1.2 Ngân sách cho vấn đề bảo mật của công ty 23

3.2 Các giải pháp cho vấn đề bảo mật an ninh thông tin của công ty 23

3.2.1 Giải pháp bảo mật mạng không dây (wifi) 23

3.2.1.1 Giải pháp mã hóa theo giao thức WPA2 23

3.2.1.2 Giải pháp kết nối một chạm WPS 25

3.2.1.3 Sử dụng mạng riêng ảo VPN 26

3.2.2 Giải pháp cho hệ thống máy tính nội bộ công ty 28

3.2.2.1 Nâng cấp hệ thống máy tính trong công ty 28

3.2.2.2 Chính sách phân quyền người sử dụng 29

3.2.3 Bảo mật website 32

3.2.3.1 Khắc phục lỗ hổng XSS 32

3.2.3.2 Khắc phục lỗ hổng bảo mật SQL Injection 34

3.2.4 Giải pháp cho vấn đề trình độ nguồn nhân lực trong công ty 36

PHỤ LỤC 40

DANH MỤC BẢNG

Bảng 2.1: Báo cáo kinh doanh của Công ty Cổ phần Truyền thông Việt từ năm

2011-2013 15

Bảng 2.2: Thống kê số lần bị hacker tấn công 17

Bảng 2.3: Chi tiết đề xuất nâng cấp cấu hình cho toàn bộ máy tính của công ty 28

DANH MỤC BIỂU ĐỒ Biểu đồ 2.1: Thống kê tần suất máy tính bị nhiễm virus 17

Biểu đồ 2.2:Thống kê số lần hệ thống máy tính của công ty bị tấn công qua các đường mạng dây và mạng wifi 18

Biểu đồ 2.3:Thống kê số lần website bị khai thác lỗ hổng bảo mật 19

Biểu đồ 2.4: Khảo sát kiến thức nhân viên công ty về lĩnh vực bảo mật thông tin 19

DANH MỤC HÌNH Hình 3.1: Bước đặt giao thức WPA2 cho bảo mật của Wireless Acess Point 25

Hình 3.2: Giải pháp kết nối một chạm WPS 26

Hình 3.3: Minh họa mạng riêng ảo cho công ty trong tương lai 27

Hình 3.4: Hướng dẫn sử dụng phần mềm AMIS.VN 30

Hình 3.5: Hướng dẫn sử dụng phần mềm AMIS.VN 31

Hình 3.6: Hướng dẫn sử dụng phần mềm AMIS.VN 32

Hình 3.7: Lỗi trong lỗ hổng bảo mật XSS 33

Hình 3.8: Khắc phục lỗ hổng bảo mật XSS 34

Hình 3.9: Mô phỏng quá trình tấn công vào lỗ hổng SQL injection 35

DANH MỤC CÁC TỪ VIẾT TẮT HTTT Hệ thống thông tin

WLAN Wireless local area network Mạng cục bộ không dây

SQLI Structured Query Language

Tấn công bằng cách sử dụng quyền chứng thực của người dùng

WPA Wi-Fi protected access Truy cập được bảo vệ không

dây WPA2 Wi-Fi protected access Truy cập được bảo vệ không

dây phiên bản 2 WEP Wired Equivalent Privacy Bảo mật tương đương có dây

dây SSID Service Set Identifier Đặt dịch vụ định danh

TCP Transmission Control Protocol Giao thức kiểm soát truyền

vận VPN Virtual Private Network Mạng riêng ảo

NXB Nhà xuất bản

PHẦN 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 1.1 Tầm quan trọng, ý nghĩa của đề tài.

1.1.1 Tầm quan trọng của đề tài.

Vấn đề đảm bảo an toàn cho các HTTT là một trong những vấn đề quan trọngđược cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo dưỡng HTTT

Cũng như tất cả hoạt động khác của xã hội, từ khi con người có nhu cầu lưu trữ

và xử lí thông tin, đặc biệt là khi thông tin được xem như một phần của tư liệu sảnxuất, thì nhu cầu bảo vệ thông tin ngày càng trở nên bức thiết Bảo vệ thông tin là bảo

vệ tính bí mật và tính toàn vẹn của thông tin Hơn nữa thông tin không phải luôn đượccon người ghi nhớ do sự hữu hạn của bộ óc nên cần phải có thiết bị lưu trữ thông tin.Nếu thiết bị lưu trữ không an toàn thì thông tin lưu trữ trên đó bị mất đi, bị sai lệchtoàn bộ hay một phần Khi đó tính toàn vẹn thông tin không còn được đảm bảo

Khi máy tính được sử dụng để xử lí thông tin, hiệu quả xử lí thông tin đượcnâng cao lên, khối lượng thông tin được xử lí ngày càng lớn, kéo theo nó, tầm quantrọng của thông tin trong đời sống xã hội ngày càng tăng Nếu như trước đây, việc bảo

vệ thông tin chỉ chú trọng vào vấn đề dùng các cơ chế và phương tiện vật lí để bảo vệthông tin theo đúng nghĩa đen của từ này, thì càng về sau, vấn đề bảo vệ thông tin đãtrở nên đa dạng và phức tạp hơn Đối với Công ty CP Truyền thông Việt cũng vậy theotìm hiểu thì em biết được công ty đã từng xảy ra vấn đề mất an toàn thông tin dù đãkhắc phục được rồi nhưng không đảm bảo rằng trong tương lai sẽ không xảy ra vấn đềnày nữa

Trong đề tài này với mong muốn giúp doanh nghiệp đạt được hiệu quả cao hơntrong vấn đề đảm bảo an toàn bảo mật thông tin Em sẽ tập trung nghiên cứu cơ sở lýluận về lý thuyết an toàn bảo mật thông tin, tìm hiểu thực trạng vấn đề, phân tích đánhgiá thực trạng vấn đề bảo mật của công ty Để từ đó khóa luận đưa ra một số giải phápbảo mật thông tin phù hợp nhằm khắc phục thực trạng của vấn đề tại công ty CPTruyền thông Việt Quá trình nghiên cứu cũng góp phần nâng cao nhận thức của nhânviên trong công ty về vấn đề an toàn và bảo mật thông tin, trau dồi thêm những thôngtin cần thiết cho nhân viên phục vụ cho công việc vận hành và quản lý vấn đề an toànthông tin hàng ngày

Từ tầm quan trọng và ý nghĩa của việc nghiên cứu đề tài cùng với những kiến

thức em được học trên trường và sự lựa chọn của bản thân em xin đưa ra đề tài :

‘‘Giải pháp đảm bảo an toàn thông tin cho hệ thống thông tin của công ty

Cổ phần Truyền thông Việt”

1.1.2 Ý nghĩa của đề tài.

Các thông tin trong đề tài phục vụ cho việc quản lí và đảm bảo an toàn thôngtin của Công ty CP Truyền thông Việt Đề tài được hình thành từ hoạt động của Công

ty, chứa nhiều thông tin, là căn cứ để lãnh đạo Công ty ra quyết định phục vụ cho quátrình phát triển của Công ty Tài liệu là kiến thức cho đội ngũ nhân viên Công ty có thểmột phần nào đó nâng cao nhận thức và kiến thức về an toàn bảo mật thông tin tạiCông ty CP Truyền thông Việt

1.2 Tình hình nghiên cứu vấn đề bảo mật thông tin trong và ngoài nước

1.2.1 Tình hình nghiên cứu ngoài nước.

Theo những nghiên cứu về hành vi tổ chức tấn công về bảo mật, Phó chủ tịchTrend Micro tại khu vực Châu Âu, ông Dervla Mannion cho biết với sự quan sát đánhgiá của mình ông thấy rõ tốc độ tấn công nhanh, mở rộng thêm phạm vi của các cuộctấn công Tấn công vào thông tin bảo mật không còn chỉ là nhằm vào các cá nhânriêng lẻ mà còn nhằm vào các doanh nghiệp và chính phủ các nước Lỗ hổng bảo mậtcủa các doanh nghiệp góp phần làm các cuộc tấn công không chỉ còn ở phạm vi quốcgia, một châu lục mà toàn thế giới Năm 2014 là năm sung mãn của tội phạm mạng,bảo mật toàn cầu

Tội phạm ngày các phát triển thì vai trò của người dùng cũng như các công tybảo mật cần được nâng cao Bảo vệ chính mình dường như không còn là quan niệm lạđối với người dùng công nghệ nữa Đặc biệt mạng công cộng, phần mềm miễn phí,thiết bị di động nên là điều mà người dùng lưu ý mỗi khi kết nối sử dụng

1.2.2 Tình hình trong nước

Vấn đề mất an toàn thông tin đang là mối e ngại lớn đối với Việt Nam Vàongày 17-18/10/2014 thì không chỉ cướp tên miền, hack và xóa nội dung của nhiềuwebsite do VCCorp đầu tư hoặc quản lý hạ tầng kỹ thuật, kẻ tấn công VCCorp cònđiều khiển URL của báo Dân Trí trỏ về địa chỉ khác Trong một vài năm trở lại đây thìtình hình nghiên cứu về vấn đề an toàn bảo mật thông tin cho các doanh nghiệp, tổchức trong nước diễn ra khá nhiều Nhận thấy bảo mật thông tin là vấn đề vô cùng

quan trọng trong thời buổi hội nhập hiện nay nên đã có rất nhiều công ty, doanhnghiệp, tổ chức đã tập trung xây dựng và đưa vấn đề bảo mật thông tin thành mục tiêuquan trọng trong quá trình phát triển của công ty Trong bối cảnh như vậy, nhiều côngtrình nghiên cứu của các sinh viên, các cá nhân, tổ chức đã ra đời để phục vụ cho nhucầu phát triển của phần lớn các công ty hiện nay ở Việt Nam Trong số đó tôi đã đọc

và tham khảo một số công trình nghiên cứu như:

– “ Phương pháp bảo mật trên WLAN” của Nguyễn Hữu Hiền, sinh viên ngành

công nghệ thông tin trường Học viện bưu chính viễn thông Trong công trình nghiêncứu về phương pháp bảo mật trên WLAN của sinh viên Nguyễn Hữu Hiền đã tập trungphân tích khá rõ ràng và có chiều sâu về vấn đề bảo mật trong mạng không dâywireless Công trình nghiên cứ đã tập trung chỉ ra được những yếu điểm về bảo mậttrong mạng không dây và đã đưa ra được nhiều giải pháp khắc phục khá hay và tốt.Mặc dù vậy thì công trình nghiên cứu này còn có một số hạn chế đó là mới chỉ đưa rađược những giải pháp trước mắt chứ chưa đưa ra được giải pháp lâu dài trong bối cảnhcông nghệ phát triển như vũ bão hiện nay

– ‘‘Đồ án tìm hiểu về virus máy tính và cách phòng chống” của sinh viên Lê

Văn Hưng khoa Tin học trường đại học Bách khoa Hà Nội Trong công trình nghiêncứu này tác giả đã đưa ra một số phân tích cơ bản đối với mảng kiến thức hệ thống,các nguyên tắc thiết kế, hoạt động của các loại virus máy tính và từ đó đưa ra phươngpháp phòng tránh, phát hiện và phân tích đối với một số loại virus máy tính

– Luận văn về an toàn, bảo mật thông tin: “Giải pháp nhằm nâng cao bảo mật

HTTT quản trị tại công ty cổ phần công nghệ cao’’ của sinh viên Nguyễn Hữu Dũng –Khoa Thương Mại Điện Tử - ĐH Thương Mại (2009) Luận văn cũng đã đưa ra được

lý thuyết và một số giải pháp nhưng các giải pháp vẫn đang ở mức khái quát và chưamang tính khả thi, cụ thể

– “Đồ án an ninh mạng và kĩ thuật tấn công mạng” của Phạm Minh Tuấn, khoa

quốc tế và đào tạo sau đại học trường Học viện bưu chính viễn thông Trong công trìnhnghiên cứu này thì tác giả đã chỉ ra được rất nhiều kiểu tấn công qua mạng và cáchkhắc phục Tác giả đã đi sâu nghiên cứu về các lỗ hổng thường gặp trong bảo mậtmạng Em đánh giá đây là một công trình nghiên cứu rất hay về vấn đề an ninh mạng

mà có thể lấy làm tài liệu tham khảo

– Đề tài: ‘‘Giải pháp đảm bảo an toàn thông tin cho hệ thống thông tin của công ty Cổ phần Truyền thông Việt” tập trung vào việc đánh giá và đưa ra giải pháp

nâng cao hiệu quả các hoạt động đảm bảo an toàn và bảo mật HTTT tại một doanhnghiệp cụ thể và đề tài không trùng lặp nội dung với các công trình nghiên cứu trướcđó

1.3 Mục tiêu cần giải quyết của đề tài.

Từ việc tìm hiểu phân tích thực trạng từ đó đưa ra giải pháp đảm bảo an toàn vàbảo mật thông tin trong Công ty CP Truyền thông Việt cụ thể là:

+ Đưa ra các giải pháp cho vấn đề bảo mật an ninh thông tin của công ty

+ Đưa ra giải pháp cho hệ thông máy tính nội bộ của công ty

+ Đưa ra giải pháp bảo mật website của công ty

1.4 Đối tượng, phạm vi nghiên cứu đề tài

Là một đề tài nghiên cứu khóa luận của sinh nên phạm vi nghiên cứu của đề tàichỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảngthời gian ngắn hạn Cụ thể:

Về không gian: là đưa ra các giải pháp đảm bảo an toàn thông tin cho hệ thốngthông tin của công ty Cổ phần Truyền thông Việt

Về thời gian: Các số liệu được khảo sát trong 3 năm gần nhất, đồng thời trìnhbày các nhóm giải pháp định hướng phát triển trong tương lai

1.5 Phương pháp thực hiện đề tài.

+ Phương pháp thu thập dữ liệu:

Xây dựng các phiếu điều tra thu thập dữ liệu từ đối tượng là nhân viên công ty

về những nội dung phục vụ cho bài nghiên cứu

Tìm hiểu các thông tin về an toàn bảo mật thương mại điện tử qua Internet,qua các tài liệu sách báo liên quan đến an toàn bảo mật HTTT

Phương pháp phỏng vấn: phỏng vấn ban Giám đốc và bộ phận IT của công ty.Phương pháp trưng cầu ý kiến bằng bảng hỏi: lập ra danh mục các câu hỏi và khảo sát

ý kiến của nhân viên cũng như ban Giám đốc công ty để phục vụ cho việc đánh giátrình độ nguồn nhân lực trong quá trình nghiên cứu

Phương pháp chuyên gia: Hỏi ý kiến chuyên gia trong lĩnh vực nghiên cứu của

đề tài để tham khảo và đưa ra định hướng và giải quyết tốt mục tiêu đề ra

Trong các phương pháp nêu trên thì phương pháp nghiên cứu tài liệu vàphương pháp phỏng vấn là 2 phương pháp chủ đạo còn các phương pháp còn lại là cácphương pháp bổ trợ cho việc nghiên cứu thực hiện đề tài.

+ Phương pháp xử lý dữ liệu:

 Từ những dữ liệu thu thập được sau khi tiến hành phỏng vấn và thu thập tàiliệu sẽ được chọn lọc, phân tích, đánh giá, tổng hợp để chọn ra thông tin phù hợp vớimục đích nghiên cứu của đề tài

+ Phương pháp nghiên cứu:

 Phương pháp nghiên cứu định tính: quan sát, phỏng vấn các nhân viên, lãnhđạo của công ty, nắm bắt một cách chủ quan tình hình an toàn, bảo mật thông tin trênmọi mặt của doanh nghiệp

 Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau đó tổng hợp lạị,

từ đó đưa ra được cái nhìn chính xác hơn về tình hình của công ty

1.6 Kết cấu khóa luận.

Khóa luận gồm 3 phần chính:

 Phần 1: Tổng quan vấn đề an toàn bảo mật hệ thống thông tin

 Phần 2: Cơ sở lí luận và thực trạng của vấn đề an toàn bảo mật hệ thông tin

 Phần 3: Giải pháp bảo mật và định hướng phát triển hệ thống thông tin

Để hoàn thành đề tài này em xin gửi lời cảm ơn sâu sắc đến PGS.TS Đàm GiaMạnh đã tận tình hướng dẫn em trong suốt quá trình thực hiện đề tài Và cán bộ nhânviên Công ty Cổ phần Truyền thông Việt đã tạo điều kiện tốt nhất để giúp em nghiêncứu và hoàn thành mục tiêu của đề tài

PHẦN 2: CƠ SỞ LÍ LUẬN VÀ THỰC TRẠNG VẤN ĐỀ AN TOÀN BẢO MẬT

HỆ THỐNG THÔNG TIN TẠI CÔNG TY CỔ PHẦN TRUYỀN THÔNG VIỆT 2.1 Cơ sở lí luận.

2.1.1 Một số khái niệm cơ bản:

2.1.1.1 Khái niệm về mạng máy tính, hệ thống thông tin, website

Mạng máy tính: Mạng máy tính là một tập hợp các máy tính được nối với nhau

bởi đường truyền theo một cấu trúc nào đó và thông qua đó các máy tính trao đổi

thông tin qua lại cho nhau (Giáo trình mạng máy tính,2008, NXB Thông tin và Truyền thông )

Đường truyền là hệ thống các thiết bị truyền dẫn có dây hay không dây dùng đểchuyển các tín hiệu điện tử từ máy tính này đến máy tính khác Các tín hiệu điện tử đóbiểu thị các giá trị dữ liệu dưới dạng các xung nhị phân (on - off) Tất cả các tín hiệuđược truyền giữa các máy tính đều thuộc một dạng sóng điện từ Tùy theo tần số củasóng điện từ có thể dùng các đường truyền vật lý khác nhau để truyền các tín hiệu Ởđây đường truyền được kết nối có thể là dây cáp đồng trục, cáp xoắn, cáp quang, dâyđiện thoại, sóng vô tuyến Các đường truyền dữ liệu tạo nên cấu trúc của mạng Haikhái niệm đường truyền và cấu trúc là những đặc trưng cơ bản của mạng máy tính

Hệ thống thông tin: là một tập hợp và kết hợp của các phần cứng, phần mềm và

các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phânphối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ

chức (Giáo trình mạng máy tính,2008, NXB Thông tin và Truyền thông )

Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau.Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ,thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Vớibên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơnhoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho sự phát triển

Website: là một tập hợp các trang web (web pages) bao gồm văn bản, hình ảnh,

video, flashvv…thường chỉ nằm trong một tên miền (domain name) hoặc tên miền phụ(subdomain) Trang web được lưu trữ (web hosting) trên máy chủ web (web server) cóthể truy cập thông qua Internet

Website đóng vai trò là một văn phòng hay một cửa hàng trên mạng Internet – nơi

giới thiệu thông tin về doanh nghiệp, sản phẩm hoặc dịch vụ do doanh nghiệp cungcấp… Có thể coi website chính là bộ mặt của doanh nghiệp, là nơi để đón tiếp và giaodịch với các khách hàng, đối tác trên Internet.

2.1.1.2 Khái niệm về an toàn, bảo mật thông tin

An toàn thông tin: thông tin được coi là an toàn khi thông tin đó không bị làm

hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được

phép (Bài giảng môn : An toàn và bảo mật Thông tin doanh nghiệp, Đại học Thương mại)

Bảo mật thông tin: là ngăn chặn các truy cập không được phép, hạn chế tối đa các

sai sót của người dùng, đảm bảo các thông tin không bị mất hoặc bị thay đổi ngoài ý

muốn, không tiết lộ nội dung dữ liệu, chương trình xử lí (Giáo trình mạng máy tính,2008, NXB Thông tin và Truyền thông)

2.1.2 Các đặc trưng của một HTTT bảo mật.

Một HTTT bảo mật (Secure Information System) là một hệ thống mà thông tinđược xử lí trên nó phải đảm bảo được 3 đặc trưng sau đây:

 Tính bí mật của thông tin (Confidentiality)

 Tính toàn vẹn của thông tin (Integrity)

 Tính khả dụng của thông tin (Availability)

Ba đặc trưng này được liên kết lại và được xem như là mô hình tiêu chuẩn củacác thông hệ thống thông tin bảo mật, hay nói cách khác đây là 3 thành phần cốt yếucủa hệ thống thông tin bảo mật Mô hình này được sử dụng rộng rãi trong nhiều ngữcảnh và nhiều tài liệu khác nhau và được gọi tắt là mô hình CIA

2.1.2.1 Tính bí mật.

Một số loại thông tin có giá trị đối với một đối tượng xác định khi chúng khôngphổ biến cho đối tượng khác Tính bí mật của thông tin là tính giới hạn về đối tượngđược quyền truy xuất thông tin Đối tượng truy xuất có thể là con người, là máy tínhhoặc phần mềm, kể cả phần mềm phá hoại như virus, spyware, worm…

Tùy theo tính chất của thông tin mà mức độ bí mật của chúng có khác nhau Đểđảm bảo tính bí mật của thông tin, ngoài các phương tiện vật lí như nhà xưởng, thiết bịlưu trữ, dịch vụ bảo vệ thì công cụ bảo vệ trong phần mềm được xem là công cụ bảo

vệ thông tin hữu hiệu nhất trong môi trường máy tính

Sự bí mật của thông tin phải xem xét ở hai yếu tố là sự tồn tại của thông tin vànội dung của thông tin đó.

Đôi khi, sự tồn tại của thông tin có ý nghĩa cao hơn tiết lộ nội dung của nó Vídụ: chiến lược kinh doanh bí mật mang tính sống còn của công ty đã bị tiết lộ cho mộtcông ty đối thủ khác Việc nhận thức được rằng có điều đó tồn tại sẽ quan trọng hơnnhiều so với việc biết cụ thể nội dung thông tin

Cũng vì lí do này, trong một số hệ thống xác thực người dùng (Userauthentication)

ví dụ như đăng nhập vào hệ điều hành Netware hay đăng nhập vào hộp thư điện tửhoặc các dịch vụ khác trên mạng, khi người sử dụng cung cấp một tên người dùng(user name) sai, thay vì thông báo rằng user name này không tồn tại thì một số hệthống sẽ thông báo rằng mật khẩu (password) sai, một số hệ thống khác sẽ chỉ thôngbáo chung là “Invalid user name/password” (người dùng hoặc mật khẩu không hợp lệ).Dụng ý đằng sau thông báo không rõ ràng này là việc từ chối xác nhận việc tồn tại haykhông tồn tại một user name như thế trong hệ thống Điều này làm khó khăn chonhững người muốn đăng nhập bất hợp pháp vào hệ thống một cách ngẫu nhiên

2.1.2.2 Tính toàn vẹn.

Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của thông tin, loại trừ mọi sự thayđổi của thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hayphần mềm Tính toàn vẹn được xét trên 2 khía cạnh:

 Tính nguyên vẹn của nội dung thông tin

 Tính xác thực của nguồn gốc thông tin

Nói cách khác tính toàn vẹn thông tin phải được đánh giá trên 2 mặt: toàn vẹn

về nội dung và toàn vẹn về nguồn gốc thông tin

Sau đây là một số trường hợp tính toàn vẹn của thông tin bị phá vỡ:

 Thay đổi giao diện trang chủ của một trang website

 Chặn đứng và thay đổi gói tin được gửi qua mạng

 Chỉnh sửa trái phép các file được lưu trữ trên máy tính

 Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thôngtin bị sai lệch…

Ví dụ: một ngân hàng nhận được lệnh thanh toán của một người tự xưng là chủtài khoản với đầy đủ những thông tin cần thiết Nội dung thông tin được bảo toàn vì

ngân hàng đã nhận được một cách chính xác yêu cầu của khách hàng (đúng như ngườixưng là chủ tài khoản gửi đi)

Tuy nhiên, nếu lệnh thanh toán này không phải cho chính chủ tài khoản đưa ra

mà do một người nào khác nhờ biết được thông tin bí mật về tài khoản đã mạo danhchủ tài khoản để đưa ra, ta nói nguồn gốc của thông tin đã không được bảo toàn

Một ví dụ khác, một tờ báo đưa tin về một sự kiện vừa xảy ra tại một cơ quanquan trọng của chính phủ, có ghi chú rằng nguồn tin từ người phát ngôn của cơ quan

đó Tuy nhiên, nếu tin đó thật sự không phải do người phát ngôn công bố mà được lấy

từ một kênh thông tin khác, không xét đến việc nội dung thông tin có đúng hay không,

ta nói rằng nguồn gốc thông tin đã không được bảo toàn

Sự toàn vẹn về nguồn gốc thông tin trong một số ngữ cảnh có ý nghĩa tươngđương với sự đảm bảo tính không thể chối cãi (non-repudiation) của hệ thống thôngtin

Các cơ chế đảm bảo sự toàn vẹn của thông tin được chia thành 2 loại: các cơ chếngăn chặn (Prevention mechanisms) và các cơ chế phát hiện (Detection mechanisms)

Cơ chế ngăn chặn có chức năng ngăn cản các hành vi trái phép làm thay đổi nộidung và nguồn gốc của thông tin Các hành vi này bao gồm 2 nhóm: hành vi cố gắngthay đổi thông tin khi không được phép truy xuất đến thông tin và hành vi thay đổithông tin theo cách khác với cách đã được cho phép

Ví dụ: một người ngoài công ty cố gắng truy xuất đến cơ sở dữ liệu kế toán củamột công ty và thay đổi dữ liệu trong đó Đây là hành vi thuộc nhóm thứ nhất Trườnghợp một nhân viên kế toán được trao quyền quản lý cơ sở dữ liệu kế toán của công ty,

và đã dùng quyền truy xuất của mình để thay đổi thông tin nhằm biển thủ ngân quỹ,đây là hành vi thuộc nhóm thứ hai Nhóm các cơ chế phát hiện chỉ thực hiện chức nănggiám sát và thông báo khi có các thay đổi diễn ra trên thông tin bằng cách phân tíchcác sự kiện diễn ra trên hệ thống mà không thực hiện chức năng ngăn chặn các hành vitruy xuất trái phép đến thông tin

Nếu như tính bí mật của thông tin chỉ quan tâm đến việc thông tin có bị tiết lộhay không, thì tính toàn vẹn của thông tin vừa quan tâm tới tính chính xác của thôngtin và cả mức độ tin cậy của thông tin Các yếu tố như nguồn gốc thông tin, cách thứcbảo vệ thông tin trong quá khứ cũng như trong hiện tại đều là những yếu tố quyết định

độ tin cậy của thông tin và do đó ảnh hưởng đến tính toàn vẹn của thông tin Nóichung, việc đánh giá tính toàn vẹn của một hệ thống thông tin là một công việc phứctạp.

Tính khả dụng là một yêu cầu rất quan trọng của hệ thống, bởi vì một hệ thốngtồn tại nhưng không sẵn sàng cho sử dụng thì cũng giống như không tồn tại một hệthống thông tin nào Một hệ thống khả dụng là một hệ thống làm việc trôi chảy và hiệuquả, có khả năng phục hồi nhanh chóng nếu có sự cố xảy ra Trong thực tế, tính khảdụng được xem là nền tảng của một hệ thống bảo mật, bởi vì khi hệ thống không sẵnsàng thì việc đảm bảo 2 đặc trưng còn lại (bí mật và toàn vẹn) sẽ trở nên vô nghĩa

Hiện nay, các hình thức tấn công từ chối dịch vụ DoS (Denial of Service) vàDDoS (Distributed Denial of Service) được đánh giá là các nguy cơ lớn nhất đối với

sự an toàn của các hệ thống thông tin, gây ra những thiệt hại lớn và đặc biệt là chưa cógiải pháp ngăn chặn hữu hiệu Các hình thức tấn công này đều nhắm vào tính khả dụngcủa hệ thống

Một số hướng nghiên cứu đang đưa ra các mô hình mới cho việc mô tả các hệthống an toàn Theo đó, mô hình CIA không mô tả được đầy đủ các yêu cầu an toàncủa hệ thống mà cần phải định nghĩa lại một mô hình khác với các đặc tính của thôngtin cần được đảm bảo như:

 Chính sách bảo mật (Security policy)

 Cơ chế bảo mật (Security mechanism)

Chính sách bảo mật là hệ thống các quy định nhằm đảm bảo sự an toàn của hệ thống.

Cơ chế bảo mật là hệ thống các phương pháp, công cụ, thủ tục, …dùng để thựcthi các quy định của chính sách bảo mật

Chính sách bảo mật có thể được biểu diễn bằng ngôn ngữ tự nhiên hoặc ngônngữ toán học

Ví dụ: trong một hệ thống, để bảo đảm an toàn cho một tài nguyên (resource) cụthể, chính sách an toàn quy định rằng chỉ có người dùng nào thuộc nhóm quản trị hệthống (Administrators) mới có quyền truy xuất, còn những người dùng khác thì không.Đây là cách biểu diễn bằng ngôn ngữ tự nhiên

Cơ chế bảo mật thông thường là các biện pháp kỹ thuật.

Ví dụ: xây dựng bức tường lửa (firewall), xác thực người dùng, dùng cơ chếbảo vệ tập tin của hệ thống quản lý tập tin NTFS để phân quyền truy xuất đối với từngtập tin/thư mục trên đĩa cứng, dùng kỹ thuật mật mã hoá để che giấu thông tin, v.v…

Tuy nhiên, đôi khi cơ chế chỉ là những thủ tục (procedure) mà khi thực hiện nóthì chính sách được bảo toàn

Ví dụ: phòng thực hành máy tính của trường đại học quy định: sinh viên khôngđược sao chép bài tập của sinh viên khác đã được lưu trên máy chủ Đây là một quyđịnh của chính sách bảo mật Để thực hiện quy định này, các cơ chế được áp dụng baogồm: tạo thư mục riêng trên máy chủ cho từng sinh viên, phân quyền truy xuất chotừng sinh viên đến các thư mục này và yêu cầu sinh viên phải lưu bài tập trong thưmục riêng, mỗi khi rời khỏi máy tính phải thực hiện thao tác logout khỏi hệ thống

Trong cơ chế này, các biện pháp như tạo thư mục riêng, gán quyền truy xuất, …

là các biện pháp kỹ thuật Biện pháp yêu cầu sinh viên thóat khỏi hệ thống (logout) khirời khỏi máy là một biện pháp thủ tục Nếu sinh viên ra về mà không thóat ra khỏi hệthống, một sinh viên khác có thể sử dụng phiên làm việc đang mở của sinh viên này đểsao chép bài tập Khi đó, rõ ràng chính sách bảo mật đã bị vi phạm.

Cho trước một chính sách bảo mật, cơ chế bảo mật phải đảm bảo thực hiệnđược 3 yêu cầu sau đây:

 Ngăn chặn các nguy cơ gây ra vi phạm chính sách

 Phát hiện các hành vi vi phạm chính sách

 Khắc phục hậu quả của rủi ro khi có vi phạm xảy ra

Thông thường, việc xây dựng một hệ thống bảo mật phải dựa trên 2 giả thiếtsau đây:

 Chính sách bảo mật phân chia một cách rõ ràng các trạng thái của hệ thốngthành 2 nhóm: an toàn và không an toàn

 Cơ chế bảo mật có khả năng ngăn chặn hệ thống tiến vào các trạng thái không

an toàn

Chỉ cần một trong hai giả thiết này không đảm bảo thì hệ thống sẽ không antoàn Từng cơ chế riêng lẻ được thiết kế để bảo vệ một hoặc một số các quy định trongchính sách Tập hợp tất cả các cơ chế triển khai trên hệ thống phải đảm bảo thực thi tất

2.1.4 Các nhân tố ảnh hưởng đến hiệu quả an toàn, bảo mật Hệ thống thông tin

trong Doanh nghiệp

Một Hệ thống thông tin hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cảmôi trường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi trường vi

mô Nhưng có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm bảo antoàn và bảo mật Hệ thống thông tin trong doanh nghiệp là: yếu tố con người và yếu tố

công nghệ.

Con người: Con người luôn là trung tâm của tất cả các hệ thống bảo mật, bởi vì tất

cả các cơ chế, các kỹ thuật được áp dụng để bảo đảm an toàn hệ thống đều có thể dễdàng bị vô hiệu hoá bởi con người trong chính hệ thống đó

Ví dụ: hệ thống xác thực người sử dụng yêu cầu mỗi người trong hệ thống khimuốn thao tác trên hệ thống đều phải cung cấp tên người dùng và mật khẩu Tuynhiên, nếu người được cấp mật khẩu không bảo quản kỹ thông tin này, hoặc thậm chíđem tiết lộ cho người khác biết, thì khả năng xảy ra các vi phạm đối với chính sách antoàn là rất cao vì hệ thống xác thực đã bị vô hiệu hoá

Những người có chủ ý muốn phá vỡ chính sách bảo mật của hệ thống được gọichung là những người xâm nhập (intruder hoặc attacker) và theo cách nghĩ thôngthường thì đây phải là những người bên ngoài hệ thống

Tuy nhiên, thực tế đã chứng minh được rằng chính những người bên trong hệthống, những người có điều kiện tiếp cận với hệ thống lại là những người có khả năngtấn công hệ thống cao nhất Đó có thể là một nhân viên đang bất mãn và muốn pháhoại, hoặc chỉ là một người thích khám phá và chứng tỏ mình Các tấn công gây ra bởicác đối tượng này thường khó phát hiện và gây thiệt hại nhiều hơn các tấn công từ bênngoài

Những người không được huấn luyện về an toàn hệ thống cũng là nơi tiềm ẩncác nguy cơ do những hành vi vô ý của họ như thao tác sai, bỏ qua các khâu kiểm tra

an toàn, không tuân thủ chính sách bảo mật thông tin như lưu tập tin bên ngoài thưmục an toàn, ghi mật khẩu lên bàn làm việc,…

Công nghệ thông tin: Là yếu tố tạo nên nền móng cho các hoạt động sản xuất kinh

doanh của doanh nghiệp Công nghệ thông tin đang có khuynh hướng xóa nhòa cácbiên giới, mở ra không gian rộng rãi hơn cho các doanh nghiệp, vì thế ứng dụng côngnghệ thông tin đang tạo ra những cơ hội mới với những nguyên tắc mới Công nghệthông tin như một thách thức đồng thời cũng là công nghệ quan trọng phổ biến nhất,lan tỏa mạnh nhất và hứa hẹn giúp các doanh nghiệp Việt Nam nhanh chóng hòa nhậpvào nền kinh tế toàn cầu

Công nghệ thông tin có thể nói tới các bộ phận cấu thành như:

 Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bị thu

thập, xử lý và lưu trữ thông tin…

 Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòng trốngvirus, những ứng dụng, hệ điều hành, giải pháp mã hóa…

2.2 Thực trạng vấn đề bảo mật HTTT tại Công ty Cổ phần Truyền thông Việt

2.2.1 Giới thiệu về Công ty Cổ phần Truyền thông Việt

Tên Công ty: CÔNG TY CỔ PHẦN TRUYỀN THÔNG VIỆT

Loại hình Công ty: Công ty Cổ phần

Tên giao dịch: VIET COMMUNICATIONS JOINSTOCK COMPANY

Tên viết tắt: VIETCOMS

Chủ tịch hội đồng quản trị kiêm giám đốc: Ông ĐỖ ĐỨC KHANG

Đăng kí lần đầu: ngày 28 tháng 07 năm 2005

Đăng kí thay đổi lần 6 ngày 13 tháng 11 năm 2012

Kinh doanh: Kinh doanh vật tư thiết bị trong lĩnh vực bưu chính viễn thông, tin học điện tử, phát thanh, truyền hình, điện lực, hàng không, xây dựng, giao thông, vận tải, dầu khí

lực sẵn có thì Công ty Cổ phần Truyền thông Việt đã vạch ra chiến lược hướng tới sựhoàn thiện, không ngừng nâng cao chất lượng sản phẩm dịch vụ, đa dạng hoá sảnphẩm dịch vụ, cải tiến công nghệ nhằm đáp ứng cho khách hàng những sản phẩm tốtnhất với dịch vụ sau bán hàng tuyệt vời nhất và coi đó là nền tảng cơ bản giúp choCông ty Cố phần Truyền thông Việt phát triển vững chắc trong tương lai với phươngchâm:

“ Giá cả cạnh tranh – Công nghệ tiên tiến – Chất lượng hàng đầu”

 Tình hình hoạt động kinh doanh của công ty 3 năm gần nhất

Bảng 2.1: Báo cáo kinh doanh của Công ty Cổ phần Truyền thông Việt

6 Lợi nhuận trướcthuế 483.140.985 315.461.095 114.247.596

7 Lợi nhuận sau thuế 328.605.739 315.461.095 114.247.596

( Nguồn: phòng tài chính kế toán của Công ty Cố phần Truyền thông Việt )

 Website của Công ty: www.vietcoms.com

Sử dụng công nghệ: ASP.Net

Website được ra đời vào năm 2005 do Công ty tự xây dựng Website có thể thựchiện một số chức năng sau:

- Cung cấp thông tin về Công ty và là nơi để tiếp nhận các thông tin đối ngoại

- Quảng bá thương hiệu, hình ảnh về dự án và các sản phẩm kinh doanh, dịch vụcủa Công ty

- Giới thiệu các sản phẩm, dịch vụ của Công ty

2.2.2 Phân tích, đánh giá thực trạng vấn đề bảo mật Hệ thống thông tin của Công

ty Cổ phần Truyền thông Việt

Tại công ty CP Truyền thông Việt thực trạng vấn đề bảo mật đang đặt ra nhiềukhó khăn khiến nhất là trong xu thế thương mại điện tử phát triển như hiện nay Sauđây là số liệu thống kê về tình trạng bảo mật của công ty trong 3 năm trở lại đây:

2.2.2.1 Thực trạng vấn đề bảo mật của công ty Cổ phần Truyền thông Việt

Hệ thống mạng của công ty gồm 15 máy tính để bàn được kết nối trực tiếp vớimạng Internet có dây Ngoài ra thì hầu như mỗi thành viên của công ty đều có laptopriêng và kết nối vào mạng chung của công ty qua mạng Wifi Những năm trở lại đây,tần suất máy tính của công ty bị nhiễm virus là khá cao và sau đây là biểu đồ thống kê

Biểu đồ 2.1: Thống kê tần suất máy tính bị nhiễm virus

(Nguồn: phòng công nghệ thông tin của Công ty Cổ phần Truyền thông Việt)

Không đơn thuần chỉ là hệ thống máy tính bị nhiễm virus với tần suất khá caonhư thống kê ở trên mà trong những năm gần đây, hệ thống mạng, website, server(máy chủ) của công ty cũng bị hacker tấn công khá nhiều và lấy đi nhiều thông tin, dữliệu quan trọng trong các giao dịch với khách hàng Dưới đây là những thống kê quantrọng:

 Thống kê về số lần bị hacker tấn công vào mạng máy tính nội bộ công ty làm têliệt mọi hoạt động của công ty

Bảng 2.2: Thống kê số lần bị hacker tấn công

Năm Số lần bị tấn công Thời gian khắc

Biểu đồ 2.2:Thống kê số lần hệ thống máy tính của công ty bị tấn công qua các đường

Tấn công qua đường mạng dây

Tấn công qua đường mạng wifi

(Nguồn: Theo phòng Công nghệ thông tin của Công ty Cổ phần Truyền thông Việt)

Qua bảng và biểu đồ trên ta thấy thiệt hại rất lớn khi phải hứng chịu các cuộctấn công từ hacker gây ra Không chỉ mất thời gian và tiền bạc mà còn làm suy giảm

uy tín của công ty Thống kê chỉ ra rằng, hacker có xu hướng chuyển từ tấn công quađường mạng có dây sang tấn công từ đường mạng không dây Điều đó đặt ra nhiều vấn

đề mới trong công tác bảo mật thông tin của công ty

Website là một trong những địa chỉ mà hacker ưa thích Cũng giống như cáccông ty hay doanh nghiệp khác trên thế giới, website chính thức của Công ty CPTruyền thông Việt đã từng bị tấn công không chỉ một lần mà là rất nhiều lần Dựa vàocác lỗ hổng trong bảo mật website như XSS, SQL injection, DoS ( Dinal of Services_

Từ chối dịch vụ)… Các lỗ hổng này có mức độ nguy hiểm không giống nhau tuy nhiênđều gây ra những thiệt hại to lớn cho công ty, làm ảnh hưởng đến mọi hoạt động trongcông ty

 Biểu đồ thống kê tần suất website của công ty bị khai thác lỗ hổng bảo mậtXSS, SQL injection…