Trong khóa luận tốt nghiệp này, em xin trình bày về lý luận chung của một HTTT được coi là an toàn và bảo mật, từ đó đi sâu và một doanh nghiệp cụ thể, chỉ ra những lỗ hổng hiện có của H
Trang 1LỜI CẢM ƠN
Hiện nay, an toàn bảo mật thông tin đang là một trong những vấn đề được quan tâm nhiều nhất từ những doanh nghiệp lớn tới doanh nghiệp nhỏ, các tổ chức hay người sử dụng cá nhân Tầm quan trọng của an toàn bảo mật thông tin là không thể phủ nhận tuy nhiên không phải bất kì doanh nghiệp nào cũng có thể đạt được những tiêu chí về một HTTT an toàn bảo mật Trong khóa luận tốt nghiệp này, em xin trình bày về lý luận chung của một HTTT được coi là an toàn và bảo mật, từ đó đi sâu và một doanh nghiệp cụ thể, chỉ ra những lỗ hổng hiện có của HTTT trong doanh nghiệp, đưa ra những giải pháp khắc phục cụ thể và những hình thức tấn công mới gần đây giúp doanh nghiệp có hướng nhìn khái quát về vấn đề an toàn bảo mật
Để thực hiện và hoàn thành được khóa luận tốt nghiệp này em xin gửi lời cảm ơn sâu sắc đến cô hướng dấn làm khóa luận là cô Th.s NGUYỄN THỊ HỘI cũng như các thầy cô trong bộ môn đã tận tình chỉ bảo và giúp em bổ sung kiến thức trong lí thuyết cũng như thực tiễn Ngoài ra em xin gửi lời cảm ơn chân thành tới ban lãnh đạo Công
ty TNHH MTV TÙNG BẮC đã tạo điều kiện giúp đỡ em trong suốt quá trình thực tập cũng như làm khóa luận tốt nghiệp
Trong suốt thời gian thực tập và thời gian làm bài khóa luận ,em đã cố gắng tìm hiểu rõ ràng, đi sâu vào thực trạng HTTT quản lý của Công ty Tuy nhiên, thời gian còn hạn chế nên chưa thể nói rõ ràng hết được toàn bộ những lỗ hổng nhỏ, cũng như những biện pháp khác Vì vậy, mong thầy cô đóng góp thêm ý kiến giúp em khắc phục
Em xin chân thành cảm ơn !
Sinh viên thực hiện
Nguyễn Thị Tường Vi
Trang 2MỤC LỤC
Giải pháp cho phép truy cập máy chủ nội bộ từ internet hỗ trợ NAT(PAT) iii
Kết nối mạng nội bộ của các chi nhánh với nhau qua VPN iii
Bảng so sánh kỹ thuật giữa server cũ và server đề xuất iv
a.Trang thiết bị phần cứng 18
c.Về con người 21
d.Sơ đồ hệ thống mạng 22
HP ProLiant DL320e G8 E3-1230v2 38
Bảng 3.1 Bảng so sánh kỹ thuật giữa server cũ và server đề xuất 38
( Nguồn : http://www.planet.com.vn/ ) 38
Nâng cấp một máy chủ có cấu hình ổn định tốc độ xử lý dữ liệu nhanh, cho phép sao lưu, lưu trữ dữ liệu ở mức độ lớn, phù hợp cho doanh nghiệp vừa và nhỏ và đáp ứng được nhucầu mở rộng trong tương lai Để nâng cấp máy chủ cần chú ý một số vấ đề như sau : 38 chặn truy cập theo khu vực địa lý, quản lý chất lượng QoS, Proxy, quản trị mạng không dây, hỗ trợ VLAN, cân bẳng tải, VPN theo 4 giao thức, giám sát/phân tích mạng, quản lý tên miền (DC), hỗ trợ tên miền động (DynDNS), cho phép chạy song hành, failover, hỗ trợ ngôn ngữ tiếng Việt , tự động cập nhật black list., tự động nâng cấp phiên bản… 41
Lợi ích mà pfSense đem tới là : 41
Cấm truy cập theo thời gian biểu 43
Cho phép truy cập máy chủ nội bộ từ internet 43
Hình 3.3 Giải pháp cho phép truy cập máy chủ nội bộ từ internet hỗ trợ NAT(PAT) 44
Hình 3.4 Cho phép truy cập máy chủ nội bộ từ internet hỗ trợ reverve proxy 44
Kết nối mạng nội bộ của các chi nhánh với nhau 44
45
Hình 3.5 Kết nối mạng nội bộ của các chi nhánh với nhau qua VPN 45
Trang 3DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ DANH MỤC HÌNH VẼ
Hình 2.1 Mối quan hệ giữa các yếu tố của một HTTT an toàn, bảo mật 10
Hình 2.3 Hệ thống mạng của công ty TNHH MTV Tùng Bắc 23
Hình 3.2 Mô tả tính năng cập nhập theo thời gian biểu của pfSense 44
Hình 3.3 Giải pháp cho phép truy cập máy chủ nội bộ từ internet hỗ
Hình 3.5 Kết nối mạng nội bộ của các chi nhánh với nhau qua VPN 46
Hình 3.6 Minh họa mạng riêng ảo cho công ty trong tương lai 49
Hình 3.13 Sao lưu dữ lieu bằng đường truyền cao tốc 55
Trang 4DANH MỤC BẢNG BIỂU
Bảng 2.2 Kết quả tổng hợp trang thiết bị phần cứng tại công
Bảng 2.5 Thống kê số phần mềm hiện tại của Công ty 25
Bảng 2.6 Tốc độ truy cập và xử lý dữ liệu của máy chủ 27
Bảng 2.7 Đánh giá chung về chất lượng phần cứng 28
Bảng 3.1 Bảng so sánh kỹ thuật giữa server cũ và server đề
Trang 5DANH MỤC BIỂU ĐỒ
Biểu đồ 2.2 Mức độ sử dụng mạng máy tính trong công ty 20
Biểu đồ 2.3 Đánh gía mức độ quan trọng của việc ứng dụng công
nghệ thông tin, hệ thống thông tin của cán bộ nhân viên
22
Biểu đồ 2.4 Đánh giá tốc độ truy cập và xử lý dữ liệu của máy chủ 28
Biểu đồ 2.6 Mức độ an toàn bảo mật của phần mềm hiện tại 30
Biểu đồ 2.7 Các nhân tố bên ngoài ảnh hưởng tới hoạt động của HTTT 30
Biểu đồ 2.8 Các nhân tố bên trong ảnh hưởng tới hoạt động của HTTT 31
Biểu đồ 2.9 Mức độ an toàn của hệ thống mạng nội bộ 32
Biểu đồ 2.10 Các nguy cơ tấn công mà tổ chức gặp phải là gì? 32
Biểu đồ 2.11 Mục tiêu của HTTT trong thời gian tới 33
Trang 6DANH MỤC TỪ VIẾT TẮT
HTTT Hệ thống thông tin
TNHH Trách nhiệm hữu hạn
MTV Một thành viên
WLAN Wireless local area network Mạng cục bộ không dây
XSS Cross-Site Scripting Tấn công vào kịch bản site
SQLI Structured Query Language
phiên bản 2WEP Wired Equivalent Privacy Bảo mật tương đương có dây
WPS Wifi protected setup Thiết lập bảo vệ mạng không dâySSID Service Set Identifier Đặt dịch vụ định danh
IP Internet Protocol Giao thức mạng
TCP Transmission Control Protocol Giao thức kiểm soát truyền vậnVPN Virtual Private Network Mạng riêng ảo
DoS Denial of Service Tấn công từ chối dịch vụ
Trang 7PHẦN 1 : TỔNG QUAN VỀ AN TOÀN BẢO MẬT HTTT QUẢN LÝ TẠI
CÔNG TY TNHH MTV TÙNG BẮC 1.1 Tầm quan trọng, ý nghĩa của vấn đề an toàn bảo mật cho HTTT doanh nghiệp
1.1.1 Tầm quan trọng của vấn đề an toàn bảo mật HTTT trong doanh nghiệp
Vấn đề đảm bảo an toàn cho các HTTT là một trong những vấn đề quan trọng được cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảo dưỡng HTTT Cũng như tất cả hoạt động khác của xã hội, từ khi con người có nhu cầu lưu trữ và xử
lí thông tin, đặc biệt là khi thông tin được xem như một phần của tư liệu sản xuất, thì nhu cầu bảo vệ thông tin ngày càng trở nên bức thiết Bảo vệ thông tin là bảo vệ tính bí mật và tính toàn vẹn của thông tin Một số loại thông tin chỉ có ý nghĩa khi chúng được giữ kín hoặc giới hạn trong một số đối tượng nào đó ví dụ như thông tin về chiến lược quân sự Đây là tính bí mật của thông tin Hơn nữa thông tin không phải luôn được con người ghi nhớ do sự hữu hạn của bộ óc nên cần phải có thiết bị lưu trữ thông tin Nếu thiết bị lưu trữ không an toàn thì thông tin lưu trữ trên đó bị mất đi, bị sai lệch toàn bộ hay một phần Khi đó tính toàn vẹn thông tin không còn được đảm bảo Khi máy tính được sử dụng để xử lí thông tin, hiệu quả xử lí thông tin được nâng cao lên, khối lượng thông tin được xử lí ngày càng lớn, kéo theo nó, tầm quan trọng của thông tin trong đời sống xã hội ngày càng tăng Nếu như trước đây, việc bảo vệ thông tin chỉ chú trọng vào vấn đề dùng các cơ chế và phương tiện vật lí để bảo vệ thông tin theo đúng nghĩa đen của từ này, thì càng về sau, vấn đề bảo vệ thông tin đã trở nên đa dạng và phức tạp hơn Có thể nhận ra hai điều thay đổi sau đây về bảo vệ thông tin Sự ứng dụng của máy tính trong việc xử lí thông tin làm thay đổi dạng lưu trữ thông tin và phương thức xử lí thông tin Cần thiết phải xây dựng cơ chế bảo vệ thông tin theo đặc thù hoạt động của máy tính Từ đây xuất hiện yêu cầu bảo vệ sự an toàn hoạt động của máy tính tồn tại song song với yêu cầu bảo vệ sự an toàn của thông tin Sự phát triển của mạng máy tính và các hệ thống phân tán làm thay đổi phạm vi xử lí thông tin Thông tin được trao đổi giữa các thiết bị xử lí thông qua một khoảng cách vật lí rất lớn, gần như không giới hạn, làm xuất hiện nhiều nguy cơ làm mất sự an toàn của thông tin Từ đó xuất hiện yêu cầu bảo vệ sự an toàn của hệ thống mạng, gồm các cơ chế và kỹ thuật phù hợp với việc bảo vệ sự an toàn của thông tin khi chúng được trao đổi giữa các thiết bị mạng
Trang 81.1.2 Ý nghĩa của vấn đề an toàn bảo mật HTTT doanh nghiệp
Ý nghĩa nghiên cứu của đề tài là đưa ra những lý luận cơ bản được đúc kết lại từ nhiều tài liệu khác nhau, đưa ra một cách nhìn tổng quan về thực trạng an toàn bảo mật của cách doanh nghiệp hiện nay Đồng thời định hướng một số giải pháp nhằm khắc phục những lỗ hổng an toàn bảo mật cho doanh nghiệp, đưa ra xu hướng an toàn bảo mật cho năm tiếp theo và những giải pháp mới nhất đang được các doanh nghiệp lớn thực hiện
Ý nghĩa thưc tế đối với Công ty là mong muốn giúp doanh nghiệp đạt được hiệu quả cao hơn trong vấn đề đảm bảo an toàn và bảo mật thông tin Đề tài sẽ tập trung nghiên cứu cơ sở lý luận về lý thuyết an toàn, bảo mật thông tin nói chung và an toàn, bảo mật thông tin HTTT quản lý nói riêng, đặc biệt là các yếu tố ảnh hưởng và các tiêu chí đo lường hiệu quả các giải pháp đảm bảo an toàn, bảo mật thông tin HTTT quản lý
để có thể đánh giá được chính xác nhất về thực trạng cũng như hiệu quả của các giải pháp đảm bảo an toàn, bảo mật thông tin của công ty Từ đó khóa luận đưa ra những biện pháp phù hợp nhằm khắc phục thực trạng của vấn đề tại công ty TNHH MTV Tùng Bắc
Từ tầm quan trọng và ý nghĩa của việc nghiên cứu đề tài cùng với những kiến thức em được học trên trường và sự lựa chọn của bản thân em xin đưa ra đề tài
“ Một số giải pháp đảm bảo an toàn , bảo mật cho HTTT của công ty TNHH MTV TÙNG BẮC “
1.2 Tổng quan vấn đề nghiên cứu.
An toàn và bảo mật hệ thống thông tin không còn là vấn đề xa lạ đối với thời đại công nghệ số hiện nay Ở Việt Nam những năm gần đây không ngừng gia tang số lượng người sử dụng Internet, và chính vì đó nguy cơ mất an toàn bảo mật càng lớn
Vì vậy các doanh nghiệp trong nước đang cố gắng đầu tư hoàn thiện lại hệ thống TT quản lý an toàn bảo mật hơn Đã có rất nhiều sách báo, công trình nghiên cứu về vấn
đề này được thực hiện, tuy nhiên mỗi công trình nghiên cứu đề cập đến một khía cạnh của vấn đề an toàn bảo mật mà chưa thực rõ ràng cho một doanh nghiệp cụ thể Ví dụ một số tài liệu tham khảo sau :
Tài liệu nước ngoài
WILLIAM STALLING, 2011, Cryptography and network security principles and
practices, Fourth Edition, Prentice Hall
Trang 9Nội dung chính của cuốn sách nói về vấn đề mật mã và an ninh mạng , đưa ra những nguyên tắc và thực hành về hệ thống mật mã và an ninh mạng , đồng thời khám phá những vấn đề cơ bản của công nghệ mật mã và an ninh mạng Nêu tóm lược về các thuật toán mã hóa cơ bản như mã hóa khóa đối xứng, mã hóa cổ điển, mã hóa khối, mã hóa tiên tiến và các tiêu chuẩn của mã hóa tiên tiến Nội dung tiếp theo là đề cập tới hàm băm và thuật toán mã hóa khóa công khai, về chữ ký số và an ninh mạng: ứng dụng xác thực an ninh thư điện tử, IP an ninh, bảo mật web và hệ thống an ninh cho hệ thống thông tin bao gồm phương pháp phòng tránh, mở rộng cập nhật những phần mềm độc hại và những kẻ xâm hại.
Đây là cuốn sách đưa ra được nhiều vấn đề cơ bản của một hệ thống mạng, vấn
đề an toàn bảo mật được nói rõ ràng Trình bày những phương pháp, cách thức chung của một hệ thống từ cơ bản tới mở rộng, nâng cao Cuốn sách được ứng dụng hầu hết trong các giáo trình, bài giảng của các trường đại học đến những công trình nghiên cứu tầm cỡ, và ngày càng phổ biến
Tuy nhiên, nội dung cuốn sách chỉ đề cập tới 2 vấn đề chính là tường lửa liên quan tới phần cứng máy tính, tiếp theo là các phần mềm độc hại Đây là 2 vấn đề cơ bản, nhưng ngoài ra đối với một hệ thống thông tin không chỉ xảy ra sự cố do 2 yếu tố
đó, mà còn bị ảnh hưởng bởi các nguy cơ xâm hại khác Vì vậy, chưa thể áp dụng đối với một doanh nghiệp cụ thể
Tài liệu trong nước
ĐÀM GIA MẠNH, 2009, Giáo trình an toàn dữ liệu trong thương mại điện
tử, Đại học Thương Mại.
Giáo trình này đưa ra các vấn đề cơ bản về an toàn dữ liệu trong thương mại điện
tử bao gồm đại cương về an toàn dữ liệu trong thương mại điện tử, mô hình đảm bảo
an toàn dữ liệu Đưa ra các hình thức tấn công, cùng với các biện pháp phòng tránh khi
sự cố chưa xảy ra và cách khắc phục khi đã xảy ra sự cố Tài liệu cũng trình bày về vấn đề mã hóa dữ liệu và ứng dụng của an toàn dữ liệu trong thương mại điện tử , các giải pháp đảm bảo an toàn dữ liệu trong thương mại điện tử
Điểm nổi bật của tài liệu là trình bày từ lý thuyết chung cơ bản tới những nhận xét đánh giá khách quan có tính chuyên sâu về vấn đề Đầu tiên đưa ra các khái niệm căn bản như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT, cũng như những nguy cơ mất mát dữ liệu, các hình thức tấn công trong TMĐT Từ đó giúp những người kinh doanh trong thương mại điện tử có cái nhìn tổng thể về hoạt động kinh doanh của mình Giáo trình cũng đào sâu nghiên cứu về các kiểu tấn công phổ
Trang 10biến và cách khắc phục sự cố, phương pháp mã hóa dữ liệu, ứng dụng chữ ký điện tử
và các biện pháp đảm bảo an toàn dữ liệu, giúp các nhà kinh doanh có cái nhìn toàn diện và vận dụng thuận lợi hơn vào doanh nghiệp của mình
Tuy nhiên đây là giáo trình nghiên cứu một vấn đề cụ thể của an toàn bảo mật trong lĩnh vực thương mại điện tử, không đi sâu nghiên cứu khía cạnh an toàn bảo mật riêng cho một hệ thống thông tin doanh nghiệp
TS NGUYỄN VĂN KHANH , 2014, Giáo trình cơ sở an toàn thông tin, NXB Bách Khoa - Hà Nội
Giáo trình cung cấp một cách tiếp cận tổng thể các khái niệm cơ bản về các vấn
đề xung quanh bảo vệ hệ thống tin học, đồng thời giới thiệu các kiến thức về lĩnh vực
an toàn và bảo mật máy tính ở mức độ tiệm cận và chuyên sâu bao gồm giới thiệu tổng quan về an toàn thông tin, đưa ra cơ sở lý thuyết mật mã và ứng dụng, hệ thống mật
mã khóa công khai, chữ ký điện tử, hàm băm, quản lý khóa, xác thực, điều khiển truy cập Giáo trình cũng đi sâu phân tích về an toàn trên internet, mã độc, an toàn phần mềm, các giao thức mật mã và ứng dụng của nó Qua đó, người đọc có thể hình dung
cụ thể về các chủ đề nghiên cứu chính của vấn đề này
Thành công của tài liệu là tác giả đã tập trung diễn giải cặn kẽ các kiến thức căn bản và then chốt với mức ưu tiên cao hơn với các kỹ thuật chuyên sâu hơn Giáo trình trình bày kỹ lưỡng các kiến thức cơ bản của lý thuyết mật mã, một lĩnh vực tương đối khó với sinh viên ngành CNTT
Tồn tại: Giáo trình tuy trình bày rất cụ thể về các vấn đề của an toàn và bảo mật
hệ thống thông tin nhưng không tập trung vào đảm bảo an toàn bảo mật cho bất kỳ một doanh nghiệp hay trường hợp cụ thể nào Vì vậy sẽ rất khó cho người dùng để xây dựng được 1 cách toàn diện các giải pháp đảm bảo an toàn bảo mật chặt chẽ cho doanh nghiệp của mình
NGUYỄN MINH HIỂN, 2011 , Luận văn thạc sĩ với đề tài: “Nghiên cứu một
số phương pháp đảm bảo an toàn hệ thống thông tin bằng kiểm soát truy nhập” Học viện Công nghệ bưu chính viễn thông.
Luận văn đưa ra được cơ sở lý thuyết của an toàn thông tin, những lý thuyết toán học cơ bản mà bất kỳ bài toán nào cũng cần đề cập tới như khái niệm vê hàm băm, mã hóa, chữ ký số…Ngoài ra luận văn còn đề cập tới một số phương pháp kiểm soát truy nhập hệ thống thông tin, và thử nghiệm chữ ký số RSA để kiểm soát truy nhập hệ thống thông tin
Tuy nhiên, muốn một hệ thống được an toàn không chỉ có một vấn đề là kiểm
Trang 11soát truy nhập mà còn liên quan tới hệ thống mạng…phần mềm, phần cứng, cũng như yếu tố tác động là con người Vì vậy tài liệu chỉ đóng góp một khía cạnh nhỏ về an toàn bảo mật hệ thống thông tin Trên đây là một số tài liệu nghiên cứu về an ninh thông tin trên thế giới và trong nước Các tài liệu trên xuất phát từ các cá nhân, tổ chức
từ các nước khác nhau nhưng đều hướng tới mục tiêu chung là xây dựng một HTTT an toàn
1.3 Mục tiêu đề tài.
Việc nghiên cứu khóa luận nhằm mục tiêu sau
Hệ thống hóa một số cơ sở lý luận về an toàn, bảo mật HTTT quản lý trong doanh nghiệp Trên cơ sở lý luận, các công cụ phân tích đánh giá thực trạng hoạt động hoạt động đảm bảo an toàn và bảo mật HTTT quản lý tại công ty TNHH MTV Tùng Bắc Và đưa ra những giải pháp khả thi nhằm đảm bảo tính an toàn, bảo mật cho công
ty TNHH MTV Tùng Bắc
1.4 Đối tượng và phạm vi của đề tài.
a Đối tượng nghiên cứu : Các giải pháp công nghệ và giải pháp con người để đảm bảo an toàn, cũng như nâng cao được hoạt động an toàn bảo mật HTTT quản lý là đối tượng nghiên cứu chính của đề tài
b Phạm vi nghiên cứu
Phạm vi thời gian : Đề tài sẽ phân tích các hoạt động an toàn và bảo mật HTTT của doanh nghiệp qua các báo cáo kinh doanh, tài liệu lien quan tới trong vòng 3 năm gần đây nhất (2011, 2012, 2013) và định hướng đến 5 năm tiếp theo
Phạm vi không gian : Nghiên cứu thực trạng hoạt động an toàn bảo mật HTTT quản lý của công ty TNHH MTV Tùng Bắc
Phạm vi nội dung : Nội dung xoay quanh hoạt động an toàn, bảo mật HTTT quản
lý trong công ty để xác định ưu nhược điểm của các hoạt động đó Đồng thời phân tích thực trạng triển khai, thuận lợi, khó khan, đánh giá hiệu quả và có những đề xuất cụ thể nhằm nâng cao hoạt động đảm bảo an toàn bảo mật cho công ty
Trang 121.5 Phương pháp nghiên cứu, thực hiện đề tài.
1.5.1 Các phương pháp thu thập thông tin
Dữ liệu được thu thập từ nhiều nguồn khác nhau và xử lý :
Nguồn tài liệu bên trong : các báo cáo kết quả hoạt động kinh doanh của công ty gần nhất Nguồn tài liệu bên ngoài : từ các công trình nghiên cứu khoa học, tạp chí, sách báo, của các năm có liên quan tới đề tài
a Phương pháp sử dụng phiếu điều tra
Khái niệm : Là phương pháp đơn giản, sử dụng bảng câu hỏi có sẵn khảo sát trên một nhóm đối tượng có sẵn để thu thập những thông tin cần thiết
Nội dung : Bảng câu hỏi xoay quanh vấn đề an toàn bảo mật của công ty Những câu hỏi đặt ra để đánh giá thực trạng triển khai các hoạt động đảm bảo an toàn bảo mật,từ đó đề xuất một số giải pháp có tính khả thi hỗ trọ hoạt động an toàn bảo mật HTTT quản lý của công ty
Cách thức tiến hành: Bảng câu hỏi được phát trực tiếp cho nhân viên công ty để thu thập ý kiến
Mục đích : Nhằm thu thập những thông tin về hoạt động an toàn và bảo mật HTTT quản lý của công ty từ đó đánh giá thực trạng triển khai và đưa ra những giải pháp đúng đắn để nâng cao hiệu quả của các hoạt động an toàn bảo mật
Kết quả được sử dụng vào phần 2.2.2 và Chương 3 phần 3.1, 3.2
b Phương pháp phỏng vấn chuyên gia
Khái niệm : Là phương pháp dùng một hệ thống câu hỏi miệng để người được phỏng vấn trả lời bằng miệng nhằm thu được những thông tin nói lên nhận thức hoặc thái
độ của cá nhân họ đối với một sự kiện hoặc vấn đề được hỏi Đây là hình thức điều tra cá nhân, thường được sử dụng trong giai đoạn đầu khi mới làm quen khách thể
Nội dung : Gồm những câu hỏi mở để phỏng vấn trực tiếp chuyên gia quản lý trong công ty
Cách thức tiến hành : Phỏng vấn cá nhân
Mục đích : Thu thập những thông tin chuyên sâu và chi tiết về các hoạt động đảm bảo an toàn và bảo mật HTTT quản lý của công ty
Kết quả được sử dụng : 2.2.2 và chương 3
c Phương pháp thu thập bằng tài liệu có liên quan
Trang 13Khái niệm : Phương pháp nầy là dựa trên nguồn thông tin sơ cấp và thứ cấp thu thập được từ những tài liệu nghiên cứu trước đây để xây dựng cơ sở luận cứ để chứng minh giả thuyết.
Nội dung : Tài liệu liên quan gồm sách đã xuất bản, giáo trình giảng dậy, tài liệu nước ngoài, trong nước, báo chí, công trình nghiên cứu các cấp, luận văn tiến sĩ, luận văn thạc sĩ có liên quan tới đề tài…
Kết quả thu thập được sử dụng trong phần chương 1 phần 1.1, và phần 3.2 chương 3
1.5.2 Phương pháp phân tích và xử lý số liệu :
Khái niệm : Phương pháp định lượng là phương pháp nghiên cứu mà dữ liệu thu thập được là số lượng (number) Công cụ thường được sử dụng trong phương pháp là khảo sát bằng phiếu điều tra
Khái niệm : Phương pháp định tính là phương pháp nghiên cứu mà dữ liệu thu thập được không mô tả số lượng Phỏng vấn là công cụ thường được sử dụng trong phương pháp này Phỏng vấn là đưa ra những câu hỏi với người đối thoại để thu thập thông tin
Quy trình thực hiện là quy trình khảo sát bằng câu hỏi phỏng vấn
Dữ liệu được tập hợp bằng bảng Excel và mô phỏng bằng biểu đồ, sơ đồ đặc trưng
1.6 Kết cấu của khóa luận.
Phần 1: TỔNG QUAN VỀ AN TOÀN BẢO MẬT HTTT QUẢN LÝ TẠI CÔNG TY TNHH MTV TÙNG BẮC.
Phần 2 : CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VỀ AN TOÀN BẢO MẬT HTTT QUẢN LÝ CỦA CÔNG TY TNHH MTV TÙNG BẮC.
Phân 3 : ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT CHO HTTT QUẢN LÝ CỦA CÔNG
TY TNHH MTV TÙNG BẮC.
Trang 14PHẦN 2 : CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VỀ AN TOÀN BẢO MẬT
HTTT QUẢN LÝ CỦA CÔNG TY TNHH MTV TÙNG BẮC
I CƠ SƠ LÝ LUẬN
2.1.1 Một số khái niệm cơ bản:
2.1.1.1 Khái niệm dữ liệu, thông tin, HTTT, HTTT quản lý trong DN:
Dữ liệu: Có rất nhiều những khái niệm cơ bản về thông tin hiện nay, tuy nhiên
phần lớn những khái niệm đều có chung một quan điểm đúng đắn về vấn đề, theo [ 1 ] thì
dữ liệu là những ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu chung chung…dữ liệu chưa mang cho con người sự hiểu biết mà phải thông qua quá trình xử lý dữ liệu thành thông tin thì con người mới có thể hiểu được về đối tượng mà dữ liệu đang biểu hiện
Thông tin cũng trích dẫn từ [ 1 ] thì theo nghĩa thông thường, thông tin là điều
hiểu biết về một sự kiện, một hiện tượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu…
Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối với người sử dụng Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau quá trình xử lý dữ liệu
Hệ thống thông tin trích từ [ 1 ] là một tập hợp và kết hợp của các phần cứng,
phần mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển
Hệ thống thông tin quản lý (MIS) được trích từ [ 1 ] là khái niệm đầy đủ và
ngắn gọn xúc tích nhất
Hệ thống thông tin quản lý được hiểu như là một hệ thống dùng để tiến hành quản lý cùng với những thông tin được cung cấp thường xuyên Ngày nay, do công nghệ máy tính đã tham gia vào tất cả các hoạt động quản lý nên nói đến MIS là nói đến hệ thống thông tin quản lý được trợ giúp của máy tính Theo quan điểm của các nhà công nghệ thông tin, MIS là một mạng lưới máy tính có tổ chức nhằm phối hợp
Trang 15việc thu thập, xử lý và truyền thông tin MIS là tập hợp các phương tiện, các phương pháp và các bộ phận có liên hệ chặt chẽ với nhau, nhằm đảm bảo cho việc thu thập, lưu trữ, tìm kiếm xử lý và cung cấp những thông tin cần thiết cho quản lý.
Nguồn [ 1 ] : Giáo trình mạng máy tính, 2008 , NXB Thông tin và Truyền thông
2.1.1.2 Khái niệm về an toàn, bảo mật HTTT quản lý:
An toàn bảo mật thông tin là vấn đề cơ bản của một HTTT quản lý, có rất nhiều sách báo, giáo trình đưa ra khái niệm này Tổng kết từ nhiều giáo trình trong nước về khái niệm này ta đi tới một khái niệm phổ thông nhất, được biên soạn trong các giáo trình đại học như sau :
An toàn thông tin được trích dẫn từ [ 9 ] được viết như sau an toàn khi thông tin
đó không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép
Bảo mật thông tin theo [9 ] Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng
của thông tin
Tính bảo mật (confidentially): Đảm bảo chỉ có những cá nhân được cấp quyền
mới được phép truy cập vào hệ thống Đây là yêu cầu quan trọng của bảo mật thông tin bởi vì đối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàng đầu, việc các cá nhân không được cấp quyền truy nhập trái phép vào hệ thống sẽ làm cho thông tin bị thất thoát đồng nghĩa với việc tài sản của công ty bị xâm hại, có thể dẫn đến phá sản
Tính toàn vẹn (integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng, chính
xác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực Chỉ các cá nhân được cấp quyền mới được phép chỉnh sửa thông tin Kẻ tấn công không chỉ có ý định đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất giá trị sử dụng bằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty
Tính sẵn sàng (availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn sàng
phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập được vào hệ thống Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ hữu ích khi người sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm bảo nhưng yêu cầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất giá trị
Trang 16Hình 2.1 : Mối quan hệ giữa các yếu tố của một HTTT an toàn, bảo mật Bảo mật
2.1.1.3 Các nhân tố ảnh hưởng đến hiệu quả an toàn, bảo mật HTTT quản lý trong DN
Một HTTT quản lý hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cả môi trường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi trường vi
mô Nhưng có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm bảo an toàn
và bảo mật HTTT quản lý trong doanh nghiệp là: yếu tố con người và yếu tố công nghệ
Con người: Là yếu tố quyết định sự thành công trong tiến trình kiến tạo hệ thống
và tính hữu hiệu của hệ thống trong tiến trình khai thác vận hành
Con người là chủ thể trong việc thực hiện các quá trình của hệ thống thông tin quản lý Mỗi người có vị trí nhất định trong hệ thống tuỳ thuộc chuyên môn, nghề nghiệp, năng lực sở trường và yêu cầu công việc của hệ thống Con người có thể hoạt động độc lập hoặc trong một nhóm, thực hiện những chức năng, nhiệm vụ, mục tiêu nhất định của hệ thống
Người quản lý HTTT đóng một vai trò quan trọng về phương diện công nghệ trong các tổ chức Người quản lý HTTT làm tất cả mọi thứ từ việc lập nên những kế
Tính toàn vẹn
Tính sẵn sàng
Tính bảo mật
Trang 17hoạch cho đến việc giám sát an ninh của hệ thống và điều khiển sự vận hành của mạng lưới thông tin quản lý.
Những người quản lý HTTT máy tính lên kế hoạch, phối hợp, chỉ đạo việc nghiên cứu và thiết kế các chương trình cần đến máy vi tính của các công ty Họ giúp xác định được cả mục tiêu kinh doanh và kỹ thuật bằng sự quản lý hàng đầu đồng thời vạch ra những kế hoạch chi tiết cụ thể để đạt được những mục tiêu đó Ví dụ khi làm việc với đội ngũ nhân viên của mình, máy tính và các nhà quản lý HTTT có thể phát triển những ý tưởng của các sản phẩm và dịch vụ mới hoặc có thể xác định được khả năng tin học của tổ chức đó có thể hổ trợ cho việc quản lý dự án một cách hiệu quả như thế nào
Những người quản lý HTTT máy tính chỉ đạo công việc của những người phân tích hệ thống, các lập trình viên, các chuyên gia hỗ trợ, và những nhân viên khác có liên quan Nhà quản lý vạch ra kế hoạch và sắp xếp các hoạt động như cài đặt và nâng cấp phần mềm, phần cứng, các thiết kế hệ thống và chương trình, sự phát triển mạng máy tính và sự thực thi của các địa chỉ mạng liên thông và mạng nội bộ Họ đặc biệt ngày càng quan tâm đến sự bảo quản, bảo dưỡng, duy trì và an ninh của HTTT quản lý
Việc đảm bảo khả năng hữu dụng, tính liên tục, tính an ninh của dịch vụ công nghệ thông tin và hệ thống dữ liệu là nhiệm vụ quan trọng của các nhà quản trị
Công nghệ thông tin: Là yếu tố tạo nên nền móng cho các hoạt động sản xuất
kinh doanh của DN,
CNTT đang có khuynh hướng xóa nhòa các biên giới, mở ra không gian rộng rãi hơn cho các DN, vì thế ứng dụng CNTT đang tạo ra những cơ hội mới với những nguyên tắc mới CNTT như một thách thức đồng thời cũng là công nghệ quan trọng phổ biến nhất, lan tỏa mạnh nhất và hứa hẹn giúp các doanh nghiệp Việt Nam nhanh chóng hòa nhập vào nền kinh tế toàn cầu
Công nghệ thông tin có thể nói tới các bộ phận cấu thành như những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bị thu thập, xử lý và lưu trữ thông tin Những sản phẩm phần mềm như Firewall phần mềm, phần mềm phòng trống virus, những ứng dụng, hệ điều hành, giải pháp mã hóa…
Trang 182.1.1.4 Thông tin doanh nghiệp và những tác động cụ thể của những công cụ
an toàn, bảo mật tới HTTT doanh nghiệp
Thông tin doanh nghiệp: Là những thông tin của DN về nhân sự, cơ cấu tổ chức, các văn bản, chính sách, mục tiêu sản xuất kinh doanh của DN Những thông tin có tính nhệ cảm như: báo cáo tài chính, báo cáo kết quả hoạt động kinh doanh, thông tin khách hàng,…Tác động của các công cụ đảm bảo an toàn và bảo mật tới HTTT DN: Những công cụ an toàn, bảo mật thông tin hoạt động hiệu quả thì các sự cố tấn công từ bên trong cũng như từ bên ngoài sẽ bị hạn chế và các hoạt động chủ yếu của DN vẫn không ngừng hẳn Đồng thời, khi các công cụ an toàn, bảo mật được ứng dụng thì các hoạt động hay các thông tin sẽ được khắc phục kịp thời mà không gây thiệt hại về mặt vật chất và thông tin cho DN Khi HTTT quản lý hoạt động hiệu quả và an toàn thì các thông tin mà HTTT cung cấp cho các cấp quản trị sẽ có chất lượng và độ tin cậy cao
2.1.2 Phân định nội dung vấn đề nghiên cứu của đề tài
2.1.2.1 Xác định đối tượng cần đảm bảo an toàn, bảo mật
Để đảm bảo một HTTT quản lý được an toàn và bảo mật tức là phải đảm bảo thông tin đầu vào và đầu ra của HTTT đó được đảm bảo an toàn và bảo mật Do đó đối tượng chính của HTTT quản lý cần đảm bảo đó là thông tin của HT đó.Thông tin trong
DN có ở nhiều mức độ và mỗi mức độ cần có những chính sách về an toàn, và bảo mật khác nhau Có những thông tin được đưa vào diện bảo mật ở mức rất cao và rất ít người được biết đến những thông tin này, có những thông tin lại ở những mức độ cần
an toàn, bảo mật ở mức thập hơn DN cần xác định đúng đắn các thông tin cần an toàn, bảo mật để từ đó có các chính sách, công cụ hợp lý để hỗ trợ, kiểm soát các thông tin này
2.1.2.2 Xác định mục tiêu an toàn, bảo mật
Mục tiêu của an toàn bảo mật là phát hiện các lỗ hổng của HTTT, dự đoán trước các nguy cơ tấn công và ngăn trặn những hành động gây mất an toàn, bảo mật thông tin từ bên trong cũng như từ bên ngoài.Một hệ thống thông tin an toàn và bảo mật phải đảm bảo được 3 yêu cầu : tính sẵn sàng, tính bảo mật và tính toàn vẹn Trong kĩ thuật bảo mật gọi là mục tiêu CIA Để đạt được mục tiêu CIA không chỉ đơn giản là thực hiện một vài biện pháp phòng chống, triển khai một vài thiết bị hay phần mềm cho hệ thống mà bảo mật là một chu trình liên tục theo thời gian
Trang 192.1.2.3 Xác định các loại tấn công
Theo lý thuyết nghiên cứu trong Giáo trình an toàn bảo mật HTTT- Đại học Thương Mại thì các loại hình tấn công chủ yếu là do nguyên nhân khách quan hoặc do chủ quan của con người Các nguyên nhân do khách quan mang lại được gọi là các thảm họa (Disaster) là các sự cố xảy ra đột ngột không lường trước, có thể là các thiên tai như động đất, núi lửa, sóng thần… hoặc cũng có thể là do con người gây nên như là hỏa hoạn, mất điện hay sụp đổ hệ thống Còn các nguyên nhân chủ quan chính là các hành vi tấn công Tấn công là các hành vi nhằm phá hoại mục tiêu an toàn và bảo mật Hình thức tấn công thường xảy ra hơn và cũng khó đối phó hơn vì hình thức thay đổi liên tục, để đối phó được thì cần phải hiểu được các kĩ thuật được sử dụng để tấn công
ở mục này tôi sẽ trình bày chi tiết về các kĩ thuật tấn công thường gặp Phân loại tấn công: Các loại tấn công được phân làm 3 loại chính:
Thứ nhất là kỹ thuật tấn công xã hội (Social Engineering Attacks): Kẻ tấn công lợi dụng sự bất cẩn hay sự cả tin của những người trong công ty để lấy được thông tin xác nhận quyền truy nhập của user và có thể truy nhập hê thống vào bằng thông tin đó.Tiếp theo là tấn công phần mềm (Software Attacks) loại này nhằm vào các ứng dụng ( applications), hệ điều hành (OS) và các giao thức ( protocols), mục đích là để phá hủy hay vô hiệu hóa các ứng dụng, hệ điều hành hay các giao thức đang chạy trên các máy tính, để đạt được quyền truy nhập vào hệ thống và khai thác thông tin Loại tấn công này có dùng độc lập hoặc kết hợp với 1 số loại khác Thứ ba là tấn công phần cứng (Hardware Attacks) nhằm vào ổ cứng, bo mạch chủ, CPU, cáp mạng …mục đích
là để phá hủy phần cứng vô hiệu hóa phần mềm, là cơ sở cho tấn công từ chối dịch vụ (DoS)
2.1.2.4 Lựa chọn công cụ an toàn, bảo mật
Người dung thường quan tâm tới các ứng dụng họ có thể sử dụng, nhưng để tiếp cận được với các ứng dụng thông tin phải được truyền đi trên mạng theo nhiều lớp phức tạp Và tại mỗi điểm trên mạng thông tin đều có thể là mục tiêu của các hacker, người làm công tác bảo mật cần xây dựng được một bức tranh toàn cảnh về đường đi của thông tin và các biện pháp bảo mật thích hợp tại mỗi lớp Trong các lớp của mô hình TCP/IP thường tiến hành các phương pháp bảo mật kết hợp
Trang 20Lớp 1: Tại đây sẽ có các chính sách lọc gói tin ngay trên các router kết nối tới nhà
cung cấp dịch vụ, chúng ta sẽ sử dụng các ACL, firewall, IPS tích hợp trên phần mềm IOS để bước đầu ngăn chặn ngay các dịch vụ không cần thiết
Lớp 2: Sử dụng NIPS (network IPS) để quan sát những dữ liệu vào ra Internet, khi có
các dấu hiệu của sự tấn công hay xâm nhập lập tức thông báo cho trung tâm quản lý hoặc
trong trường hợp khẩn cấp có thế khóa ngay các kết nối này lại.
Lớp 3: Tại đây sử dụng bức tường lửa (firewall với chức năng dự phòng-failover) cho
phép ngăn cách làm 3 vùng DMZ, Outside và Inside Các Server công cộng sẽ thuộc vùng DMZ và được bảo vệ rất nghiêm ngặt
Lớp 4: Đây là lớp bảo vệ cuối cùng sử dụng NIPS và HIPS cài trên các Server Hệ
thống này sẽ phát hiện những tấn công đã lọt qua được vòng ngoài Tại đây, HIPS sẽ quan sát các dấu hiệu tấn công ngay trên các hệ điều hành và cho phép có những thông báo cho quản trị mạng hoặc đóng băng các kết nối trong trường hợp khẩn cấp
2.1.2.5 Hoạch định ngân sách an toàn, bảo mật
Việc công ty dành bao nhiêu ngân sách cho chương trình đảm bảo an toàn và bảo mật HTTT quản lý sẽ ảnh hưởng tới việc chọn các công cụ đảm bảo an toàn và bảo mật, cũng như quy mô của chương trình đối với các mục tiêu mà DN đề ra, công ty phải tính toán làm sao với chi phí thấp nhất nhưng vẫn đạt được những mục tiêu mà HTTT quản lý cần hướng tới các ngành khác nhau có mức ngân sách dành cho các hoạt động an toàn và bảo mật khác nhau
Có bốn phương pháp xác định ngân sách dành cho hoạt động đảm bảo an toàn và bảo mật HTTT quản lý mà các công ty thường áp dụng là xác định theo tỷ lệ phần trăm trên doanh thu: Có nghĩa là ngân sách dành cho hoạt động an toàn và bảo mật HTTT quản lý sẽ phụ thuộc vào biến động của mức tiêu thụ hằng năm của DN Thứ hai là cân bằng cạnh tranh tức là xác định ngân sách ngang bằng với mức chi của các hãng cạnh tranh.“Căn cứ vào mục tiêu và nhiệm vụ” phải hoàn thành đòi hỏi người quản trị HTTT phải xác định được những mục tiêu cụ thể của chiến dịch đảm bảo an toàn và bảo mật HTTT rồi sau đó ước tính chi phí của các hoạt động cần thiết để đạt được những mục tiêu đó.Theo khả năng tài chính của DN có nghĩa là ngân sách dành cho chương trình đảm bảo an toàn và bảo mật HTTT quản lý nhiều hay ít là tùy thuộc vào khả năng tài chính của DN Phương pháp này bỏ qua sự ảnh hưởng của hoạt động đảm bảo an toàn và bảo mật HTTT quản lý đối với mức doanh thu mà DN có được, nó
Trang 21dẫn đến ngân sách dành cho an toàn và bảo mật HTTT quản lý hằng năm không ổn định.
2.1.2.6 Đánh giá hiệu quả chương trình an toàn, bảo mật
Sau khi thực hiện kế hoạch đảm bảo an toàn và bảo mật HTTT quản lý, người quản trị hệ thống phải đo lường được tác động của nó đến tổng thể DN như thế nào Điều này đòi hỏi người quản trị HTTT phải đánh giá tác động của các công cụ đảm bảo an toàn và bảo mật HTTT trước khi áp dụng và sau khi áp dụng đã mang lại những thuận lợi hay những khó khăn gì, hoạt động của DN có bị sáo trộn hay không,…
Người quản trị cần thu thập thông tin về tác động của chương trình đảm bảo an toàn và bảo mật HTTT tới HTTT và phản ứng của các cấp lãnh đạo, các nhân viên trong DN,…để làm cơ sở đánh giá những tác động của chương trình Để có lượng thông tin đầy đủ người quản trị cần thu thấp cả thông tin định lượng như doanh thu, chi phí… và thông tin không định lượng được như mức độ hài lòng, thoái mái của nhân viên, mức độ thu thập, lưu trữ, phản hồi thông tin của HT để có được cái nhìn toàn diện về HTTT trước và sau khi áp dụng chương trình đảm bảo an toàn và bảo mật HTTT quản lý của DN
II THỰC TRẠNG AN TOÀN BẢO MẬT HTTT QUẢN LÝ CỦA CÔNG
TY TNHH MTV TÙNG BẮC.
2.2.1 Tổng quan về công ty
2.2.1.1 Thông tin chung về công ty
Tên đầy đủ doanh nghiệp: Công ty TNHH MTV TÙNG BẮC
Tên giao dịch quốc tế: TUNG BAC company limited
Tên viết tắt:TB CO.LTD
Người đại diện: Giám Đốc Nguyễn Thị Bắc
Công ty thành lập từ năm 2009 với ý tưởng kinh doanh táo bạo, lần đầu doanh nghiệp mở rộng kinh doanh mảng xây dựng, đầu tư mua máy móc, ô tô tải,máy xúc,
Trang 22máy ủi,thuyền cỡ lớn …với mục đích trở thành doanh nghiệp đầu tiên có máy móc hiện đại phát triển xây dựng các công trình cỡ lớn tại huyện Lục Nam Sang năm 2010 doanh nghiệp bắt đầu đàu tư thêm dàn máy chế biến than phục vụ các công ty sản xuất gạch trong huyện, tỉnh lân cận Khách hàng dần biết tới Công ty nhiều hơn trong những năm gần đây, công ty cũng từng bước kết hợp với nhiều dự án khác của các công ty khác để mở rộng kinh doanh và phát triển thêm nhiều lĩnh vực khác
Công ty bao gồm 1 giám đốc và 30 nhân viên làm việc tại 5 phòng ban Các phòng ban bao gồm
Hình 2.2 Các phòng ban của Công ty
(Nguồn: Phòng Kế toán- Tài Chính) 2.2.1.2 Khái quát hoạt động sản xuất kinh doanh của đơn vị.
Khi mới thành lập công ty TNHH MTV TÙNG BẮC chuyên kinh doanh về lĩnh vực xây dựng và chỉ tập trung phát triển trong lĩnh này Nhưng hiện nay công ty đã mở rộng thêm lĩnh vực kinh doanh nhằm phát triển thị trường và đa dạng hóa khách hàng hơn cho công ty.Tình hình kinh doanh trong 5 năm qua của công ty luôn trên đà đi lên, doanh thu luôn đạt thậm chí vượt mục tiêu đề ra Khách hàng của công ty ngày một đông hơn, đa dạng hơn và tin tưởng vào chất lượng sản phẩm của công ty
Có thể thấy sự thay đổi đó qua bảng doanh thu các năm dưới đây:
Bảng 2.1: Doanh thu công ty 2009-2013
(Nguồn:Phòng Kế toán- Tài chính)
Đơn vị : vnd
Trang 23Biểu đồ 2.1: Doanh thu công ty 2009-2013.
(Nguồn: Phòng kế toán- tài chính)
Có được kết quả kinh doanh trên một phần là nhờ hiệu quả của việc ứng dụng CNTT, HTTT trong quá trình hoạt động kinh doanh của công ty mang lại
2.2.1.3 Phân tích thực trạng an toàn bảo mật HTTT quản lý tại công ty
Nắm bắt được tình hình phát triển của khoa học công nghệ và tầm quan trọng của việc ứng dụng CNTT đối với hoạt động kinh doanh của công ty Ban giám đốc công ty
đã cho triển khai bắt đầu ứng dụng CNTT từ năm 2010 và đến năm 2013 đã sử dụng các phần mềm ứng dụng để tính toán, quản lý hoạt động kinh doanh của công ty
Hiện tại công ty có 1 máy chủ được đặt tại phòng giám đốc và 7 máy tính để bàn
và 6 máy tính xách tay Trong đó phòng giám đốc có 1 máy chủ và 2 máy tính xách tay Phòng kế toán tài chính có 3 máy tính để bàn, 2 máy tính xách tay.Phòng kinh doanh và bán hàng có 3 máy tính để bàn và 3 máy tính xách tay Bộ phận kho có 2 máy tính để bàn Phòng kỹ thuật có 2 máy tính để bàn Tổng số máy tính được kết nối vào mạng nội bộ là 18 máy, số máy tính kết nối internet là 18 máy, số phòng ban được kết nối vào mạng nội bộ là 5 phòng ban Các hệ điều hành sử dụng cho máy chủ và các máy tính trong công ty mới được nâng cấp lên bản Windows 7 Office 2010
Phương thức thu thập và truyền nhận thông tin của công ty: Sử dụng đường truyền của mạng Lan và Internet để truyền nhận thông tin giữa cấp trên và cấp dưới và giữa nhân viên các phòng ban với nhau.Công ty chưa có cán bộ chuyên trách quản trị mạng và các HTTT riêng Vấn đề này được xen kẽ trong công việc của các phòng ban
có sử dụng HTTT, hệ mạng, phần mềm
Trang 241 Máy chủ 1 Là nơi lưu trữ các phần mềm
chính, dữ liệu của công ty Nhằm đảm bảo truy cập phân quyền và
an toàn nhất
2010
2 Máy tính để bàn 10 Lưu trữ các phần mềm, dữ liệu
của công ty như thông tin sản phẩm, thông tin khách hàng, dữ liệu mua bán hàng
4 Máy in/ máy fax 1/1 In báo cáo, hóa đơn bán
hàng,phiếu thu chi, kê khai, …
2010
5
Sony SSC- G103Dùng giám sát các hoạt động của công ty
Bảng 2.2 Kết quả tổng hợp trang thiết bị phần cứng tại công ty(2009- nay)
(Nguồn : tác giả thống kê)
2009 Tạo lập các văn bản, báo
cáo, thuyết trình chuyên
Trang 25nghiệp,nhanh gọn.
Số liệu được xử lý, tính toán, điều chỉnh phù hợp theo yêu cầu
kế toán hiệu quả, chính xác
Các nghiệp vụ đầu vào
Nghiệp vụ cập nhật số
dư đầu kỳ Nghiệp vụ
Tiền mặt, nghiệp vụ ngân hàng, nghiệp vụ nhập xuất kho, nghiệp
vụ Hóa đơn công nợ, báo cáo tài chính…
2010 Nghiệp vụ kế toán trở
lên nhanh gọn, dễ hàng hơn Tiết kiệm chi phí, thời gian thực hiện
và nhỏ Phiên bản này được thiết kế đặc biệt hoạt động theo mô hình quản lý tập trung trên Server, bảo vệ an toàn tối đa cho từng máy tính cũng như trên toàn
hệ thống mạng trước những nguy cơ về virus, trojan, rootkit, spyware, adware
2010 Cho phép lưu trữ dữ liệu
dạng an toàn bảo mật
Bảo vệ máy tính khỏi nguy cơ nhiễm virus, Trojan,…
2010 Phần mềm bán
hàng được tích hợp đầy
đủ các chức năng cơ bản
Trang 26Giúp tiết kiệm thời gian
và giảm khối lượng công việc, công tác quản
lý bán hàng được tối ưu nhanh chóng, chính xác-hiệu quả
Bảng 2.3 Tổng hợp về các phần mềm ứng dụng tại công ty (2009- nay)
(Nguồn : tác giả thống kê)
Điều tra phỏng vấn trực tiếp 30 nhân viên sử dụng máy tính tại công ty ta có bảng sau:
Biểu đồ 2.2 : Mức độ sử dụng mạng máy tính trong công ty
(Nguồn: tác giả thống kê)
Chương trình phòng chống bảo vệ cho mạng: Firewall phần mềm, BKAV Pro, Avast, Antivirut Phần mềm kế toán là phần mềm phản ánh hiện trạng và sự biến động
về vốn, tài sản của doanh nghiệp dưới dạng tổng quát hay nói cách khác là phản ánh các dòng vật chất và dòng tiền tệ trong mối quan hệ giữa doanh nghiệp với môi trường kinh tế bên ngoài Sản phẩm của kế toán tài chính là các báo cáo tài chính
Trang 27c Về con người.
Công ty TNHH MTV Tùng Bắc có 1 giám đốc và 30 nhân viên làm việc tại 5 phòng ban Có 100% CBNV tại công ty có trình độ từ trung cấp trở lên Phần lớn CBNV cho rằng việc ứng dụng CNTT, HTTT vào hoạt động kinh doanh của doanh nghiệp là cần thiết.Tới 70% CBNV tại công ty thành thạo tin học văn phòng
Sau đây là bảng tổng hợp tình hình nhân sự của công ty
Vị trí/ chuyên môn Số lượng Trình độ
Kinh doanh – bán hàng 6 Cao đẳng, Đại học
Kỹ thuật 10 Trung cấp, Cao đẳng, Đại học
Kế toán- tài chính 4 Cao đẳng, Đại học
Bảng 2.4 Bảng tổng hợp tình hình nhân sự tại công ty (từ năm 2009- nay)
(Nguồn: Phòng Kế toán- Tài chính)
Về nhận thức tầm quan trọng cuả việc ứng dụng CNTT, HTTT
Ban giám đốc và các nhân viên đã nhận thức rõ tầm quan trọng của việc ứng dụng CNTT, HTTT đối với quá trình kinh doanh và phát triển của doanh nghiệp Công
ty đã có sự đầu tư cho các nghiệp vụ có thể tự động hóa bằng các phần mềm, hệ thống…
Sau khi phỏng vấn 10 cán bộ nhân viên (CBNV) công ty về mức độ quan trọng của việc ứng dụng CNTT, HTTT đối với hoạt động của công ty có được kết quả như sau:
Biểu đồ 2.3 :Đánh gía mức độ quan trọng của việc ứng dụng công nghệ thông
tin, hệ thống thông tin của cán bộ nhân viên
(Nguồn: tác giả thống kê)
Trang 28d Sơ đồ hệ thống mạng.
Cơ sở hạ tầng mạng bao gồm mạng Internet thông qua kết nối ADSL, mạng
nội bộ của công ty, và mạng không dây Wifi
Cấu trúc của hệ thống mạng trong công ty:
Cấu trúc mạng bao gồm cả có dây và không dây Đây là cấu trúc mạng được áp dụng phổ biến đối với các doanh nghiệp vừa và nhỏ Một mặt cấu trúc mạng lắp đặt đơn giản, dễ triển khai Mặt khác, cấu trúc này giúp đảm bảo tốc độ truyền dẫn Khi có sự
cố mạng xảy ra đối với một trong hai hệ thống mạng không dây hoặc có dây thì hệ thống mạng còn lại vẫn có thể hoạt động giúp cho vấn đề truyền dữ liệu không bị gián đoạn Internet chia sẻ thông qua router, hỗ trợ chia sẻ dữ liệu, chia sẻ máy in, truy cập internet với 1 đường truyền ADSL được kết nối với cổng Switch Các máy trạm được xây dựng theo sơ đồ mạng đường thẳng ( dạng Bus)…giúp tiết kiệm cáp mạng lắp đặt đơn giản và giảm thiểu chi phí xây dựng Hệ thống mạng của công ty được đánh giá là xây dựng hợp lý, đảm bảo dữ liệu có thể truyền đạt thông suốt, chia sẻ dữ liệu , máy in trong công ty Tuy nhiên, để đánh giá là một hệ thống mạng an toàn,bảo mật dữ liệu thì còn căn cứ vào nhiều yếu tố khác như : chế độ an toàn bảo mật, phân quyền người
sử dụng hạn chế truy nhập trái phép, hình thức ngăn chặn khi có người lạ xâm nhập
Trang 29
Hình 2.3 Hệ thống mạng của công ty TNHH MTV Tùng Bắc
(Nguồn : Phòng Kỹ thuật)
2.2.1.4 Đánh giá thực trạng an toàn bảo mật HTTT quản lý hiện tại của Công ty
a Thực trạng qua quá trình thu thập tài liệu.
Phần cứng
Qua những thiết bị phần cứng tìm hiểu thì các trang thiết bị phần cứng của công
ty còn nghèo nàn, số lượng các thiết bị phần cứng còn rất ít Do doanh nghiệp còn nhỏ, các nghiệp vụ phát sinh còn hạn chế nên hiện tại HTTT cũng đã đáp ứng được công việc của công ty, tuy nhiên để mở rộng phát triển công ty thì cần tính đến biện pháp nâng cấp, cải thiện phần cứng Máy chủ có tốc độ khá ổn định, ít lỗi, quản lý cơ sở dữ liệu tốt, các máy trạm dễ dàng truy cập lấy dữ liệu từ máy chủ Ngoài ra máy tính để bàn, laptop, máy in, camera, router, máy photocopy, modem đều được kết nối với nhau và kết nối với máy chủ qua hệ thống dây mạng, phục vụ hoạt động trao đổi dữ liệu của công ty
Phần mềm
Trang 30Hiện tại, công ty chỉ sử dụng các phần mềm đó là: phần mềm văn phòng Microsoft Office 2010, chương trình phòng chống bảo vệ cho mạng: FireWall ( cứng
và mềm), Antivirut( BKAV Pro) phần mềm kế toán Effect , phần mềm bán hàng
Thân thiện, dễ
sử dụng, giao diên đẹp
Có nhiều chức năng được hoàn thiện hơn so với các bản 2003, XP…
Khó khăn với một số nhân viên trước đây quen sử dụng bản 2003
Là bản phù hợp với các doanh nghiệp nhỏ và vừa, giao diện thân thiện, dễ sử dụng, các tài khoản được chi tiết tới từng tài khoản con Xuất báo cáo, hóa đơn dễ dàng ngay tại màn hình
Là bản Free cho phép
sử dụng miễn phí nên nguy
cơ về mất an toàn bảo mật còn cao
Là phần mềm than thiện, dễ sử dụng, mức chi phí không cao Đáp ứng được nhu cầu
mở rộng kinh doanh của công ty
Dù phần mềm đáp ứng khá tốt nhiều mặt, nhưng hiện tại công ty không khai thác hết hiệu quả của phần mềm
Trang 31FireWall( cứng và mềm),
Phần mềm BKAV bảo mật khá tốt cơ sở dữ liệu, an toàn đối với HTTTFireWall bảo
vệ chống lại những
sự tấn công từ bên ngoài
Firewall không đủ thông minh như con người
- Firewall không thể ngăn chặn một cuộc tấn công nếu cuộc tấn công này không "đi qua" nó
- Firewall cũng không thể chống lại các cuộc tấn công bằng dữ liệu (data-drivent attack)
- Một ví dụ là các virus máy tính Firewall không thể làm nhiệm vụ rà quét virus trên các dữ liệu được chuyển qua nó, do tốc độ làm việc, sự xuất hiện liên tục của các virus mới và do
có rất nhiều cách để mã hóa
dữ liệu, thoát khỏi khả năng kiểm soát của firewall
Bảng2.5 Thống kê số phần mềm hiện tại của Công ty
(Nguồn :Tác giả thống kê)
Con người
Công ty chưa có một cán bộ chuyên trách quản lý HTTT, cũng chưa có nhân lực phục vụ khi HTTT của công ty gặp sự cố Hiện tại, những lỗi nhỏ của hệ thống đều được nhân viên trong các phòng ban tự tìm cách xử lý, nếu có vấn đề khó giải quyết sẽ nhờ đến sự giúp đỡ của chuyên gia bên ngoài Vì vậy, vấn đề an toàn bảo mật cho HTTT là cần thiết, để tránh các nguy cơ tiềm ẩn làm mất dữ liệu quan trọng
Trang 32phòng giám đốc của công ty Các máy trạm truy cập máy chủ khai thác và sử dụng dữ liệu Tuy nhiên hệ thống mạng còn khá nhiều hạn chế, có thể là nguyên nhân cơ bản khi hệ thống gặp sự cố về tin tặc tấn công, nhiễm virut…
Công ty sử dụng mạng internet và mạng LAN để lấy thông tin từ bên trong và bên ngoài doanh nghiệp Chất lượng hệ thống mạng trong công ty chưa tốt, tốc độ truy cập dữ liệu chưa cao
Cơ sở dữ liệu
Toàn bộ dữ liệu của công ty được lưu trữ trên máy chủ, phân thành từng phần khác nhau Gần đây, hệ thống đã được nâng cấp, phân quyền tới từng nhân viên truy nhập, giới hạn từng phòng ban khi truy cập vào CSDL của máy chủ đặt tại phòng Giám Đốc
An toàn bảo mật thông tin
Đối với hệ thống mạng của công ty: Cài đặt Firewall cho router, giám sát dung
lượng mạng LAN Đối với các phòng ban: mới chỉ dừng lại ở mức độ cài đặt phần
mềm diệt vius BKAV, đặt mật khẩu cho một số dữ liệu quan trọng hoặc cho các máy tính chứa nhiều dữ liệu quan trọng.Tuy nhiên, dữ liệu không được sao lưu liên tục, dẫn đến không có khả năng phục hồi khi có sự cố xảy ra.Doanh nghiệp không sử dụng bất
kỳ phương pháp mã hóa dữ liệu nào, dẫn đến khả năng thông tin và dữ liệu bị tấn công
và bị đánh cắp rất cao Như vậy, an toàn và bảo mật thông tin trong công ty chưa được
chú trọng, an toàn thông tin còn kém
2.2.2 Ảnh hưởng của các nhân tố môi trường tới an toàn bảo mật HTTT của Công ty.
2.2.2.1 Nhân tố bên ngoài
Nguyên nhân khách quan chính
Doanh nghiệp phát triển tại huyện nhỏ, tiềm năng phát triển còn rất hạn chế Cùng với đó là quy mô doanh nghiệp chưa có đủ điều kiện để mở rộng thị trường, vốn đầu tư còn thấp, chưa có tiềm lực bên trong vững vàng để vươn ra xa hơn Tuy nhiên, với xu hướng phát triển của huyện, cũng như sự phát triển của công ty một vài năm nay thì nhu cầu mở rộng quy mô lẫn thị trường là điều tất yếu xảy ra Vì vậy, trong những năm tiếp theo hệ thống thông tin của doanh nghiệp sẽ được hoàn thiện hơn góp phần hỗ trợ phát triển cho doanh nghiệp, ví dụ bổ sung thêm các phần mềm quản lý nhân sự, quản trị quan hệ khách hàng…
Trang 33Nguyên nhân chủ quan chính
Yếu tố chính là con người, nhân viên ngại thay đổi, khó khăn trong vấn đề chuyển giao cũng như thu nạp một phần mềm mới cho hoạt động của công ty.Chi phí đầu tư cho phần mềm, đầu tư cho đào tạo nhân viên còn hạn hẹp Chưa tính đến hiệu quả lâu dài của một hệ thống thông tin hoàn chỉnh và an toàn là yếu tố tiên quyết
2.2.2.2 Nhân tố bên trong
Các công nghệ bảo mật dựa trên nền tảng công nghệ cũ, vì vậy mức độ an toàn
và tin cậy không được đánh giá cao Do công ty còn chưa chú trọng đến vấn đề bảo mật dữ liệu,bảo mật thông tin khách hàng.Nguồn kinh phí đầu tư cho hạ tầng hệ thống thông tin còn hạn hẹp và yếu tố quan trọng nhất bên trong chính là con người Cần phải điều chỉnh lại nhân sự riêng để quản lý hệ thống, đảm bảo an toàn bảo mật cho HTTT quản lý
2.2.3 Kết quả xử lý số liệu thu thập từ phiếu điều tra và câu hỏi phỏng vấn.
Dùng Excel để phân tích các kết quả thu thập được từ phiếu điều tra Công ty TNHH MTV Tùng Bắc ( điều tra trên 10 phiếu ) chúng ta thu được kết quả như sau:
Câu 1 : A/C đánh giá như thế nào về tốc độ truy cập và xử lý dữ liệu của máy chủ hiện tại ?
Trang 34Biểu đồ 2.4 Đánh giá tốc độ truy cập và xử lý dữ liệu của máy chủ
Đánh giá : Kết quả cho thấy tốc độ truy cập và xử lý dữ liệu ở mức độ thấp, Chủ
yếu ý kiến đánh giá máy chủ hoạt động kém hiệu quả chỉ ở mức độ trung bình chiếm
tỷ lệ phần trăm cao nhất là 50%, còn lại mức độ khá ổn định được một số nhân viên đưa ra chiếm tới 20%, còn lại một số ít cho rằng tốc độ kém, tốt hoặc khá tốt chiếm ngang nhau là 10% Từ những số liệu đưa ra thì đánh giá chung tốc độ truy cập xử lý
dữ liệu của máy chủ sau 5 năm hoạt động ở mức độ trung bình, cần có chính sách nâng cấp máy chủ phù hợp với nhu cầu và ngân sách của Công ty
Câu 2: Theo A/c thì chất lượng phần cứng hiện tại đánh giá như thế nào ?
Bảng 2.7 Đánh giá chung về chất lượng phần cứng
Biểu đồ 2.5 Đánh giá chung chất lượng phần cứng
Đánh giá : Hiện tại phần cứng đáp ứng được nhu cầu kinh doanh của công ty
Với con số thu được thì có 60% đánh giá hệ thống phần cứng ở mức độ khá tốt, tuy nhiên còn lại 40% là đánh giá ở mức độ Tốt, Trung bình và Kém Vì vậy, cải thiện chất lượng phần cứng là cần thiết khi Công ty có nhu cầu mở rộng, lượng dữ liệu lớn đòi hỏi tốc độ truy cập, xử lý nhanh gọn
Trang 35Câu 3: Theo A/c các phần mềm hiện đang sử dụng như phần mềm bán hàng, phần mềm kế toán có chế độ bảo mật an toàn cơ sở dữ liệu ở mức độ nào?
Biểu đồ 2.6 Mức độ an toàn bảo mật của phần mềm hiện tại
Đánh giá : Đa số các phần mềm hiện tại công ty đang sử dụng là phần mềm free
và được đánh giá mức độ an toàn, bảo mật cho CSDL chủ yếu là trung bình chiếm tới 40%, tiếp theo là kém an toàn chiếm 30%, còn lại một số đánh giá cho rằng khá an toàn với thời điểm hiện tại và không có đánh giá nào cho rằng an toàn bảo mật cơ sở
dữ liệu rất tốt Vì vậy, để đảm bảo vấn đề an toàn cơ sở dữ liệu của công ty thì công ty nên có các biện pháp nhằm khắc phục tình trạng này, tránh xảy ra sự cố mất dữ liệu
Câu 4 : Các nhân tố bên ngoài ảnh hưởng tới hoạt động của HTTT:
Trang 36Đánh giá các nhân tố bên ngoài ảnh hưởng tới hoạt động của HTTT thì 50% số người được điều tra cho rằng đó là nhân tố chính sách – pháp luật, 70% số người cho rằng là nhân tố kinh tế và 90% cho rằng do nhân tố công nghệ thông tin quyết định, còn nhân tố văn hóa – xã hội chỉ ảnh hưởng 30%.
Điều này được thể hiện ở hình dưới đây
Biểu đồ 2.7 Các nhân tố bên ngoài ảnh hưởng tới hoạt động của HTTT
Câu 5 : Các nhân tố bên trong ảnh hưởng tới hoạt động của HTTT:
Biểu đò 2.8 Các nhân tố bên trong ảnh hưởng tới hoạt động của HTTT
Đánh giá các nhân tố bên trong ảnh hưởng tới hoạt động của HTTT thì có 60%
số người được hỏi cho rằng nhân tố phối hợp giữa các phòng ban là ảnh hưởng tới hoạt động của HTTT, 50% cho rằng sau đó là nhân tố ngân sách dành cho HTTT, 40% cho rằng đó là việc lập kế hoạch ứng dụng HTTT và 20% cho rằng là do người thực hiện
kế hoạch HTTT
Câu 6 : A/c hãy đánh giá mức độ an toàn bảo mật của hệ thống mạng nội bộ hiện tại của Công ty.
