Trong một nền kinh tế toàn cầu hóa như hiện nay thì vấn đề thông tin được xem là sự sống còn đối với các doanh nghiệp. Thế nhưng rất nhiều doanh nghiệp vẫn chưa nhận thức được tầm quan trọng của vấn đề bảo mật thông tin và những nguy cơ có thể xảy ra từ việc rò rỉ thông tin trong chính nội bộ của doanh nghiệp mình. Bảo mật thông tin là duy trì tính bảo mật, tính trọn vẹn và tính sẵn sàng của thông tin. Bảo mật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyền tương ứng. Theo một cuộc khảo sát về vấn đề bảo mật thông tin của tổ chức nghiên cứu thị trường, có 66% các công ty được hỏi cho biết họ gặp các vấn đề về bảo mật thông tin, 65% bị tấn công bởi nhân viên nội bộ, 49% chưa xem bảo mật thông tin là ưu tiên hàng đầu, 40% không nghiên cứu về các vấn đề rủi ro trong bảo mật. Trong khi đó, với những lĩnh vực quan trọng, có khả năng bị ảnh hưởng lớn do rò rỉ thông tin thì lại chưa có sự đầu tư cân xứng cho bảo mật thông tin. Rất nhiều câu hỏi thể hiện sự băn khoăn của các doanh nghiệp trước ngưỡng cửa tin học hoá quản lý doanh nghiệp mà cụ thể là làm thế nào để bảo mật thông tin trong doanh nghiệp và cần phải lựa phải chọn giải pháp như thế nào cho phù hợp với điều kiện của doanh nghiệp. Việc thông tin bị rò rỉ sẽ gây thiệt hại lớn đối với uy tín, tài chính của doanh nghiệp đối với khách hàng và các đối tác. Điều đó cho thấy, việc bảo mật thông tin quan trọng và cần thiết cũng như ngày càng khó khăn trước những đòi hỏi gắt gao của môi trường kinh doanh yêu cầu doanh nghiệp phải năng động chia sẻ thông tin của mình qua hệ thống mạng Internet. Vấn đề đặt ra là để bảo vệ thông tin khỏi những mối nguy hiểm trên, doanh nghiệp lựa chọn các biện pháp bảo vệ nào để bảo vệ thông tin của mình trước nhiều cách thức bảo mật thông tin như hiện nay. Vì vậy, vấn đề an toàn bảo mật thông tin trong doanh nghiệp hết sức quan trọng. Để đảm bảo an toàn hệ thống thông tin, chúng ta không những phải có giải pháp mà cần có con người, quy trình và cần áp dụng các tiêu chuẩn an toàn để đảm bảo thông tin trong doanh nghiệp luôn được truyền tải nhanh chóng, thuận tiện và bảo mật. Hiểu được tầm quan trọng của việc bảo mật, an toàn dữ liệu trong các doanh nghiệp nên Công ty TNHH dịch vụ và du lịch Vietsense cần triển khai việc áp dụng các biện pháp nhằm nâng cao tính bảo mật và an toàn thông tin, dữ liệu của mình. Xuất phát từ sự cần thiết đó, em quyết định lựa chọn vấn đề: “Giải pháp an toàn bảo mật thông tin tại Công ty TNHH dịch vụ và du lịch Vietsense” làm đề tài khóa luận của mình. Với hi vọng, đây sẽ là giải pháp hiệu quả để giúp doanh nghiệp nâng cao doanh thu và lợi nhuận trong tương lai.
Trang 1LỜI CẢM ƠN
Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận được sựhướng dẫn nhiệt tình của giáo viên hướng dẫn ThS Bùi Quang Trường, cùng sự giúp đỡ củaban giám đốc và toàn thể nhân viên công ty TNHH Dịch Vụ Và Du Lịch Vietsense
Trước hết, em xin gửi lời cảm ơn sâu sắc nhất tới thầy ThS Bùi Quang Trường – Giáoviên hướng dẫn đã giúp đỡ em có những định hướng đúng đắn khi thực hiện khóa luận tốtnghiệp cũng như những kỹ năng nghiên cứu cần thiết khác
Em cũng xin được gửi lời cảm ơn chân thành tới ban giám đốc cũng như các anh/chị làmviệc tại công ty Công ty TNHH Dịch Vụ Và Du Lịch Vietsense vì sự quan tâm, ủng hộ và
hỗ trợ cho em trong quá trình thực tập và thu thập tài liệu
Em xin được gửi lời cảm ơn tới các thầy cô giáo trong khoa Hệ thống thông tin kinh tế
về sự động viên khích lệ mà em đã nhận được trong suốt quá trình học tập và hoàn thànhkhóa luận này
Trong quá trình nghiên cứu đề tài, mặc dù rất rỗ lực, cố gắng tuy nhiên vẫn không tránhkhỏi những thiếu sót Em rất mong nhận được những ý kiến đóng góp từ các thầy cô giáo, từcác anh/chị trong công ty Công ty TNHH Dịch Vụ Và Du Lịch Vietsense để hoàn thiện hơnnữa khóa luận tốt nghiệp của mình
Em xin chân thành cảm ơn!
Trang 2Phần 1: TỔNG QUAN VẤN ĐỀ NGHIÊN CỨU 1.1 Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu
Trong một nền kinh tế toàn cầu hóa như hiện nay thì vấn đề thông tin được xem là sựsống còn đối với các doanh nghiệp Thế nhưng rất nhiều doanh nghiệp vẫn chưa nhận thứcđược tầm quan trọng của vấn đề bảo mật thông tin và những nguy cơ có thể xảy ra từ việc rò
rỉ thông tin trong chính nội bộ của doanh nghiệp mình Bảo mật thông tin là duy trì tính bảomật, tính trọn vẹn và tính sẵn sàng của thông tin Bảo mật nghĩa là đảm bảo thông tin chỉđược tiếp cận bởi những người được cấp quyền tương ứng Theo một cuộc khảo sát về vấn
đề bảo mật thông tin của tổ chức nghiên cứu thị trường, có 66% các công ty được hỏi chobiết họ gặp các vấn đề về bảo mật thông tin, 65% bị tấn công bởi nhân viên nội bộ, 49%chưa xem bảo mật thông tin là ưu tiên hàng đầu, 40% không nghiên cứu về các vấn đề rủi rotrong bảo mật Trong khi đó, với những lĩnh vực quan trọng, có khả năng bị ảnh hưởng lớn
do rò rỉ thông tin thì lại chưa có sự đầu tư cân xứng cho bảo mật thông tin Rất nhiều câuhỏi thể hiện sự băn khoăn của các doanh nghiệp trước ngưỡng cửa "tin học hoá quản lýdoanh nghiệp" mà cụ thể là làm thế nào để bảo mật thông tin trong doanh nghiệp và cần
phải lựa phải chọn giải pháp như thế nào cho phù hợp với điều kiện của doanh nghiệp Việc
thông tin bị rò rỉ sẽ gây thiệt hại lớn đối với uy tín, tài chính của doanh nghiệp đối với kháchhàng và các đối tác Điều đó cho thấy, việc bảo mật thông tin quan trọng và cần thiết cũngnhư ngày càng khó khăn trước những đòi hỏi gắt gao của môi trường kinh doanh yêu cầudoanh nghiệp phải năng động chia sẻ thông tin của mình qua hệ thống mạng Internet Vấn
đề đặt ra là để bảo vệ thông tin khỏi những mối nguy hiểm trên, doanh nghiệp lựa chọn cácbiện pháp bảo vệ nào để bảo vệ thông tin của mình trước nhiều cách thức bảo mật thông tinnhư hiện nay
Vì vậy, vấn đề an toàn bảo mật thông tin trong doanh nghiệp hết sức quan trọng Để đảmbảo an toàn hệ thống thông tin, chúng ta không những phải có giải pháp mà cần có conngười, quy trình và cần áp dụng các tiêu chuẩn an toàn để đảm bảo thông tin trong doanhnghiệp luôn được truyền tải nhanh chóng, thuận tiện và bảo mật
Hiểu được tầm quan trọng của việc bảo mật, an toàn dữ liệu trong các doanh nghiệp nênCông ty TNHH dịch vụ và du lịch Vietsense cần triển khai việc áp dụng các biện pháp nhằmnâng cao tính bảo mật và an toàn thông tin, dữ liệu của mình
Trang 3Xuất phát từ sự cần thiết đó, em quyết định lựa chọn vấn đề: “Giải pháp an toàn bảo mật thông tin tại Công ty TNHH dịch vụ và du lịch Vietsense” làm đề tài khóa luận của
mình Với hi vọng, đây sẽ là giải pháp hiệu quả để giúp doanh nghiệp nâng cao doanh thu
và lợi nhuận trong tương lai
1.2 Tổng quan vấn đề nghiên cứu
Nhu cầu sử dụng internet của người dùng cá nhân cũng như doanh nghiệp tăng cao trêntoàn cầu thì những kẻ tấn công đã và đang tạo ra ngày càng nhiều mối đe dọa mới và tiềmnăng hủy hoại lớn hơn, đặc biệt chúng hướng tới mục tiêu thu lợi tài chính Trong nhữngnăm qua, có rất nhiều công trình khoa học, bài báo,… nghiên cứu về các giải pháp an toànbảo mật thông tin giúp cho các doanh nghiệp, tổ chức có thể đảm bảo an toàn thông tin, dữliệu của mình
Trong tình hình kinh tế khó khăn, các doanh nghiệp dù có thu hẹp chi phí để vượt quakhủng hoảng kinh tế thì vẫn phải chú trọng đến vấn đề bảo mật thông tin của doanh nghiệp
Vì sự mất an toàn thông tin không những làm doanh nghiệp mất lợi thế cạnh tranh mà cònlàm ảnh hưởng hoặc ngưng trệ hoạt động sản xuất kinh doanh của doanh nghiệp Bài báocáo thiết kế tường lửa của thạc sĩ Vũ Anh Tuấn khoa Công nghệ thông tin, trường Đại họcThái Nguyên năm 2012, đã đưa ra được các phương pháp xây dựng tường lửa và đề xuấtnhiều tiện ích mới mà tường lửa đem lại mang tính khả thi cao đề xuất một số quy trình xâydựng tường lửa sao có hiệu quả nhất, đưa ra những hạn chế mà tường lửa không làm được.Tuy nhiên, báo cáo cũng chỉ dừng lại ở việc chỉ ra những hạn chế của tường lửa chứ chưa đềxuất được giải pháp nào để khắc phục vấn đề này
Cũng bàn về vấn đề này, Nguyễn Dương Hùng - Khoa HTTTQL – HVNH đã thực hiệnbài nghiên cứu khoa học “Các vấn đề bảo mật và an toàn dữ liệu của ngân hàng thương mạikhi sử dụng công nghệ điện toán đám mây” Các ngân hàng ngày càng gặp nhiều khó khăntrong việc lưu trữ, quản lý, khai thác số lượng lớn dữ liệu của họ bởi vì nó đang được tănglên nhanh chóng theo từng ngày Sự ra đời của công nghệ ĐTĐM cùng với khả năng cungcấp một cơ sở hạ tầng không giới hạn để truy suất, lưu trữ dữ liệu tại các vị trí địa lý khácnhau là một giải pháp tốt cho cơ sở hạ tầng CNTT để các ngân hàng xử lý các vấn đề khókhăn trên Như một kết quả tất yếu, dữ liệu dư thừa, trùng lặp sẽ xuất hiện và bị sửa đổi bởinhững người sử dụng trái phép Điều này dẫn đến việc mất mát dữ liệu, mất an toàn và bảomật thông tin, sự riêng tư của khách hàng sẽ trở thành vấn đề chính cho các ngân hàng khi
Trang 4họ ứng dụng công nghệ ĐTĐM vào công việc kinh doanh của họ Do đó việc ứng côngnghệ ĐTĐM vào các ngân hàng là một xu thế tất yếu trong trong thời đại CNTT phát triểnmạnh mẽ như hiện nay Tuy nhiên hạn chế của bài nghiên cứu còn nhiều thiếu sót chỉnghiên cứu mang tính lý thuyết chưa có nhiều thực nghiệm cũng như đưa ra được nhữngkhuyến nghị về an ninh bảo mật trong ĐTĐM.
Bảo mật thông tin được xem là một trách nhiệm quản lí và kinh doanh, không đơn giảnchỉ là yếu tố kĩ thuật cần được giao cho các chuyên gia công nghệ hay bộ phận IT Bài viết
“Bảo mật thông tin: Chuyện sống còn của doanh nghiệp” (www.vneconomy.vn) đã bàn rất
rõ về điều này Bài viết đã nêu ra những con số chứng minh cho thực trạng an toàn bảo mậtthông tin tại các doanh nghiệp Việt Nam và trên thế giới Từ việc xác định các nhân tố ảnhhưởng đến an toàn thông tin, bài viết đã khẳng định được tầm quan trọng của bảo mật thôngtin đối với mỗi doanh nghiệp Tuy nhiên, bài viết lại chưa đề cấp đến cách thức giải quyết,hướng phát triển cũng như đề xuất các mô hình tường lửa với các tiện ích để giải quyết vấn
đề này
Không nằm ngoài guồng quay đó, hội thảo - triển lãm quốc gia về an ninh bảo mật lần
thứ 6 với chủ đề “giải pháp an ninh hệ thống, bảo mật thông tin” do cục Tin học, Tổng cục
Hậu cần – Kỹ thuật, Bộ Công an cũng được tổ chức tại Hà Nội trong tháng 4/2011 (Báođiện tử Đảng Cộng Sản Việt Nam) Hội thảo đã đưa ra một số thông tin về một số nguy cómất an toàn thông tin tại các doanh nghiệp, xác định nguyên nhân chủ yếu do sự chủ quan,hạn chế trong nhận thức, thiếu hụt đầu tư an ninh thông tin của các doanh nghiệp Như vậy,vấn đề an toàn bảo mật thông tin riêng ngày càng được các doanh nghiệp cũng như toàn xãhội quan tâm, nghiên cứu Qua các hội thảo, bài nghiên cứu, bài báo, nhiều vấn đề về antoàn thông tin đã được giải quyết, nhiều doanh nghiệp đã tìm được hướng đi đúng cho mình,lựa chọn cho mình một giải pháp bảo mật thông tin phù hợp giúp đảm bảo những thông tinmật, nâng cao hiệu quả kinh doanh
Từ những phân tích trên em đã chọn đề tài: “ Giải pháp an toàn bảo mật thông tin tại Công ty TNHH dịch vụ và du lịch Vietsense” để có cơ hội nghiên cứu sâu hơn về các hoạt
động đảm bảo an toàn và bảo mật HTTT quản lý tại công ty
Trong đề tài này với mong muốn giúp DN đạt được hiệu quả cao hơn trong vấn đề đảmbảo an toàn và bảo mật thông tin Em sẽ tập trung nghiên cứu trên cơ sở lý luận về lý thuyết
an toàn, bảo mật thông tin nói chung và an toàn, bảo mật thông tin HTTT quản lý nói riêng,đặc biệt là các yếu tố ảnh hưởng và các tiêu chí đo lường hiệu quả các giải pháp đảm bảo an
Trang 5toàn, bảo mật thông tin HTTT quản lý để có thể đánh giá được chính xác nhất về thực trạngcũng như hiệu quả của các giải pháp đảm bảo an toàn, bảo mật thông tin của công ty Từ đókhóa luận đưa ra những giải pháp phù hợp nhằm nâng cao hiệu quả của các biện pháp đảmbảo an toàn, bảo mật thông tin của Công ty TNHH dịch vụ và du lịch Vietsense.
1.3 Mục tiêu cụ thể
Việc nghiên cứu khóa luận nhằm các mục tiêu sau:
- Hệ thống hóa một số cơ sở lý luận về an toàn và bảo mật HTTT quản lý trong DN
- Trên cơ sở lý luận, các công cụ phân tích để đánh giá thực trạng hoạt động đảm bảo
an toàn và bảo mật HTTT quản lý tại Công ty TNHH dịch vụ và du lịch Vietsense
- Trên cơ sở lý luận và phân tích thực trạng để đưa ra các giải pháp khả thi nhằm nângcao hiệu quả hoạt động đảm bảo an toàn và bảo mật HTTT quản lý cho Công ty TNHH dịch
vụ và du lịch Vietsense
1.4 Đối tượng và phạm vi nghiên cứu đề tài
a Đối tượng nghiên cứu: Các giải pháp công nghệ và giải pháp con người để đảm bảo
nâng cao hoạt động an toàn và bảo mật HTTT quản lý là đối tượng nghiên cứu chính của đềtài
b Phạm vi nghiên cứu:
- Phạm vi thời gian: Đề tài sẽ phân tích các hoạt động an toàn và bảo mật HTTT của
DN thông qua các báo cáo kinh doanh, các tài liệu điều tra liên quan trong 3 năm gần đây(2013, 2014, 2015) và có những đề xuất cho hoạt động đảm bảo an toàn và bảo mật HTTTquản lý của công ty trong năm 2016, 2017 và định hướng đến năm 2019
- Phạm vi không gian: Nghiên cứu thực trạng hoạt động an toàn và bảo mật HTTTquản lý của Công ty TNHH dịch vụ và du lịch Vietsense
Phạm vi nội dung: Nội dung nghiên cứu xoay quanh hoạt động an toàn và bảo mật HTTTquản lý trong Công ty TNHH dịch vụ và du lịch Vietsense để xác định ưu điểm, nhược điểmcủa các hoạt động đó Đồng thời phân tích thực trạng triển khai, thuận lợi, khó khăn, đánhgiá hiệu quả và có những đề xuất cụ thể nhằm nâng cao hiệu quả hoạt động đảm bảo an toàn
và bảo mật HTTT quản lý cho Công ty TNHH dịch vụ và du lịch Vietsense
1.5 Phương pháp nghiên cứu
1.5.1 Phương pháp thu thập dữ liệu thứ cấp
Dữ liệu thứ cấp là những thông tin đã được thu thập và xử lý trước đây vì các mục tiêukhác nhau của công ty
Trang 6- Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanh củacông ty trong vòng 3 năm: 2013, 2014, 2015 được thu thập từ phòng hành chính, phòng kếtoán, phòng nhân sự của công ty, từ phiếu điều tra phỏng vấn và các tài liệu thống kê khác.
- Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sách báocủa các năm trước có liên quan tới đề tài nghiên cứu và từ internet
1.5.2 Phương pháp thu thập dữ liệu sơ cấp
a Phương pháp sử dụng phiếu điều tra
- Nội dung: Bảng câu hỏi gồm 6 câu hỏi theo hai hình thức câu hỏi đóng và câu hỏi
mở Các câu hỏi đều xoay quanh các hoạt động đảm bảo an toàn và bảo mật HTTT quản lýđược triển khai và hiệu quả của các hoạt động này đối với Công ty TNHH dịch vụ và du lịchVietsense Những câu hỏi được đặt ra để có thể đánh giá được thực trạng triển khai các hoạtđộng đảm bảo an toàn và bảo mật HTTT quản lý, từ đó đề xuất một số giải pháp có tính khảthi để nâng cao hiệu quả các hoạt động đảm bảo an toàn và bảo mật HTTT quản lý của côngty
- Cách thức tiến hành: Bảng câu hỏi sẽ được phát cho 12 anh/chị là những chuyên viêncao cấp trong công ty để thu thập ý kiến
- Mục đích: Nhằm thu thập những thông tin về hoạt động an toàn và bảo mật HTTT
quản lý của công ty để từ đó đánh giá thực trạng triển khai và đưa ra những giải phápđúng đắn để nâng cao hiệu quả của các hoạt động đảm bảo an toàn và bảo mật HTTTquản lý trong Công ty TNHH dịch vụ và du lịch Vietsense
b Phương pháp phỏng vấn chuyên gia
- Nội dung: Gồm 5 câu hỏi mở để phỏng vấn trực tiếp một chuyên gia quản lý trực tiếpHTTT quản lý của công ty để có thể ghi chép các câu trả lời
- Cách thức tiến hành: Phỏng vấn cá nhân anh Lê Đắc Tâm – Trưởng phòng kĩ thuậtvào ngày 13/2/2016 tại trụ sở công ty: Số 88 Xã Đàn- Đống Đa- Hà Nội
- Mục đích: Thu thập nhứng thông tin chuyên sâu và chi tiết về các hoạt động đảm bảo
an toàn và bảo mật HTTT quản lý tại Công ty TNHH dịch vụ và du lịch Vietsense
1.5.1 Phương pháp phân tích và xử lý số liệu
- Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for SocialSciences)
- Phương pháp định tính: Phân tích, tổng hợp thông tin qua phiếu điều tra và các tàiliệu thứ cấp thu được
Trang 71.6 Khung kết cấu khóa luận
Ngoài lời cảm ơn, danh mục bảng biểu hình vẽ, danh mục từ viết tắt, phụ lục khóa luậngồm 3 phần:
Phần 1: Tổng quan vấn đề nghiên cứu
Phần 2: Cơ sở lý luận và thực trạng về an toàn bảo mật thông tin tại công ty TNHH dịch vụ
và du lịch Vietsense
Phần 3: Giải pháp an toàn bảo mật thông tin tại công ty TNHH dịch vụ và du lịch Vietsense
Phần 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VỀ AN TOÀN BẢO MẬT THÔNG
TIN TẠI CÔNG TY TNHH DỊCH VỤ VÀ DU LỊCH VIETSENSE
2.1 Cơ sở lý luận
2.1.1 Một số khái niệm cơ bản
2.1.1.1 Khái niệm dữ liệu, thông tin, HTTT, HTTT quản lý trong DN
Dữ liệu: là những ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu chung chung…dữliệu chưa mang cho con người sự hiểu biết mà phải thông qua quá trình xử lý dữ liệu thànhthông tin thì con người mới có thể hiểu được về đối tượng mà dữ liệu đang biểu hiện
Thông tin: Theo nghĩa thông thường, thông tin là điều hiểu biết về một sự kiện, một hiệntượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu…
Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối với người sửdụng Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sau quá trình xử lý dữliệu
Hệ thống thông tin: là một tập hợp và kết hợp của các phần cứng, phần mềm và các hệmạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phân phối và chia sẻcác dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổ chức
Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau Trongviệc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ, thống nhấthành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Với bên ngoài, hệthống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơn hoặc cải tiến dịch vụ,nâng cao sức cạnh tranh, tạo đà cho phát triển
Hệ thống thông tin quản lý (MIS): Hệ thống thông tin quản lý được hiểu như là một hệthống dùng để tiến hành quản lý cùng với những thông tin được cung cấp thường xuyên
Trang 8Nguồn: Bài giảng Hệ thống thông tin quản lý, Trường Đại học Thương mại Hà Nội.
2.1.1.2 Khái niệm về an toàn, bảo mật HTTT quản lý
An toàn thông tin: Thông tin được coi là an toàn khi thông tin đó không bị làm hỏng hóc,không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép
Bảo mật thông tin: Là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của thông tin
- Tính bảo mật (confidentially): Đảm bảo chỉ có những cá nhân được cấp quyền mớiđược phép truy cập vào hệ thống Đây là yêu cầu quan trọng của bảo mật thông tin bởi vìđối với các tổ chức doanh nghiệp thì thông tin là tài sản có giá trị hàng đầu, việc các cá nhânkhông được cấp quyền truy nhập trái phép vào hệ thống sẽ làm cho thông tin bị thất thoátđồng nghĩa với việc tài sản của công ty bị xâm hại, có thể dẫn đến phá sản
- Tính toàn vẹn (integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng, chính xác,người sử dụng luôn được làm việc với các thông tin tin cậy chân thực Chỉ các cá nhân đượccấp quyền mới được phép chỉnh sửa thông tin Kẻ tấn công không chỉ có ý định đánh cắpthông tin mà còn mong muốn làm cho thông tin bị mất giá trị sử dụng bằng cách tạo ra cácthông tin sai lệch gây thiệt hại cho công ty
Hình 2.1: Mục tiêu CIA
- Tính sẵn sàng (availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn sàng phục
vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập được vào hệthống Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ hữu ích khi người sử
Trang 9dụng cần là có thể dùng được, nếu hai yêu cầu trên được đảm bảo nhưng yêu cầu cuối cùngkhông được đảm bảo thì thông tin cũng trở nên mất giá trị.
Bảo mật HTTT quản lý: Một HTTT nói chung và một HTTT quản lý nói riêng được coi
là bảo mật khi tính riêng tư của nội dung thông tin được đảm bảo theo đúng các tiêu chítrong một thời gian xác định
Nguồn: Bài giảng an toàn và bảo mật thông tin doanh nghiệp, Trường Đại học Thương mại Hà Nội.
2.1.2 Một số lý thuyết về an toàn, bảo mật HTTT
a Các nhân tố ảnh hưởng đến hiệu quả an toàn, bảo mật HTTT quản lý trong DN
Một HTTT quản lý hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cả môitrường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi trường vi mô Nhưng
có hai yếu tố chính cần xem xét khi tiến hành các hoạt động đảm bảo an toàn và bảo mậtHTTT quản lý trong doanh nghiệp là: yếu tố con người và yếu tố công nghệ
Con người: Là yếu tố quyết định sự thành công trong tiến trình kiến tạo hệ thống và tínhhữu hiệu của hệ thống trong tiến trình khai thác vận hành
Con người là chủ thể trong việc thực hiện các quá trình của hệ thống thông tin quản lý.Mỗi người có vị trí nhất định trong hệ thống tuỳ thuộc chuyên môn, nghề nghiệp, năng lực
sở trường và yêu cầu công việc của hệ thống Con người có thể hoạt động độc lập hoặctrong một nhóm, thực hiện những chức năng, nhiệm vụ, mục tiêu nhất định của hệ thống.Người quản lý HTTT đóng một vai trò quan trọng về phương diện công nghệ trong các
tổ chức Người quản lý HTTT làm tất cả mọi thứ từ việc lập nên những kế hoạch cho đếnviệc giám sát an ninh của hệ thống và điều khiển sự vận hành của mạng lưới thông tin quảnlý
Những người quản lý HTTT máy tính lên kế hoạch, phối hợp, chỉ đạo việc nghiêncứu và thiết kế các chương trình cần đến máy vi tính của các công ty Họ giúp xác địnhđược cả mục tiêu kinh doanh và kỹ thuật bằng sự quản lý hàng đầu đồng thời vạch ra những
kế hoạch chi tiết cụ thể để đạt được những mục tiêu đó Ví dụ khi làm việc với đội ngũ nhânviên của mình, máy tính và các nhà quản lý HTTT có thể phát triển những ý tưởng của cácsản phẩm và dịch vụ mới hoặc có thể xác định được khả năng tin học của tổ chức đó có thể
hổ trợ cho việc quản lý dự án một cách hiệu quả như thế nào
Những người quản lý HTTT máy tính chỉ đạo công việc của những người phân tích hệthống, các lập trình viên, các chuyên gia hỗ trợ, và những nhân viên khác có liên quan Nhà
Trang 10quản lý vạch ra kế hoạch và sắp xếp các hoạt động như cài đặt và nâng cấp phần mềm, phầncứng, các thiết kế hệ thống và chương trình, sự phát triển mạng máy tính và sự thực thi củacác địa chỉ mạng liên thông và mạng nội bộ Họ đặc biệt ngày càng quan tâm đến sự bảoquản, bảo dưỡng, duy trì và an ninh của HTTT quản lý
Việc đảm bảo khả năng hữu dụng, tính liên tục, tính an ninh của dịch vụ công nghệthông tin và hệ thống dữ liệu là nhiệm vụ quan trọng của các nhà quản trị
Công nghệ thông tin: Là yếu tố tạo nên nền móng cho các hoạt động sản xuất kinh doanhcủa DN, CNTT đang có khuynh hướng xóa nhòa các biên giới, mở ra không gian rộng rãihơn cho các DN, vì thế ứng dụng CNTT đang tạo ra những cơ hội mới với những nguyêntắc mới CNTT như một thách thức đồng thời cũng là công nghệ quan trọng phổ biến nhất,lan tỏa mạnh nhất và hứa hẹn giúp các doanh nghiệp Việt Nam nhanh chóng hòa nhập vàonền kinh tế toàn cầu
Công nghệ được chia làm hai loại: Phần cứng và phần mềm
Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bị thu thập,
xử lý và lưu trữ thông tin…
Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòng trống virus,những ứng dụng, hệ điều hành, giải pháp mã hóa…
b Thông tin doanh nghiệp và những tác động cụ thể của những công cụ an toàn, bảo mật tới HTTT doanh nghiệp
Thông tin doanh nghiệp: Là những thông tin của DN về nhân sự, cơ cấu tổ chức, các vănbản, chính sách, mục tiêu sản xuất kinh doanh của DN Những thông tin có tính nhệ cảmnhư: báo cáo tài chính, báo cáo kết quả hoạt động kinh doanh, thông tin khách hàng,…Tác động của các công cụ đảm bảo an toàn và bảo mật tới HTTT DN: Những công cụ antoàn, bảo mật thông tin hoạt động hiệu quả thì các sự cố tấn công từ bên trong cũng như từbên ngoài sẽ bị hạn chế và các hoạt động chủ yếu của DN vẫn không ngừng hẳn Đồng thời,khi các công cụ an toàn, bảo mật được ứng dụng thì các hoạt động hay các thông tin sẽ đượckhắc phục kịp thời mà không gây thiệt hại về mặt vật chất và thông tin cho DN
Khi HTTT quản lý hoạt động hiệu quả và an toàn thì các thông tin mà HTTT cung cấpcho các cấp quản trị sẽ có chất lượng và độ tin cậy cao
c Tổng quan các công trình nghiên cứu có liên quan đến an toàn và bảo mật
An toàn, bảo mật là vấn đề đã được để cập rất lâu chính vì vậy đã có khá nhiều các côngtrình nghiên cứu An toàn, bảo mật được đề cập đến trong một số tài liệu sau:
Trang 11- Bài giảng an toàn và bảo mật thông tin doanh nghiệp – Bộ môn CNTT – Trường ĐHThương Mại Bài giảng chủ yếu xoay quanh các vấn đề lý thuyết các loại tấn công và mấtmát thông tin từ đó có một số biện pháp chung về an toàn và bảo mật thông tin doanhnghiệp.
- Luận văn về an toàn, bảo mật thông tin: Giải pháp nhằm nâng cao bảo mật HTTTquản trị tại công ty cổ phần công nghệ cao – Nguyễn Hữu Dũng – Khoa Thương Mại Điện
Tử - ĐH Thương Mại (2009) Luận văn cũng đã đưa ra được lý thuyết và một số giải phápnhưng các giải pháp vẫn đang ở mức khái quát và chưa mang tính khả thi, cụ thể
- Đề tài: “ Giải pháp an toàn bảo mật hệ thống thông tin tại công ty TNHH Dịch Vụ
Và Du Lịch Vietsense.” tập trung vào việc đánh giá và nâng cao hiệu quả các hoạt động đảm
bảo an toàn và bảo mật HTTT quản lý tại một doanh nghiệp cụ thể và đề tài không trùng lặpnội dung với các công trình nghiên cứu trước đó
2.1.3 Phân định nội dung vấn đề nghiên cứu của đề tài
2.1.3.1 Xác định đối tượng cần đảm bảo an toàn, bảo mật
Để đảm bảo một HTTT quản lý được an toàn và bảo mật tức là phải đảm bảo thông tinđầu vào và đầu ra của HTTT đó được đảm bảo an toàn và bảo mật Do đó đối tượng chínhcủa HTTT quản lý cần đảm bảo đó là thông tin của HT đó
Thông tin trong DN có ở nhiều mức độ và mỗi mức độ cần có những chính sách về antoàn, và bảo mật khác nhau Có những thông tin được đưa vào diện bảo mật ở mức rất cao
và rất ít người được biết đến những thông tin này, có những thông tin lại ở những mức độcần an toàn, bảo mật ở mức thập hơn DN cần xác định đúng đắn các thông tin cần an toàn,bảo mật để từ đó có các chính sách, công cụ hợp lý để hỗ trợ, kiểm soát các thông tin này
2.1.3.2 Xác định mục tiêu an toàn, bảo mật
Phát hiện các lỗ hổng của HTTT, dự đoán trước các nguy cơ tấn công
Ngăn trặn những hành động gây mât an toàn, bảo mật thông tin từ bên trong cũng như từbên ngoài
Một hệ thống thông tin an toàn và bảo mật phải đảm bảo được 3 yêu cầu: Tính sẵn sàng,tính bảo mật và tính toàn vẹn Trong kĩ thuật bảo mật gọi là mục tiêu CIA Để đạt được mụctiêu CIA không chỉ đơn giản là thực hiện một vài biện pháp phòng chống, triển khai một vàithiết bị hay phần mềm cho hệ thống mà bảo mật là một chu trình liên tục theo thời gian
2.1.3.3 Xác định các loại tấn công
Trang 12Cần xác định rõ các loại tấn công vào HTTT của công ty để từ đó lựa chọn công cụ đểđảm bảo an toàn, bảo mật.
Các nguy cơ xảy ra có thể là do nguyên nhân khách quan hoặc do chủ quan của conngười Các nguyên nhân do khách quan mang lại được gọi là các thảm họa (Disaster) là các
sự cố xảy ra đột ngột không lường trước, có thể là các thiên tai như động đất, núi lửa, sóngthần… hoặc cũng có thể là do con người gây nên như là hỏa hoạn, mất điện hay sụp đổ hệthống Còn các nguyên nhân chủ quan chính là các hành vi tấn công Tấn công là các hành
vi nhằm phá hoại mục tiêu an toàn và bảo mật Hình thức tấn công thường xảy ra hơn vàcũng khó đối phó hơn vì hình thức thay đổi liên tục, để đối phó được thì cần phải hiểu đượccác kĩ thuật được sử dụng để tấn công ở mục này tôi sẽ trình bày chi tiết về các kĩ thuật tấncông thường gặp
Phân loại tấn công: Các loại tấn công được phân làm 3 loại chính:
Kỹ thuật tấn công xã hội (Social Engineering Attacks): Kẻ tấn công lợi dụng sự bấtcẩn hay sự cả tin của những người trong công ty để lấy được thông tin xác nhận quyền truynhập của user và có thể truy nhập hê thống vào bằng thông tin đó
Tấn công phần mềm (Software Attacks): Loại này nhằm vào các ứng dụng( applications), hệ điều hành (OS) và các giao thức ( protocols) Mục đích là để phá hủy hay
vô hiệu hóa các ứng dụng, hệ điều hành hay các giao thức đang chạy trên các máy tính, đểđạt được quyền truy nhập vào hệ thống và khai thác thông tin Loại tấn công này có dùngđộc lập hoặc kết hợp với 1 số loại khác
Tấn công phần cứng (Hardware Attacks): Nhằm vào ổ cứng, bo mạch chủ, CPU, cápmạng …mục đích là để phá hủy phần cứng vô hiệu hóa phần mềm, là cơ sở cho tấn công từchối dịch vụ (DoS)
2.1.3.4 Lựa chọn công cụ an toàn, bảo mật
Người sủ dụng chỉ quan tâm tới các ứng dụng họ có thể sử dụng, nhưng để tiếp cậnđược với các ứng dụng thông tin phải được truyền đi trên mạng theo nhiều lớp phức tạp Vàtại mỗi điểm trên mạng thông tin đều có thể là mục tiêu của các hacker, người làm công tácbảo mật cần xây dựng được một bức tranh toàn cảnh về đường đi của thông tin và các biệnpháp bảo mật thích hợp tại mỗi lớp
Trong các lớp của mô hình TCP/IP thường tiến hành các phương pháp bảo mật kếthợp
Trang 13 Lớp 1: Tại đây sẽ có các chính sách lọc gói tin ngay trên các router kết nối tới nhà
cung cấp dịch vụ, chúng ta sẽ sử dụng các ACL, firewall, IPS tích hợp trên phần mềm IOS
để bước đầu ngăn chặn ngay các dịch vụ không cần thiết
Lớp 2: Sử dụng NIPS (network IPS) để quan sát những dữ liệu vào ra Internet, khi có
các dấu hiệu của sự tấn công hay xâm nhập lập tức thông báo cho trung tâm quản lý hoặc
trong trường hợp khẩn cấp có thế khóa ngay các kết nối này lại.
Lớp 3: Tại đây sử dụng bức tường lửa (firewall với chức năng dự phòng-failover)
cho phép ngăn cách làm 3 vùng DMZ, Outside và Inside Các Server công cộng sẽ thuộcvùng DMZ và được bảo vệ rất nghiêm ngặt
Lớp 4: Đây là lớp bảo vệ cuối cùng sử dụng NIPS và HIPS cài trên các Server Hệ
thống này sẽ phát hiện những tấn công đã lọt qua được vòng ngoài Tại đây, HIPS sẽ quansát các dấu hiệu tấn công ngay trên các hệ điều hành và cho phép có những thông báo choquản trị mạng hoặc đóng băng các kết nối trong trường hợp khẩn cấp
Cụ thể các công nghệ bảo mật đó được tổ chức phân lớp lần lượt như sau: (Xem phụlục 5)
2.1.3.5 Hoạch định ngân sách an toàn, bảo mật
Việc công ty dành bao nhiêu ngân sách cho chương trình đảm bảo an toàn và bảo mậtHTTT quản lý sẽ ảnh hưởng tới việc chọn các công cụ đảm bảo an toàn và bảo mật, cũngnhư quy mô của chương trình đối với các mục tiêu mà DN đề ra, công ty phải tính toán làmsao với chi phí thấp nhất nhưng vẫn đạt được những mục tiêu mà HTTT quản lý cần hướngtới các ngành khác nhau có mức ngân sách dành cho các hoạt động an toàn và bảo mật khácnhau
Có bốn phương pháp xác định ngân sách dành cho hoạt động đảm bảo an toàn và bảomật HTTT quản lý mà các công ty thường áp dụng:
- Xác định theo tỷ lệ phần trăm trên doanh thu: Có nghĩa là ngân sách dành cho hoạtđộng an toàn và bảo mật HTTT quản lý sẽ phụ thuộc vào biến động của mức tiêu thụ hằngnăm của DN
- Cân bằng cạnh tranh: Tức là xác định ngân sách ngang bằng với mức chi của cáchãng cạnh tranh
- “Căn cứ vào mục tiêu và nhiệm vụ” phải hoàn thành: Đòi hỏi người quản trị HTTTphải xác định được những mục tiêu cụ thể của chiến dịch đảm bảo an toàn và bảo mật
Trang 14HTTT rồi sau đó ước tính chi phí của các hoạt động cần thiết để đạt được những mục tiêuđó.
- Theo khả năng tài chính của DN: Có nghĩa là ngân sách dành cho chương trình đảmbảo an toàn và bảo mật HTTT quản lý nhiều hay ít là tùy thuộc vào khả năng tài chính của
DN Phương pháp này bỏ qua sự ảnh hưởng của hoạt động đảm bảo an toàn và bảo mậtHTTT quản lý đối với mức doanh thu mà DN có được, nó dẫn đến ngân sách dành cho antoàn và bảo mật HTTT quản lý hằng năm không ổn định
2.1.3.6 Đánh giá hiệu quả chương trình an toàn, bảo mật
Sau khi thực hiện kế hoạch đảm bảo an toàn và bảo mật HTTT quản lý, người quản trị
hệ thống phải đo lường được tác động của nó đến tổng thể DN như thế nào Điều này đòihỏi người quản trị HTTT phải đánh giá tác động của các công cụ đảm bảo an toàn và bảomật HTTT trước khi áp dụng và sau khi áp dụng đã mang lại những thuận lợi hay nhữngkhó khăn gì, hoạt động của DN có bị sáo trộn hay không,…
Người quản trị cần thu thập thông tin về tác động của chương trình đảm bảo an toàn vàbảo mật HTTT tới HTTT và phản ứng của các cấp lãnh đạo, các nhân viên trong DN,…đểlàm cơ sở đánh giá những tác động của chương trình Để có lượng thông tin đầy đủ ngườiquản trị cần thu thấp cả thông tin định lượng như doanh thu, chi phí… và thông tin khôngđịnh lượng được như mức độ hài lòng, thoái mái của nhân viên, mức độ thu thập, lưu trữ,phản hồi thông tin của HT để có được cái nhìn toàn diện về HTTT trước và sau khi áp dụngchương trình đảm bảo an toàn và bảo mật HTTT quản lý của DN
2.2 Đánh giá phân tích thực trạng an toàn bảo mật thông tin tại công ty TNHH dịch
vụ và du lịch Vietsense
2.2.1 Giới thiệu về công ty
Tên doanh nghiệp: CÔNG TY TNHH DỊCH VỤ VÀ DU LỊCH VIETSENSE
Tên giao dịch quốc tế: VIETSENSE TRAVEL AND SERVICES COMPANY
LIMITED
Tên viết tắt : VIETSENSE TRAVEL CO., LTD
Giám đốc : Nguyễn Văn Tài
Trụ sở chính : Số 88 Xã Đàn, Đống Đa, Hà Nội
Điện thoại : Tel: (04)39728289 – Fax: (04)39728289
Tài khoản : 0021002010109 tại Ngân Hàng Vietcombank – CN Hai BàTrưng