Ởmức độ nhẹ, các tấn công sẽ làm cho hệ thống CSDL bị hỏng hóc, hoạt động không ổnđịnh, mất mát dữ liệu dẫn đến các giao dịch hàng ngày của doanh nghiệp bị đình trệ.Nghiêm trọng hơn, các
Trang 1TRƯỜNG ĐẠI HỌC THƯƠNG MẠI KHOA HTTT KINH TẾ VÀ TMĐT
Trang 2LỜI CẢM ƠN
Khóa luận này được hoàn thành là kết quả của bốn năm học tập, rèn luyện với sựhướng dẫn chỉ bảo của các thầy cô giáo khoa Hệ thống thông tin kinh tế và Thương mạiđiện tử, Trường Đại học Thương mại Đây chính là khoảng thời gian quý báu giúp tác giảtích lũy được các kiến thức nền tảng về hệ thống thông tin để có được cái nhìn toàn diện
và sâu sắc về vấn đề nghiên cứu Để có thể hoàn thiện được khóa luận này không chỉ là sự
cố gắng nỗ lực của bản thân mà còn có sự giúp đỡ, chỉ bảo tận tình của thầy cô, các anhchị trong Công ty Cổ phần Công nghệ SAVIS
Trước hết, tác giả xin được gửi lời cảm ơn sâu sắc nhất tới ThS Cù Nguyên Giáp –người đã tận tình hướng dẫn, giúp đỡ em trong suốt quá trình thực hiện khóa luận Emcũng xin chân thành cám ơn đến Ban Giám Hiệu nhà trường và cùng toàn thể quý Thầy,
Cô giáo khoa Hệ thống Thông tin Kinh tế và Thương mại Điện tử (IS) đã quan tâm, nhiệttình giúp đỡ và tạo điều kiện cho em trong suốt quá trình học tập tại Trường
Em cũng xin gửi lời cám ơn chân thành đến Ban Lãnh Đạo và toàn thể Cán bộ Nhânviên công ty Cổ phần Công nghệ đã tận tình giúp đỡ, hướng dẫn và cung cấp số liệu giúp
em có thể hoàn thành khóa luận này với kết quả tốt nhất
Trong khuôn khổ của một khóa luận và những hạn chế về mặt kiến thức, thời giantìm hiểu, mặc dù đã có nhiều nỗ lực cố gắng, tuy nhiên vẫn không tránh khỏi những thiếuxót nhất định Vì vậy, tác giả rất mong nhận được những ý kiến đóng góp từ quý thầy cô
và các bạn để giúp tác giả hoàn thiện hơn nữa đề tài nghiên cứu khóa luận của mình
Em xin chân thành cảm ơn!
Sinh ViênTrịnh Thị Linh
Trang 3MỤC LỤC
Trang 4DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ BẢNG
SƠ ĐỒ
Sơ đồ 1: Sơ đồ cơ cấu tổ chức của công ty Cổ phần Công nghệ SAVIS
Trang 5DANH MỤC TỪ VIẾT TẮT
MIS Management Information System Hệ thống thông tin quản lý
DoS Denial of Service Tấn công từ chối dịch vụ
TCP/IP Internet protocol suite Bộ giao thức liên mạng
AES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiếnLAN Local Area Network Mạng cục bộ
HTTPS Hypertext Transfer Protocol Secure Giao thức truyền tải siêu văn bảnWEP Wireless Encryption Protocol Giao thức mã hoá mạng không
dâySQL Structured Query Language Ngôn ngữ truy vấn cấu trúc
Trang 6MỞ ĐẦU: TỔNG QUAN NGHIÊN CỨU ĐỀ TÀI
1. Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu
Thông tin luôn là một tài sản vô giá của doanh nghiệp và cần được bảo vệ bằng mọigiá Tuy nhiên, đối với những đòi hỏi gắt gao của môi trường kinh doanh yêu cầu doanhnghiệp phải chia sẻ thông tin của mình cho nhiều đối tượng khác nhau qua Internet hayIntranet, việc bảo vệ thông tin trở nên ngày càng quan trọng và khó khăn hơn bao giờ hết.Hầu hết các doanh nghiệp ngày nay đều sử dụng các hệ quản trị cơ sở dữ liệu để lưutrữ tập trung tất cả các thông tin của doanh nghiệp mình Vì vậy, hệ quản trị CSDL lưu trữthông tin trở thành mục tiêu tấn công nhằm gây thiệt hại cho tổ chức, doanh nghiệp Ởmức độ nhẹ, các tấn công sẽ làm cho hệ thống CSDL bị hỏng hóc, hoạt động không ổnđịnh, mất mát dữ liệu dẫn đến các giao dịch hàng ngày của doanh nghiệp bị đình trệ.Nghiêm trọng hơn, các thông tin quan trọng của như chiến lược kinh doanh, các thông tin
về khách hàng, hoạt động tài chính của doanh nghiệp bị tiết lộ và được đem bán cho cáccông ty đối thủ Có thể thấy, thiệt hại của việc thông tin bị rò rỉ là rất nghiêm trọng Đó sẽ
là một đòn chí mạng đối với uy tín của doanh nghiệp đối với khách hàng và đối tác
Vì vậy, vấn đề bảo mật CSDL trở nên cấp bách và rất cần thiết cho tất cả mọi người
và nhất là đối với các hoạt động của doanh nghiệp Trong thời gian thực tập tại Công ty
Cổ phần Công nghệ SAVIS, nhận thấy những giải pháp hiện nay doanh nghiệp đang lựachọn để đảm bảo tính an toàn bảo mật cho CSDL đã phần nào đáp ứng được yêu cầu đặt
ra nhưng vẫn chưa triệt để Nhận thức được điều đó sau thời gian thực tập tại công ty em
quyết định chọn đề tài: “Giải pháp đảm bảo an toàn Cơ sở dữ liệu tại công ty Cổ phần Công nghệ SAVIS” làm đề tài nghiên cứu của mình Bản thân em mong muốn được góp
một phần nhỏ vào sự phát triển, hoàn thiện cũng như khắc phục những hạn chế về mặtđảm bảo an toàn CSDL tại công ty Từ đó đề xuất được biện pháp đảm bảo an toàn CSDLphù hợp với điều kiện hiện có và sự phát triển lâu dài của công ty
Vận dụng kiến thức của bản thân, em mong rằng khóa luận trước tiên là tài liệutham khảo cho công ty Cổ phần Công nghệ SAVIS Thông qua đó công ty có thể hoànthiện hơn trong quá trình hoạt động kinh doanh của doanh nghiệp mình Khóa luận sẽ dựatrên những mặt hạn chế, thiếu sót và những vấn đề cần cải thiện trong quy trình đảm bảo
an toàn dữ liệu của công ty Cổ phần Công nghệ SAVIS đã được phân tích thông qua việcthu tập dữ liệu từ công ty, qua đó đề xuất hướng giải quyết phù hợp nhất với điều kiệnhiện có của công ty Bên cạnh đó khóa luận được xem như là tài liệu tham khảo cần thiết
Trang 7cho việc nghiên cứu – học tập của giáo viên và các bạn sinh viên thuộc các trường đạihọc, cao đẳng trên cả nước muốn tìm hiểu những chủ đề liên quan Sinh viên có thể thamkhảo nhằm tích lũy nhiều hơn về môi trường thực tế, môi trường làm việc tại doanhnghiệp.
2. Mục tiêu nghiên cứu của đề tài
Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hóa một số lý thuyết cơ bản
về đảm bảo an toàn CSDL cho hệ thống thông tin Từ đó, đánh giá phân tích thực trạngvấn đề đảm bảo an toàn dữ liệu cho HTTT tại công ty Cổ phần Công nghệ SAVIS để đưa
ra những đánh giá về ưu, nhược điểm của dữ liệu trong hệ thống thông tin Từ nhữngđánh giá phân tích này, đưa ra một số kiến nghị đề xuất, một số giải pháp nhằm nâng caotính an toàn dữ liệu cho HTTT Giúp cho công ty nhận diện những nguy cơ và thách thứccủa vấn đề đảm bảo cho an toàn dữ liệu HTTT Từ đó, có những giải pháp nâng cao tính
an toàn bảo mật, ngăn chặn các nguy cơ tấn công dữ liệu - HTTT hiện tại và tương lai
3. Đối tượng và phạm vi nghiên cứu của đề tài
3.1. Đối tượng nghiên cứu
Đối tượng nghiên cứu của đề tài là:
- Vấn đề an toàn thông tin cho CSDL của công ty Cổ phần Công nghệ SAVIS
- Giải pháp đảm bảo an toàn CSDL cho HTTT tại công ty Cổ phần Công nghệ SAVIS
3.2. Phạm vi nghiên cứu của đề tài
Đề tài sẽ tập trung nghiên cứu trong phạm vi công ty Cổ phần Công nghệ SAVIS
Về mặt không gian: Dựa trên tài liệu thu thập được tại công ty, các phiếu điều tra và
các tài liệu tham khảo được, đề tài tập trung nghiên cứu vấn đề an toàn và bảo mật CSDLtại Công ty Cổ phần Công nghệ SAVIS
Về thời gian: Dựa tài liệu thu thập năm 2016 - 2018 và số liệu báo cáo tài chính, tài
liệu liên quan của công ty giai đoạn 2016 - 2018 Các số liệu được khảo sát trong quátrình thực tập tại công ty
4. Phương pháp thực hiện đề tài
4.1. Phương pháp thu thập dữ liệu
Phương pháp thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tàiliệu chứa đựng các thông tin liên quan tới đối tượng nghiên cứu của đề tài thực hiện Việcthu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu
Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra: Thiết kế
những phiếu điều tra, hướng dẫn người sử dụng điền những thông tin cần thiết nhằm thăm
Trang 8dò dư luận, thu thập các ý kiến, quan điểm có tính đại chúng rộng rãi.
Bảng câu hỏi gồm các câu hỏi về các thông tin chung của công ty, về đều xoayquanh các hoạt động đảm bảo an toàn CSDL của doanh nghiệp
Mục đích: Thu thập thông tin về hoạt động an toàn cho thông tin của công ty để từ
đó đánh giá thực trạng và đưa ra nhưng giải pháp phù hợp đảm bảo an toàn cho CSDL củaCông ty Cổ phần Công nghệ SAVIS
Phương pháp thu thập dữ liệu thứ cấp: Dữ liệu thứ cấp là những thông tin đã được
thu thập và xử lý trước đây vì các mục tiêu khác nhau của công ty
Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanh củacông ty trong vòng 3 năm: 2016-2018 được thu thập từ phòng kế toán, phòng nhân sự củacông ty, từ phiếu điều tra và tài liệu thống kê khác
Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sách báocủa các năm trước có liên quan đến đề tài nghiên cứu và từ Internet
Sau khi đã thu thập đầy đủ các thông tin cần thiết thì tiến hành phân loại sơ bộ cáctài liệu đó Nếu thu thập thông tin hoàn tất thì bước tiếp theo là xử lý dữ liệu
Phương pháp so sánh đối chiếu: Đối chiếu giữa lý luận và thực tiễn kết hợp thu thập
và xử lý thông tin từ các nguồn thu thập
Phương pháp phân tích, tổng hợp, xử lý và đánh giá: Sử dụng Microsoft office
excel, vẽ biểu đồ minh họa để xử lý các số liệu thu thập được từ các nguồn tài liệu bêntrong công ty bao gồm báo cáo kết quả hoạt động kinh doanh của công ty năm 2016 –
2018, từ phiếu điều tra và tài liệu thống kê khác
Phương pháp phán đoán: dùng để đưa ra các dự báo, phán đoán về tình hình phát triển
HTTT của công ty, tình hình an toàn bảo mật thông tin chung trong nước và thế giới cũngnhư đưa ra các nhận định về các nguy cơ mất an toàn thông tin mà công ty sẽ hứng chịu
4.2. Phương pháp phân tích và xử lý số liệu
Phương pháp định lượng: Dữ liệu sau khi thu thập sẽ được đưa ra phân tích thông
qua việc sử dụng Microsoft Office Excel 2019 Từ những biểu đồ được hoàn thành saukhi nhập dữ liệu vào ta sẽ có những đánh giá cụ thể về thực trạng an toàn bảo mật thôngtin trong doanh nghiệp và tính cấp thiết của việc nâng cao tính an toàn bảo mật cho thôngtin
Phương pháp định tính: Chọn lọc, phân tích, tổng hợp các dữ liệu thu thập được
thông quá các câu hỏi phỏng vấn và các dữ liệu, thông tin được thu thập từ nhiều nguồn
Trang 9khác để phân tích làm rõ các thuộc tính, bản chất của sự vật hiện tượng hoặc làm sáng tỏtừng khía cạnh hợp thành nguyên nhân của vấn đề được phát hiện Thường sử dụng đểđưa ra các bảng số liệu thống kê, các biểu đồ thống kê, đồ thị.
5. Kết cấu của khóa luận
Kết cấu khóa luận gồm 3 chương:
Chương 1: Cơ sở lý luận về an toàn bảo mật CSDL
Chương 2: Phân tích, đánh giá thực trạng an toàn và bảo mật CSDL tại Công ty Cổ
phần Công nghệ SAVIS
Chương 3: Đề xuất giải pháp đảm bảo an toàn CSDL tại công ty Cổ phần Công
nghệ SAVIS
Trang 10CHƯƠNG I CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT CSDL TRONG HỆ
THỐNG THÔNG TIN
1. Một số khái niệm cơ bản
1.1. Một số khái niệm về dữ liệu, cơ sở dữ liệu, thông tin, HTTT, HTTT quản lý trong
doanh nghiệp
Dữ liệu: Dữ liệu là các thông tin của đối tượng (ví dụ: người, vật, một khái niệm, sự
việc…) được lưu trữ trên máy tính Dữ liệu được mô tả dưới nhiều dạng khác nhau(những ký tự, hình ảnh, âm thanh, ký hiệu) …Dữ liệu chưa mang cho con người sự hiểubiết mà phải thông qua quá trình xử lý dữ liệu thành thông tin thì con người mới có thểhiểu được về đối tượng mà dữ liệu đang biểu hiện
Cơ sở dữ liệu (CSDL): Cơ sở dữ liệu là tập hợp dữ liệu tương quan có tổ chức được
lưu trữ trên các phương tiện lưu trữ như đĩa từ, băng từ v v nhằm thỏa mãn các yêu cầukhai thác thông tin (đồng thời) của nhiều người sử dụng và của nhiều chương trình ứngdụng với nhiều mục đích khác nhau
Thông tin: Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa
đối với người sử dụng Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sauquá trình xử lý dữ liệu
Hệ thống thông tin (HTTT): là một tập hợp và kết hợp của các phần cứng, phần
mềm và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo,phân phối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổchức
Hệ thống thông tin quản lý (MIS): là tập hợp các phương tiện, các phương pháp và
các bộ phận có liên hệ chặt chẽ với nhau, nhằm đảm bảo cho việc thu thập, lưu trữ, tìmkiếm xử lý và cung cấp những thông tin cần thiết cho quản lý
1.2. Khái niệm về an toàn, bảo mật CSDL trong HTTT
An toàn dữ liệu: một hệ thống thông tin được coi là an toàn khi thông tin không bị
sửa đổi, sao chép hoặc xóa bỏ bởi người không được phép Như vậy, an toàn dữ liệu chính
là việc bảo vệ được thông tin trong CSDL tránh được những truy cập trái phép đến CSDL,
từ đó có thể thay đổi hay suy diễn nội dung thông tin CSDL
Cơ sở dữ liệu của doanh nghiệp, của một ngành … thường được cài đặt tập trunghay phân tán trên các máy chủ, là tài nguyên thông tin chung cho nhiều người, cùng sửdụng Vì vậy các hệ cơ sở dữ liệu cần phải có cơ chế kiểm soát, truy xuất, quản lý, khai
Trang 11thác thông tin sao cho dữ liệu phải được an toàn, toàn vẹn An toàn dữ liệu có nghĩa là các
hệ cơ sở dữ liệu cần phải được bảo vệ chống truy nhập nhằm sửa đổi hay phá hoại mộtcách chủ định Như vậy các hệ thống cơ sở dữ liệu cần thiết phải được bảo vệ tập trungnhằm đảm bảo tính toàn vẹn và an toàn dữ liệu
Bảo mật cơ sở dữ liệu: là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàng của dữ
liệu Hệ thống thông tin được coi là bảo mật nếu tính riêng tư của nội dung dữ liệu đượcđảm bảo theo đúng các tiêu chí trong một thời gian xác định
+ Tính bí mật: Dữ liệu và thông tin được phân thành các cấp độ bảo mật khác nhau để bảođảm rằng chỉ người dùng được cấp phép mới có thể truy cập vào thông tin
+ Tính toàn vẹn: Đảm bảo thông tin và dữ liệu là nhất quán và xác nhận Dữ liệu và thôngtin là chính xác và được bảo vệ khỏi những phá rối bởi những người trái phép
+ Tính sẵn sàng: Dữ liệu và thông của hệ thống phải luôn ở trong tình trạng sẵn sàng phuc
vụ bất cứ lúc nào đối với những người dùng có thẩm quyền sử dụng một cách thuận lợi.Hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thống mất
an toàn thì không bảo mật được và ngược lại hệ thống không bảo mật được thì mất antoàn
An toàn và bảo mật CSDL có vai trò quan trọng đối với sự phát triển bền vững củacác doanh nghiệp, vì thông tin là tài sản vô cùng quý giá của mỗi doanh nghiệp, rủi ro vềthông tin có thể gây thất thoát tiền bạc, tài sản, con người, gây thiệt hại đến hoạt độngkinh doanh, sản xuất của doanh nghiệp, ảnh hưởng đến uy tín và sự phát triển của doanhnghiệp nhưng lại là vấn đề rất khó tránh khỏi Do vậy, đảm bảo ATTT doanh nghiệp cũng
có thể coi là một hoạt động quan trọng để doanh nghiệp phát triển
2. Một số vấn đề lý thuyết liên quan đến an toàn và bảo mật CSDL
2.1. Các nguy cơ mất an toàn dữ liệu
Mối đe dọa được xem là bất kỳ hoàn cảnh hoặc sự kiện vô tình hay cố ý mà gây ratác động bất lợi cho hệ thống Các đe dọa tiềm năng của hệ thống máy tính có thể xuấtphát từ: phần cứng, hệ quản trị cơ sở dữ liệu và phần mềm ứng dụng, mạng truyền tin, cơ
sở dữ liệu, người sử dụng, người quản trị cơ sở dữ liệu Các mối đe dọa này đều có thểlàm mất hoặc ảnh hưởng đến tính bí mật của dữ liệu
Một hiểm họa có thể được xác định khi đối phương (người, hoặc nhóm người) sửdụng các kỹ thuật đặc biệt để tiếp cận nhằm khám phá, sửa đổi trái phép thông tin quantrọng do hệ thống quản lý
Các xâm phạm tính an toàn CSDL bao gồm đọc, sửa, xóa dữ liệu trái phép Thông
Trang 12qua những xâm phạm này, đối phương có thể:
+ Khai thác dữ liệu trái phép thông qua suy diễn thông tin được phép
+ Sửa đổi dữ liệu trái phép
+ Từ chối dịch vụ hợp pháp
Một vấn đề có thể làm lộ thông tin của mọi hệ thống cơ sở dữ liệu, dù được thiết kế
và kiểm soát chặt chẽ đến đâu là khả năng suy diễn của người dùng dựa trên những nguồnthông tin khác nhau Có một số cách suy diễn có thể giúp người dùng dù không đủ thẩmquyền nhưng vẫn có thể đoán biết được thông tin bí mật:
+ Suy diễn dựa trên số liệu thống kê
+ Thu thập các thông tin từ nguồn khác nhau
+ Suy diễn dựa trên các ràng buộc của cơ sở dữ liệu
2.2. Các hình thức tấn công an toàn CSDL
Dữ liệu được lưu trữ trong cơ sở dữ liệu cần được bảo vệ để tránh việc truy nhajaotrái phép và phá hoại có chủ ý hay không chủ ý Cách thức tiến hành các hành vi phá hoạicác phần mềm cơ sở dữ liệu có thể là virus, con ngựa thành Tơroa, worm, các cửa sập.+ Virus: Là một đoạn mã lệnh có thể sao chép chính nó và phá hủy dữ liệu hệ thống,hoạt động chủ yếu là lây nhiễm trực tiếp vào file đối tượng
+ Worm (“sâu” máy tính): Là chương trình có khả năng “tự nhân bản” “tự chuyển”
từ máy tính này sang máy tính khác, mà không nhờ vào bất kỳ tác động nào của ngườidùng Thông thường Worm lây truyền qua Email, internet, qua các ổ đĩa lưu động
+ Con ngựa thành Tơroa (Trojan Horse): là một chương trình núp dưới nhữngtiện ích xác định, nó tập hợp thông tin, sở hữu thông tin đó và có khả năng sử dụng giamạo những thông tin mà nó làm chủ Nó là một chương trình được cài đặt trong hêthống Nó có thể khai thác những đặc quyền của người sử dụng hợp pháp tạo ra một lỗhổng bảo mật
+ Cửa sập (trapdoor): là một đoạn mã lệnh ẩn trong một chương trình Một đầu vàođặc biệt nào đó sẽ khởi động đoạn mã này và cho phép chủ của nó bỏ qua các cơ chế bảo
vệ và có thể truy nhập đến những tài nguyên hệ thống không thuộc quyền hạn của anh ta
2.3. Các yêu cầu bảo vệ CSDL
+ Bảo vệ chống truy nhập trái phép: Chỉ trao quyền cho những người dùng hợppháp Việc kiểm soát truy nhập cần tiến hành trên những đối tượng dữ liệu mức thấp hơnfile: bản ghi, thuộc tính
+ Bảo vệ chống suy diễn: Suy diễn là khả năng có được các thông tin bí mật từ
Trang 13những thông tin không bí mật
+ Bảo vệ toàn vẹn CSDL: Bảo vệ CSDL khỏi những người dùng không hợp pháp,tránh sửa đổi nội dung dữ liệu trái phép
+ Toàn vẹn dữ liệu thao tác: Đảm bảo tính tương thích logic của dữ liệu khi có nhiềuthao tác thực hiện đồng thời
+ Toàn vẹn ngữ nghĩa của dữ liệu: Đảm bảo tính tương thích logic của các dữ liệu bịthay đổi, bằng cách kiểm tra các giá trị dữ liệu có nằm trong khoảng cho phép hay không.+ Xác thực người dùng: Xác định tính duy nhất của người dùng, là cơ sở cho việctruy quyền Người dùng được phép truy nhập dữ liệu, khi hệ thống xác định được ngườidùng này là hợp pháp
+ Bảo vệ nhiều mức: Phân loại các mục thông tin khác nhau, đồng thời phân quyềncho các mức truy nhập khác nhau vào mục riêng biệt
2.4. Phân loại các hình thức tấn công HTTT
Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn công chủ động Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép,
vi phạm tính toàn vẹn, sẵn sàng dữ liệu
Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường
truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích Tấncông thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm Hiện nay tấncông thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trướckhi tấn công xảy ra
Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu
lại để sử dụng sau Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online)
và tấn công ngoại tuyến (offline): Tấn công ngoại tuyến có mục tiêu cụ thể, thực hiệnbởi thủ phạm truy cập trực tiếp đến tài sản nạn nhân, có phạm vi hạn chế và hiệu suấtthấp Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu có trình độ cao vàcũng không tốn bất kỳ chi phí nào Người dùng có thể trở thành nạn nhân của kiểu tấncông này đơn giản chỉ vì họ để lộ mật khẩu hay lưu ở dạng không mã hóa trong tập tin
có tên dễ đoán trên đĩa cứng Tấn công trực tuyến không có mục tiêu cụ thể Kẻ tấncông nhắm đến số đông người dùng trên Intrenet, hy vọng khai thác những hệ thốnglỏng lẻo hay lợi dụng sự cả tin của người dùng để đánh cắp tài khoản Hình thức phổbiến nhất của tấn công trực tuyến là phishing Phishing là một loại tấn công phi kỹ
Trang 14thuật, dùng đánh cắp các thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòngtránh duy nhất là ý thức của người dùng.
Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa
đổi, thay thế làm lệch đường đi của dữ liệu Đặc điểm của nó là có khả năng chặn cácgói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi Tấn công chủ độngtuy nguy hiểm nhưng lại dễ phát hiện được
Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong
thời gian thực Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao
Ngoài ra, còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông điệp, chờ thời gian và gửi tiếp Hay tấn công từ chối dịch vụ (DoS - Denial of Service)
là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tớikhông thể cung cấp dịch vụ hoặc phải ngưng hoạt động DoS lợi dụng sự yếu kémtrong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đếnserver, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác
2.5. Vấn đề con người trong bảo mật hệ thống:
Một hệ thống thông tin hoạt động hiệu quả chịu sự tác động của nhiều yếu tố, từ cảmôi trường bên trong và môi trường bên ngoài, môi trường vĩ mô và môi trường vi mô.Tuy nhiên, con người là yếu tố quan trong nhất, quyết định sự thành công trong tiến trìnhkiến tạo hệ thống và tính hữu hiệu của hệ thống trong tiến trình khai thác vận hành HTTT.Con người luôn là trung tâm của tất cả các hệ thống bảo mật, bởi vì tất cả các cơ chế, các
kỹ thuật được áp dụng để đảm bảo an toàn hệ thống đều có thể dễ dàng bị vô hiệu hóa bởicon người trong chính hệ thống đó
Ví dụ: Hệ thống xác thực người dùng yêu cầu mỗi người sử dụng trong hệ thống khimuốn thao tác trên hệ thống đều phải cung cấp tên người dùng và mật khẩu Tuy nhiênnếu người được cấp mật khẩu không bảo quản được kỹ thông tin này, hoặc tiết lộ chongười khác biết, thì khả năng xảy ra các vi phạm đối với chính sách an toàn là rất cao vì
hệ thống xác thực đã bị vô hiệu hóa
Thực tế đã chứng minh thấy rằng chính những người bên trong hệ thống, nhữngngười có điều kiện tiếp cận hệ thống lại là những người có khả năng tấn công hệ thốngcao nhất Những người không có kiến thức về an toàn hệ thống cũng là nơi tiềm ẩn cácnguy cơ do những hành vi vô ý của họ như thao tác sai, bỏ qua các khâu kiểm tra an toàn,không tuân thủ chính sách bảo mật thông tin như lưu tập tin bên ngoài thư mục an toàn,
Trang 15làm lộ thông tin mật khẩu người dùng, …
2.6. Vai trò của an toàn bảo mật CSDL
Theo trang antoanthongtin.vn đã thống kê rằng, hiện nay có khoảng 90% dữ liệutrong máy tính được lưu trữ dưới dạng CSDL Tất cả các thông tin về ngân hàng, khotàng, quản lý cơ sở vật chất, dân số, tài nguyên khoáng sản, sách trong thư viện, đều ởdạng CSDL Các dạng thông tin khác như thư tín (bao gồm tất cả các hệ Internet Mail,IBM Lotus Notes, Microsoft Exchange Server, .), văn bản (được soạn thảo bằngMicrosoft Word, Word Perfect, ), các thông tin đồ hoạ khác (được soạn bằng PowerPoint, Corel Draw, AutoCad, ) và các dạng khác chỉ chiếm 10%
Thông tin được coi là tài sản và CSDL không chỉ lưu trữ các thông tin có liên quantới bí mật nhà nước hay những thông tin trong lĩnh vực kinh tế (ngân hàng, tốc độ tăngtrưởng của các ngành sản xuất, ), mà chứa cả thông tin cá nhân (số điện thoại nhà riêng,
sở thích, ) và chúng đều cần được bảo vệ
Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng, minhbạch hơn, có tác động không nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động củadoanh nghiệp, nâng cao uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhậpmột môi trường thông tin lành mạnh Điều này làm tăng ưu thế cạnh tranh của tổ chức.Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hạiđến hoạt động kinh doanh sản xuất của doanh nghiệp Do vậy, đảm bảo an toàn bảo mậtCSDL, cũng như thông tin doanh nghiệp cũng có thể coi là một hoạt động quan trọngtrong sự nghiệp phát triển của doanh nghiệp Đây không phải vấn đề riêng của người làmCNTT mà là của mọi cá nhân và đơn vị trong tổ chức doanh nghiệp
3. Tổng quan đề tài nghiên cứu
3.1. Tổng quan tình hình nghiên cứu ở Việt Nam
Hiện tại các công trình nghiên cứu về an toàn và bảo mật thông tin trong nước cũng
có nhiều khởi sắc tích cực, nhiều công trình nghiên cứu, sách và tài liệu khoa học về antoàn và bảo mật thông tin được thực hiện, điển hình như:
Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống kê.
Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trongthương mại điện tử (TMĐT) như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trongTMĐT Cũng như những nguy cơ mất mát dữ liệu, các hình thức tấn công trong TMĐT
Trang 16Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về an toàn dữ liệutrong hoạt động của mình Ngoài ra, trong giáo trình này cũng đề cập đến một số phươngpháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng như các biện pháp khắc phụchậu quả thông dụng, phổ biến hiện nay, giúp các nhà kinh doanh có thể vận dụng thuận lợihơn trong các công việc hằng ngày của mình.
Vũ Văn Trường (2012), Luận văn thạc sĩ với đề tài: “Nghiên cứu giải pháp đảm bảo
an toàn và bảo mật cho Trung tâm tích hợp dữ liệu”, Đại học Công nghệ
Luận văn đã đưa ra được một số công cụ và phương pháp nhằm đảm bảo an toàn vàbảo mật dữ liệu như: cơ chế xác thực, bảo vệ dữ liệu tại CSDL, Bảo vệ ứng dụng truy cậpCSDL, bảo vệ dữ liệu trên đường truyền mạng công cộng cho Trung tâm tích hợp dữ liệu.Tuy nhiên nội dung nghiên cứu chỉ dừng lại việc thiết lập bảo vệ CSDL riêng lẻ, chưađồng bộ giữa các server CSDL
Nguyễn Dương Hùng (2013), Luận văn thạc sĩ với đề tài: “Các vấn đề bảo mật và
an toàn dữ liệu của ngân hàng thương mại khi sử dụng công nghệ điện toán đám mây”.
Luận văn đã nêu ra lợi ích của việc ứng công nghệ điện toán đám mây vào các ngânhàng là một xu thế tất yếu trong trong thời đại CNTT phát triển mạnh mẽ như hiện nay
Sự ra đời của công nghệ điện toán đám mây (ĐTĐM) cùng với khả năng cung cấp một cơ
sở hạ tầng không giới hạn để truy suất, lưu trữ dữ liệu tại các vị trí địa lý khác nhau là mộtgiải pháp tốt cho cơ sở hạ tầng công nghệ thông tin (CNTT) để các ngân hàng xử lý cácvấn đề khó khăn trong việc lưu trữ, quản lý, khai thác số lượng lớn dữ liệu của họ
Tuy nhiên hạn chế của bài nghiên cứu còn nhiều thiếu sót chỉ nghiên cứu mang tính
lý thuyết chưa có nhiều thực nghiệm cũng như đưa ra được những khuyến nghị về an ninhbảo mật trong ĐTĐM
3.2. Tổng quan tình hình nghiên cứu trên thế giới
William Stallings (2005), Cryptography and network security principles and pratices, Fourth Edition, Prentice Hall
Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn đề
cơ bản của công nghệ mật mã và an ninh mạng Tiến hành kiểm tra an ninh mạng thôngqua các ứng dụng thực tế đã được triển khai thực hiện và được sử dụng ngày nay Cungcấp giải pháp đơn giản hóa AES (Advanced Encryption Standard) cho phép người đọc dễdàng nắm bắt các yếu tố cần thiết của AES Các tính năng, thuật toán, hoạt động mã hóa,CMAC (Cipher-based Message Authentication Code) để xác thực, mã hóa chứng thực
Trang 17Bao gồm phương pháp phòng tránh, mở rộng cập nhật những phần mềm độc hài và những
kẻ xâm hại
Bài báo “Manage component specific access control with differentiation and composition” của tác giả Zhiqing Liu (Tháng 4 năm 2005 từ Đại học Ấn Độ)
Zhiqing Liu giới thiệu một cách trực tiếp về các chính sách kiểm soát truy cập Để
hệ thống đảm bảo được sự an toàn thì việc kiểm soát quyền truy cập không được có thiếusót Vì vậy mà bài báo trình bày về bối cảnh và chi tiết cách tiếp cận hệ thống của conngười, sự khác biệt cụ thể các chính sách kiểm soát truy cập tĩnh và truy cập động, thànhphần và cấu hình các chính sách kiểm soát truy cập tĩnh, truy cập động
Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols John Wiley & Sons
Cuốn sách đã trình bày lý thuyết và thực hành về bảo mật Internet được thông quamột cách nghiêm ngặt, kỹ lưỡng và chất lượng Nêu lên vai trò trung tâm của các hoạtđộng, nguyên tắc, các thuật toán và giao thức bảo mật Internet Đưa ra các biện pháp khắcphục các mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực,tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh Internet.Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai sau đó truy cậpvào mạng
Trang 18CHƯƠNG II PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TOÀN VÀ BẢO MẬT
CSDL TẠI CÔNG TY CỔ PHẦN CÔNG NGHỆ SAVIS
1. Tổng quan về Công ty Cổ phần Công nghệ SAVIS
1.1. Giới thiệu về công ty
1.1.1. Sơ lược về công ty
Tên công ty: Công ty Cổ phần Công nghệ SAVIS
Tên tiếng anh: SAVIS TECHNOLOGY GROUP
Trụ sở chính: Tầng 9, tòa nhà Việt Á, số 9 phố Duy Tân, phường
Dịch Vọng Hậu, quận Cầu Giấy, TP Hà Nội
Văn phòng đại diện: Số 21K Nguyễn Văn Trỗi, Phường 12, Quận Phú
Nhuận, Thành phố Hồ Chí Minh, Việt NamWebsite: https://savis.vn
Điện thoại: + (84-24) 3782 2345
1.1.2. Lịch sử phát triển của công ty
Công ty Cổ phần Công nghệ SAVIS là một trong những công ty công nghệ hàng đầuvới đội ngũ chuyên môn có kinh nghiệm, tâm huyết, sáng tạo và tài năng; chuyên cungcấp các sản phẩm, giải pháp và dịch vụ công nghệ thông tin cho các khách hàng thuộckhối như Chính phủ, Tài chính – Ngân hàng, Truyền hình – Viễn thông, Y tế, Giáo dục,Doanh nghiệp… Được thành lập bởi ông Hoàng Nguyên Vân, trải qua hơn 14 năm pháttriển công ty đã dần trước thành và từng bước khẳng định vị thế của mình
Năm 2004, SAVIS được thành lập bởi những người tài năng, những người đam mêcông nghệ và có nhiều kinh nghiệm trong lĩnh vực CNTT
Năm 2011, lần đầu tái cấu trúc và thực hiện cổ phần hóa Thành lập trung tâm phầnmềm, Trung tâm công nghệ và Trung tâm nghiên cứu và phát triển R&D với mục đích trởthành một công ty giải pháp công nghệ hàng đầu trong lĩnh vực CNTT
Năm 2012, SAVIS trở thành đối tác của nhiều công ty công nghệ thông tin hàng đầuthế giới với tư cách là nhà tích hợp hệ thống, đối tác cao cấp trong việc triển khai và pháttriển dịch vụ, và người hỗ trợ kỹ thuật hàng đầu với một nhóm chuyên gia đã được cácnhà cung cấp công nghệ thông tin hàng đầu thế giới trao chứng chỉ
Năm 2014, SAVIS ký kết thỏa thuận trở thành đối tác thương mại của 2 tập đoàntruyền hình: Frogbywyplay và Wtvision Đây là bước đi chiến lược của SAVIS với mụctiêu từng bước tiếp cận và phát triển mảng dịch vụ truyền hình số tại thị trường Việt Nam.Năm 2015, SAVIS cán mốc doanh thu 130 tỷ đồng cho các lĩnh vực phần mềm, tíchhợp hệ thống và dịch vụ
Trang 19Năm 2016, SAVIS được Hiệp hội Công nghệ thông tin và Phần mềm Việt Nam(VINASA) xếp hạng là một trong 50 công ty CNTT hàng đầu tại Việt Nam.
Năm 2017, cùng với 5 công ty hàng đầu khác tại Việt Nam, SAVIS đã được cấpGiấy phép kinh doanh của Bộ Thông tin và Truyền thông để cung cấp các sản phẩm vàdịch vụ bảo mật thông tin
Năm 2018, SAVIS đạt giải thưởng Sao Khuê cho sản phẩm Giải pháp, lưu trữ số hóađiện tử tập trung trên nền tảng Bigdata
1.2. Cơ cấu tổ chức
1.2.1. Sơ đồ cơ cấu của tổ chức
Sơ đồ 1: Sơ đồ cơ cấu tổ chức của công ty Cổ phần Công nghệ SAVIS
Trang 201.2.2. Chức năng nhiệm vụ, thành phần các bộ phận trong công ty, cơ cấu nhân lực của
Khối kinh doanh: Thực hiện việc theo dõi, quản trị và báo cáo các dự án, hợp đồng
được giao, tổ chức ký kết và thương thảo hợp đồng, tổ chức các cuộc họp, đào tạo trongquá trình thực hiện Phòng Quản lý các dự án và thầu pháp chế quản lý các hợp đồng hợptác đầu tư, tham gia vào việc chuẩn bị hồ sơ cho các gói thầu của công ty; soạn thảo, kiểmtra, kiểm soát về mặt pháp lý các văn bản, các loại công văn, hợp đồng kinh tế, hồ sơ pháp
lý, giúp đỡ tất cả các phòng ban về khía cạnh pháp lý Rà soát và hệ thống hóa các vănbản pháp luật có liên quan đến hoạt động của công ty
Khối tích hợp: Nghiên cứu và thử nghiệm các giải pháp mới về bảo mật mạng, bảo
mật ứng dụng Tham gia các công việc triển khai và cung cấp dịch vụ hạ tầng CNTT hệthống cho khách hàng, tham gia hỗ trợ kỹ thuật, vận hành hệ thống sau quá trình triển khai
dự án Tham gia hỗ trợ công việc tư vấn dịch vụ về hạ tầng CNTT hệ thống cho kháchhàng khi có yêu cầu, đề xuất các giải pháp để tối ưu và nâng cao chất lượng dịch vụ cungcấp ra cho khách hàng
Khối phần mềm: Thức hiện nhiệm vụ thu thập các yêu cầu nghiệp vụ từ phía đối tác
và khách hàng Làm việc trực tiếp với đối tác/ khách hàng để làm rõ nghiệp vụ, từ đó phântích nghiệp vụ và tài liệu hóa yêu cầu nghiệp vụ dưới dạng văn bản nhằm đảm bảo yêucầu nghiệp vụ được tất cả các vị trí trong dự án hiểu thông suốt Tham gia phát triển sảnphẩm phần mềm trên nền tảng NET; tham gia phát triển các dự án trên ngôn ngữ Java, sửdụng nhiều nền tảng công nghệ của IBM
Khối BO: Phòng Marketing thực hiện giới thiệu, quảng cáo sản phẩm, dịch vụ của
công ty Thực hiện giao dịch trao đổi với khách hàng về sản phẩm phần mềm cũng nhưdịch vụ của công ty Xây dựng và thực hiện các kế hoạch quảng cáo, truyền thông trên cácphương tiện thông tin đại chúng Quản lý các kênh truyền thông của công ty (website,
Trang 21facebook, …) và phụ trách truyền thông nội bộ Phòng Hành chính nhân sự thực hiện cáccông việc liên quan đến đánh giá nhân sự, năng lực cán bộ, quy trình, quy định và một sốcông việc có liên quan Phòng Tài chính- Kế toán kiểm soát đối chiếu đầu ra/đầu vào theotừng dự án Phối hợp với các bộ phận/phòng ban liên quan trong Công ty trong việc chuẩn
bị hồ sơ thầu, soạn thảo hợp đồng với khách hàng để đảm bảo các điều khoản về thanhtoán/tài chính tuân thủ theo quy định
1.3. Các lĩnh vực hoạt động
• Tích hợp hệ thống: SAVIS cung cấp các giải pháp như:
- Hạ tầng CNTT: Thiết bị lưu khóa bảo mật (HSM Network, HSM USB, HSM PCI),eToken, EMV Smart Card, Hạ tầng mạng Campus, Hạ tầng mạng diện rộng WAN, hệthống máy chủ, hệ thống lưu trữ, …
- Các giải pháp an ninh bảo mật: bảo mật mạng, bảo mật ứng dụng, mã hóa dữ liệu, chữ ký
số, …
- Các giải pháp Trung tâm dữ liệu: Hạ tầng trung tâm dữ liệu, tối ưu trung tâm dữ liệu, dựphòng thảm họa, di rời và cải tạo trung tâm dữ liệu …
- Các giải pháp truyền thông hợp nhất, giám sát và quản trị hạ tầng CNTT NOC/SOC
• Phát triển phần mềm: SAVIS phát triển nhiều phần mềm và ứng dụng khác nhau như:
- Giải pháp lưu trữ số hóa điện tử tập trung trên nền tảng BigData
- Hệ thống phần mềm ký số tập trung (Signing-Hub) and Mobile PKI
- Hệ thống 1 Cửa điện tử
• Dịch vụ công nghệ thông tin: Các dịch vụ chính SAVIS cung cấp bao gồm:
- Dịch vụ tư vấn chiến lược công nghệ thông tin
- Dịch vụ bảo hành và hỗ trợ kỹ thuật
- Dịch vụ an toàn thông tin
- Dịch vụ hạ tầng mạng
- Dịch vụ vận hành trung tâm dữ liệu
- Dịch vụ hệ thống và điện toán đám mây
- Ngoài ra, SAVIS còn liên kết với các đơn vị đào tạo ủy quyền CNTT của các hãng cungcấp và chia sẻ các dịch vụ đào tạo chuyên gia CNTT cho từng yêu cầu cụ
1.4. Tình hình hoạt động kinh doanh
Bảng 1: Tình hình hoạt động kinh doanh của công ty
Thông qua một số chỉ tiêu về kết quả kinh doanh trên (từ năm 2016 – 2018) ta thấytình hình hoạt động kinh doanh của công ty tăng có sự chuyển biến khá mạnh Nó biểu
Trang 22hiện ở doanh thu và lợi nhuận sau thuế của công ty cho thấy từ năm 2016 đến năm 2018doanh thu và lợi nhuận đều tăng đều qua các năm.
Qua bảng phân tích, doanh thu của năm 2017 là 175 tỷ cao hơn doanh thu của năm
2016 là 15 tỷ; lợi nhuận tăng 8 tỷ so với năm 2016 Doanh thu năm 2018 là 200 tỷ đồng,tăng 25 tỷ so với năm 2017 với lợi nhuận sau thuế là 76 tỷ đồng
Có được những thành quả như vậy là nhờ sự nỗ lực của ban lãnh đạo, sự đồng tâmnhất trí phấn đấu của cán bộ công nhân viên Công ty đã nỗ lực không ngừng để tìm cách
mở rộng kinh doanh dịch vụ: Triển khai đồng bộ các hoạt động trên nhiều lĩnh vực, tăngcường công tác truyền thông, quảng cáo, quảng bá hình ảnh, sản phẩm dịch vụ Ngoài racông ty còn không ngừng nâng cao chất lượng dịch vụ nhằm đáp ứng tốt nhất nhu cầu củakhách hàng
Chứng tỏ rằng công ty đang quản trị hoạt động kinh doanh đã có sự phù hợp vàđúng hướng
2. Phân tích, đánh giá thực trạng an toàn bảo mật CSDL tại Công ty Cổ phần công nghệ SAVIS
Trong quá trình thu thập dữ liệu tại Công ty Cổ phần Công nghệ SAVIS, để phục vụcho nghiên cứu của mình em có tiến hành phỏng vấn và tiến hành phát phiếu điều tra với sốlượng 20 phiếu Nhằm thu được số liệu chân thực và chính xác nhất về vấn đề nghiên cứu.Nội dung của phiếu điều tra sẽ nêu rõ câu hỏi mang nội dung rõ ràng và chính xáccác từ để hỏi, không mang hình thức gợi nhớ hay đa nghĩa Phiếu điều tra có 2 hình thứctrả lời đó là hình thức trả lời đóng và hình thức trả lời mở Phiếu điều tra giúp người làmphiếu có thể bày tỏ được mong muốn và cho thấy được thông tin chính xác nhất Gồm có
20 cán bộ công nhân viên trong Công ty tham gia điền phiếu gồm có:
Số lượng phiếu phát ra: 20 phiếu
Số lượng phiếu thu về: 20 phiếu
Sau khi tiến hành phát phiếu điều tra và kết hợp với phương pháp phỏng vấn, em đãthu được kết quả sau:
Hiện nay, công ty đang sử dụng kiểu dữ liệu tập trung Tất cả các nghiệp vụ quản lý
và tác nghiệp đều được xử lý trên máy tính một cách chính xác và nhanh chóng, nâng caotốc độ xử lý dữ liệu Các dữ liệu được quản lý theo từng module một cách khoa học:CSDL tài chính, CSDL nhân sự, CSDL khách hàng, CSDL sản phẩm việc xử lý trênmáy tính đối với các file dữ liệu giúp cho công tác lưu trữ đơn giản hơn
Trang 23Cơ sở hạ tầng mạng: Hệ thống mạng được trang bị đầu tư với hệ thống mạng LAN
và mạng không dây Wifi chuyên nghiệp phục vụ cho các phòng ban
Hệ thống mạng hoạt động đảm bảo tốc độ ổn định không có lỗi do đường truyền.Điều này vô cùng quan trọng để đảm bảo cho tất cả các thông tin truyền trên mạng đượcthông suốt và đạt hiệu quả cao nhất Việc đảm bảo an toàn cho thông tin trên mạng và
an toàn cho cơ sở hạ tầng hỗ trợ nhằm ngăn ngừa sự tiết lộ, sửa đổi, xóa bỏ hoặc pháhoại bất hợp pháp các tài sản và sự gián đoạn các hoạt động nghiệp vụ chính yếu.Lưu trữ thông tin và quản lý kho thông tin là rất quan trọng đối với thành côngcủa mỗi doanh nghiệp Hiện nay có rất nhiều lựa chọn lưu trữ thông tin cho các doanhnghiệp nhỏ, và thường thì việc kết hợp các lựa chọn lưu trữ khác nhau sẽ là giải pháptốt nhất Cách thức lưu trữ dữ liệu của công ty thu thập được thông qua các phiếu khảosát được biểu hiện qua sơ đồ sau:
Trang 24Biểu đồ 1: Cách thức lưu trữ dữ liệu:
(Nguồn: Phiếu điều tra khảo sát thực trạng sử dụng CSDL tại công ty Cổ phần Công nghệ SAVIS)
Nhìn vào biểu đồ ta thấy, cách thức quản lý dữ liệu của công ty còn đang thủ công.Phần lớn dữ liệu được lưu vào máy tính cá nhân là các dữ liệu được dùng cho các hoạtđộng nghiệp vụ của cá nhân CSDL được lưu dữ vào máy chủ, là những thông tin chung,thông tin mật của công ty, còn lại là những dữ liệu cần thiết là cá tài liệu hồ sơ thầu, tàiliệu hướng dẫn sử dụng dùng cách lưu trữ bằng giấy, được quản lý thủ công
Hiện nay, trong công ty có một số nhân viên đã đặt password cho máy tính và tàiliệu của mình để bảo vệ thông tin dữ liệu Bên cạnh đó, hệ thống CSDL của công ty đãđược phân quyền sử dụng một cách cụ thể để đảm bảo tính bí mật của thông tin, tránhtrường hợp người không có hoạt động liên quan được truy cập tự do vào CSDL côngty
Lưu trữ dữ liệu là một trong những yêu cầu không thể thiếu của một hệ thốngCNTT Để đảm bảo an toàn và tính sẵn sàng, dữ liệu cần phải được lưu dự phòng và khôiphục lại trong trường hợp bản dữ liệu chính gặp lỗi hay có mất mát dữ liệu Hiện nay, tầnsuất lưu trữ dữ liệu ở công ty thu được thông qua phiếu khảo sát được biểu hiện ở sơ đồsau:
Trang 25Biểu đồ 2: Tần suất lưu trữ dữ liệu
(Nguồn: Phiếu điều tra khảo sát thực trạng sử dụng CSDL tại công ty Cổ phần Công nghệ SAVIS)
Dữ liệu trong công ty được lưu trữ với tần suất sao lưu dữ hiện nay là 3 tháng/lần,
hệ quản trị CSDL công ty đang dùng là SQL Server 2008 không đáp ứng được yêu cầusao lưu dữ liệu thường xuyên như hiện nay và việc nâng cấp dữ liệu
Công ty đã sử dụng biện pháp mã hóa thông tin để bảo vệ tính bí mật, xác thực vànguyên vẹn của dữ liệu Đồng thời, sử dụng các biện pháp như phân quyền người sửdụng, đặt password để hạn chế những người không có quyền sử dụng truy cập vào dữliệu
Công ty đã đánh giá được tầm quan trong của yếu tố con người trong vấn đề đảmbảo an toàn và bảo mật HTTT Những nhân viên mới hay nhân viên chưa có kinhnghiệm sẽ được các nhân viên có kinh nghiệm trực tiếp đào tạo, bổ sung thêm kiếnthức để phục vụ công việc Việc làm này giúp giảm bớt chi phí đào tạo và tăng tinhthần đồng đội đoàn kết, thân thiết hơn Ngoài ra cách thức mở lớp đào tạo và gửi nhânviên đi học được công ty áp dụng và cũng mang lại giá trị đáng kể tuy nhiên sẽ mấtnhiều chi phí hơn
3. Đánh giá thực trạng bảo mật, an toàn cơ sở dữ liệu tại Công ty cổ phần Công nghệ SAVIS
Đảm bảo an toàn thông tin trên mạng và an toàn cho cơ sở hạ tầng hỗ trợ nhằm ngănngừa sự tiết lộ, sửa đổi hoặc xóa bỏ hoặc phá hoại bất hợp pháp các tài sản và sự gián