Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của cơ quan UBND huyện đông hưng

Quá trình nghiên cứu cũng góp phần nâng cao nhậnthức của cán bộ công chức, viên chức trong cơ quan về vấn đề an toàn và bảo mật,trau dồi thêm những thông tin cần thiết cho cán bộ để phục

LỜI CẢM ƠN

Qua thời gian học tập, rèn luyện tại trường Đại học Thương mại và thực tập tại

cơ quan UBND huyện Đông Hưng em đã học hỏi và tích luỹ được nhiều kiến thức,kinh nghiệm quý giá cho mình Từ những kiến thức và trải nghiệm thực tế đó là cơ

sở để em xây dựng khóa luận này Để có thể hoàn thành được khóa luận tốt nghiệp

là nhờ sự chỉ bảo tận tình của quý thầy, cô trong khoa Hệ thống thông tin kinh tế vàthương mại điện tử, sự hướng dẫn tận tâm của Th.S Hàn Minh Phương cùng sự giúp

đỡ của các cô chú lãnh đạo và các anh chị là cán bộ viên chức trong Cơ quanUBND huyện Đông Hưng Đồng thời, cũng thông qua khoá luận, em xin tri ân đếntất cả các thầy cô giáo đã dày công dạy dỗ chúng em trong suốt 4 năm ở trường ĐạiHọc Thương Mại Những giá trị mà các cô thầy tạo ra sẽ là nền tảng quan trọng choviệc cống hiến và phấn đấu của chúng em sau này

Với thời gian nghiên cứu và kiến thức còn hạn chế nên không tránh khỏinhững sai sót trong quá trình phân tích, đánh giá cũng như đưa ra các đề xuất đểhoàn thiện giải pháp đảm bảo an toàn thông tin trong HTTT của cơ quan UBNDhuyện Đông Hưng Vì thế, em rất mong nhận được những ý kiến đóng góp củaquý thầy cô, ban lãnh đạo cơ quan để bài khóa luận hoàn thiện hơn Sau cùng,

em xin kính chúc quý thầy cô cùng các cô chú, anh chị luôn dồi dào sức khỏe vàthành công trong cuộc sống

Em xin chân thành cảm ơn.

Sinh viên thực hiệnNguyễn Thị Hồng Nhung

MỤC LỤC

LỜI CẢM ƠN i

MỤC LỤC ii

DANH MỤC CÁC TỪ VIẾT TẮT iv

DANH MỤC BẢNG BIỂU SƠ ĐỒ, HÌNH VẼ v

PHẦN MỞ ĐẦU 1

1 Tầm quan trọng, ý nghĩa tính cấp thiết của đề tài ATTT trong HTTT 1

2 Mục tiêu và nhiệm vụ nghiên cứu 2

3 Đối tượng và phạm vi nghiên cứu 2

4 Phương pháp nghiên cứu đề tài 2

5 Kết cấu của khóa luận tốt nghiệp 3

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT VỀ ATBMTT TRONG HTTT 5

1.1 Một số khái niệm cơ bản 5

1.1.1 Khái niệm về thông tin, hệ thống thông tin 5

1.1.2 Khái niệm về dữ liệu, ATBM dữ liệu và ATBM trong HTTT 6

1.2 Tổng quan về tình hình nghiên cứu an toàn bảo mật HTTT 7

1.2.1 Tình hình nghiên cứu ngoài nước 7

1.2.2 Tình hình nghiên cứu trong nước 8

1.3 Các đặc trưng của một HTTT an toàn 9

1.4 Các nguy cơ và một số giải pháp đảm bảo an toàn thông tin trong HTTT 10 CHƯƠNG 2: PHÂN TÍCH ĐÁNH GIÁ THỰC TRẠNG AN TOÁN BẢO MẬT CỦA UBND HUYỆN ĐÔNG HƯNG 15

2.1 Tổng quan về cơ quan 15

2.1.1 Giới thiệu tổng quan về huyện Đông Hưng 15

2.1.2 Bộ máy tổ chức của cơ quan 16

2.2 Phân tích đánh giá thực trạng an toàn bảo mật HTTTcủa UBND huyện 18

2.2.1 Thực trạng của công tác an toàn bảo mật hệ thống thông tin trong UBND huyện Đông Hưng 18

2.2.2 Phân tích thực trạng về ATBM cho HTTT của cơ quan UBND huyện Đông Hưng qua phiếu điều tra 23

2.2.3 Đánh giá thực trạng an toàn bảo mật thông tin tại cơ quan UBND huyện

Đông Hưng 29

CHƯƠNG 3: ĐỀ XUẤT MỘT SỐ GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THÔNG TIN CỦA UBND HUYỆN ĐÔNG HƯNG 32

3.1 Định hướng phát triển ATBM thông tin trong HTTT của cơ quan UBND huyện Đông Hưng 32

3.2 Đề xuất một số giải pháp bảo mật cho HTT của cơ quan 33

3.2.1 Giải pháp cho an ninh mạng bằng phần mềm tường lửa AVS Firewall 33

3.2.2 Phần mềm diệt virus Kaspersky® Small Office Security 34

3.2.3 Hệ quản trị CSDL Oracle Database 12c 36

3.2.4 Đào tạo nhân lực 38

3.2.5 Đảm bảo an toàn website 39

3.3 Điều kiện thực hiện giải pháp 43

KẾT LUẬN 45 TÀI LIỆU THAM KHẢO

PHỤ LỤC

DANH MỤC CÁC TỪ VIẾT TẮT

AES Advanced Encryption Standard Tiêu chuẩn mã háo tiên tiến

HTTPS Hypertext Transfer Protocol Secure

Một giao thức kết hợp giữa giao thức HTTP và giao thức bảo mật SSL hay TLS cho phép trao đổi thông tin một cách bảo mật trên Internet

HTML HyperText Markup Language Ngôn ngữ Đánh dấu Siêu văn

bảnNAT Network address translation Biên dịch địa chỉ mạng

DANH MỤC BẢNG

Bảng 2.1: Trang thiết bị phần cứng 19

Bảng 2.2: Thống kê kết quả phiếu điều tra 24

Bảng 2.3: Tính hiệu quả của tường lửa đang sử dụng 25

Bảng 2.4 Đánh giá phần mềm BKAV Pro 26

Bảng 2.5: Tần suất sao lưu dữ liệu 27

Bảng 2.6: Nhân viên chuyên trách về CNTT 28

Bảng 2.7: Thống kê số lần website bị khai thác lỗ hổng bảo mật 29

Bảng 3.1: So sánh BKAV Pro và Kaspersky® Small Office Security 35

Bảng 3.2: So sánh hệ quản trị CSDL SQL Server 2014 và Oracle Database 12c 37

Bảng 3.3: Chi phí thực hiện các giải pháp 44

DANH MỤC BIỂU ĐỒ Biểu đồ 2.1: Tính hiệu quả của tường lửa đang sử dụng 25

Biểu đồ 2.2: Đánh giá phần mềm BKAV Pro 26

Biểu đồ 2.3: Tần suất sao lưu dữ liệu 27

Biểu đồ 2.4: Nhân viên chuyên trách CNTT 28

Biều đồ 2.5: Thống kê số lần website bị khai thác lỗ hổng bảo mật 29

DANH MỤC SƠ ĐỒ Sơ đồ 2.1: Tổ chức bộ máy của cơ quan UBND huyện Đông Hưng 17

DANH MỤC HÌNH Hình 1.1: Các thành phần của hệ thống thông tin 5

Hình 2.1: Logo của cơ quan 15

Hình 2.2: Hình ảnh của UBND huyện Đông Hưng 15

Hình 2.3: Giao diện đăng nhập 18

Hình 2.4: Giao diện cổng thông tin điện tử 22

Hình 3.1: Phầm mềm AVS Firewall 33

Hình 3.2: Phần mềm diệt virus Kaspersky® Small Office Security 34

Hình 3.3: Các bước khai thác XSS tấn công qua mạng 40

Hình 3.4: Mô phỏng quá trình tấn công vào lỗ hổng SQL injection 42

PHẦN MỞ ĐẦU

1 Tầm quan trọng, ý nghĩa tính cấp thiết của đề tài ATTT trong HTTT

Trong những năm gần đây, tình hình kinh tế, xã hội nước ta đã trải qua nhữngthay đổi lớn Với xu hướng toàn cầu hóa thế giới ngày càng phẳng, lượng thông tinngày một lớn thì quá trình cạnh tranh giữa các cơ quan nhà nước diễn ra ngày càngkhốc liệt Dữ liệu trong cơ quan đóng một vai trò vô cùng quan trọng, việc bảo đảm

an toàn thông tin và nâng cao tính bảo mật là một yếu tố quan trọng hàng đầu màcác cơ quan luôn luôn phải được quan tâm

Theo Hiệp hội An toàn thông tin Việt Nam (VNISA), có tới trên 50% cơ quan,doanh nghiệp không phát hiện được mình bị tấn công và chưa đến 30% đơn vị đượccảnh báo có khả năng xử lý sự cố

Thống kê của Bkav cũng cho thấy, mỗi tháng có khoảng 82 triệu mối đe dọangười dùng internet Việt Nam Riêng trong năm 2017, Việt Nam mất khoảng12.300 tỷ đồng (hơn 540 triệu USD) vì các cuộc tấn công do mã độc

Ở Việt Nam nguy cơ mất an toàn thông tin đang tăng lên và đáng được báođộng Những con số thống kê đã chỉ ra sự mất an toàn trong việc khai thác thông tincủa người dùng tại Việt Nam hiện nay Cùng với sự phát triển của không gian mạngcũng làm nảy sinh nhiều nguy cơ, thách thức mới đối với an ninh quốc gia cũng như

an toàn, lợi ích của các cơ quan, doanh nghiệp và cá nhân

Cơ quan UBND huyện Đông Hưng là cơ quan hành chính nhà nước vì vậyviệc đảm bảo an toàn thông tin là vô cùng quan trọng Trong quá trình thực tập tại

cơ quan, em được tìm hiểu và biết cơ quan đã từng bị đánh cắp thông tin, mặc dù đãđược khắc phục nhưng không có nghĩa là nó không xảy ra nữa Tại đề tài này vớimong muốn giúp cơ quan đạt được hiệu quả cao hơn trong vấn đề đảm bảo an toànbảo mật thông tin Em sẽ tập trung nghiên cứu cơ sở lý luận về lý thuyết an toàn bảomật thông tin, tìm hiểu thực trạng vấn đề, phân tích đánh giá thực trạng vấn đề bảomật của cơ quan Để từ đó khóa luận đưa ra một số giải pháp bảo mật thông tin phùhợp nhằm khắc phục thực trạng thiếu an toàn thông tin tại Cơ quan UBND huyệnĐông Hưng tỉnh Thái Bình Quá trình nghiên cứu cũng góp phần nâng cao nhậnthức của cán bộ công chức, viên chức trong cơ quan về vấn đề an toàn và bảo mật,trau dồi thêm những thông tin cần thiết cho cán bộ để phục vụ công việc vận hành

và quản lý HTTT tại đơn vị làm việc

Từ thực trạng và tình hình an ninh thông tin của cơ quan, chúng ta thấy tầmquan trọng và ý nghĩa của việc nghiên cứu đề tài, với những kiến thức em được họctrên trường và sự tìm hiểu của bản thân em xin lựa chọn đề tài:

“Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của

Cơ quan UBND huyện Đông Hưng”.

2 Mục tiêu và nhiệm vụ nghiên cứu

Qua quá trình nghiên cứu tài liệu, tìm hiểu và phân tích thực trạng đảm bảo antoàn và bảo mật thông tin tại cơ quan UBND huyện Đông Hưng đã thực hiện đượccác nhiệm vụ như sau: Nhiệm vụ thứ nhất là trình bày các khái niệm cơ bản vềATBM thông tin như khái niệm về thông tin, HTTT, ATBM, thế nào là một HTTTđược bảo mật,… để từ đó có cái nhìn tổng quát về các đối tượng được tìm hiểutrong khóa luận Nhiệm vụ thứ hai là qua số liệu thống kê cùng việc tìm hiểu thực tế

có thể nghiên cứu và phân tích thực trạng ATBM thông tin của cơ quan Từ đó khóaluận đưa ra một số giải pháp nhằm nâng cao hiệu quả về an toàn và bảo mật thôngtin cho HTTT của cơ quan UBND huyện Đông Hưng

3 Đối tượng và phạm vi nghiên cứu

Là một đề tài nghiên cứu khóa luận của sinh viên nên phạm vi nghiên cứu của

đề tài chỉ mang tầm vi mô, giới hạn trong một cơ quan hành chính và trong khoảngthời gian ngắn hạn Cụ thể đó là:

Về không gian: Đưa ra các giải pháp đảm bảo an toàn thông tin cho hệ thốngthông tin của Cơ quan UBND huyện Đông Hưng

Về thời gian: Các số liệu được khảo sát trong 3 năm gần nhất, đồng thời trìnhbày các nhóm giải pháp định hướng phát triển trong tương lai

4 Phương pháp nghiên cứu đề tài

4.1 Khái niệm phương pháp nghiên cứu

Theo (9) Phương pháp nghiên cứu là cách thức, con đường, phương tiện thuthập, xử lý thông tin khoa học (số liệu, sự kiện) nhằm làm sáng tỏ vấn đề nghiêncứu để giải quyết nhiệm vụ nghiên cứu và cuối cùng đạt được mục đích nghiên cứu.Nói cách khác: Phương pháp nghiên cứu khoa học là những phương thức thu thập

và xử lý thông tin khoa học nhằm mục đích thiết lập những mối liên hệ và quan hệphụ thuộc có tính quy luật và xây dựng lý luận khoa học mới

Có hai loại phương pháp nghiên cứu:

- Phương pháp nghiên cứu định tính: quan sát, phỏng vấn các lãnh đạo, công

chức, viên chức của cơ quan, nắm bắt một cách chủ quan tình hình an toàn, bảo mậtthông tin trên mọi mặt của đơn vị làm việc

- Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau đó tổng hợp lạị,

từ đó đưa ra được cái nhìn chính xác hơn về tình hình của cơ quan

4.2 Các phương pháp được sử dụng trong khóa luận

4.2.1 Phương pháp thu thập số liệu

- Xây dựng các phiếu điều tra thu thập dữ liệu từ đối tượng là công chức viên

chức cơ quan về những nội dung phục vụ cho bài nghiên cứu

- Tìm hiểu các thông tin về an toàn bảo mật thương mại điện tử qua Internet,

qua các tài liệu sách báo liên quan đến an toàn bảo mật HTTT

- Phương pháp phỏng vấn: phỏng vấn ban Lãnh đạo và bộ phận IT của cơ

quan Phương pháp trưng cầu ý kiến bằng bảng hỏi: lập ra danh mục các câu hỏi vàkhảo sát ý kiến của nhân viên cũng như ban lãnh đạo cơ quan để phục vụ cho việcđánh giá trình độ nguồn nhân lực trong quá trình nghiên cứu

- Phương pháp chuyên gia: Hỏi ý kiến chuyên gia trong lĩnh vực nghiên cứu

của đề tài để tham khảo và đưa ra định hướng và giải quyết tốt mục tiêu đề ra

- Trong các phương pháp nêu trên thì phương pháp nghiên cứu tài liệu và

phương pháp phỏng vấn là 2 phương pháp chủ đạo còn các phương pháp còn lại làcác phương pháp bổ trợ cho việc nghiên cứu thực hiện đề tài

4.2.1 Phương pháp xử lý dữ liệu:

Từ những dữ liệu thu thập được sau khi tiến hành phỏng vấn và thu thập tài liệu

sẽ được chọn lọc, phân tích, đánh giá, tổng hợp để chọn ra thông tin phù hợp với mụcđích nghiên cứu của đề tài Hai phương pháp nghiên cứu được sử dụng gồm:

- Phương pháp nghiên cứu định tính: quan sát, phỏng vấn các lãnh đạo, công

chức, viên chức của cơ quan, nắm bắt một cách chủ quan tình hình an toàn, bảo mậtthông tin trên mọi mặt của đơn vị làm việc

- Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau đó tổng hợp lạị,

từ đó đưa ra được cái nhìn chính xác hơn về tình hình của cơ quan

5 Kết cấu của khóa luận tốt nghiệp

Khóa luận chia thành ba phần chính:

Chương 1: Cơ sở lí luận về an toàn bảo mật thông tin trong hệ thống thông tin

Chương 2: Cơ sở lý luận và thực trạng an toàn bảo mật thông tin tại Cơ quanUBND huyện Đông Hưng.

Chương 3: Định hướng phát triển và đề xuất giải pháp an toàn bảo mật hệthống thông tin trong Cơ quan UBND huyện

CHƯƠNG 1: CƠ SỞ LÝ THUYẾT VỀ ATBMTT TRONG HTTT

1.1 Một số khái niệm cơ bản

1.1.1 Khái niệm về thông tin, hệ thống thông tin

Theo (2) Thông tin là một bộ dữ liệu được cơ quan, tổ chức sử dụng mộtphương thức nhất định sao cho chúng mang lại một giá trị gia tăng so với giá trị vốn

có của dữ liệu Thông tin chính là dữ liệu đã qua xử lý (phân tích, tổng hợp, thốngkê) có ý nghĩa thực tiễn, phù hợp với mục đích cụ thể của người sử dụng Thông tin

có thể gồm nhiều giá trị dữ liệu có liên quan nhằm mang lại ý nghĩa trọn vẹn chomột sự vật hiện tượng cụ thể trong ngữ cảnh

Theo (2) Hệ thống thông tin là một tập hợp phần cứng, phần mềm, cơ sở dữ

liệu, mạng viễn thông, con người và các quy trình thủ tục khác nhằm thu thập, xử

lý, lưu trữ và truyền phát thông tin trong một cơ quan, tổ chức Hệ thống thông tin

hỗ trợ việc ra quyết định, phân tích tình hình, lập kế hoạch, điều phối và kiểm soátcác hoạt động trong một cơ quan, tổ chức Hệ thống thông tin có thể là thủ công nếudựa vào các công cụ thủ công như giấy, bút, thước, tủ hồ sơ,… còn hệ thống thôngtin hiện đại là hệ thống tự động hóa dựa vào mạng máy tính và các thiết bị côngnghệ khác

Hệ thống thông tin bao gồm 5 thành phần (còn gọi là năm nguồn lực hay nămnguồn tài nguyên) chính như trình bày trong hình:

Hình 1.1: Các thành phần của hệ thống thông tin

Nguồn lực phần cứng: Trang thiết bị phần cứng của một hệ thống thông tingồm các thiết bị vật lý được sử dụng trong quá trình xử lý thông tin như nhập dữliệu vào, xử lý và truyền phát thông tin ra Phần cứng là các thiết bị hữu hình có thểnhìn thấy, cầm nắm được.

Nguồn lực phần mềm: Phần mềm là các chương trình được cài đặt trong hệthống, thực hiện công việc quản lý hoặc các quy trình xử lý trong hệ thống thôngtin Phần mềm được sử dụng để kiểm soát và điều phối phần cứng, thực hiện xử lý

và cung cấp thông tin theo yêu cầu của người sử dụng

Nguồn lực dữ liệu: Cơ sở dữ liệu là tập hợp dữ liệu có tổ chức và có liên quanđến nhau được lưu trữ thứ cấp (như băng từ, đĩa từ) để phục vụ yêu cầu khai thácthông tin đồng thời của nhiều người sử dụng hay nhiều chương trình ứng dụng vớimục đích tại nhiều thời điểm khác nhau

Nguồn lực mạng: Mạng máy tính gồm tập hợp máy tính và các thiết bị đượckết nối với nhau nhờ đường truyền vật lý theo một kiến trúc nhất định dựa trên giaothức nhằm chia sẻ các tài nguyên trong mạng của cơ quan, tổ chức

Nguồn lực con người: Trong hệ thống thông tin hiện đại, yếu tố con người baogồm tất cả những đối tượng tham gia quản lý, xây dựng, mô tả, lập trình, sử dụng,nâng cấp và bảo trì hệ thống Con người được coi là thành phần quan trọng nhất,đóng vai trò chủ động để tích hợp các thành phần trong hệ thống để đạt được hiệuquả cao nhất trong hoạt động

Tham khảo tài liệu [2]

1.1.2 Khái niệm về dữ liệu, ATBM dữ liệu và ATBM trong HTTT

Theo (1) Dữ liệu là một khái niệm rất trừu tượng, là thông tin đã được đưa vàomáy tính Dữ liệu sau khi tập hợp lại và xử lý sẽ cho ta thông tin Hay nói theo cáchkhác, dữ liệu là thông tin đã được mã hóa trên máy tính Vì vậy ta có thể hiểu antoàn dữ liệu là an toàn thông tin trên máy tính

Theo (1) An toàn và bảo mật dữ liệu (Database Security) có thể hiểu là quátrình đảm bảo cho hệ thống tránh khỏi những nguy cơ thay đổi hoặc sao chép dữthông tin Các nguy cơ này có thể là ngẫu nhiên (do tai nạn) hoặc có chủ định (bịphá hoại từ bên ngoài) Việc bảo vệ dữ liệu có thể được thực hiện bằng các thiết bịphần cứng (các hệ thống Backup dữ liệu,…) hay các chương trình phần mềm (trìnhdiệt Virus, các chương trình mã hóa,…)

Theo (9) An toàn bảo mật trong HTTT là thông tin không bị hỏng hóc, không

bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép ATTT làquá trình đảm bảo cho hệ thống dữ liệu tránh khỏi những nguy cơ hỏng hóc hoặcmất mát Các nguy cơ tiềm ẩn về khả năng mất an toàn thông tin ngẫu nhiên nhưthiên tai, hỏng vật lí, mất điện… và các nguy cơ có chủ định như tin tặc, cá nhânbên ngoài, phá hỏng vật lí, can thiệp có chủ ý…

Một HTTT an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt độngchủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệthại đến cho chủ sở hữu ATTT đó là việc đảm bảo được tính bảo mật qua việc đảm bảo

dữ liệu của người sử dụng luôn được bảo vệ, không bị mất mát Dữ liệu không bị tạo

ra, sửa đổi hay xóa bởi những người không sở hữu và luôn trong trạng thái sẵn sàng.Đồng thời có tính tin cậy đảm bảo thông tin mà người dùng nhận được là đúng

1.2 Tổng quan về tình hình nghiên cứu an toàn bảo mật HTTT

1.2.1 Tình hình nghiên cứu ngoài nước

-William Stallings (2016), Cryptography and network security principles and practices, 7Th Edition.

Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá nhữngvấn đề cơ bản của công nghệ mật mã và an ninh mạng Xem xét thực hành bảo mậtmạng thông qua các ứng dụng thực tế đã được triển khai và đang được sử dụngngày nay Cung cấp AES đơn giản (Chuẩn mã hóa nâng cao) cho phép người đọcnắm bắt các yếu tố cần thiết của AES dễ dàng hơn Có các chế độ mã hóa hoạt độngkhối, bao gồm chế độ CMAC để xác thực và chế độ CCM để mã hóa được xác thực.Tài liệu tham khảo này rất hữu ích cho các kỹ sư hệ thống, lập trình viên, ngườiquản lý hệ thống, người quản lý mạng, và chuyên gia hỗ trợ hệ thống

-Jean-Philippe Aumasson (2017), Serious Cryptography: A Practical Introduction to Modern Encryption.

Cuốn sách về mã hóa hiện đại phá vỡ các khái niệm toán học cơ bản về mật

mã nhưng không làm mất đi các tính chất và cách chúng hoạt động Người đọc sẽtìm hiểu về mã hóa được xác thực, tính ngẫu nhiên an toàn, hàm băm, mật mã khối

và các kỹ thuật khóa công khai như RSA và mật mã đường cong elip Chi tiết cuốnsách gồm: các khái niệm chính về mật mã, chẳng hạn như bảo mật tính toán, môhình tấn công và bảo mật chuyển tiếp, những điểm mạnh và hạn chế của giao thức

TLS sau các trang web bảo mật HTTPS, tính toán lượng tử và mã hóa sau lượng tử,

về các lỗ hổng khác nhau bằng cách kiểm tra nhiều ví dụ về mã và các trường hợpsử dụng, Cách chọn thuật toán hoặc giao thức tốt nhất

- Bruce Schneier (2015), Applied Cryptography: Protocols, Algorithms and Source Code in C.

Cuốn sách cho biết chi tiết cách lập trình viên và các chuyên gia điện tử có thểsử dụng mật mã - kỹ thuật mã hóa và giải mã thông điệp để duy trì tính riêng tư của

dữ liệu máy tính Nó mô tả hàng chục thuật toán mã hóa, đưa ra lời khuyên thiếtthực về cách triển khai chúng vào phần mềm mã hóa và cho thấy cách chúng có thểđược sử dụng để giải quyết các vấn đề bảo mật Cuốn sách này cho thấy các lậptrình viên thiết kế các ứng dụng máy tính, mạng và hệ thống lưu trữ cách họ có thểxây dựng bảo mật cho phần mềm và hệ thống của họ

1.2.2 Tình hình nghiên cứu trong nước

Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử,

NXB Thống kê Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn

dữ liệu trong thương mại điện tử (TMĐT) như khái niệm, mục tiêu, yêu cầu an toàn

dữ liệu trong TMĐT, cũng như những nguy cơ mất an toàn dữ liệu trong TMĐT Từ

đó, giúp các nhà kinh doanh tham gia thương mại điện tử TMĐT có cái nhìntổng thể về an toàn dữ liệu trong hoạt động của mình Ngoài ra, trong giáo trìnhnày cũng đề cập một số biện pháp khắc phục hậu quả thông dụng, phổ biến ngàynay, giúp các nhà kinh doanh có thể cận dụng thuận lợi hơn trong công việc hằngngày của mình

Bài báo:”Giải pháp phát hiện và phòng chống tấn công mạng của FirewallWatchQuard (Bài báo trên trang web antoanthongtin.vn)”

Mới đây, hãng bảo mật Firewall WatchQuard đã phát triển thành công tínhnăng Threat Detection and Response (TDR) giúp phát hiện và phản hồi các mối đedọa, đảm bảo an toàn cho các node mạng và thiết bị đầu cuối Giải pháp này chophép giám sát các node mạng và thiết bị đầu cuối và bằng cơ chế phân tích thôngminh có thể phát hiện, chọn lọc ưu tiên và xử lý kịp thời khi các mỗi nguy hiểm xảy

ra TDR có nhiều tính năng như: xử lý các mối nguy hiểm theo độ ưu tiên và mức

độ an toàn, tăng mức độ an toàn chống lại các phần mềm độc hại hay hỗ trợ chodoanh nghiệp với quy mô khác nhau mà không tốn thêm chi phí

Đồ án: “Mạng WLAN và một số vấn đề bảo mật cho mạng không dây wifi”

của Nguyễn Thị Hiền, sinh viên trường ĐH Công nghệ - Đại học Quốc gia Hà Nội.Trong công trình nghiên cứu về phương pháp bảo mật trên WLAN của sinh viênNguyễn Thị Hiền đã tập trung phân tích khá rõ ràng và có chiều sâu về vấn đề bảomật trong mạng không dây Công trình nghiên cứu đã tập trung chỉ ra được nhữngyếu điểm về bảo mật trong mạng không dây và đã đưa ra được nhiều giải pháp khắcphục khá hay và tốt Mặc dù vậy thì công trình nghiên cứu này còn có một số hạnchế đó là mới chỉ đưa ra được những giải pháp trước mắt chứ chưa đưa ra được giảipháp lâu dài trong bối cảnh công nghệ phát triển như vũ bão hiện nay

Nhìn chung, các đề tài luận văn, chuyên đề tốt nghiệp và các tài liệu về antoàn bảo mật thông tin trong doanh nghiệp khá nhiều nhưng vẫn chưa đi vào chitiết Đề tài: “Một số giải pháp nâng cao tính an toàn bảo mật thông tin của cơ quanUBND huyện Đông Hưng” sẽ tập trung vào việc đánh giá và đưa ra các giải phápnâng cao hiệu quả các hoạt động đảm bảo an toàn và bảo mật HTTT tại một doanhnghiệp cụ thể Vì vậy đi sâu nghiên cứu về đề tài này là rất cần thiết

1.3 Các đặc trưng của một HTTT an toàn

Một hệ thống thông tin được gọi là an toàn khi các yếu tố cơ bản sau đượcgiải quyết:

Tính bảo mật

Trong an toàn dữ liệu, an toàn và bảo mật (Security) là yêu cầu đảm bảo cho

dữ liệu của người sử dụng phải được bảo vệ, không bị mất mát bởi những ngườikhông được phép Nói khác đi là phải đảm bảo được ai là người được phép sử dụng(và sử dụng được) các thông tin (theo sự phân loại mật của thông tin)

Thông tin đạt được tính bảo mật khi nó không bị truy nhập, sao chép hay sửdụng trái phép bởi một người không sở hữu Trên thực tế, thường rất nhiều thông tin

cá nhân của người sử dụng đều cần phải đạt được độ bảo mật cao chẳng hạn như mã

số thẻ tín dụng, số thẻ bảo hiểm xã hội,…Vì vậy đây có thể nói là yếu tố quan trọngnhất đối với tính an toàn của một hệ thống thông tin

Tính toàn vẹn

Trong an toàn dữ liệu, tính toàn vẹn (Integrity) có nghĩa là dữ liệu không bịtạo ra, sửa đổi hay xóa bởi những người không sở hữu Tính toàn vẹn đề cập đến

khả năng đảm bảo các thông tin không bị thay đổi nội dung bằng bất cứ cách nàobởi người không được phép trong quá trình truyền thông

Việc đảm bảo tính toàn vẹn trong dữ liệu bao gồm:

- Đảm bảo sự toàn ven dữ liệu với dữ liệu gốc

- Bảo vệ dữ liệu khỏi sự sửa chữa và phá hoại của những người dùng không cóthẩm quyền

- Bảo về dữ liệu tránh khỏi những thay đổi không đúng về mặt ngữ nghĩahay logic

Tính sẵn sàng

Tuy dữ liệu phải được đảm bảo tính bí mật và toàn vẹn nhưng đối với ngườisử dụng, dữ liệu phải luôn trong trạng thái sẵn sàng (Availability) Các biện phápbảo mật làm cho người sử dụng gặp khó khăn hay không thể thao tác được với dữliệu đều không thể được chấp nhận Nói khác đi, các biện pháp đảm bảo an toàn dữliệu phải đảm bảo được sự bảo mật và toàn vẹn của dữ liệu đồng thời cũng phải hạnchế tối đa những khó khăn gây ra cho người sử dụng thực tế Dữ liệu và tài nguyêncủa hệ thống phải luôn trong trạng thái sẵn sàng phục vụ bất cứ lúc nào đối vớinhững người dùng có thẩm quyền sử dụng một cách thuận lợi

Tính tin cậy

Yêu cầu về tính tin cậy (Confidentiality) liên quan đến khả năng đảm bảorằng, ngoài những người có quyền, không ai có thể xem các thông điệp và truy cậpnhững dữ liệu có giá trị Mặt khác, nó phải đảm bảo thông tin người dùng nhậnđược là đúng với mong muốn của họ, chưa hề bị mất mát hay bị lọt vào tay nhữngngười dùng đang không được phép

Việc đánh giá độ an toàn của một hệ thống thông tin phải xem xét đến tất cả cácyếu tố trên Nếu thiếu một trong số đó thì độ bảo mật của hệ thống không hoàn thiện

Tham khảo tài liệu [1]

1.4 Các nguy cơ và một số giải pháp đảm bảo an toàn thông tin trong HTTT

Để tìm hiểu về vấn đề này, chúng ta sẽ tiếp cận theo năm thành phần của một

hệ thống thông tin để từ đó có những giải pháp phù hợp cho mỗi phần như sau:

 Phần cứng

Nguy cơ mất an toàn thông tin từ các cuộc tấn công vào thiết bị phần cứng lànguy cơ do mất điện, nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bịphần cứng bị hư hỏng, tinh vi hơn các thiết bị phần cứng như vi xử lý, ổ cứng,mainboard, các thiết bị ngoại; cũng có khả năng bị cài sẵn mã độc để làm nội gián

từ bên trong

Ngoài yêu cầu các thiết bị phần cứng cơ bản như máy tính, máy in, máy fax,thiết bị và đường truyền mạng phải hoạt động tốt, ổn định thì cơ quan nên sử dụngcác thiết bị bảo mật: thiết bị bảo mật đa chức năng Firebox X (WatchGuard), thiết

bị tối ưu mạng WAN Exinda, thiết bị bảo mật thư điện tử chuyên dụng của hãngO2Micro’s SifoML,…Để tránh khả năng các thiết bị phần cứng bị cài sẵn mã độctrước khi sử dụng người dùng cần chọn những hãng máy tính có uy tín và tin cậy,đối với cơ quan tổ chức cần tính bảo mật cao trước khi đưa các thiết bị vào sử dụngcần có những cuộc kiểm tra toàn diện để đảm bảo các thiết bị phần cứng đó đảmbảo an toàn trước khi đưa vào hệ thống

 Phần mềm

Các nguy cơ tấn công vào phần mềm ứng dụng trong cơ quan nhà nước làchương trình phần mềm độc hại hay còn gọi là phần mềm độc hại bao gồm virusmáy tính, sâu máy tính, trojan, adware và skyware được gắn vào các chương trìnhphần mềm nhằm thực thi các mục đích nhất định khi được kích hoạt Ngoài ra phải

kể đến một số lỗ hổng phần mềm, các tấn công bằng cách phá mật khẩu cũng lànhững nguy cơ đáng báo động mà người dùng cần có những biện pháp phòng tránhchúng để có một môi trường làm việc an toàn

Virus: là một chương trình máy tính có thể tự sao chép chính nó lên nhữngđĩa, file khác mà người sữ dụng không hay biết Thông thường virus máy tính mangtính chất phá hoại, nó sẽ gây ra lỗi thi hành, lệch lạc hay hủy dữ liệu Chúng có cáctính chất: kích thước nhỏ, có tính lây lan từ chương trình này sang chương trìnhkhác, từ đĩa này sang đĩa khác và do đó lây từ máy này sang máy khác, tính pháhoại thông thường chúng sẽ tiêu diệt và phá hủy các chương trình và dữ liệu (tuynhiên cũng có một số virus không gây hại như chương trình được tạo ra chỉ với mụcđích trêu đùa)

Worm (sâu máy tính): là loại virus lây từ máy tính này sang máy tính khác quamạng, khác với loại virus truyền thống trước đây chỉ lây trong nội bộ một máy tính

và nó chỉ lây sang máy khác khi ai đó đem chương trình nhiễm virus sang máy này Trojan, Spyware, Adware: là những phần mềm được gọi là phần mềm giánđiệp, chúng không lây lan như virus Thường bằng cách nào đó (lừa đảo người sửdụng thông qua một trang web, hoặc một người cố tình gửi nó cho người khác) càiđặt và nằm vùng tại máy của nạn nhân, từ đó chúng gửi các thông tin lấy được rabên ngoài hoặc hiện lên các quảng cáo ngoài ý muốn của nạn nhân

Các hacker cũng lợi dụng lỗ hổng bảo mật thường là do lỗi lập trình, lỗi hoặc

sự cố phần mềm, nằm trong một hoặc nhiều thành phần tạo nên hệ điều hành hoặctrong chương trình cài đặt trên máy tính Hiện nay các lỗ hổng bảo mật được pháthiện ngày càng nhiều trong các hệ điều hành, các web server hay các phần mềmkhác, Và các hãng sản xuất luôn cập nhật các lỗ hổng và đưa ra các phiên bản mớisau khi đã vá lại các lỗ hổng của các phiên bản trước

Các phần mềm ứng dụng đóng vai trò rất quan trọng và đã trở thành một phầnkhông thể thiếu đối với hoạt động của cơ quan nhà nước Để đảm bảo ATTT, cácphần mềm đó phải sạch, tức là không chứa virus, mã độc, spyware Ngoài ra, đóphải là các phần mềm có bản quyền, được nâng cấp, cập nhật thường xuyên bởi nhàsản xuất nhằm giảm bót các nguy cơ từ lỗ hổng bảo mật

Bên cạnh các phần mềm ứng dụng, cơ quan phải luôn chủ động trong việc càiđặt các phần mềm bảo mật như phần mềm chống virus, spyware và phishing; phầnmềm bảo mật dựa trên sinh trắc học (nhận dạng khuôn mặt, vân tay), phần mềm mãhóa dữ liệu, phần mềm chống thư rác,…

Để đối phó với sự gia tăng của các hình thức tấn công, các biện pháp phòngtránh các nguy cơ gây mất ATTT cũng được cải thiện hơn Một số biện pháp phải

kể đến như: phân quyền người dùng, bảo mật kênh truyền dữ liệu với một số giaothực SSL (Secure Socket Layer), SET (Secure Electronic Transaction), WEP(Wired Equivalent Privacy), tường lửa,….Cùng với đó là các khắc phục sự cố nhưcác việc khôi phục dữ liệu bị xóa, đảm bảo an toàn dữ liệu nhờ sao lưu,…giúp việclưu trữ thông tin dữ liệu được đảm bảo và tránh mất mát Mã hóa dữ liệu và sử dụngchứ ký điện tử có thể đảm bảo tính bí mật và không thể chối cãi của dữ liệu

Thiết lập và cấu hình cơ sở dữ liệu an toàn, luôn cập nhật bản vá lỗi mới nhấtcho hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trênmáy chủ cơ sở dữ liệu Gỡ bỏ các cơ sở dữ liệu không sử dụng, có các cơ chế saolưu dữ liệu, tài liệu hóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật kýCSDL với các nội dung như: nội dung thay đổi, lý do thay đổi, thời gian, vị trí thayđổi, Thường xuyên kiểm tra, giám sát chức năng chia sẻ thông tin Tổ chức cấp pháttài nguyên trên máy chủ theo danh mục, thư mục cho từng phòng/đơn vị trực thuộc

 Mạng

Điển hình trong hình thức tấn công vào hệ thống mạng và đường truyền là tấncông từ chối dịch vụ (DoS- Denial of Service) là kiểu tấn công làm cho hệ thốngquá tải không thể cung cấp dữ liệu hoặc phải ngưng hoạt động Tấn công DoS vàcác biến thể của nó như DDoS, DRDoS,…là hình thức tấn công được sử dụng nhiềunhất hiện nay và rất khó phòng chống vì tính bất ngờ của nó

Ngoài ra trong quá trình lưu thông và giao dịch thông tin trên mạng Internetnguy cơ mất an toàn thông tin trong quá trình truyền tin là rất cao do kẻ xấu chặnđường truyền, thay đổi hoặc phá hỏng nội dung thông tin rồi tiếp tục gửi đến ngườinhận Cùng với đó là những lỗ hổng từ mạng không dây tin tặc có thể khai thácchúng để đạt được quyền truy cập vào mạng Internet hoặc mạng nội bộ của doanhnghiệp tổ chức thực hiện những hành vi sai trái

bộ, nhân viên có thể xem hết hệ thống con của tổ chức mà không để lại một dấu vếtnào Người dùng thiếu hiểu biết là nguyên nhân của hành vi vi phạm an ninhmạng.Cán bộ, nhân viên của cơ quan có thể là đối tượng của những vụ lừa đảo đểtiết lộ hoặc lấy cắp thông tin của cơ quan nhà nước Hay sự thiếu hiểu của ngườidùng cuối khi nhập các dữ liệu bị lỗi hoặc không theo sự hướng dẫn thích hợp củaquy trình xử lý dữ liệu khi sử dụng các thiết bị máy tính cũng là một nguy cơ gâymất an toàn cho hệ thống thông tin.

Để tránh những nguy cơ trên, những người sử dụng, làm việc trực tiếp vớithông tin cần phải có kiến thức về ATTT Cần bố trí cán bộ quản lý, cán bộ kỹthuật phù hợp chịu trách nhiệm đảm bảo an toàn cho hệ thống dữ liệu và thôngtin, có kế hoạch đào tạo bồi dưỡng nghiệp vụ cho đội ngũ cán bộ ATTT, đào tạo,phổ biến kiến thức, kỹ năng cho người dùng máy tính về phòng, chống các nguy

cơ mất ATTT khi sử dụng mạng Internet

Tham khảo tài liệu [2]

CHƯƠNG 2: PHÂN TÍCH ĐÁNH GIÁ THỰC TRẠNG AN TOÁN BẢO MẬT

CỦA UBND HUYỆN ĐÔNG HƯNG

2.1 Tổng quan về cơ quan

2.1.1 Giới thiệu tổng quan về huyện Đông Hưng

Huyện Đông Hưng tỉnh Thái Bình được thành lập theo Quyết định số 93-CPngày 17/6/1969 của Hội đồng Chính phủ trên cơ sở sáp nhập hai huyện Đông Quan

và huyện Tiên Hưng

- Huyện Đông Hưng nằm ở phía bắc tỉnh Thái Bình.

- Trung tâm huyện Đông Hưng cách trung tâm thành phố Thái Bình 12 km.

- Huyện Đông Hưng có diên tích đất tự nhiên 189,76 km2.

- Dân số: 252.728 người

- Đơn vị hành chính: Huyện có 43 xã và 1 thị trấn

Hình 2.1: Logo của cơ quan

Hình 2.2: Hình ảnh của UBND huyện Đông Hưng

- Loại hình: Cơ quan Nhà nước

- Điện thoại; 0363.851.233

- Fax: 0363.553.958

- Mã Số Thuế: 1000587573

- Địa chỉ UBND: Tổ 8 - Thị trấn Đông Hưng, huyện Đông Hưng, tỉnh Thái Bình

2.1.2 Bộ máy tổ chức của cơ quan

UBND được tổ chức theo mô hình cơ quan hành chính Nhà nước bao gồm 1chủ tịch huyện, 2 phó chủ tịch huyện và 12 phòng ban lãnh đạo bộ phận của huyện

12 phòng ban bao gồm:

- Phòng y tế: Thực hiện chức năng quản lý nhà nước về chăm sóc và bảo vệ

sức khỏe cho nhân dân, y tế cơ sở, y tế dự phòng, khám chữa bệnh phục hồi chứcnăng

- Phòng giáo dục và đào tạo: Thực hiện quản lý nhà nước về lĩnh vực giáo dục

và đào tạo bảo gồm mục tiêu chương trình, nội dung giáo dục và đào tạo; tiêu chuẩn

cơ sở vật chất, thiết bị trường học, quy chế thi cử và cấp văn bằng, chứng chỉ, bảođảm chất lượng giáo dục

- Phòng văn hóa và thông tin: Thực hiện chức năng quản lý nhà nước về các

lĩnh vực văn hóa, gia đình, thể dục thể thao, du lịch, bưu chính, viễn thông vàinternet

- Phòng lao động thương binh và xã hội: Thực hiện chức năng quản lý nhà

nước về các lĩnh vực lao động, người có công với xá hội, thực hiện một số quyềnhạn theo sự ủy quyền của UBND huyện

- Phòng nội vụ: thực hiện chức năng quản lý nhà nước về công tác Nội vụ trên

địa bàn theo quy định của pháp luật

- Phòng tài chính kế hoạch: Thực hiện chức năng quản lý nhà nước về các lĩnh

vực tài chính, tài sản, kế hoạch và đầu tư, đăng kí kinh doanh, tổng hợp

- Phòng tư pháp: Thực hiện chức năng quản lý nhà nước về các lĩnh vực công

tác xây dụng văn bản quy phạm pháp luật, kiểm tra xử lý văn bản quy phạm phápluật, thi hành án dân sự, chứng thực hộ tịch, trợ giúp pháp lý, hòa giải ở cơ sở vàcác công tác tư pháp khác

- Phòng nông nghiệp và phát triển nông thôn: Thực hiện chức năng quản lý

nhà nước về nông nghiệp, thủy lợi, phát triển nông thôn, kinh tế trang trại nôngthôn, kinh tế hợp tác xã nông, làng nghề nông thông trên địa bàn huyện,

- Phòng thanh tra: Thực hiện chức năng quản lý nhà nước về công tác thanh

tra, giải quyết khiếu nại, tố cáo và phòng chống tham nhũng theo quy định phápluật, bổ sung thêm chức năng chống tham nhũng

- Phòng công thương: Thực hiện chức năng quản lý nhà nước về kiến trúc, quy

hoạch xây dựng, phát triển nông thôn,

- Phòng tài nguyên môi trường: Thực hiện chức năng quản lý nhà nước về các

lĩnh vực tài nguyên đất, tài nguyên nước, môi trường, thủy văn, đo đạc, bản đồ

- Văn phòng HĐND-UBND huyện: là cơ quan hành chính Nhà nước có chức

năng, nhiệm vụ tham mưu tổng hợp và đảm bảo phục vụ cho các hoạt động củaHĐND-UBND

Sơ đồ 2.1: Tổ chức bộ máy của cơ quan UBND huyện Đông Hưng

UBND huyện Đông Hưng hiện tại có 102 nhân viên và trong đó Văn phòngHĐND-UBND có 12 nhân viên hầu hết đều tốt nghiệp chuyên ngành CNTT của cáctrường Đại học tại Việt Nam: Đại học Bách khoa, Đại học Thương mại và 1 số Đạihọc khác cùng chuyên ngành Đội ngũ nhân viên chủ chốt đảm nhiệm là những

người có kinh nghiệm nhiều năm như ( chánh văn phòng huyện, phó chánh vănphòng huyện).

2.2 Phân tích đánh giá thực trạng an toàn bảo mật HTTTcủa UBND huyện

2.2.1 Thực trạng của công tác an toàn bảo mật hệ thống thông tin trong UBND huyện Đông Hưng

2.2.1.1 Giới thiệu HTTT của cơ quan

Hiện nay, cơ quan UBND huyện Đông Hưng đã sử dụng VNPT-ioffice đểquản lý toàn bộ hoạt động làm việc của toàn cơ quan

Tại đây, toàn bộ thông tin hành chính công, kế hoạch lịch tiếp công dân, hồ sơtài liệu, công văn đều được thể hiện một cách cụ thể

Dưới đây là hình ảnh giao diện đăng nhập tại HTTT của cơ quan:

Hình 2.3: Giao diện đăng nhập

Nhờ có phần mềm này đã mang lại rất nhiều lợi ích cho cơ quan

Về phía lãnh đạo:

- Điều hành và quản lý mọi lúc, mọi nơi

- Quản lý các công việc đã giao một cách rõ ràng, minh bạch

- Nắm bắt đầy đủ thông tin, đưa ra quyết định chính xác

- Tra cứu, điều hành văn bản trên điện thoại thông minh

Chuyên viên:

- Dễ dàng quản lý, tra cứu, tìm kiếm văn bản liên quan đến công việc đang xử lý

- Nắm bắt nhanh các công việc của lãnh đạo giao

- Báo cáo công việc kịp thời

- Tạo môi trường trao đổi, thảo luận, nâng cao hiệu quả công việc

- Dễ dàng sắp xếp lịch công việc cá nhân

Văn thư:

- Phân phối văn bản đơn giản không phải photo, in ấn, đi lại nhiều

- Dễ dàng quản lý, tra cứu thông tin

- Tìm kiếm bản gốc nhanh chóng

- Truyền đạt các thông báo, chỉ thị của lãnh đạo đến các bộ phận nhanh chóng,kịp thời

Cơ quan:

- Quản lý thông tin nội bộ hiệu quả

- Trao đổi dữ liệu và chia sẻ thông tin dễ dàng

- Tiết kiệm thời gian, nhân lực, chi phí cho việc in ấn, photo, đi lại, gửi vănbản thủ công

- Tăng cường làm việc cộng tác giữa các cá nhân, bộ phận

2.2.1.2 Cơ sở hà tầng HTTT trong doanh nghiệp

Cơ quan có diện tích hơn 300m2 với đầy đủ trang thiết bị, máy tính, bàn ghế,điều hòa, máy chiếu, máy in, máy fax, điện thoại, và mạng internet, wifi

Cơ quan được trang bị cơ sở vật chất theo chuẩn Nhà nước vừa có mỹ quanvừa tạo sự thuận lợi cho cán bộ công chức làm việc

Máy in Laser A4-2 mặt 2 cái

Bảng 2.1: Trang thiết bị phần cứng

-Hệ thống máy chủ: Số lượng máy chủ có 1 chiếc cài đặt hệ điều hành

Windows Máy chủ PowerEdge của Dell, dòng máy này rất phù hợp để làm máychủ chứa file cho các máy trạm, chia sẻ Internet trên LAN

-Hệ thống máy trạm, máy xách tay: Công ty trang bị 80 máy tính để bàn với

thông số CPU Intel Pentium G4560 3.5 GHz, 4GB of RAM và 5 máy xách tay vớicác thông số kỹ thuật như sau: intel core i3 2.6 GHz, 4GB of RAM

-Sử dụng mạng LAN để quản lý, kết nối internet, wifi

-Ngoài ra công ty cũng trang bị thêm máy chiếu, máy in, máy fax Điện thoại (điện thoại cố định, điện thoại di động) để tiện trao đổi trong công việc

b Các phần mềm ứng dụng

Một số phần mềm thông dụng:

 UBND huyện đang sử dụng phần mềm kế toán MISA: đáp ứng đầy đủcác nghiệp vụ kế toán của đơn vị hành chính Cập nhật kịp thời chế độ chính sáchNhà nước Ngoài ra, phầm mềm mang lại cho người sử dụng sự thân thiện, dễ sửdụng, khả annwg bảo mật cao

 Phần mềm tin học văn phòng: Microsoft Office (Word, Excel, PowerPoint) 2013 tại một số phòng ban Các phần mềm này đều đã được mua bản quyền

để sử dụng Đảm bảo vấn đề an toàn thông tin của cơ quan

 Công ty sử dụng phần mềm phòng chống để bảo vệ cho mạng: sử dụngphần mềm antivirut (BKAV Pro), sử dụng phần mềm antivirut Kaspersky Đặc biệt

cơ quan có sử dụng bức tường lửa cứng do bách khoa cung cấp dùng để ngăn chặntấn công đánh cắp thông tin từ bên ngoài

 Sử dụng phần mềm tin nhắn nhanh (messenger, zalo, viber…)

 Phần mềm văn phòng điện tử eOffice: phần mềm eOffice là phương thứctrao đổi thông tin bắt buộc trong chế độ làm việc hàng ngày của UBND huyện vàcác cơ quan EOffice bảo đảm trao đổi, lưu trữ, khai thác và sử dụng thông tin trongnội bộ huyện Đông Hưng thông qua các dịch vụ trên mạng LAN và Internet Hệthống được sử dụng đúng mục đích và có hiệu quả thiết thực, được quản lý tậptrung, thống nhất, bảo đảm an ninh, an toàn mạng và dữ liệu

 Phần mềm quản lý Nhân sự: một bộ công cụ được xây dựng trên cơ sởứng dụng công nghệ thông tin nhằm mục tiêu hỗ trợ cơ quan, đơn vị triển khai thựchiện và quản lý thống nhất việc lưu giữ, xử lý, cung cấp thông tin phục vụ sự chỉđạo, điều hành đối với tổ chức bộ máy và đội ngũ cán bộ, công chức, viên chức,người lao động Mỗi đơn vị được cấp một tài khoản, đơn vị có trách nhiệm quản lý,tạo lập tài khoản cho người sử dụng của đơn vị mình Cá nhân được cung cấp tài

khoản đăng nhập để phục vụ cho nhiệm vụ quản lý, khai thác, sử dụng phần mềmQuản lý nhân sự chịu trách nhiệm bảo mật, bảo đảm an toàn tài khoản người dùngcủa cơ quan, đơn vị, khi không sử dụng phải thoát khỏi chương trình ngay, tuân thủcác quy trình về an toàn bảo mật thông tin Trường hợp cá nhân được cung cấp tàikhoản đăng nhập phục vụ cho nhiệm vụ quản lý, khai thác, sử dụng phần mềmQuản lý nhân sự được điều động, thuyên chuyển công tác sang đơn vị khác thì cơquan, đơn vị có trách nhiệm hủy tài khoản và thiết lập tài khoản đăng nhập mới

Cơ quan, đơn vị quản lý hồ sơ hay được ủy quyền quản lý hồ sơ cán bộ, côngchức, viên chức, hợp đồng lao động (gọi chung là cơ quan, đơn vị có thẩm quyềnquản lý hồ sơ), có trách nhiệm thường xuyên cập nhật những thông tin biến động vềđội ngũ cán bộ, công chức, viên chức, hợp đồng lao động do đơn vị mình quản lývào phần mềm Quản lý nhân sự, cụ thể như sau:

*) Cập nhật hồ sơ mới:

- Cơ quan, đơn vị có thẩm quyền quản lý hồ sơ có trách nhiệm cập nhật đầy đủthông tin cán bộ, công chức, viên chức, lao động hợp đồng hiện có mặt theo biênchế được giao vào phần mềm Quản lý nhân sự

- Trong thời gian 60 ngày, kể từ ngày có quyết định tuyển dụng, tiếp nhận, cơquan, đơn vị có thẩm quyền quản lý hồ sơ có trách nhiệm cập nhật đầy đủ thông tincán bộ, công chức, viên chức vào phần mềm quản lý nhân sự theo quy định, tiếnhành hoàn thiện hồ sơ quản lý theo thực tế

*) Cập nhật thông tin vào hồ sơ điện tử đã có:

- Đối với thông tin thay đổi từ phía cơ quan quản lý nhà nước như: Đào tạo,bồi dưỡng, bổ nhiệm, điều động, nâng lương, khen thưởng, kỷ luật cơ quan, đơn

vị có thẩm quyền quản lý hồ sơ có trách nhiệm cập nhật thông tin vào hồ sơ điện tửcủa người đó, thời gian chậm nhất không quá 15 ngày, kể từ ngày văn bản có hiệulực;

- Đối với thông tin thay đổi từ phía cá nhân, cá nhân có trách nhiệm kê khaivới cơ quan, đơn vị theo định kỳ được thực hiện đồng thời cùng việc kê khai phiếu

bổ sung lý lịch hàng năm hoặc theo yêu cầu quản lý của cơ quan, đơn vị để tiếnhành cập nhật vào hồ sơ điện tử

c Mạng

Các máy tính trong công ty được kết nối với nhau qua mạng nội bộ Sử dụng

hệ thống kết nối internet 24/24 Cơ quan sử dụng mang LAN và mạng wifi để sửdụng cho các hoạt động diễn ra của cơ quan

d Cơ sở dữ liệu

Cơ quan có sử dụng 1 máy chủ Sử dụng hệ quản trị CSDL SQL Server 2014

để thu thập, phân tích, xử lý, lưu trữ và truyền thông tin Việc sử dụng CSDL nàygiúp cho việc đồng bộ hóa dữ liệu toàn cơ quan, đảm bảo tính thống nhất thông tin,trách sự trùng lặp thông tin trong quá trình thực hiện công việc

e Bộ phận nhân sự

Cơ quan có đội ngũ cán bộ, công nhân viên có trách nhiệm với công việc, thựchiện mọi quy định nhằm đảm bảo an toàn hệ thống thông tin của toàn bộ cơ quan

Cơ quan cũng tổ chức đào tạo ( với số buổi 12 buổi/ năm) nhằm huấn luyện cho cán

bộ, công nhân viên hiểu biết và chuyên sâu thêm về lĩnh vực HTTT và an toànthông tin cho đơn vị phụ trách

f Giới thiệu website

Trang chủ cổng thông tin: http://donghung.thaibinh.gov.vn

Hình 2.4: Giao diện cổng thông tin điện tử

Lợi ích của cổng thông tin điện tử mang lại:

- Cổng thông tin điện tử là một văn phòng giao dịch điện tử, hiệu quả sửdụng cao, hoạt động 24/24 với chi phí thấp hơn nhiều so với một văn phòng giaodịch thông thường