Phần cứng là các thiết bị hữu hình có thể nhìn thấy,cầm nắm được.Nguồn lực phần mềm: Phần mềm là các chương trình được cài đặt trong hệthống, thực hiện công việc quản lý hoặc các quy trì
Trang 1LỜI CẢM ƠN
Qua thời gian học tập, rèn luyện tại trường Đại học Thương mại và thực tập tạiCông ty Cổ phần phát triển nguồn mở và dịch vụ FDS em đã học hỏi và tích luỹ đượcnhiều kiến thức quý báu cho mình Được tiếp xúc với môi trường làm việc thực tế, họchỏi thêm nhiều kinh nghiệm Để có thể hoàn thành được khóa luận tốt nghiệp là nhờ
sự chỉ bảo tận tình của quý thầy, cô trong khoa Hệ thống thông tin kinh tế và thươngmại điện tử, sự hướng dẫn tận tâm của Th.S Nguyễn Thị Hội cùng sự giúp đỡ của cácanh, các chị cán bộ viên chức trong Công ty Cổ phần phát triển nguồn mở và dịch vụFDS Đồng thời, cũng thông qua khoá luận, em xin tri ân đến tất cả các thầy cô giáo đãdày công dạy dỗ chúng em trong suốt 4 năm ở trường Đại Học Thương Mại Nhữnggiá trị mà các cô thầy tạo ra sẽ là nền tảng quan trọng cho việc cống hiến và phấn đấucủa chúng em sau này
Với thời gian nghiên cứu và kiến thức còn hạn chế nên không tránh khỏi nhữngsai sót trong quá trình phân tích, đánh giá cũng như đưa ra các đề xuất để hoànthiện giải pháp đảm bảo an toàn thông tin trong HTTT của công ty cổ phần pháttriển nguồn mở và dịch vụ FDS Vì thế, em rất mong nhận được những ý kiến đónggóp của quý thầy cô, ban lãnh đạo công ty để bài khóa luận hoàn thiện hơn Saucùng, em xin kính chúc quý thầy cô cùng các anh chị luôn dồi dào sức khỏe vàthành công trong cuộc sống
Em xin chân thành cảm ơn.
Sinh viên thực hiện
Vũ Thị Nguyệt
Trang 2MỤC LỤC
LỜI CẢM ƠN i
MỤC LỤC ii
DANH MỤC CÁC TỪ VIẾT TẮT iv
DANH MỤC BẢNG BIỂU SƠ ĐỒ, HÌNH VẼ v
PHẦN MỞ ĐẦU 1
1 Tầm quan trọng, ý nghĩa và tính cấp thiết của đề tài ATTT trong HTTT 1
2 Mục tiêu và nhiệm vụ nghiên cứu 1
3 Đối tượng và phạm vi nghiên cứu 2
4 Phương pháp nghiên cứu đề tài 2
5 Kết cấu của khóa luận tốt nghiệp 3
CHƯƠNG I: CƠ SỞ LÍ LUẬN VỀ AN TOÀN BẢO MẬT THÔNG TIN TRONG HỆ THỐNG THÔNG TIN 4
1.1 Một số khái niệm cơ bản 4
1.1.1 Khái niệm về thông tin, hệ thống thông tin 4
1.1.2 Khái niệm về dữ liệu, an toàn dữ liệu, bảo mật dữ liệu và an toàn bảo mật trong HTTT 5
1.2 Tổng quan tình hình nghiên cứu an toàn bảo mật HTTT 6
1.2.1 Tình hình nghiên cứu ngoài nước 6
1.2.2 Tình hình nghiên cứu trong nước 7
1.3 Các đặc trưng của một HTTT an toàn 7
1.4 Các nguy cơ và một số giải pháp đảm bảo an toàn thông tin trong HTTT 9
CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TOÀN BẢO MẬT CỦA CÔNG TY FSD 13
2.1 TỔNG QUAN VÊ CÔNG TY FDS 13
2.1.1 Giới thiệu về doanh nghiệp 13
2.1.2 Bộ máy tổ chức của doanh nghiệp 13
2.1.3 Tình hình hoạt động kinh doanh của công ty FDS 14
2.2 PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TOÀN BẢO MẬT HTTT CỦA CÔNG TY FDS 16
2.2.1Thực trạng của công tác an toàn bảo mật hệ thống thông tin trong công ty FDS.16 2.2.2 Phần tích thực trạng về ATBM cho HTTT của công ty FDS qua phiếu điều tra .21 2.2.3 Đánh giá thực trạng an toàn bảo mật thông tin tại công ty FDS 28
CHƯƠNG 3 : ĐỀ XUẤT MỘT SỐ GIẢI PHÁP BẢO MẬT CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY FDS 31
Trang 33.1 ĐỊNH HƯỚNG PHÁT TRIỂN ATBM THÔNG TIN TRONG HTTT CỦA CÔNG
TY FDS 31
3.2 ĐỀ XUẤT MỘT SỐ GIẢI PHÁP BẢO MẬT CHO HTTT CỦA CÔNG TY FDS 31 3.2.1 Giải pháp cho an ninh mạng Firewall Safe@Office 31
3.2.2 Phần mềm diệt virus Kaspersky® Small Office Security 33
3.2.3 Hệ quản trị CSDL Oracle Database 12c 35
3.2.4 Đào tạo nhân lực 36
3.2.5 Đảm bảo an toàn website 37
3.2.3.1 Khắc phục lỗ hổng XSS 37
3.2.3.2 Khắc phục lỗ hổng bảo mật SQL Injection 38
3.3 ĐIỀU KIỆN THỰC HIỆN GIẢI PHÁP 40
KẾT LUẬN 41
TÀI LIỆU THAM KHẢO 42 PHỤ LỤC
Trang 4DANH MỤC CÁC TỪ VIẾT TẮT
AI Artificial Intelligence Trí tuệ nhân tạo
phát hành bởi Avast SoftwareCIA Central Intelligence Agency Cơ quan tình báo Hoa Kỳ
DMZ Demilitarized Zone Vùng mạng trung lập giữa
mạng nội bộ và mạng internet.EAI Enterprise Application Intergration Tích hợp ứng dụng của doanh
nghiệp
IAM Identity and Access Management Phần mềm quản lý định danh
và kiểm soát truy câpIPS Intrusion Prevention Systems Hệ thống ngăn ngừa xâm nhập
IT Information Technology Công nghệ thông tin
ITU International Telecomunication
Trang 5DANH MỤC BẢNG BIỂU SƠ ĐỒ, HÌNH VẼ
Bảng 2.3: Kết quả hoạt động kinh doanh của Công ty năm 2016-2018 16
Bảng 2.2: Trang thiết bị phần cứng 18
Bảng 3.1: So sánh BKAV Pro và Kaspersky® Small Office Security 34
Bảng 3.2: So sánh hệ quản trị CSDL SQL Server 2008 và Oracle Database 12c 35
Bảng 3.3: Chi phí thực hiện các giải pháp 40
Biểu đồ 2.1: Tường lửa doanh nghiệp đang sử dụng 23
Biểu đồ 2.2: Tính hiệu quả của tường lửa đang sử dụng 24
Biểu đồ 2.3: Đánh giá phần mềm Bkav Pro 25
Biểu đồ 2.4: Tần suất sao lưu dữ liệu 26
Biểu đồ 2.5: Nhân viên chuyên trách về CNTT 27
Biểu đồ 2.6: Thống kê số lần website bị khai thác lỗ hổng bảo mật 28
Sơ đồ 2.1: Tổ chức bộ máy quản lý của công ty FDS 14
Hình 1.1: Các thành phần của hệ thống thông tin 4
Hình 2.1: Logo của công ty FDS 13
Hình 2.2: Giao diện đăng nhập của HTTT Mobilink Enterprise 17
Hình 2.3: Giao diện website của FDS 21
Hình 3.1: Tường lửa Safe@Office của Check Point 32
Hình 3.2: Phần mềm diệt virus Kaspersky® Small Office Security 33
Hình 3.3: Lỗi trong lỗ hổng bảo mật XSS 37
Hình 3.4: Khắc phục lỗ hổng bảo mật XSS 38
Hình 3.5: Mô phỏng quá trình tấn công vào lỗ hổng SQL injection 39
Trang 7PHẦN MỞ ĐẦU
1 Tầm quan trọng, ý nghĩa và tính cấp thiết của đề tài ATTT trong HTTT
Ở Việt Nam nguy cơ mất an toàn thông tin đang tăng lên và đáng được báo động.Dựa trên báo cáo tổng hợp về an ninh thông tin của hãng bảo mật hàng đầu thế giới-Kaspersky cho biết, năm 2017 có trên 35% người dùng Internet Việt Nam có khả năng
bị tấn công mạng, xếp thứ 6 thế giới Hay theo chỉ số an ninh mạng (Cyber securityIndex) năm 2017 của Liên hiệp Viễn thông quốc tế (ITU) cho biết Việt Nam đứng thứ101/193, thấp hơn cả Indonesia (vị trí thứ 70), Lào (vị trí thứ 77), Campuchia (vị tríthứ 92) và Myanmar (vị trí thứ 100) Và hậu quả là trong năm 2017, Việt Nam bị đedọa bởi 10.000 vụ tấn công mạng, gây thiệt hại khoảng 12.300 tỷ đồng số liệu từTrung tâm ứng cứu khẩn cấp máy tính Việt Nam – VNCERT và Bkav cho biết
Những con số thống kê đã chỉ ra sự mất an toàn trong việc khai thác thông tincủa người dùng tại Việt Nam hiện nay Cùng với sự phát triển của không gian mạngcũng làm nảy sinh nhiều nguy cơ, thách thức mới đối với an ninh quốc gia cũng như
an toàn, lợi ích của các cơ quan, doanh nghiệp và cá nhân Công ty cổ phần phát triểnnguồn mở và dịch vụ FDS theo tìm hiểu thì được biết công ty đã từng xảy ra vấn đềmất an toàn thông tin dù đã khắc phục được nhưng không đảm bảo rằng trong tươnglai sẽ không xảy ra vấn đề này nữa
Trong đề tài này với mong muốn giúp doanh nghiệp đạt được hiệu quả cao hơntrong vấn đề đảm bảo an toàn bảo mật thông tin Em sẽ tập trung nghiên cứu cơ sở lýluận về lý thuyết an toàn bảo mật thông tin, tìm hiểu thực trạng vấn đề, phân tích đánhgiá thực trạng vấn đề bảo mật của công ty Để từ đó khóa luận đưa ra một số giải phápbảo mật thông tin phù hợp nhằm khắc phục thực trạng thiếu an toàn thông tin tại Công
ty cổ phần phát triển nguồn mở và dịch vụ FDS Quá trình nghiên cứu cũng góp phầnnâng cao nhận thức của nhân viên trong công ty về vấn đề an toàn và bảo mật, trau dồithêm những thông tin cần thiết cho nhân viên phục vụ công việc vận hành và quản lýHTTT doanh nghiệp
Từ thực trạng và tình hình an ninh thông tin của công ty, chúng ta thấy tầm quantrọng và ý nghĩa của việc nghiên cứu đề tài, với những kiến thức em được học trêntrường và tìm hiểu của bản thân em xin lựa chọn đề tài:
‘‘Một số giải pháp đảm bảo an toàn và bảo mật thông tin trong HTTT của công ty Cổ phần phát triển nguồn mở và dịch vụ FDS”
2 Mục tiêu và nhiệm vụ nghiên cứu
Qua nghiên cứu tài liệu và tìm hiểu, phân tích thực trạng đảm bảo an toàn và bảomật thông tin trong Công ty Cổ phần phát triển nguồn mở và dịch vụ FDS” thực hiện
Trang 8được các nhiệm vụ sau: trình bày các khái niệm cơ bản về ATBM thông tin như kháiniệm về thông tin, HTTT, ATBM , thế nào là một HTTT được bảo mật,… để từ đó cócái nhìn tổng quát về các đối tượng được tìm hiểu trong khóa luận Mục tiêu thứ hai là
từ các số liệu và tìm hiểu thực tế có thể nghiên cứu và phân tích thực trạng của doanhnghiệp Từ đó, dựa trên các thực trạng và lý thuyết về an toàn và bảo mật thông tintrong HTTT nói chung, khóa luận đưa ra một số giải pháp nhằm nâng cao hiệu quả về
an toàn và bảo mật thông tin cho HTTT của công ty cổ phần phát triển nguồn mở vàdịch vụ FDS
3 Đối tượng và phạm vi nghiên cứu
Là một đề tài nghiên cứu khóa luận của sinh nên phạm vi nghiên cứu của đề tàichỉ mang tầm vi mô, giới hạn chỉ trong một doanh nghiệp và trong giới hạn khoảngthời gian ngắn hạn Cụ thể:
Về không gian: là đưa ra các giải pháp đảm bảo an toàn thông tin cho hệ thốngthông tin của Công ty Cổ phần phát triển nguồn mở và dịch vụ FDS
Về thời gian: Các số liệu được khảo sát trong 3 năm gần nhất, đồng thời trình bàycác nhóm giải pháp định hướng phát triển trong tương lai
4 Phương pháp nghiên cứu đề tài
4.1 Khái niệm phương pháp nghiên cứu
Phương pháp nghiên cứu là cách thức, con đường, phương tiện thu thập, xử lýthông tin khoa học (số liệu, sự kiện) nhằm làm sáng tỏ vấn đề nghiên cứu để giải quyếtnhiệm vụ nghiên cứu và cuối cùng đạt được mục đích nghiên cứu Nói cách khác:Phương pháp nghiên cứu khoa học là những phương thức thu thập và xử lý thông tinkhoa học nhằm mục đích thiết lập những mối liên hệ và quan hệ phụ thuộc có tính quyluật và xây dựng lý luận khoa học mới
Có hai loại phương pháp nghiên cứu:
- Phương pháp nghiên cứu định tính: quan sát, phỏng vấn các nhân viên, lãnh
đạo của công ty, nắm bắt một cách chủ quan tình hình an toàn, bảo mật thông tin trênmọi mặt của doanh nghiệp
- Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau đó tổng hợp lạị, từ
đó đưa ra được cái nhìn chính xác hơn về tình hình của công ty
4.2 Các phương pháp được sử dụng trong khóa luận
4.2.1 Phương pháp thu thập số liệu
- Xây dựng các phiếu điều tra thu thập dữ liệu từ đối tượng là nhân viên công ty
về những nội dung phục vụ cho bài nghiên cứu
- Tìm hiểu các thông tin về an toàn bảo mật thương mại điện tử qua Internet, qua
các tài liệu sách báo liên quan đến an toàn bảo mật HTTT
Trang 9- Phương pháp phỏng vấn: phỏng vấn ban Giám đốc và bộ phận IT của công ty.
Phương pháp trưng cầu ý kiến bằng bảng hỏi: lập ra danh mục các câu hỏi và khảo sát
ý kiến của nhân viên cũng như ban Giám đốc công ty để phục vụ cho việc đánh giátrình độ nguồn nhân lực trong quá trình nghiên cứu
- Phương pháp chuyên gia: Hỏi ý kiến chuyên gia trong lĩnh vực nghiên cứu của
đề tài để tham khảo và đưa ra định hướng và giải quyết tốt mục tiêu đề ra
- Trong các phương pháp nêu trên thì phương pháp nghiên cứu tài liệu và
phương pháp phỏng vấn là 2 phương pháp chủ đạo còn các phương pháp còn lại là cácphương pháp bổ trợ cho việc nghiên cứu thực hiện đề tài
4.2.2 Phương pháp xử lý dữ liệu:
Từ những dữ liệu thu thập được sau khi tiến hành phỏng vấn và thu thập tài liệu
sẽ được chọn lọc, phân tích, đánh giá, tổng hợp để chọn ra thông tin phù hợp với mụcđích nghiên cứu của đề tài
Phương pháp nghiên cứu:
- Phương pháp nghiên cứu định tính: quan sát, phỏng vấn các nhân viên, lãnh
đạo của công ty, nắm bắt một cách chủ quan tình hình an toàn, bảo mật thông tin trênmọi mặt của doanh nghiệp
- Phương pháp nghiên cứu định lượng: lập phiếu điều tra, sau đó tổng hợp lạị, từ
đó đưa ra được cái nhìn chính xác hơn về tình hình của công ty
5 Kết cấu của khóa luận tốt nghiệp
Khóa luận chia thành ba phần chính:
Chương 1: Cơ sở lí luận về an toàn bảo mật thông tin trong hệ thống thông tinChương 2: Cơ sở lý luận và thực trạng an toàn bảo mật thông tin tại Công ty Cổphần phát triển nguồn mở và dịch vụ FDS
Chương 3: Định hướng phát triển và đề xuất giải pháp an toàn bảo mật hệ thốngthông tin trong công ty FDS
Trang 10CHƯƠNG I: CƠ SỞ LÍ LUẬN VỀ AN TOÀN BẢO MẬT THÔNG TIN
TRONG HỆ THỐNG THÔNG TIN 1.1 Một số khái niệm cơ bản
1.1.1 Khái niệm về thông tin, hệ thống thông tin
Theo [2] Thông tin là một bộ dữ liệu được tổ chức, doanh nghiệp sử dụng mộtphương thức nhất định sao cho chúng mang lại một giá trị gia tăng so với giá trị vốn cócủa dữ liệu Thông tin chính là dữ liệu đã qua xử lý (phân tích, tổng hợp, thống kê) có
ý nghĩa thực tiễn, phù hợp với mục đích cụ thể của người sử dụng Thông tin có thểgồm nhiều giá trị dữ liệu có liên quan nhằm mang lại ý nghĩa trọn vẹn cho một sự vậthiện tượng cụ thể trong ngữ cảnh
Theo [2] Hệ thống thông tin là một tập hợp phần cứng, phần mềm, cơ sở dữ liệu,
mạng viễn thông, con người và các quy trình thủ tục khác nhằm thu thập, xử lý, lưu trữ
và truyền phát thông tin trong một tổ chức, doanh nghiệp Hệ thống thông tin hỗ trợviệc ra quyết định, phân tích tình hình, lập kế hoạch, điều phối và kiểm soát các hoạtđộng trong một tổ chức, doanh nghiệp Hệ thống thông tin có thể là thủ công nếu dựavào các công cụ thủ công như giấy, bút, thước, tủ hồ sơ,… còn hệ thống thông tin hiệnđại là hệ thống tự động hóa dựa vào mạng máy tính và các thiết bị công nghệ khác
Hệ thống thông tin bao gồm 5 thành phần (còn gọi là năm nguồn lực hay nămnguồn tài nguyên) chính như trình bày trong hình:
Hình 1.1: Các thành phần của hệ thống thông tin
Trang 11Nguồn lực phần cứng: Trang thiết bị phần cứng của một hệ thống thông tin gồmcác thiết bị vật lý được sử dụng trong quá trình xử lý thông tin như nhập dữ liệu vào,xử lý và truyền phát thông tin ra Phần cứng là các thiết bị hữu hình có thể nhìn thấy,cầm nắm được.
Nguồn lực phần mềm: Phần mềm là các chương trình được cài đặt trong hệthống, thực hiện công việc quản lý hoặc các quy trình xử lý trong hệ thống thông tin.Phần mềm được sử dụng để kiểm soát và điều phối phần cứng, thực hiện xử lý và cungcấp thông tin theo yêu cầu của người sử dụng
Nguồn lực dữ liệu: Cơ sở dữ liệu là tập hợp dữ liệu có tổ chức và có liên quanđến nhau được lưu trữ thứ cấp (như băng từ, đĩa từ) để phục vụ yêu cầu khai thácthông tin đồng thời của nhiều người sử dụng hay nhiều chương trình ứng dụng vớimục đích tại nhiều thời điểm khác nhau
Nguồn lực mạng: Mạng máy tính gồm tập hợp máy tính và các thiết bị được kếtnối với nhau nhờ đường truyền vật lý theo một kiến trúc nhất định dựa trên giao thứcnhằm chia sẻ các tài nguyên trong mạng của tổ chức, doanh nghiệp
Nguồn lực con người: Trong hệ thống thông tin hiện đại, yếu tố con người baogồm tất cả những đối tượng tham gia quản lý, xây dựng, mô tả, lập trình, sử dụng,nâng cấp và bảo trì hệ thống Con người được coi là thành phần quan trọng nhất, đóngvai trò chủ động để tích hợp các thành phần trong hệ thống để đạt được hiệu quả caonhất trong hoạt động
Tham khảo tài liệu [2]
1.1.2 Khái niệm về dữ liệu, an toàn dữ liệu, bảo mật dữ liệu và an toàn bảo mật trong HTTT
Theo [1] Dữ liệu là một khái niệm rất trừu tượng, là thông tin đã được đưa vàomáy tính Dữ liệu sau khi tập hợp lại và xử lý sẽ cho ta thông tin Hay nói theo cáchkhác, dữ liệu là thông tin đã được mã hóa trên máy tính Vì vậy ta có thể hiểu an toàn
dữ liệu là an toàn thông tin trên máy tính
Theo [1] An toàn dữ liệu (Database Security) có thể hiểu là quá trình đảm bảocho hệ thống tránh khỏi những nguy cơ thay đổi hoặc sao chép dữ thông tin Các nguy
cơ này có thể là ngẫu nhiên (do tai nạn) hoặc có chủ định (bị phá hoại từ bên ngoài).Việc bảo vệ dữ liệu có thể được thực hiện bằng các thiết bị phần cứng (các hệ thốngBackup dữ liệu,…) hay các chương trình phần mềm (trình diệt Virus, các chương trình
mã hóa,…)
Theo [7] An toàn bảo mật trong HTTT là thông tin không bị hỏng hóc, không bịsửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép ATTT là quátrình đảm bảo cho hệ thống dữ liệu tránh khỏi những nguy cơ hỏng hóc hoặc mất mát
Trang 12Các nguy cơ tiềm ẩn về khả năng mất an toàn thông tin ngẫu nhiên như thiên tai, hỏngvật lí, mất điện… và các nguy cơ có chủ định như tin tặc, cá nhân bên ngoài, phá hỏngvật lí, can thiệp có chủ ý…
Một HTTT an toàn thì các sự cố có thể xảy ra không thể làm cho hoạt động chủyếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gây thiệt hại đếncho chủ sở hữu ATTT đó là việc đảm bảo được tính bảo mật qua việc đảm bảo dữ liệucủa người sử dụng luôn được bảo vệ, không bị mất mát Dữ liệu không bị tạo ra, sửađổi hay xóa bởi những người không sở hữu và luôn trong trạng thái sẵn sàng Đồngthời có tính tin cậy đảm bảo thông tin mà người dùng nhận được là đúng
1.2 Tổng quan tình hình nghiên cứu an toàn bảo mật HTTT
1.2.1 Tình hình nghiên cứu ngoài nước
- Mark Rhodes-Ousley, Information Security The Complete Reference, Second Edition.
Cuốn sách gồm 7 phần và 34 chương bao hàm tất cả các khía cạnh của an ninhthông tin, từ lý thuyết đến các ví dụ thực tiễn giúp cho từng đối tượng người đọc cócác góc nhìn cũng như mong muốn hiểu biết khác nhau đều có thể hiểu và tìm đọc.Phần 1 trình bày những khái niệm về an toàn thông tin giúp người đọc có cái nhìn cơbản về từng đối tượng được nghiên cứu, cùng với đó là những tiêu chuẩn, quy định vàluật an ninh mạng hiện hành, phần này cũng giới thiệu những tổ chức an ninh mạnghàng đầu thế giới Các chương tiếp theo đi vào tìm hiểu nghiên cứu việc ATTT chotừng thành phần đối tượng như bảo mật dữ liệu, mạng, máy tính và ứng dụng Tại mỗithành phần nghiên cứu sẽ tìm hiểu về khái niệm chung, những công cụ và phươngpháp bảo mật tiêu biểu như: giải pháp an ninh mạng Firewall, phương thức bảo vệmạng Wifi bằng WPA2, mạng riêng ảo VPNs, các giải pháp bảo mật cho hệ điều hành,
….Phần cuối sẽ tìm hiểu về bảo mật mức vật lý Mục tiêu tổng thể của cuốn sách làcung cấp kiến thức thực tiễn về ATTT trong thời kì số hóa ngày nay
- Michael E Whitman và Herbert J Mattord, Principles of Information Security, Fourth Edition
Ấn bản thứ tư của Nguyên tắc an ninh thông tin, khám phá lĩnh vực bảo mậtthông tin và đảm bảo nội dung cập nhật bao gồm các cải tiến mới về công nghệ vàphương pháp luận Người đọc sẽ tìm hiểu về bảo mật toàn diện bao gồm tổng quanlịch sử về an ninh thông tin, các đánh giá, xác định rủi ro, công nghệ bảo mật và hơnthế nữa Nội dung trong cuốn sách cũng đề cập đến những tiêu chuẩn quốc tế, chínhsách bảo mật thông tin nhắm cung cấp kiến thức và kĩ năng mà một nhà quản lý thôngtin cần biết để đưa ra những quyết định kinh doanh đúng đắn và hợp pháp
Trang 131.2.2 Tình hình nghiên cứu trong nước
Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử,NXB Thống kê Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữliệu trong thương mại điện tử (TMĐT) như khái niệm, mục tiêu, yêu cầu an toàn dữliệu trong TMĐT, cũng như những nguy cơ mất an toàn dữ liệu trong TMĐT Từ đó,giúp các nhà kinh doanh tham gia thương mại điện tử TMĐT có cái nhìn tổng thể về
an toàn dữ liệu trong hoạt động của mình Ngoài ra, trong giáo trình này cũng đề cậpmột số biện pháp khắc phục hậu quả thông dụng, phổ biến ngày nay, giúp các nhà kinhdoanh có thể cận dụng thuận lợi hơn trong công việc hằng ngày của mình
Đồ án: “Bảo vệ mạng bằng công nghệ Firewall” của sinh viên Nguyễn Bá Hiếu
– Khoa Điện tử viến thông – Đại học bách khoa Đồ án đã mang lại cho người đọc mộtcái nhìn toàn cảnh về bức tranh bảo mật nói chung và công nghệ bức tưởng lửa nóiriêng Tuy nhiên đồ án chỉ đưa ra nững giải pháp mà chư áp dụng được trong mộtdoanh nghiệp cụ thẻ
Đồ án: “Mạng WLAN và một số vấn đề bảo mật cho mạng không dây wifi” củaNguyễn Thị Hiền, sinh viên trường ĐH Công nghệ - Đại học Quốc gia Hà Nội Trongcông trình nghiên cứu về phương pháp bảo mật trên WLAN của sinh viên Nguyễn ThịHiền đã tập trung phân tích khá rõ ràng và có chiều sâu về vấn đề bảo mật trong mạngkhông dây Công trình nghiên cứu đã tập trung chỉ ra được những yếu điểm về bảo mậttrong mạng không dây và đã đưa ra được nhiều giải pháp khắc phục khá hay và tốt.Mặc dù vậy thì công trình nghiên cứu này còn có một số hạn chế đó là mới chỉ đưa rađược những giải pháp trước mắt chứ chưa đưa ra được giải pháp lâu dài trong bối cảnhcông nghệ phát triển như vũ bão hiện nay
Nhìn chung, các đề tài luận văn, chuyên đề tốt nghiệp và các tài liệu về an toànbảo mật thông tin trong doanh nghiệp khá nhiều nhưng vẫn chưa đi vào chi tiết Đề tài:
“Một số giải pháp nâng cao tính an toàn bảo mật thông tin của công ty Cổ phầnpháttriển nguồn mở và dịch vụ FDS” sẽ tập trung vào việc đánh giá và đưa ra các giải phápnâng cao hiệu quả các hoạt động đảm bảo an toàn và bảo mật HTTT tại một doanhnghiệp cụ thể Vì vậy đi sâu nghiên cứu về đề tài này là rất cần thiết
1.3 Các đặc trưng của một HTTT an toàn
Một hệ thống thông tin được gọi là an toàn khi các yếu tố cơ bản sau được giải quyết:
Tính bảo mật
Trong an toàn dữ liệu, an toàn và bảo mật (Security) là yêu cầu đảm bảo cho dữliệu của người sử dụng phải được bảo vệ, không bị mất mát vào những người không
Trang 14được phép Nói khác đi là phải đảm bảo được ai là người được phép sử dụng (và sửdụng được) các thông tin (theo sự phân loại mật của thông tin).
Thông tin đạt được tính bảo mật khi nó không bị truy nhập, sao chép hay sử dụngtrái phép bởi một người không sở hữu Trên thực tế, thừa rất nhiều thông tin cá nhâncủa người sử dụng đều cần phải đạt được độ bảo mật cao chẳng hạn như mã số thẻ tíndụng, số thẻ bảo hiểm xã hội,… Vì vậy đây có thể nói là yếu tố quan trọng nhất đốivới tính an toàn của một hệ thống thông tin
Tính toàn vẹn
Trong an toàn dữ liệu, tính toàn vẹn (Integrity) có nghĩa là dữ liệu không bị tạo
ra, sửa đổi hay xóa bởi những người không sở hữu Tính toàn vẹn đề cập đến khả năngđảm bảo các thông tin không bị thay đổi nội dung bằng bất cứ cách nào bởi ngườikhông được phép trong quá trình truyền thông
Việc đảm bảo tính toàn vẹn trong dữ liệu bao gồm:
- Đảm bảo sự toàn ven dữ liệu với dữ liệu gốc
- Bảo vệ dữ liệu khỏi sự sửa chữa và phá hoại của những người dùng không cóthẩm quyền
- Bảo về dữ liệu tránh khỏi những thay đổi không đúng về mặt ngữ nghĩa haylogic
Tính sẵn sàng
Tuy dữ liệu phải được đảm bảo tính bí mật và toàn vẹn nhưng đối với người sửdụng, dữ liệu phải luôn trong trạng thái sẵn sàng (Availability) Các biện pháp bảo mậtlàm cho người sử dụng gặp khó khăn hay không thể thao tác được với dữ liệu đềukhông thể được chấp nhận Nói khác đi, các biện pháp đảm bảo an toàn dữ liệu phảiđảm bảo được sự bảo mật và toàn vẹn của dữ liệu đồng thời cũng phải hạn chế tối đanhững khó khăn gây ra cho người sử dụng thực tế Dữ liệu và tài nguyên của hệ thốngphải luôn trong trạng thái sẵn sàng phục vụ bất cứ lúc nào đối với những người dùng
có thẩm quyền sử dụng một cách thuận lợi
Việc đánh giá độ an toàn của một hệ thống thông tin phải xem xét đến tất cả cácyếu tố trên Nếu thiếu một trong số đó thì độ bảo mật của hệ thống không hoàn thiện
Tham khảo tài liệu [1]
Trang 151.4 Các nguy cơ và một số giải pháp đảm bảo an toàn thông tin trong HTTT
Để tìm hiểu về vấn đề này, chúng ta sẽ tiếp cận theo năm thành phần của một hệthống thông tin để từ đó có những giải pháp phù hợp cho mỗi phần như sau:
Phần cứng
Nguy cơ mất an toàn thông tin từ các cuộc tấn công vào các thiết bị phần cứng lànguy cơ do mất điện, nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phầncứng bị hư hỏng, tinh vi hơn các thiết bị phần cứng như như vi xử lý, ổ cứng,mainboard, các thiết bị ngoại; cũng có khả năng bị cài sẵn mã độc để làm nội gián từbên trong
Ngoài yêu cầu các thiết bị phần cứng cơ bản như máy tính, máy in, máy fax, thiết
bị và đường truyền mạng phải hoạt động tốt, ổn định thì doanh nghiệp nên sử dụng cácthiết bị bảo mật: thiết bị bảo mật đa chức năng Firebox X(WatchGuard), thiết bị tối ưumạng WAN Exinda, thiết bị bảo mật thư điện tử chuyên dụng của hãng O2Micro’sSifoML,… Để tránh khả năng các thiết bị phần cứng bị cài sẵn mã độc trước khi sửdụng người dùng cần chọn những hang máy tính có uy tín và tin cậy, đối với tổ chứcdoanh nghiệp cần tính bảo mật cao trước khi đưa các thiết bị vào sử dụng cần cónhững cuộc kiểm tra toàn diện để đảm bảo các thiết bị phần cứng đó đảm bảo an toàntrước khi đưa vào hệ thống
Phần mềm
Các nguy cơ tần công vào phần mềm ứng dụng trong doanh nghiệp là cácchương trình phần mềm độc hại hay còn gọi là phần mềm độc hại bao gồm virus máytính, sâu, trojan, adware và skyware được gắn vào các chương trình phần mềm nhằmthực thi các mục đích nhất định khi được kích hoạt Ngoài ra phải kể đến một số lỗhổng phần mềm, các tấn công bằng cách phá mật khẩu cũng là những nguy cơ đángbáo động mà người dùng cần có những biện pháp phòng tránh chúng để có một môitrường làm việc an toàn
Virus: là một chương trình máy tính có thể tự sao chép chính nó lên những đĩa,file khác mà người sữ dụng không hay biết Thông thừờng virus máy tính mang tínhchất phá hoại, nó sẽ gây ra lỗi thi hành, lệch lạc hay hủy dữ liệu Chúng có các tínhchất: Kích thước nhỏ, có tính lây lan từ chương trình sang chương trình khác, từ đĩanày sang đĩa khác và do đó lây từ máy này sang máy khác, tính phá hoại thông thườngchúng sẽ tiêu diệt và phá hủy các chương trình và dữ liệu (tuy nhiên cũng có một sốvirus không gây hại như chương trình được tạo ra chỉ với mục đích trêu đùa)
Worm: là loại virus lây từ máy tính này sang máy tính khác qua mạng, khác vớiloại virus truyền thống trước đây chỉ lây trong nội bộ một máy tính và nó chỉ lây sangmáy khác khi ai đó đem chương trình nhiễm virus sang máy này
Trang 16Trojan, Spyware, Adware: Là những phần mềm được gọi là phần mềm gián điệp,chúng không lây lan như virus Thường bằng cách nào đó (lừa đảo người sử dụngthông qua một trang web, hoặc một người cố tình gửi nó cho người khác) cài đặt vànằm vùng tại máy của nạn nhân, từ đó chúng gửi các thông tin lấy được ra bên ngoàihoặc hiện lên các quảng cáo ngoài ý muốn của nạn nhân.
Các hacker cũng lợi dụng lỗ hổng bảo mật thường là do lỗi lập trình, lỗi hoặc sự
cố phần mềm, nằm trong một hoặc nhiều thành phần tạo nên hệ điều hành hoặc trongchương trình cài đặt trên máy tính Hiện nay các lỗ hổng bảo mật được phát hiện ngàycàng nhiều trong các hệ điều hành, các web server hay các phần mềm khác, Và cáchãng sản xuất luôn cập nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lạicác lỗ hổng của các phiên bản trước
Các phần mềm ứng dụng đóng vai trò rất quan trọng và đã trở thành một phầnkhông thể thiếu đối với hoạt động của doanh nghiệp Để đảm bảo ATTT, các phầnmềm đó phải sạch, tức là không chứa virus, mã độc, spyware Ngoài ra, đó phải là cácphần mềm có bản quyền, được nâng cấp, cập nhật thường xuyên bởi nhà sản xuấtnhằm giảm bót các nguy cơ từ lỗ hổng bảo mật
Bên cạnh các phần mềm ứng dụng, doanh nghiệp phải luôn chủ động trong việccài đặt các phần mềm bảo mật như phần mềm chống virus, spyware và phishing; phầnmềm bảo mật dựa trên sinh trắc học (nhận dạng khuôn mặt, vân tay), phần mềm mãhóa dữ liệu, phần mềm chống thư rác…
Cơ sở dữ liệu
Theo [1] Tấn công CSDL là hình thức ăn cắp hoặc phá hoại dữ liệu một cách tráiphép Cũng giống như các hình thức tấn công khác, chỉ khác là đối tượng tấn công ởđây là các loại dữ liệu có giá trị Từ khi có sự phổ biến của Internet, các hình thức tấncông ngày càng tăng cả về số lượng lẫn mức độ nguy hiểm
Các hình thức tấn công ngày càng đa dạng và tinh vi hơn Nghe trộm, phần tích
dữ liệu, giả mạo người gửi, thay đổi thông điệp, tấn công lặp lại và tấn công từ chốidịch vụ, tấn công SQL injection,…Các cuộc tấn công dữ liệu có thể nhằm vào 2 mụcđích: phá hoại hoặc lấy cắp
Để đối phó với sự gia tăng của các hình thức tấn công, các biện pháp phòng tránhcác nguy cơ gây mất ATTT cũng được cải thiện hơn Một số biện pháp phải kể đếnnhư: Phân quyền người dùng, bảo mật kênh truyền dữ liệu với một số giao thực SSL(Secure Socket Layer), SET (Secure Electronic Transaction), WEP (Wired EquivalentPrivacy), tường lửa,… Cùng với đó là các khắc phục sự cố như các việc khôi phục dữliệu bị xóa, đảm bảo an toàn dữ liệu nhờ sao lưu,… giúp việc lưu trữ thông tin dữ liệu
Trang 17được đảm bảo và tránh mất mát Mã hóa dữ liệu và sử dụng chứ ký điện tử có thể đảmbảo tính bí mất và không thể chối cãi của dữ liệu.
Thiết lập và cấu hình cơ sở dữ liệu an toàn, luôn cập nhật bản vá lỗi mới nhất cho
hệ quản trị cơ sở dữ liệu; sử dụng công cụ để đánh giá, tìm kiếm lỗ hổng trên máy chủ
cơ sở dữ liệu
Gỡ bỏ các cơ sở dữ liệu không sử dụng, có các cơ chế sao lưu dữ liệu, tài liệuhóa quá trình thay đổi cấu trúc bằng cách xây dựng nhật ký CSDL với các nội dungnhư: nội dung thay đổi, lý do thay đổi, thời gian, vị trí thay đổi,
Thường xuyên kiểm tra, giám sát chức năng chia sẻ thông tin Tổ chức cấp phát tàinguyên trên máy chủ theo danh mục, thư mục cho từng phòng/đơn vị trực thuộc
Mạng
Điển hình trong hình thức tấn công vào hệ thống mạng và đường truyền là tấncông từ chối dịch vụ (DoS- Denial of Service) là kiểu tấn công làm cho hệ thống quátải không thể cung cấp dữ liệu hoặc phải ngưng hoạt động Tấn công DoS và các biếnthể của nó như DDoS, DRDoS,… là hình thức tấn công được sử dụng nhiều nhất hiệnnay và rất khó phòng chống vì tính bất ngờ của nó
Ngoài ra trong quá trình lưu thông và giao dịch thông tin trên mạng Internet nguy
cơ mất an toàn thông tin trong quá trình truyền tin là rất cao do kẻ xấu chặn đườngtruyền, thay đổi hoặc phá hỏng nội dung thông tin rồi gửi tiếp tục đến người nhận.Cùng với đó là những lỗ hổng từ mạng không dây tin tặc có thể khai thác chúng để đạtđược quyền truy cập vào mạng Internet hoặc mạng nội bộ của doanh nghiệp tổ chứcthực hiện những hành vi sai trái
Cùng với các thiết bị bảo mật được trang bị thì doanh nghiệp cũng cần xây dựngcác mô hình, giao thức mạng an toàn như giao thức bảo mật SSL, SET, TLS hayKerberos
Cài đặt, cấu hình, tổ chức hệ thống mạng theo mô hình Clients/Server, hạn chế sửdụng mô hình mạng ngang hàng Khi thiết lập các dịch vụ trên môi trường mạngInternet, chỉ cung cấp những chức năng thiết yếu nhất bảo đảm duy trì hoạt động của
hệ thống thông tin; hạn chế sử dụng chức năng, cổng giao tiếp mạng, giao thức và cácdịch vụ không cần thiếtĐối với hệ thống mạng không dây: định kỳ 3 tháng thay đổimật khẩu nhằm tăng cường công tác bảo mật
Con người
Chúng ta có xu hướng nghĩ rằng những mối đe dọa an ninh cho một tổ chức,doanh nghiệp có nguồn gốc từ bên ngoài tổ chức Trên thực tế trong nội bộ tổ chức,doanh nghiệp có thể gặp các vấn đề an ninh nghiêm trọng Người lao động có quyềntruy cập vào thông tin đặc quyền và việc xuất hiện các thủ tục an ninh nội bộ cẩu thả,
Trang 18mọi nhân viên có thể xem hết hệ thống con của tổ chức mà không để lại một dấu vếtnào.Người dùng thiếu hiểu biết là nguyên nhân của hành vi vi phạm an ninh mạng.Nhân viên của công ty có thể là đối tượng của những vụ lừa đảo để tiết lộ hoặc lấy cắpthông tin của tổ chức doanh nghiệp Hay sự thiếu hiểu của người dùng cuối khi nhậpcác dữ liệu bị lỗi hoặc không theo sự hướng dẫn thích hợp của quy trình xử lý dữ liệukhi sử dụng các thiết bị máy tính cũng là một nguy cơ gây mất an toàn cho hệ thốngthông tin.
Để tránh những nguy cơ trên, những người sử dụng, làm việc trực tiếp vớithông tin cần phải có kiến thức về ATTT Cần bố trí cán bộ quản lý, cán bộ kỹ thuậtphù hợp chịu trách nhiệm đảm bảo an toàn cho hệ thống dữ liệu và thông tin, có kếhoạch đào tạo bồi dưỡng nghiệp vụ cho đội ngũ cán bộ ATTT, đào tạo, phổ biếnkiến thức, kỹ năng cho người dùng máy tính về phòng, chống các nguy cơ mấtATTT khi sử dụng mạng Internet
Tham khảo tài liệu [2]
Trang 19CHƯƠNG 2: PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TOÀN BẢO MẬT
CỦA CÔNG TY FSD
2.1 TỔNG QUAN VÊ CÔNG TY FDS
2.1.1 Giới thiệu về doanh nghiệp
Công ty cổ phần phát triển nguồn mở và dịch vụ FDS được thành lập vào tháng2/2016 với các Cổ đông sáng lập là những người đã làm việc lâu năm trong lĩnh vựcCông nghệ thông tin và Truyền thông Hiện FDS có 12 cổ đông sang lập trong đó có 3nhà đầu tư chiến lược
Tên đầy đủ: Công ty cổ phần phát triển nguồn mở và dịch vụ FDS
Tên giao dịch quốc tế: FOSS Development and Services Joint Stock Company
Hình 2.1: Logo của công ty FDS
Loại hình doanh nghiệp: Công ty cổ phần
Điện thoại: (024) 6262 7617 Tổng đài hỗ trợ: 1900 0311
Mã số thuế: 0107349611
Địa điểm giao dịch: Tầng 5 và 8 tòa nhà VAPA, Số 4, Ngõ 3, Đường Tôn ThấtThuyết, Quận Cầu Giấy, Hà Nội
2.1.2 Bộ máy tổ chức của doanh nghiệp.
FDS được tổ chức theo đúng mô hình công ty cổ phần với Đại hội đồng cổ đông,Hội đồng quản trị, Ban kiểm soát và Ban điều hành Trong đó, Ban điều hành bao gồmGiám đốc và Phó giám đốc phụ trách kinh doanh và điều hành nội bộ, Phó giám đốcphụ trách công nghệ
FDS được tổ chức với 03 phòng ban: Bộ phận Nội bộ, Phòng Giải pháp và dịch
vụ, Phòng Phát triển phần mềm với các chức năng, nhiệm vụ như sau:
Bộ phận Nội bộ: hành chính, nhân sự, kế toán, kiểm soát nội bộ
Phòng Giải pháp và dịch vụ: tư vấn dự án, quản lý dự án, phân tích thiết kế hệthống, kiểm thử phần mềm, chăm sóc khách hàng, thiết kế đồ hoạ
Phòng Phát triển phần mềm: lập trình, quản trị CSDL, quản lý hạ tầng
Trang 20Sơ đồ 2.1: Tổ chức bộ máy quản lý của công ty FDS
FDS hiện tại có hơn 30 nhân viên chính thức và hầu hết tốt nghiệp chuyên ngànhCNTT ở các Trường Đại học uy tín tại Việt Nam như Đại học Bách khoa Hà Nội, Đạihọc Quốc gia Hà Nội và các Đại học khác FDS có đội ngũ nhân viên chủ chốt lànhững người có nhiều năm kinh nghiệm và đảm nhiệm những vị trí then chốt (kiếntrúc sư trưởng, quản lý dự án, trưởng nhóm phân tích thiết kế, trưởng nhóm lập trình)của nhiều dự án Chính phủ điện tử quan trọng tại Việt Nam
FDS thông qua mô hình kinh doanh nguồn mở đã có hơn 20 đối tác trong vàngoài nước phối hợp với FDS triển khai sản phẩm dịch vụ phần mềm nguồn mở vàviễn thông tới khách hàng
FDS tự hào là thành viên sáng lập các cộng đồng nguồn mở và liên minh thươngmại như OpenCPS, Mobilink và IOCV Từ các cộng đồng và liên minh thương mại,hiện FDS đang có khoảng 50 cộng tác viên làm việc thường xuyên với FDS
2.1.3 Tình hình hoạt động kinh doanh của công ty FDS
2.1.3.1 Sản phẩm, dịch vụ của doanh nghiệp
Cổng thông tin điện tử
Nền tảng Cổng thông tin điện tử (Portal) do FDS triển khai là một nền tảng pháttriển và tích hợp ứng dụng với nhiều thành phần hỗ trợ phát triển Chính quyền điện tử
và doanh nghiệp
Dịch vụ công trực tuyến
Việc ứng dịch vụ công trực tuyến được xem là khâu quan trọng, then chốt trongtiến trình cải cách hành chính và triển khai Chính phủ điện tử FDS cũng là một trongnhững doanh nghiệp được tin cậy và giao phó nhiệm vụ xây dựng, triển khai một sốdịch vụ công trực tuyến lớn và quan trọng của Bộ Giao thông vận tải, Cục Quản lýCạnh tranh- Bộ Công thương,…
Trang 21 Nền tảng tích hợp dữ liệu
Khung kiến trúc Chính quyền điện tử (phiên bản 1.0) của Bộ Thông tin vàTruyền thông ban hành kèm theo Văn bản số 1178/BTTTT-THH ngày 21/4/2015 yêucầu các Bộ ngành, Tỉnh/Thành phố khi xây dựng kiến trúc và hệ thống chính quyềnđiện tử cần đảm bảo có Nền tảng tích hợp và chia sẻ dùng chung (Local GovernmentService Platform - LGSP)
Dịch vụ
Công ty Cổ phần Phát triển nguồn mở và Dịch vụ FDS cung cấp các dịch vụ:
- Hỗ trợ chính hãng của các phần mềm dịch vụ
- Tư vấn giải pháp công nghệ
- Cải tiến quy trình nghiệp vụ
- Phát triển phần mềm theo yêu cầu
- Thiết kế giao diện và trải nghiệm người dùng
- Tối ưu hệ thống
- Đảm bảo quy trình vận hành hệ thống
- Tư vấn hỗ trợ người dùng
2.1.3.2 Các đối tác triển khai
Công ty Cổ phần Phát triển nguồn mở và dịch vụ FDS chuyên tâm tập trung pháttriển năng lực kỹ thuật FDS theo đuổi mô hình phát triển cộng tác; hỗ trợ và cung cấpgiải pháp, sản phẩm cho các đơn vị khác triển khai Thông qua việc xây dựng Cộngđồng Dịch vụ công nguồn mở OpenCPS mà FDS là đơn vị sáng lập và đầu tư chínhđến nay FDS đã có hơn 20 đối tác triển khai, bao gồm:
- Công ty Cổ phần Netnam
- Công ty CP Đầu tư và Phát triển Công nghệ Tâm Việt
- Công ty TNHH Giải pháp Phần mềm CMC (CMCSoft)
- Công ty Cổ phần Bitsco
- Công ty TNHH Tiền Phong TF
- Công ty Cổ phần iWay,…
2.1.3.3 Báo cáo tài chính về thu chi, lợi nhuận 3 năm gần đây.
Công ty đã được thành lập mới được khoảng gần 3 năm và Công ty cũng bắt đầu
có được những thành quả nhất định Kết quả kinh doanh của Công ty cổ phần pháttriển nguồn mở và dịch vụ FDS được phản ánh qua bảng sau đây:
Trang 22Bảng 2.3: Kết quả hoạt động kinh doanh của Công ty năm 2016-2018
(Đơn vị: triệu đồng)
đầu 2018
2017/2016(%)
(Nguồn: Phòng Tài chính – Kế toán FDS)
So với năm 2016 thì năm 2017 công ty đã có những bước tiến đáng kể về nhiềumặt, doanh thu tăng lên các khoản chi phí đều ở mức hợp lý nên lợi nhuận tăng Năm
2017 doanh thu tăng 23,1 % tương ứng số tiền là 1875 triệu đồng, do đó lợi nhuậncũng tăng theo 28,4% tương ứng với 489,7 triệu đồng so với năm 2016 Đến năm2018,dù mới hoạt động được một nửa đầu năm 2018, kết quả kinh doanh đã có phầnvượt trội hơn hẳn so với năm 2017 Qua đó cho thấy hoạt động kinh doanh của công ty
đã đạt được hiệu quả, góp phần tạo công ăn việc làm, nâng cao thu nhập cho nhân viêntrong công ty
2.2 PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG AN TOÀN BẢO MẬT HTTT CỦA CÔNG TY FDS
2.2.1 Thực trạng của công tác an toàn bảo mật hệ thống thông tin trong công
ty FDS
2.2.1.1 Giới thiệu HTTT của doanh nghiệp
Hiện nay, Công ty cổ phần phát triển nguồn mở và dịch vụ FDS đang sử dụng
Mobilink Enterprise để quản lý toàn bộ quá trình hoạt động của doanh nghiệp.
Mobilink Enterprise là phần mềm do chính FDS xây dựng giúp hỗ trợ quản lý tổng thể
và cung cấp môi trường làm việc cộng tác trong các cơ quan, tổ chức doanh nghiệp.Toàn bộ thông tin về các hoạt động, kế hoạch, quy trình công việc, hồ sơ tài liệu, biểumẫu được lưu trữ điện tử và thống nhất theo quy trình ISO của doanh nghiệp Hệthống sẽ giúp giảm thời gian, công sức, tiết kiệm được chi phí vận hành, và nâng caohiệu lực quản lý, điều hành cho doanh nghiệp sử dụng Năng suất và chất lượng côngviệc của các nhân viên trong doanh nghiệp sẽ được cải thiện triệt để nhờ môi trườnglàm việc cộng tác có trên hệ thống, giúp tránh được các hiện tượng bị quên hay bỏ lỡthông tin cần xử lý kịp thời
Trang 23Hình 2.2: Giao diện đăng nhập của HTTT Mobilink Enterprise
Phần mềm Làm việc cộng tác Mobilink Enterprise là phần mềm quản lý các hoạtđộng/quy trình trong cơ quan tổ chức và doanh nghiệp với các lợi ích:
⁃ Làm việc hoàn toàn không giấy
⁃ Mọi lúc, mọi nơi
⁃ Đảm bảo tính đầy đủ, sẵn sàng và toàn vẹn của các hồ sơ, tài liệu (dạng điện tử)
⁃ Cảnh báo và nhắc việc tự động
⁃ Theo dõi toàn cảnh tiến độ và trạng thái các công việc
⁃ Đo lường hiệu suất công việc
⁃ Quy trình xử lý công việc linh hoạt
⁃ Bộ mẫu các hoạt động, hồ sơ, tài liệu sẵn có (dựa trên ISO 9001:2015)
Từ đó giúp cho các cơ quan tổ chức và doanh nghiệp:
⁃ Tăng hiệu suất làm việc lên trên 50%
⁃ Tiết kiệm chi phí văn phòng phẩm
⁃ Giảm thiểu thời gian trong quá trình xử lý các công việc
⁃ Quản lý hoàn toàn trên các file điện tử (.xls, xlsx, )
⁃ Dễ dàng tích hợp với các phần mềm nghiệp vụ có sẵn của doanh nghiệp
⁃ Phù hợp tiêu chuẩn Quốc tế ISO 9001 và các bộ tiêu chuẩn quản lý khác (ISO
Trang 242.2.1.2 Cơ sở hạ tầng HTTT trong doanh nghiệp
(Nguồn: Theo điều tra của cá nhân)
- Hệ thống máy chủ: Số lượng máy chủ 2 chiếc cài đặt hệ điều hành Windows.
Máy chủ PowerEdge của Dell, dòng máy này rất phù hợp để làm máy chủ chứa filecho các máy trạm, chia sẻ Internet trên LAN Dòng máy này có gắn bộ vi xử lý IntelXeon 3400 series và hệ điều hành Microsoft Windows Server 2008 R2, cung cấpnhững tính năng cần thiết cho hoạt động của Công ty
- Hệ thống máy tính để bàn: gồm 4 máy tính DELL VOSTRO 3670MT(MTG5400), CPU- Intel Pentium G5400, RAM 4GB, ổ cứng HDD 1TB, ổ đĩa quang:DVDRW
- Máy tính cá nhân: Mỗi thành viên trong công ty có ít nhất 1 máy tính cá nhânđảm bảo những điều kiện cơ bản có thể thực hiện các công việc tại doanh nghiệp.Theo tìm hiểu thực tế máy tính cá nhân được đa số nhân viên trong công ty dùngthuộc dòng Dell, RAM 4 GB trở lên, tốc độ xử lý tối đa 2,6 GHz, hệ điều hànhWindow 2010 hoăc 2013
- Công ty cũng trang bị 1 máy in laser màu Canon LBP 5050 là loại máy in lasermàu A4 đơn năng với tốc độ in đen trắng 12ppm với màu có tốc độ là 8ppm có độphân giải 9600 x 600dpi và bô nhớ lên tới 16MB, kết nối USB 2.0, khả năng in mạnglàm việc và quản lý in, hiệu suất làm việc: 7.000 trang /tháng Và 2 máy in thườngCanon IMAGECLASS LBP6230DN là loại máy in trắng đen, tốc độ 25 trang/phút, độphân giải 600 x 600 dpi, có thể kết nối trực tiếp với mạng LAN hoặc kết nối USB đểthực hiện in
- Để hỗ trợ cho các cuộc hợp nội bộ cũng như với đối tác công ty trang bị 2 máychiếu Panasonic PT- LB303 cường độ chiếu sáng: 3.100 Ansi Lumens, độ phângiải: 1.024x768 (XGA), độ tương phản 16.000:1
- 4 điện thoại bàn được sử dụng của nhà Viettel hỗ trợ và là kênh trao đổi thôngtin thường xuyên giữa công ty với đối tác
Trang 25 Trang thiết bị phần mềm
Một số phần mềm thông dụng:
- FDS đang sử dụng phần mềm kế toán MISA Phần mềm kế toán hỗ trợ đắc lựctrong nghiệp vụ kế toán cũng như quản lý doanh nghiệp, phần mềm tuân thủ theo đúngchế độ kế toán, tự động hóa toàn bộ các khâu kế toán từ khâu lập chứng từ, hạch toán,báo cáo Ngoài ra, phần mềm có tính an toàn, bảo mật tốt, đơn giản và dễ sử dụng
- Phần mềm tin học văn phòng: Microsoft Office 2010, Microsoft Office 2013 tạimột số phòng ban Các phần mềm này đều đã được công ty mua bản quyền để sửdụng Đảm bảo vấn đề an toàn thông tin của công ty
- Công ty sử dụng phần mềm phòng chống bảo vệ cho mạng, dữ liệu:
+ Sử dụng Firewall có sẵn của hệ điều hành Window 2010, 2013 giúp bảo vệmáy tính cá nhân khỏi nhiều mối đe dọa từ internet, thiết bị kết nối
+ Antivirus BKAV Pro- sử dụng Trí tuệ nhân tạo (AI), tích hợp công nghệđiện toán đám mây, bảo vệ đa lớp giúp ngăn chặn mọi nguy cơ trên Internet, diệt virus,chống phần mềm gián điệp, bảo vệ dữ liệu, tài khoản ngân hàng, bảo vệ mật khẩu,…
+ Sử dụng phần mềm antivirus AVG 2017 đối với Web giúp diệtvirus, spyware, malware, rookit hiệu quả, tự động cập nhật thường xuyên, bảo vệ hệthống trong thời gian thực, ngăn chặn virus ngay sau khi phát hiện, gọn, nhẹ, khôngchiếm nhiều tài nguyên hệ thống
- Sử dụng các phần mềm ứng dụng hộ trợ như teamviewer, phần mềm tin nhắnnhanh (yahoo, messenger, skype, telegram,…) giúp quá trình liên lạc với đối tác hay
hỗ trợ người dùng cuối cùng của doanh nghiệp thuận lợi và nhanh hơn
- Công cụ Jaspersoft Studio và Alpacajs được ứng dụng thường xuyên trong việctạo form Alpacajs và Jasper giúp cho việc tạo lập cũng như lưu trữ và xử lý các loạigiấy tờ khoa học và nhanh hơn
- Công ty hoạt động trong lĩnh vực CNTT nên ngoài việc sử dụng những phầnmềm thông thường cho công việc văn phòng còn áp dụng các phần mềm chuyên biệttrong mỗi dự án của mình: công nghệ Liferay áp dụng cho Giải pháp Cổng thông tinđiện tử, phần mềm lõi dịch vụ công nguồn mở OpenCPS, nền tảng tích hợp và chia sẻ
dữ liệu được thiết kế đủ tổng quát để có thể đáp ứng được yêu cầu tích hợp mọi loạithông tin
Mạng
Hiện này doanh nghiệp sử dụng đồng thời mạng LAN, Internet, wifi giúp luônsẵn sàng trong kết nối nội bộ cũng như khách hàng đến với công ty Một số máy tínhtrong công ty được kết nối với nhau qua mạng nội bộ Còn lại hầu hết các máy tính củacông ty sử dụng mạng wifi dùng chung cho các hoạt động của công ty Tổng băng
Trang 26thông kết nối Internet lên tới 100Mbps Các máy trạm được bố trí theo kiểu hình sao,dùng giao thức TCP/IP với hệ thống Client/Server đảm bảo việc hỏng hóc của mỗimáy cá nhân không ảnh hướng đến toàn hệ thống phù hợp với mô hình kinh doanh vừa
và nhỏ của công ty hiện nay
Cơ sở dữ liệu
Công ty có sử dụng 2 máy chủ Sử dụng hệ quản trị CSDL SQL Server 2008 đểthu thập, phân tích, xử lý, lưu trữ và truyền thông tin Việc sử dụng CSDL này giúpcho việc đồng bộ hóa dữ liệu công ty, đảm bảo tính nhất quán thông tin, trách sự trùnglặp thông tin
Toàn bộ dữ liệu của công ty sẽ được lưu trữ trên máy chủ, cơ chế sao lưu dữ liệuđịnh kì giúp công ty hạn chế tối thiểu những tổn thất khi thông tin gặp phải sự cố nhưhỏng hóc hay bị sửa đổi, bị xóa Công ty đã có những biện pháp mã hóa thông tin đểbảo vệ tính bí mật, xác thực và nguyên vẹn của tin Đồng thời sử dụng các biện phápnhư: phân quyền người sử dụng, đặt password để hạn chế những người không cóquyền sử dụng truy cập vào dữ liệu Đảm bảo an toàn thông tin của doanh nghiệp
Nhân lực
FDS hiện tại có hơn 30 nhân viên chính thức và hầu hết tốt nghiệp chuyên ngànhCNTT ở các Trường Đại học uy tín tại Việt Nam như Đại học Bách khoa Hà Nội, Đạihọc Quốc gia Hà Nội và các Đại học khác FDS có đội ngũ nhân viên chủ chốt lànhững người có nhiều năm kinh nghiệm và đảm nhiệm những vị trí then chốt (kiếntrúc sư trưởng, quản lý dự án, trưởng nhóm phân tích thiết kế, trưởng nhóm lập trình)của nhiều dự án Chính phủ điện tử quan trọng tại Việt Nam
Website
Website là một trong những công cụ hỗ trợ hiệu quả cho hoạt động quảng báthông tin, quảng bá dịch vụ kinh doanh, là cánh tay đắc lực cho chiến lược marketingcủa mỗi doanh nghiệp