Một số giải pháp nâng cao an toàn bảo mật thông tin tại công ty cổ phần đầu tư và phát triển đô thị hùng vương

Tính cấp thiết của đề tài Vấn đề đảm bảo an toàn cho các hệ thống thông tin là một trong những vấn đềquan trọng được cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảodưỡn

TRƯỜNG ĐẠI HỌC THƯƠNG MẠI KHOA KẾ TOÁN – KIỂM TOÁN

LỜI CẢM ƠN

Trong quá trình nghiên cứu và thực hiện khóa luận tốt nghiệp, em đã nhận được

sự hướng dẫn nhiệt tình của giáo viên hướng dẫn PGS.TS Đàm Gia Mạnh, cùng sự

giúp đỡ của ban giám đốc và toàn thể nhân viên Công ty cổ phần đầu tư và Phát triển

Đô thị Hùng Vương

Trước hết, em xin gửi lời cảm ơn sâu sắc nhất tới thầy PGS.TS Đàm Gia Mạnh

– Giáo viên hướng dẫn đã giúp đỡ em có những định hướng đúng đắn khi thực hiệnkhóa luận tốt nghiệp cũng như những kỹ năng nghiên cứu cần thiết khác

Em cũng xin được gửi lời cảm ơn chân thành tới ban giám đốc cũng như các anh/chị làm việc tại Công ty cổ phần đầu tư và Phát triển Đô thị Hùng Vương vì sự quantâm, ủng hộ và hỗ trợ cho em trong quá trình thực tập và thu thập tài liệu

Em xin được gửi lời cảm ơn tới các thầy cô giáo trong khoa Hệ Thống Thông TinKinh Tế và Thương Mại Điện Tử về sự động viên khích lệ mà em đã nhận được trongsuốt quá trình học tập và hoàn thành khóa luận này

Với đề tài “Một số giải pháp nâng cao an toàn bảo mật thông tin tại Công ty cổ

phần đầu tư và Phát triển Đô thị Hùng Vương” đây là đề tài tuy không mới nhưng

khá phức tạp và các nghiên cứu chuyên sâu về vấn đề này còn nhiều giới hạn Mặtkhác, thời gian nghiên cứu khóa luận khá hạn hẹp, trình độ và khả năng của bản thân

em còn hạn chế Vì vậy, khóa luận chắc chắn sẽ gặp phải nhiều sai sót Em kínhmong thầy giáo Đàm Gia Mạnh, các thầy cô giáo trong khoa Hệ Thống Thông TinKinh Tế và Thương Mại Điện Tử, các anh/chị nhân viên trong Công ty cổ phần đầu

tư và Phát triển Đô thị Hùng Vương góp ý, chỉ bảo để khóa luận có giá trị cả về lýluận và thực tiễn

Em xin chân thành cảm ơn!

MỤC LỤ

LỜI CẢM ƠN i

MỤC LỤC ii

DANH MỤC SƠ ĐỒ BẢNG BIỂU , SƠ ĐỒ HÌNH VẼ iv

DANH MỤC TỪ VIẾT TẮT v

PHẦN MỞ ĐẦU 1

1 Tính cấp thiết của đề tài 1

2 Mục tiêu và nhiệm vụ nghiên cứu của đề tài 2

3 Đối tượng và phạm vi nghiên cứu của đề tài 3

4 Phương pháp nghiên cứu của đề tài 3

5 Kết cấu khóa luận 5

CHƯƠNG 1 : CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT THÔNG TIN TRONG DOANH NGHIỆP 6

1.1.1 Một số khái niệm cơ bản 6

1.1.2 Các nguy cơ và rủi ro đến an toàn bảo mật thông tin trong doanh nghiệp 9

1.1.3 Mô hình an toàn bảo mật hệ thống thông tin 10

1.1.4 Các nhân tố ảnh hưởng đến hiệu quả an toàn bảo mật hệ thống thông tin trong doanh nghiệp 12

1.1.5 Vai trò của an toàn bảo mật thông tin trong doanh nghiệp 13

1.2 Một số lý thuyết về an toàn bảo mật trong hệ thống thông tin 14

1.2.1 Các hình thức xâm nhập vào hệ thống thông tin 14

1.2.2 Các phương thức tấn công vào hệ thống thông tin 14

1.2.3 Những công nghệ và kỹ thuật hỗ trợ an toàn bảo mật hiện nay 17

1.2.4 Những công cụ và phần mềm đảm bảo an toàn bảo mật 19

1.2.5 Những xu hướng bảo đảm an toàn bảo mật 21

1.3 Tổng quan tình hình nghiên cứu liên quan đến đề tài 22

1.3.1 Tổng quan tình hình nghiên cứu tại Việt Nam 23

1.3.2 Tổng quan tình hình nghiên cứu trên thế giới 24

CHƯƠNG 2: KẾT QUẢ PHÂN TÍCH, ĐÁNH GIÁ THỰC TRẠNG VỀ AN TOOÀN BẢO MẬT THÔNG TIN TẠI CÔNG TY CỔ PHẦN ĐẦU TƯ VÀ

PHÁT TRIỂN ĐÔ THỊ HÙNG VƯƠNG 27

2.1 Tổng quan về công ty cổ phần đầu tư và phát triển đô thị Hùng Vương 27

2.1.1 Thông tin cơ bản 27

2.1.2 Quá trình thành lập và phát triển của doanh nghiệp 27

2.1.3 Cơ cấu tổ chức của Công ty 28

2.2 Thực trạng về an toàn bảo mật tại công ty cổ phần đầu tư và phát triển đô thị Hùng Vương 29

2.2.1 Thực trạng về hệ thống thông tin và thương mại điện tử 29

2.2.2 Thực trạng an toàn bảo mật tại công ty 30

2.3 Kết quả phân tích và đánh giá thực trạng vấn đề đảm bảo an toàn thông tin của Công ty cổ phần đầu tư và phát triển đô thị Hùng Vương 31

2.3.1 Phân tích kết quả xử lý phiếu khảo sát 31

CHƯƠNG 3: ĐỊNH HƯỚNG PHÁT TRIỂN, ĐỀ XUẤT GIẢI PHÁP NÂNG CAO HIỆU QUẢ AN TOÀN BẢO MẬT TIN TẠI CÔNG TY CỔ PHẦN ĐẦU TƯ VÀ PHÁT TRIỂN ĐÔ THỊ HÙNG VƯƠNG 37

3.1 Phương hướng đảm bảo an toàn của công ty 2018 - 2021 37

3.2 Giải pháp đảm bảo an toàn bảo mật hệ thống thông tin cho Công ty cổ phần đầu tư và phát triển đô thị Hùng Vương 37

3.2.1 Giải pháp đảm bảo an toàn bảo mật hệ thống phần cứng và hệ thống mạng tại Công ty 37

3.2.2 Giải pháp đảm bảo an toàn bảo mật hệ thống phần mềm tại Công ty cổ phần đầu tư và phát triển đô thị Hùng Vương 42

3.2.3 Nâng cao hiệu quả quản lý cơ sở dữ liệu 44

3.2.4 Nâng cao nhận thức về an toàn bảo mật trong công ty 45

KẾT LUẬN 47

DANH MỤC TÀI LIỆU THAM KHẢO 48

PHỤ LỤC 49

DANH MỤC SƠ ĐỒ BẢNG BIỂU , SƠ ĐỒ HÌNH VẼ

Hình 1.1: Ba mục tiêu bảo mật thông tin 7

Hình 1.2: Mô hình đảm bảo an toàn trên máy đầu cuối 10

Hình 1.3: Mô hình an toàn trong truyền dữ liệu 11

Hình 1.4 Tấn công từ chối dịch vụ phân tán (DDoS) 16

Hình 3.1 Bức tường lửa đặt trước Router để bảo vệ toàn bộ mạng bên trong 40

Hình 3.2: Hoạt động cơ bản của bức tường lửa 41

Hình 3.3 : Giao diện phần mềm Kaspersky Anti-Virus 43

Hình 3.4: Bảng thông số yêu cầu đối với máy trạm khi cài đặt Kaspersky® Small Office Security 43

Hình 3.5: Bảng thông số yêu cầu đối với máy chủ khi cài đặt Kaspersky® Small Office Security 44

DANH MỤC TỪ VIẾT TẮT

CRM Customer Relationship Management Quản lý quan hệ khách hàngCPU Central Processing Unit Bộ xử lý trung tâm

ERP Enterprise Resource Planning Quản lý nguồn lực

HTTP HyperText Transport Protocol Giao thức truyền tải siêu văn bản

NAT Network Address Translation Chuyển đổi địa chỉ mạng

WAF Network Address Translation Giao thức an ninh thông tin

mạng

PHẦN MỞ ĐẦU

1 Tính cấp thiết của đề tài

Vấn đề đảm bảo an toàn cho các hệ thống thông tin là một trong những vấn đềquan trọng được cân nhắc trong suốt quá trình thiết kế, thi công, vận hành và bảodưỡng HTTT Cũng như tất cả hoạt động khác của xã hội, từ khi con người có nhu cầulưu trữ và xử lí thông tin, đặc biệt là khi thông tin được xem như một phần của tư liệusản xuất, thì nhu cầu bảo vệ thông tin ngày càng trở nên bức thiết Đối với nhiều tổchức, doanh nghiệp, cá nhân thì thông tin và dữ liệu đóng một vai trò hết sức quantrọng trong đời sống và có khi ảnh hướng tới sự tồn vong của họ Vì vậy, việc bảo mậtnhững thông tin và dữ liệu đó là điều vô cùng cần thiết, nhất là trong bối cảnh hiện naycác hệ thống thông tin ngày càng được mở rộng và trở nên phức tạp dẫn đến tiềm ẩnnhiều nguy cơ không lường trước được

Sự xuất hiện Internet và mạng máy tínḥ đã giúp cho việc trao đổi thông tin trởnên nhanh gọn, dễ dàng E-mail cho phép người ta nhận hay gửi thư ngay trên máytính của mình, E-business cho phép thực hiện các giao dịch buôn bán trên mạng, Tuy nhiên lại phát sinh những vấn đề Thông tin quan trọng nằm ở kho dữ liệu hayđang trên đường truyền có thể bị trộm cắp, có thể bị làm sai lệch, có thể bị giả mạo.Điều đó có thể ảnh hưởng tới các tổ chức, các công ty hay cả một quốc gia Những bímật kinh doanh, tài chính là mục tiêu của các đối thủ cạnh tranh Những tin tức về anninh quốc gia là mục tiêu của các tổ chức tình báo trong và ngoài nước

Có thể nhận ra hai điều thay đổi về bảo vệ thông tin như sau Thứ nhất, sự ứngdụng của máy tính trong việc xử lí thông tin làm thay đổi dạng lưu trữ thông tin vàphương thức xử lí thông tin Cần thiết phải xây dựng cơ chế bảo vệ thông tin theo đặcthù hoạt động của máy tính Từ đây xuất hiện yêu cầu bảo vệ sự an toàn hoạt động củamáy tính tồn tại song song với yêu cầu bảo vệ sự an toàn của thông tin Thứ hai, sựphát triển của mạng máy tính và các hệ thống phân tán làm thay đổi phạm vi xử líthông tin Thông tin được trao đổi giữa các thiết bị xử lí thông qua một khoảng cáchvật lí rất lớn, gần như không giới hạn, làm xuất hiện nhiều nguy cơ làm mất sự an toàncủa thông tin Từ đó xuất hiện yêu cầu bảo vệ sự an toàn của hệ thống mạng, gồm các

cơ chế và kỹ thuật phù hợp với việc bảo vệ sự an toàn của thông tin khi chúng đượctrao đổi giữa các thiết bị mạng

Hiểu được tầm quan trọng của việc bảo mật, an toàn dữ liệu trong các doanhnghiệp nên Công ty cổ phần đầu tư và phát triển Đô thị Hùng Vương cần triển khaiviệc áp dụng các biện pháp nhằm nâng cao tính bảo mật và an toàn thông tin, dữ liệucủa mình Xuất phát từ sự cần thiết đó, em quyết định lựa chọn vấn đề: “Một số giải

pháp an toàn bảo mật hệ thống thông tin tại Công ty cổ phần đầu tư và phát triển Đôthị Hùng Vương” làm đề tài khóa luận của mình Với hi vọng, đây sẽ là giải pháp giúpTrung tâm hoạt động hiệu quả trong tương lai.

2 Mục tiêu và nhiệm vụ nghiên cứu của đề tài

2.1 Mục tiêu của đề tài

Mục tiêu nghiên cứu của đề tài là tập hợp và hệ thống hoá một số lý thuyết cơbản về an toàn bảo mật hệ thống thông tin, nghiên cứu bằng những phương pháp khácnhau như thu thập các cơ sở dữ liệu sơ cấp và thứ cấp Từ đó, xem xét đánh giá phântích thực trạng vấn đề an toàn bảo mật hệ thống thông tin để đưa ra những ưu nhượcđiểm Từ những đánh giá phân tích này, đưa ra một số kiến nghị đề xuất, một số giảipháp nhằm nâng cao tính an toàn bảo mật hệ thống thông tin Giúp cho công ty nhậndiện những nguy cơ và thách thức của vấn đề an toàn bảo mật hệ thống thông tin.Khi xây dựng một hệ thống an toàn bảo mật, thì mục tiêu đặt ra cho cơ chế được

áp dụng phải bao gồm 3 phần như sau:

Ngăn chặn (prevention): mục tiêu thiết kế là ngăn chặn các vi phạm đối với

chính sách Có nhiều sự kiện, hành vi dẫn đến vi phạm chính sách Có những sự kiện

đã được nhận diện là nguy cơ của hệ thống nhưng có những sự kiện chưa được ghinhận là nguy cơ Hành vi vi phạm có thể đơn giản như việc để lộ mật khẩu, quên thoátkhỏi hệ thống khi rời khỏi máy tính, … hoặc có những hành vi phức tạp và có chủ đíchnhư cố gắng tấn công vào hệ thống từ bên ngoài

Các cơ chế an toàn (secure mechanism) hoặc cơ chế chính xác (precise

mechanism) là các cơ chế được thiết kế với mục tiêu ngăn chặn Tuy nhiên, khi việcxây dựng các cơ chế an toàn hoặc chính xác là không khả thi thì cần phải quan tâm đến

2 mục tiêu tiếp theo khi thiết lập các cơ chế bảo mật

Phát hiện (detection): mục tiêu thiết kế tập trung vào các sự kiện vi phạm chính

sách đã và đang xảy ra trên hệ thống

Thực hiện các cơ chế phát hiện nói chung rất phức tạp, phải dựa trên nhiều kỹthuật và nhiều nguồn thông tin khác nhau Về cơ bản, các cơ chế phát hiện xâm nhậpchủ yếu dựa vào việc theo dõi và phân tích các thông tin trong nhật ký hệ thống(system log) và dữ liệu đang lưu thông trên mạng (network traffic) để tìm ra các dấuhiệu của vi phạm Các dấu hiệu vi phạm này (gọi là signature) thường phải được nhậndiện trước và mô tả trong một cơ sở dữ liệu của hệ thống (gọi là signature database)

Phục hồi (recovery): mục tiêu thiết kế bao gồm các cơ chế nhằm chặn đứng các

vi phạm đang diễn ra (response) hoặc khắc phục hậu quả của vi phạm một cách nhanhchóng nhất với mức độ thiệt hại thấp nhất (recovery)

Tùy theo mức độ nghiêm trọng của sự cố mà có các cơ chế phục hồi khác nhau.

Có những sự cố đơn giản và việc phục hồi có thể hoàn toàn được thực hiện tự động màkhông cần sự can thiệp của con người, ngược lại có những sự cố phức tạp và nghiêmtrọng yêu cầu phải áp dụng những biện pháp bổ sung để phục hồi

Một phần quan trọng trong các cơ chế phục hồi là việc nhận diện sơ hở của hệthống và điều chỉnh những sơ hở đó Nguồn gốc của sơ hở có thể do chính sách antoàn chưa chặt chẽ hoặc do lỗi kỹ thuật của cơ chế

2.2 Nhiệm vụ của đề tài

Nghiên cứu tổng quan về an toàn bảo mật thông tin: phân tích, tổng hợp kháiniệm an toàn bảo mật, vai trò, các giải pháp an toàn bảo mật thông tin hiện nay Từ đó,xem xét đánh giá phân tích thực trạng vấn đề an toàn bảo mật HTTT để đưa ra những

ưu nhược điểm Từ những đánh giá phân tích này, đưa ra một số kiến nghị đề xuất,một số giải pháp nhằm nâng cao tính an toàn bảo mật HTTT Giúp cho công ty nhậndiện những nguy cơ và thách thức của vấn đề an toàn bảo mật HTTT

3 Đối tượng và phạm vi nghiên cứu của đề tài

3.1 Đối tượng nghiên cứu

Các giải pháp công nghệ và giải pháp con người để đảm bảo an toàn, cũng nhưnâng cao được hoạt động an toàn bảo mật HTTT quản lý là đối tượng nghiên cứuchính của đề tài

3.2 Phạm vi nghiên cứu

Về thời gian: Đề tài sẽ phân tích các hoạt động an toàn và bảo mật hệ thống

thông tin của công ty, tài liệu liên quan trong vòng 3 năm gần đây: 2016, 2017, 2018

Về không gian: Đề tài tập trung nghiên cứu tình hình an toàn bảo mật hệ thống

thông tin tại Công ty cổ phần đầu tư và phát triển Đô thị Hùng Vương nhằm đưa ramột số giải pháp nâng cao an toàn bảo mật hệ thống thông tin

Về nội dung: Nghiên cứu thực trạng hoạt động an toàn bảo mật HTTT của công

ty, để xác định ưu nhược điểm của các hoạt động đó Đồng thời phân tích thực trạngtriển khai, thuận lợi, khó khăn, đánh giá hiệu quả và có những đề xuất cụ thể nhằmnâng cao hoạt động đảm bảo an toàn bảo mật cho công ty

4 Phương pháp nghiên cứu của đề tài

Các phương pháp được sử dụng trong khoá luận

Trong quá trình nghiên cứu và thực hiện khóa luận này, em đã sử dụng cácphương pháp thu thập dữ liệu định tính nhằm phân tích, tổng hợp thông tin thông quacâu hỏi phỏng vấn, phiếu điều tra và các tài liệu thu thập được Phương pháp này được

sử dụng cho cuối chương 2 và chương 3 của khoá luận nhằm tìm ra nguyên nhân, thực

trạng của vấn đề an toàn bảo mật hệ thống thông tin tại Công ty cổ phần đầu tư và pháttriển Đô thị Hùng Vương, để từ đó đưa ra các giải pháp phù hợp.

4.1 Phương pháp thu thập số liệu

Việc thu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu Phươngpháp thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệu chứađựng các thông tin liên quan tới đối tượng nghiên cứu của đề tài mình thực hiện

a, Phương pháp sử dụng phiếu điều tra:

Phát phiếu điều tra ban lãnh đạo công ty cùng các nhân viên trong các phòng chủyếu xoay quanh vấn đề: Việc đảm bảo an toàn thông tin trong công ty như thế nào?Công ty hay gặp sự cố gì về vấn đề bảo mật thông tin? Công ty đã có hệ thống an ninhmạng chưa? Công ty đã có hệ thống an toàn dữ liệu chưa? …

- Mục đích: Nhằm thu thập những thông tin về hoạt động an toàn bảo mật hệthống thông tin của công ty để từ đó đánh giá thực trạng triển khai và đưa ra nhữnggiải pháp đúng đắn để nâng cao hiệu quả của các hoạt động đảm bảo an toàn bảo mật

hệ thống thông tin trong Công ty cổ phần đầu tư và phát triển Đô thị Hùng Vương

- Cách thức tiến hành: Bảng câu hỏi sẽ được phát cho 10 nhân viên trong công ty

để thu thập ý kiến

- Thuận lợi của phương pháp: thu thập thông tin nhanh chóng, đơn gỉan

- Khó khăn: nội dung thu thập có thể không chính xác vì phụ thuộc chủ quan vàongười trả lời

- Nội dung: các câu hỏi đều xoay quanh các hoạt động đảm bảo an toàn bảo mật

hệ thống thông tin được triển khai và hiệu quả của các hoạt động này đối với công ty

Phương pháp thu thập dữ liệu thứ cấp: Dữ liệu thứ cấp là những thông tin đã

được thu thập và xử lý trước đây vì các mục tiêu khác nhau của công ty

- Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanhcủa công ty trong vòng 3 năm: 2015, 2016, 2017 được thu thập từ phòng kinh doanh,phòng hành chính nhân sự, , từ phiếu điều tra phỏng vấn và các tài liệu khác

- Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sáchbáo của các năm trước có liên quan tới đề tài nghiên cứu và từ Internet

Sau khi đã thu thập đầy đủ các thông tin cần thiết thì tiến hành phân loại sơ bộcác tài liệu đó Từ đó rút ra kết luận có cần thêm những tài liệu nào nữa thì bổ sungvào, nếu đủ rồi thì tiến hành bước tiếp theo là xử lý dữ liệu

Phương pháp này được sử dụng cho chương 2 của khoá luận để thu thập dữ liệuliên quan đến vấn đề an toàn bảo mật tại công ty

b, Phương pháp phỏng vấn:

Là phương pháp dùng một số hệ thống câu hỏi miệng để người được phỏng vấntrả lời bằng miệng nhằm thu thập các thông tin nói lên nhận thức hoặc thái độ của cánhân đối với một sự kiện hay một vấn đề được hỏi

- Cách thức tiến hành: Hẹn trước và đến công ty gặp, chuẩn bị trước câu hỏiphỏng vấn với các đối tượng Không phỏng vấn tất cả các đối tượng vào cùng mộtngày cụ thể nào, do ban lãnh đạo bận, không có nhiều thời gian nên em tranh thủphỏng vấn từng đối tượng vào những thời gian có thể

- Mục đích: Nhằm thu thập những thông tin về hoạt động an toàn bảo mật hệthống thông tin của công ty để từ đó đánh giá thực trạng triển khai và đưa ra nhữnggiải pháp đúng đắn để nâng cao hiệu quả của các hoạt động đảm bảo an toàn bảo mật

hệ thống thông tin trong Công ty

- Thuận lợi của phương pháp: thu thập thông tin nhanh chóng, đơn gỉan

- Khó khăn: nội dung thu thập có thể không chính xác vì phụ thuộc chủ quan vàongười trả lời

- Nội dung: các câu hỏi đều xoay quanh các hoạt động đảm bảo an toàn bảo mật

hệ thống thông tin được triển khai và hiệu quả của các hoạt động này đối với công ty

4.2 Phương pháp phân tích và xử lý dữ liệu

Sau khi đã phân tích tài liệu để xác thực độ tin cậy, tính khách quan, tính cậpnhật, ta tiến hành tổng hợp tài liệu, có cái nhìn tổng quan toàn cảnh và cụ thể về tìnhhình nghiên cứu có liên quan đến trong đề tài Từ kết quả thu được từ phương pháp thuthập dữ liệu thì đã tiến hành xử lý số liệu bằng cách sử dụng phần mềm SPSS(Statistical Package for Social Sciences) SPSS là một phần mềm cung cấp hệ thốngquản lý dữ liệu và phân tích thống kê trong một môi trường đồ họa, sử dụng các trìnhđơn mô tả và các hộp thoại đơn giản để thực hiện hầu hết các công việc thống kê phântích số liệu Người dùng có thể dễ dàng sử dụng SPSS để phân tích hồi quy, thống kêtần suất, xây dựng đồ thị…

5 Kết cấu khóa luận

Khóa luận bao gồm ba phần:

Chương 1: Cơ sở lý luận và lý thuyết về an toàn bảo mật thông tin trong hệ thốngthông tin

Chương 2: Kết quả phân tích, đánh giá thực trạng về an toàn bảo mật hệ thốngthông tin tại Công ty cổ phần đầu tư và phát triển đô thị Hùng Vương

Chương 3: Định hướng phát triển, đề xuất giải pháp nâng cao hiệu quả an toànbảo mật trong hệ thống thông tin tại Công ty cổ phần đầu tư và phát triển đô thị HùngVương.

CHƯƠNG 1 : CƠ SỞ LÝ LUẬN VỀ AN TOÀN BẢO MẬT THÔNG TIN

TRONG DOANH NGHIỆP

1.1 Cơ sở lý luận về an toàn bảo mật thông tin trong doanh nghiệp

1.1.1 Một số khái niệm cơ bản

Dữ liệu: Có rất nhiều những khái niệm cơ bản về thông tin hiện nay, tuy nhiên

phần lớn những khái niệm đều có chung một quan điểm đúng đắn về vấn đề, theo[2] thì dữ liệu là những ký tự, số liệu, các tập tin rời rạc hoặc các dữ liệu chung chung,

dữ liệu chưa mang cho con người sự hiểu biết mà phải thông qua quá trình xử lý dữliệu thành thông tin thì con người mới có thể hiểu được về đối tượng mà dữ liệu đangbiểu hiện

Thông tin theo nghĩa thông thường, thông tin là điều hiểu biết về một sự kiện,

một hiện tượng nào đó, thu nhận được qua khảo sát, đo lường, trao đổi, nghiên cứu.( trích dẫn từ [2])

Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối vớingười sử dụng Thông tin được coi như là một sản phẩm hoàn chỉnh thu được sauquá

trình xử lý dữ liệu

Hệ thống thông tin là một tập hợp và kết hợp của các phần cứng, phần mềm và

các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tạo, tái tạo, phânphối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổchức.( trích từ [2])

Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau.Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ,thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh.Vớibên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơnhoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển Hệ thống thôngtin quản lý (MIS) được trích từ [2] là khái niệm đầy đủ và ngắn gọn xúc tích nhất

Hệ thống thông tin quản lý được hiểu như là một hệ thống dùng để tiến hành

quản lý cùng với những thông tin được cung cấp thường xuyên Ngày nay, do côngnghệ máy tính đã tham gia vào tất cả các hoạt động quản lý nên nói đến MIS là nóiđến hệ thống thông tin quản lý được trợ giúp của máy tính Theo quan điểm của cácnhà công nghệ thông tin, MIS là một mạng lưới máy tính có tổ chức nhằm phối hợpviệc thu thập, xử lý và truyền thông tin MIS là tập hợp các phương tiện, các phươngpháp và các bộ phận có liên hệ chặt chẽ với nhau, nhằm đảm bảo cho việc thu thập,

Tính toàn vẹn Tính bảo mật

Tính sẵn sàng

lưu trữ, tìm kiếm xử lý và cung cấp những thông tin cần thiết cho quản lý

Đảm bảo an toàn thông tin là bảo vệ thông tin dữ liệu cá nhân, tổ chức nhằm

tránh khỏi sự ” đánh cắp, ăn cắp” bởi những kẻ xấu hoặc tin tặc An ninh thông tincũng như sự bảo mật an toàn thông tin nói chung Việc bảo mật tốt những dữ liệu vàthông tin sẽ tránh những rủi ro không đáng có cho chính cá nhân và doanh nghiệp

An toàn bảo mật thông tin là vấn đề cơ bản của một hệ thống thông tin (HTTT)quản lý, có rất nhiều sách báo, giáo trình đưa ra khái niệm này Tổng kết từ nhiều giáotrình trong nước về khái niệm này ta đi tới một khái niệm phổ thông nhất, được biênsoạn trong các giáo trình đại học như sau :

An toàn thông tin được viết như sau: an toàn khi thông tin đó không bị làm hỏng

hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.( trích dẫn từ [1])

Bảo mật thông tin theo [1] là duy trì tính bí mật, tính toàn vẹn và tính sẵn sàngcủa thông tin

Hình 1.1: Ba mục tiêu bảo mật thông tin (Nguồn:[1])

-Tính bảo mật (Confidentially): Tính bí mật của thông tin là tính giới hạn về đối

tượng được quyền truy xuất đến thông tin Đối tượng truy xuất có thể là con người, là

máy tính hoặc phần mềm, kể cả phần mềm phá hoại như virus, worm, spyware, …Đảm bảo chỉ có những cá nhân được cấp quyền mới được phép truy cập vào hệ thống.Đây là yêu cầu quan trọng của bảo mật thông tin bởi vì đối với các tổ chức doanhnghiệp thì thông tin là tài sản có giá trị hàng đầu, việc các cá nhân không được cấpquyền truy nhập trái phép vào hệ thống sẽ làm cho thông tin bị thất thoát đồng nghĩavới việc tài sản của công ty bị xâm hại, có thể dẫn đến phá sản

Sự bí mật của thông tin phải được xem xét dưới dạng 2 yếu tố tách rời: sự tồn tạicủa thông tin và nội dung của thông tin đó.

Đôi khi, tiết lộ sự tồn tại của thông tin có ý nghĩa cao hơn tiết lộ nội dung của nó

Ví dụ: chiến lược kinh doanh bí mật mang tính sống còn của một công ty đã bị tiết lộcho một công ty đối thủ khác Việc nhận thức được rằng có điều đó tồn tại sẽ quantrọng hơn nhiều so với việc biết cụ thể về nội dung thông tin, chẳng hạn như ai đã tiết

lộ, tiết lộ cho đối thủ nào và tiết lộ những thông tin gì,…

Cũng vì lý do này, trong một số hệ thống xác thực người dùng (userauthentication), ví dụ như đăng nhập vào hệ điều hành Netware hay đăng nhập vàohộp thư điện tử hoặc các dịch vụ khác trên mạng, khi người sử dụng cung cấp một tênngười dùng (user-name) sai, thay vì thông báo rằng user-name này không tồn tại, thìmột số hệ thống sẽ thông báo rằng mật khẩu (password) sai, một số hệ thống khác chỉthông báo chung chung là “Invalid username/password” (người dùng hoặc mật khẩukhông hợp lệ) Dụng ý đằng sau câu thông báo không rõ ràng này là việc từ chối xácnhận việc tồn tại hay không tồn tại một user-name như thế trong hệ thống Điều nàylàm tăng sự khó khăn cho những người muốn đăng nhập vào hệ thống một cách bấthợp pháp bằng cách thử ngẫu nhiên

- Tính toàn vẹn (Integrity): Đặc trưng này đảm bảo sự tồn tại nguyên vẹn của

thông tin, loại trừ mọi sự thay đổi thông tin có chủ đích hoặc hư hỏng, mất mát thông tin do sự cố thiết bị hoặc phần mềm Tính toàn vẹn của thông tin phải được đánh giá

trên hai mặt: toàn vẹn về nội dung và toàn vẹn về nguồn gốc Sự toàn vẹn về nguồngốc thông tin trong một số ngữ cảnh có ý nghĩa tương đương với sự đảm bảo tínhkhông thể chối cãi (non-repudiation) của hệ thống thông tin Các cơ chế đảm bảo sự

toàn vẹn của thông tin được chia thành 2 loại: các cơ chế ngăn chặn (Prevention mechanisms) và các cơ chế phát hiện (Detection mechanisms).

Cơ chế ngăn chặn có chức năng ngăn cản các hành vi trái phép làm thay đổi nội

dung và nguồn gốc của thông tin Các hành vi này bao gồm 2 nhóm: hành vi cố gắngthay đổi thông tin khi không được phép truy xuất đến thông tin và hành vi thay đổithông tin theo cách khác với cách đã được cho phép

Nhóm các cơ chế phát hiện chỉ thực hiện chức năng giám sát và thông báo khi

có các thay đổi diễn ra trên thông tin bằng cách phân tích các sự kiện diễn ra trên hệthống mà không thực hiện chức năng ngăn chặn các hành vi truy xuất trái phép đếnthông tin

- Tính sẵn sàng (Availabillity): một yêu cầu rất quan trọng của hệ thống, bởi vìmột hệ thống tồn tại nhưng không sẵn sàng cho sử dụng thì cũng giống như không tồn

tại một hệ thống thông tin nào Một hệ thống sẵn sàng là một hệ thống làm việc trôichảy và hiệu quả, có khả năng phục hồi nhanh chóng nếu có sự cố xảy ra.

Trong thực tế, tính khả dụng được xem là nền tảng của một hệ thống bảo mật,bởi vì khi hệ thống không sẵn sàng thì việc đảm bảo 2 đặc trưng còn lại (bí mật và toànvẹn) sẽ trở nên vô nghĩa

Các hình thức tấn công từ chối dịch vụ DoS (Denial of Service) và DDoS (Distributed Denial of Service) được đánh giá là các nguy cơ lớn nhất đối với sự an toàn của các hệ thống thông tin, gây ra những thiệt hại lớn và đặc biệt là chưa có giải pháp ngăn chặn hữu hiệu Các hình thức tấn công này đều nhắm vào tính khả dụng của hệ thống.

Từ đó, hiện nay các nhà nghiên cứu đang đưa ra các mô hình mới cho việc mô tảcác hệ thống an toàn Mô hình CIA không mô tả được đầy đủ các yêu cầu an toàn của

hệ thống mà cần phải định nghĩa lại một mô hình khác với các đặc tính của thông tincần được đảm bảo như:

1.1.2 Các nguy cơ và rủi ro đến an toàn bảo mật thông tin trong doanh nghiệp

Khi nói đến nguy cơ, nghĩa là sự kiện đó chưa xảy ra, nhưng có khả năng xảy ra

và có khả năng gây hại cho hệ thống Có những sự kiện có khả năng gây hại, nhưng

không có khả năng xảy ra đối với hệ thống thì không được xem là nguy cơ

Các nguy cơ có thể chia thành 4 nhóm:

-Tiết lộ thông tin / truy xuất thông tin trái phép

-Phát thông tin sai / chấp nhận thông tin sai

-Phá hoại / ngăn chặn hoạt động của hệ thống

-Chiếm quyền điều khiển từng phần hoặc toàn bộ hệ thống

Tuy nhiên mỗi nhóm lại chia thành nhiều nguy cơ khác nhau:

Nghe lén, hay đọc lén là một trong những phương thức truy xuất thông tin trái

phép Các hành vi thuộc phương thức này có thể đơn giản như việc nghe lén một cuộcđàm thoại, mở một tập tin trên máy của người khác, hoặc phức tạp hơn như xen vàomột kết nối mạng (wire-tapping) để ăn cắp dữ liệu, hoặc cài các chương trình ghi bànphím (key-logger) để ghi lại những thông tin quan trọng được nhập từ bàn phím

Nhóm nguy cơ phát thông tin sai / chấp nhận thông tin sai bao gồm những hành

vi tương tự như nhóm ở trên nhưng mang tính chủ động, tức là có thay đổi thông tingốc Nếu thông tin bị thay đổi là thông tin điều khiển hệ thống thì mức độ thiệt hại sẽnghiêm trọng hơn nhiều bởi vì khi đó, hành vi này không chỉ gây ra sai dữ liệu mà còn

có thể làm thay đổi các chính sách an toàn của hệ thống hoặc ngăn chặn hoạt độngbình thường của hệ thống

Giả danh (spoofing) cũng là một dạng hành vi thuộc nhóm nguy cơ phát thôngtin sai / chấp nhận thông tin sai Hành vi này thực hiện việc trao đổi thông tin với mộtđối tác bằng cách giả danh một thực thể khác

Nhóm nguy cơ phá hoại / ngăn chặn hoạt động của hệ thống bao gồm các hành

vi có mục đích ngăn chặn hoạt động bình thường của hệ thống bằng cách làm chậmhoặc gián đoạn dịch vụ của hệ thống Tấn công từ chối dịch vụ hoặc virus là nhữngnguy cơ thuộc nhóm này

Chiếm quyền điều khiển hệ thống gây ra nhiều mức độ thiệt hại khác nhau, từ

việc lấy cắp và thay đổi dữ liệu trên hệ thống, đến việc thay đổi các chính sách bảomật và vô hiệu hoá các cơ chế bảo mật đã được thiết lập

1.1.3 Mô hình an toàn bảo mật hệ thống thông tin

Mô hình đảm bảo an toàn trên máy đầu cuối:

Hình 1.2: Mô hình đảm bảo an toàn trên máy đầu cuối

(Nguồn: [3])

 Mức vật lý:

Chống nguy cơ mất mát dữ liệu qua đường vật lý Đánh giá độ chịu đựng của hệthống dữ liệu trước những sự cố bất ngờ Quản lý các truy nhập mức vật lý vào phầncứng lưu trữ Quản lý hoạt động của các thiết bị cần bảo vệ và thiết bị bảo vệ để đảmbảo sự hoạt động của dữ liệu một cách ổn đinh

 Mức mạng:

Sử dụng các thiết bị phần cứng chuyên dụng để ngăn chặn sự xâm nhập trái phép

từ Internet Dùng các cơ chế quản lý và phân quyền người sử dụng Sử dụng các giaothức bảo mật trên mạng Các phần mềm chống xâm nhập trái phép cũng như dò tìmVirus

 Mức hệ điều hành:

Mức điều hành có các chức năng như tạo và phân quyền người dùng Kiểm soátcác chương trình đang được thực thi trong máy Các file log dùng để theo dõi hoạtđộng của hệ thống Các chức năng bảo mật được tích hợp sẵn (trình diệt Virus, tườnglửa)

 Mức dữ liệu:

Chức năng nổi bật ở mức dữ liệu này là mã hóa dữ liệu: dữ liệu sẽ được lưu trữdưới dạng bản mã Cùng với đó phân quyền người dùng: phân ra nhiều mức người sửdụng khác nhau Thiết lập các cơ chế sao lưu dữ liệu: thiết lập cơ chế backup, lưu trênnhiều Server Sử dụng các chương trình bảo mật thư mục và file: dùng NTFS, hệ điềuhành LINUX,

Mô hình an toàn trong truyền dữ liệu:

MỨC HỆ ĐIỀU HÀNH MỨC DỮ LiỆU

TÀI NGUYÊN

MỨC MẠNG MỨC VẬT LÝ

Hình 1.3: Mô hình an toàn trong truyền dữ liệu

Con người: Là yếu tố quyết định sự thành công trong tiến trình kiến tạo hệ thống

và tính hữu hiệu của hệ thống trong tiến trình khai thác vận hành

Con người là chủ thể trong việc thực hiện các quá trình của hệ thống thông tin.Mỗi người có vị trí nhất định trong hệ thống tuỳ thuộc chuyên môn, nghề nghiệp, nănglực sở trường và yêu cầu công việc của hệ thống Con người có thể hoạt động độc lậphoặc trong một nhóm, thực hiện những chức năng, nhiệm vụ, mục tiêu nhất định của

hệ thống

Người quản lý HTTT đóng một vai trò quan trọng về phương diện công nghệtrong các tổ chức Người quản lý HTTT đảm nhiệm hầu hết mọi công việc từ việc lậpnên những kế hoạch cho đến việc giám sát an ninh của hệ thống và điều khiển sự vậnhành của mạng lưới thông tin quản lý

Những người quản lý HTTT máy tính lên kế hoạch, phối hợp, chỉ đạo việcnghiên cứu và thiết kế các chương trình cần đến máy vi tính của các công ty Họ giúpxác định được cả mục tiêu kinh doanh và kỹ thuật bằng sự quản lý hàng đầu đồng thờivạch ra những kế hoạch chi tiết cụ thể để đạt được những mục tiêu đó Ví dụ khi làm

việc với đội ngũ nhân viên của mình, máy tính và các nhà quản lý HTTT có thể pháttriển những ý tưởng của các sản phẩm và dịch vụ mới hoặc có thể xác định được khảnăng tin học của tổ chức đó có thể hổ trợ cho việc quản lý dự án một cách hiệu quảnhư thế nào.

Những người quản lý HTTT máy tính phân công công việc cho những ngườiphân tích hệ thống, các lập trình viên, các chuyên gia hỗ trợ và những nhân viên khác

có liên quan Nhà quản lý vạch ra kế hoạch và sắp xếp các hoạt động như cài đặt vànâng cấp phần mềm, phần cứng, các thiết kế hệ thống và chương trình, sự phát triểnmạng máy tính, sự thực thi của các địa chỉ mạng liên thông và mạng nội bộ Họ đặcbiệt ngày càng quan tâm đến sự bảo quản, bảo dưỡng, duy trì và an ninh của HTTT.Việc đảm bảo khả năng hữu dụng, tính liên tục, tính an ninh của dịch vụ côngnghệ thông tin và hệ thống dữ liệu là nhiệm vụ quan trọng của các nhà quản trị

Công nghệ thông tin (CNTT): Là yếu tố tạo nên nền móng cho các hoạt động

sản xuất kinh doanh cũng như các hoạt động hỗ trợ kinh doanh của doanh nghiệp.Công nghệ thông tin (CNTT) đang có khuynh hướng mở rộng không gian chohoạt động sản xuất kinh doanh của các doanh nghiệp, vì thế ứng dụng CNTT đang tạo

ra những cơ hội mới và các thách thức mới cho doanh nghiệp CNTT cũng là nhân tốquan trọng phổ biến nhất, có sức lan tỏa mạnh nhất giúp các doanh nghiệp Việt Namnhanh chóng hòa nhập vào nền kinh tế toàn cầu

 Những sản phẩm phần cứng như: Firewall phần cứng, máy tính, các thiết bịthu thập, xử lý và lưu trữ thông tin…

 Những sản phẩm phần mềm như: Firewall phần mềm, phần mềm phòngchống virus, những ứng dụng, hệ điều hành, giải pháp mã hóa…

1.1.5 Vai trò của an toàn bảo mật thông tin trong doanh nghiệp

An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vữngcủa các doanh nghiệp Thông tin là tài sản vô giá của các doanh nghiệp

Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên rõ ràng,minh bạch hơn Một môi trường thông tin an toàn, trong sạch sẽ có tác động khôngnhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nâng cao uytín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trường thông tinlành mạnh Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức

Rủi ro về thông tin của mỗi doanh nghiệp có thể gây thất thoát tiền bạc, tài sản,con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp Rủi

ro thông tin doanh nghiệp ảnh hưởng uy tín và sự phát triển của doanh nghiệp nhưnglại là vấn đề rất khó tránh khỏi

Các Doanh nghiệp cần phải triển khai các giải pháp về bảo mật và dịch vụ anninh mạng từ các nhà cung cấp khác nhau, chủ động triển khai chiến lược và giải pháp

để có thể bảo vệ được hệ thống an toàn thông tin của mình trước những nguy cơ tấncông từ kẻ xấu Những công nghệ bảo mật được sử dụng như: Phần mềm diệt virus,tường lửa, cảnh báo xâm nhập… Tuy nhiên, vấn đề bảo mật vẫn chưa thực sự đượcgiải quyết nếu chỉ dùng những công nghệ trên bởi rất nhiều lý do:

- Hệ thống mạng là liên tục thay đổi và được thực hiện với bảo mật với nhữngcông cụ bảo mật độc lập khác nhau nên rất khó sử dụng

- Để đảm bảo rà soát hết lỗ hổng đang tồn tại trong hệ thống cần phải đòi hỏiphân tích dữ liệu được tạo ra bởi những công nghệ cao

- Hệ thống dữ liệu là lớn mà quản lý thủ công không thể xử lý được

- Thiếu hụt về nhân lực, chuyên gia đảm nhiệm mảng an ninh mạng cũng là khókhăn mà nhiều Doanh nghiệp đang gặp phải

- Đầu tư trang thiết bị cho bảo mật thông tin còn hạn chế, ngân sách dành cho

an ninh mạng rất ít và nhiều công ty là không có

Do vậy, đảm bảo an toàn thông tin (ATTT) doanh nghiệp cũng có thể coi là mộthoạt động quan trọng trong sự nghiệp phát triển của doanh nghiệp

1.2 Một số lý thuyết về an toàn bảo mật trong hệ thống thông tin

1.2.1 Các hình thức xâm nhập vào hệ thống thông tin

Mục tiêu của xâm nhập là tác động vào 3 thuộc tính CIA của hệ thống

Một cách tổng quát, sự an toàn của một hệ thống thông tin có thể bị xâm phạmbằng những cách sau đây:

-Interruption: làm gián đoạn hoạt động của hệ thống thông tin, ví dụ như phá hoạiphần cứng, ngắt kết nối, phá hoại phần mềm, …Hình thức xâm nhập này tác động vàođặc tính sẵn sàng của thông tin

-Interception: truy xuất trái phép vào hệ thống thông tin Tác nhân của các hành

vi xâm nhập kiểu Interception có thể là một người, một phần mềm hay một máy tínhlàm việc bằng cách quan sát dòng thông tin (monitor) nhưng không làm thay đổi thôngtin gốc Hình thức xâm nhâp này tác động vào đặc tính Bí mật của thông tin

-Modification: truy xuất trái phép vào hệ thống thông tin, đồng thời làm thay đổinội dung thông tin, ví dụ xâm nhập vào máy tính và làm thay đổi nội dung một tập tin,thay đổi một chương trình làm cho chương trình làm việc sai, thay đổi nội dung mộtthông báo đang gửi đi trên mạng, v.v… Hình thức xâm nhập này tác động vào tínhToàn vẹn của thông tin

Ngoài ra, một hình thức xâm nhập thứ tư là hình thức xâm nhập bằng thông tingiả danh (Farbrication), ví dụ, giả danh một người nào đó để gửi mail đến một ngườikhác, giả mạo địa chỉ IP của một máy nào đó để kết nối với một máy khác, …Hìnhthức xâm nhập này làm thay đổi nguồn gốc thông tin, cũng là tác động vào đặc tínhToàn vẹn của thông tin.

Trong thực tế, việc xâm nhập hệ thống được thực hiện bởi rất nhiều phương thức,công cụ và kỹ thuật khác nhau, thêm vào đó, việc phát hiện ra các phương thức xâmnhập mới là việc xảy ra rất thường xuyên, nên vấn đề nhận dạng và phân loại các xâmnhập một cách có hệ thống là khó khăn và không chính xác Có thể phân loại xâmnhập theo các tiêu chí sau đây:

-Phân loại theo mục tiêu xâm nhập (xâm nhập mạng, xâm nhập ứng dụng, xâmnhập hỗn hợp)

-Phân loại theo tính chất xâm nhập (xâm nhập chủ động, xâm nhập thụ động)-Phân loại theo kỹ thuật xâm nhập (dò mật khẩu, phần mềm khai thác, …)

1.2.2 Các phương thức tấn công vào hệ thống thông tin

- Tấn công từ chối dịch vụ DoS (Denial of Service): Dạng tấn công này không

xâm nhập vào hệ thống để lấy cắp hay thay đổi thông tin mà chỉ nhằm vào mục đíchngăn chặn hoạt động bình thường của hệ thống, đặc biệt đối với các hệ thống phục vụtrên mạng công cộng như Web server, Mail server, …

Các tấn công từ chối dịch vụ thường rất dễ nhận ra do tác động cụ thể của nó đốivới hệ thống Mục tiêu tấn công của từ chối dịch vụ có thể là một máy chủ hoặc mộtmạng con (bao gồm cả thiết bị mạng như router và kết nối mạng)

Cơ sở của tấn công từ chối dịch vụ là các sơ hở về bảo mật trong cấu hình hệthống (cấu hình firewall), sơ hở trong giao thức kết nối mạng (TCP/IP) và các lỗ hổngbảo mật của phần mềm, hoặc đơn giản là sự hạn chế của tài nguyên như băng thôngkết nối (connection bandwidth), năng lực của máy chủ (CPU, RAM, đĩa cứng, …).Tấn công từ chối dịch vụ thường được thực hiện thông qua mạng Intrenet, nhưng cũng

có thể xuất phát từ trong nội bộ hệ thống dưới dạng tác động của các phần mềm độcnhư worm hoặc trojan

Tấn công từ chối dịch vụ thường không gây tiết lộ thông tin hay mất mát dữ liệu

mà chỉ nhắm vào tính khả dụng của hệ thống Tuy nhiên, do tính phổ biến của từ chốidịch vụ và đặc biệt là hiện nay chưa có một giải pháp hữu hiệu cho việc ngăn chặn cáctấn công loại này nên từ chối dịch vụ được xem là một nguy cơ rất lớn đối với sự antoàn của các hệ thống thông tin

-Tấn công từ chối dịch vụ phân tán (Distributed DoS hay DDoS): Là phương

thức tấn công dựa trên nguyên tắc của từ chối dịch vụ nhưng có mức độ nguy hiểm caohơn do huy động cùng lúc nhiều máy tính cùng tấn công vào một hệ thống duy nhất.Tấn công từ chối dịch vụ phân tán được thực hiện qua 2 giai đoạn:

1-Kẻ tấn công huy động nhiều máy tính trên mạng tham gia từ chối dịch vụ phântán bằng cách cài đặt các phần mềm điều khiển từ xa trên các máy tính này

Các máy tính đã được cài đặt phần mềm điều khiển này được gọi là các zoombie

Để thực hiện bước này, kẻ tấn công dò tìm trên mạng những máy có nhiều sơ hở để tấncông và cài đặt các phần mềm điều khiển từ xa lên đó mà người quản lý không haybiết Những phần mềm này được gọi chung là backdoor

2-Kẻ tấn công điều khiển các zoombie đồng loạt thực hiện tấn công vào mục tiêu

Mô hình một chuỗi tấn công từ chối dịch vụ phân tán điển hình được mô tả ởhình 1.4

Các thành phần tham gia trong chối dịch vụ phân tán bao gồm:

-Client: phần mềm điều khiển từ xa được kẻ tấn công sử dụng để điều khiển cácmáy khác tham gia tấn công Máy tính chạy phần mềm này được gọi là master

-Deamon: phần mềm chạy trên các zoombie, thực hiện yêu cầu của master và lànơi trực tiếp thực hiện tấn công chối dịch vụ (DoS) đến máy nạn nhân

Hình 1.4 Tấn công từ chối dịch vụ phân tán (DDoS)

-Tấn công giả danh (Spoofing attack): Đây là dạng tấn công bằng cách giả danh

một đối tượng khác (một người sử dụng, một máy tính với một địa chỉ IP xác địnhhoặc một phần mềm nào đó) để thực hiện một hành vi

Tấn công giả danh đã phát triển thêm một hướng mới dựa trên sự phổ biến củamạng Internet, đó là Phishing Phishing hoạt động bằng cách giả danh các địa chỉ e-mail hoặc địa chỉ trang web để đánh lừa người sử dụng.

-Tấn công phát lại (Replay attack): Trong phương thức tấn công này, các gói dữ

liệu lưu thông trên mạng được chặn bắt và sau đó phát lại (replay) Trong môi trườngmạng, thông tin xác thực giữa người dùng và máy chủ được truyền đi trên mạng Đây

là nguồn thông tin thường bị tấn công nhất Nếu khi phát lại, máy chủ chấp nhận thôngtin này thì máy tấn công có khả năng truy xuất vào máy chủ với quyền của người dùngtrước đó

-Nghe lén (Sniffing attack): Đây là hình thức lấy cắp dữ liệu bằng cách đọc lén

trên mạng Hầu hết các card mạng đều có khả năng chặn bắt (capture) tất cả các gói dữliệu lưu thông trên mạng, mặc dù gói dữ liệu đó không được gửi đến cho mình Nhữngcard mạng có khả năng như thế được gọi là đang ở chế độ promiscuous

Có rất nhiều phần mềm cho phép thực hiện chặn bắt dữ liệu từ một máy đang kếtnối vào mạng, ví dụ Ethereal, Common view hoặc Network monitor có sẵn trênWindows server (2000 hoặc 2003 server) Bằng việc đọc và phân tích các gói dữ liệubắt được, kẻ tấn công có thể tìm thấy nhiều thông tin quan trọng để tiến hành các hìnhthức tấn công khác

-Tấn công mật khẩu (Password attack): Là hình thức truy xuất trái phép vào hệ

thống bằng cách dò mật khẩu Có hai kỹ thuật dò mật khẩu phổ biến:

Dò tuần tự (Brute force attack): Dò mật khẩu bằng cách thử lần lượt các tổ hợp

ký tự, thông thường việc này được thực hiện tự động bằng phần mềm Mật khẩu càngdài thì số lần thử càng lớn và do đó khó bị phát hiện hơn Một số hệ thống quy địnhchiều dài tối thiểu của mật khẩu Ngoài ra để ngăn chặn việc thử mật khẩu nhiều lần,một số hệ thống ngắt kết nối nếu liên tiếp nhận được mật khẩu sai sau một số lần nàođó

Dò theo tự điển (Dictionary attack): thử lần lượt các mật khẩu mà người sử dụng

thường dùng Để cho dơn giản, người sử dụng thường có thói quen nguy hiểm là dùngnhững thông tin dễ nhớ để làm mật khẩu, ví dụ như tên mình, ngày sinh, số điện thoại,

…Một số hệ thống hạn chế nguy cơ này bằng cách định ra các chính sách về mật khẩu(password policy), quy định độ khó tối thiểu của mật khẩu, ví dụ mật khẩu phải khácvới những thông tin liên quan đến cá nhân người sử dụng, phải bao gồm cả chữ hoa vàchữ thường, chữ cái và các mẫu tự khác chữ cái,…

-Tấn công khai thác phần mềm (Software exploitation): Đây là tên gọi chung

của tất cả các hình thức tấn công nhắm vào một chương trình ứng dụng hoặc một dịch

vụ nào đó ở lớp ứng dụng Bằng cách khai thác các sơ hở và các lỗi kỹ thuật trên các

phần mềm và dịch vụ này, kẻ tấn công có thể xâm nhập hệ thống hoặc làm gián đoạnhoạt động bình thường của hệ thống.

Tấn công tràn bộ đệm (buffer overflow attack): là phương thức tấn công vào cáclỗi lập trình của số phần mềm Lỗi này có thể do lập trình viên, do bản chất của ngônngữ hoặc do trình biên dịch Ngôn ngữ C là ngôn ngữ có nhiều khả năng gây ra các lỗitràn bộ đệm nhất, và không may, đây là ngôn ngữ vốn được dùng rộng rãi nhất trongcác hệ điều hành

Ngoài tấn công tràn bộ đệm, các phương thức tấn công khác nhắm vào việc khaithác các sơ hở của phần mềm và dịch vụ bao gồm: khai thác cơ sở dữ liệu (databaseexploitation), khai thác ứng dụng (application exploitation) ví dụ như các loại macrovirus, khai thác các phần mềm gửi thư điện tử (e-mail exploitation), …

1.2.3 Những công nghệ và kỹ thuật hỗ trợ an toàn bảo mật hiện nay

Dưới dây là một số những công nghệ và kỹ thuật hỗ trợ an toàn bảo mật (ATBM)được tổng hợp theo nguồn trích dẫn [3]

Bảng 1.1: Bảng những công nghệ và kỹ thuật hỗ trợ an toàn bảo mật

Giao thức SSL

Giao thức SSL hoạt động bên trên TCP/IP và bên dưới các giao thứcứng dụng tầng cao hơn như là HTTP (Hyper Text Transport Protocol),IMAP (Internet Messaging Access Protocol) và FTP (File TransportProtocol)

Secure

Electronic

Transaction

(SET)

Được thiết kể để bảo vệ các thông tin quan trọng trao đổi trên mạng (ví

dụ số thẻ tín dụng) dùng trong các giao dịch thanh tóan qua mạngInternet

Xác thực server

Cho phép người sử dụng xác thực được server muốn kết nối Lúc này,phía browser sử dụng các kỹ thuật mã hoá công khai để chắc chắn rằngcertificate và public ID của server là có giá trị và được cấp phát bởimột CA (certificate authority) trong danh sách các CA đáng tin cậycủa client Điều này rất quan trọng đối với người dùng

Xác thực Client

Cho phép phía server xác thực được người sử dụng muốn kết nối Phíaserver cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra xemcertificate và public ID của server có giá trị hay không và được cấpphát bởi một CA (certificate authority) trong danh sách các CA đángtin cậy của server không Điều này rất quan trọng đối với các nhà cungcấp

1.2.4 Những công cụ và phần mềm đảm bảo an toàn bảo mật

Bảng 1.2: Bảng những công cụ và phần mềm đảm bảo an toàn bảo mật

Phần mềm mã

hóa

Mã hóa dữ liệu là một trong những cách cơ bản nhất mà người dùngthường sử dụng để bảo vệ thông tin trên máy tính Người sử dụng cầntiến hành mã hóa các thông tin, dữ liệu quan trọng mà mình khôngmuốn bất kỳ người dùng nào khác có thể đọc được

Phần mềm bảo mật

Hiện nay, trên thị trường công nghệ Việt Nam thì có rất nhiều phần mềm bảomật, trong khóa luận em xin đưa ra một số phần mềm đang được sử dụng hiện nay

a Kaspersky Small Office Security

Kaspersky đang được sử dụng phổ biến cho các doanh nghiệp Với Kaspersky,

có thể sử dụng trọn bộ sản phẩm Kaspersky® Small Office Security (5PC +1Fileserver)

cho Server và các máy lưu trữ dữ liệu chính ở mỗi phòng ban Các máy còn lại nên sửdụng Kaspersky Anti-Virus

Kaspersky® Small Office Security có một số tính năng đặc biệt như:

- Bảo vệ thời gian thực khỏi các mối đe dọa từ Internet

Với cơ sở dữ liệu phần mềm độc hại mạnh mẽ của Kaspersky Lab, được cập nhậtthường xuyên và khả năng bảo vệ thời gian thực, điều này có giá trị rất lớn trong việcbảo vệ an toàn dữ liệu cho doanh nghiệp ngay cả khi xuất hiện các mối đe dọa mớinhất Có thể ẩn các quá trình quét để không làm phiền nhân viên trong quá trình làmviệc, giúp họ tập trung vào công việc và đạt hiệu quả tốt nhất

- Quản lý bảo mật tập trung cho máy chủ và máy trạm của bạn

Giao diện mạnh mẽ nhưng đơn giản của Kaspersky Small Office Security giúpbảo vệ hệ thống mạng doanh nghiệp một cách đơn giản Có thể quản lý và thiết lập bảo

vệ toàn bộ hệ thống từ một máy tính, cho phép thực hiện quét virus và sao lưu, hoặckiểm tra gia hạn bản quyền khi cần

- Kiểm soát truy cập web và các ứng dụng

Kaspersky Small Office Security giúp duy trì hiệu suất làm việc của nhân viên.Công ty có thể kiểm soát những người sử dụng mạng xã hội hoặc các trang web chơigame trong giờ làm việc, hạn chế tải tập tin, quản lý Internet và truy cập ứng dụng củanhân viên Báo cáo chi tiết việc sử dụng mạng máy tính nhanh chóng và dễ dàng

- Bảo vệ thời gian thực cho các hoạt động kinh doanh

Kaspersky Small Office Security là một giải pháp bảo vệ đủ mạnh để đáp ứngnhu cầu bảo mật cho hoạt động kinh doanh của công ty Có thể chọn khi nào và baolâu thì công ty nên sao chép dự phòng các dữ liệu có giá trị, các thông tin nhạy cảmđược lưu trữ và chuyển giao an toàn trong các tập tin mã hóa, mật khẩu bảo vệ, chạytiện ích quản lý các mật khẩu được tạo ra Và sử dụng các công nghệ tiên tiến để các

dữ liệu nhạy cảm không thể phục hồi lại khi được xóa

- Không yều cầu phải có chuyên môn về IT

Kaspersky Small Office Security đã được thiết kế đặc biệt để cung cấp tính năngbảo vệ hàng đầu thế giới cho mạng doanh nghiệp mà không cần đến một chuyên viênIT

Kaspersky Anti-Virus cung cấp sự bảo vệ tự động trong thời gian thực giúp máytính chống lại hàng lọat các mối đe dọa tiềm tàng trong thế giới số:

- Bảo vệ trong thời gian thực giúp máy tính chống lại các virus và phần mềmgián điệp

- Quét email và website phát hiện mã độc

- Bảo vệ thông tin tài khỏan của bạn mọi nơi mọi lúc

- Quét tìm lỗ hổng bảo mật và cố vấn cách khắc phục

b Phần mềm bảo mật hệ thống Kerio Control

Kerio Control là một phần mềm hiện đại có khả năng bảo mật cho tường lửa,ngăn chặn sự thâm nhập của virus, phần mềm chứa mã độc, phát hiện và chống IPS

- Đối với tường lửa phần mềm này có thể ngăn chặn sự thâm nhập trái phépcủa những virus, và mã độc từ bên ngoài tấn công vào trong hệ thống máy tính và hệthống server của doanh nghiệp Kerio Control có thể quản trị người dùng, xác định rõngười dùng đó là ai thông qua Domain Controller Điều này giúp đảm bảo kiểm soátđược lưu lượng truy cập website, dễ dàng quản lý và kiểm soát được hành vi, sự hoạtđộng của từng cá nhân trên website

- Đối với hệ thống VPN phần mềm Kerio Control còn có tính năng giúp tăng

sự truyền dẫn VPN với các site khác nhau, đảm bảo sự lưu thông đa nền tảng đối vớicác hệ điều hành Ưu điểm của Kerio Control trong hệ thống VPN là giúp tăng tốc độtruy cập và đảm bảo sự an toàn cho người dùng trong cùng 1 hệ thống

- Đối với hệ thống an ninh mạng phần mềm này sẽ giúp bảo vệ người dùng và

cả hệ thống không bị nhiễm virus, phần mềm gián điệp hay mã độc Tuy nhiên, vớinhững hacker giỏi dù bạn đã tăng cường bảo mật bằng phần mềm hay công cụ thì cũngkhông có tác dụng

Một số tính năng khác của phần mềm bảo mật hệ thống Kerio Control:

- Quản trị sự lưu thông mạng nhằm xác định những hành vi thâm nhập khảnghi

- Lọc nội dung theo thời gian, danh mục truy cập, bộ lọc từ ngữ, tập tin… màngười dùng truy cập

- Xác thực proxy cho máy chủ đầu cuối và xác thực Kerberos và NTLM

c Phần mềm bảo mật máy tính Avast Internet Security

Avast Internet Security có tất cả tính năng của một chương trình diệt virus, cộngvới chế độ quét thông minh, tường lửa, bộ lọc thư rác và nhiều tính năng khác sẽ giúpngười dùng bảo vệ an toàn cho hệ thống máy tính của mình

Avast Internet Security có thể ngăn chặn người khác trộm cắp những dữ liệu cánhân, xâm phạm vào sự riêng tư, ngăn chặn email lừa đảo, ngăn chặn virus và nhữngphần mềm gián điệp Avast Internet Security là một giải pháp toàn diện, bao gồm tất

cả các tính năng của Avast Pro Antivirus

Các tính năng chính của Avast Internet Security :

- Chống virus để tự bảo vệ mình

- Bảo vệ danh tính của bạn

- Thoải mái mua sắm và giao dịch ngân hàng trực tuyến mà không cần lo lắng

- Lướt web và mạng xã hội không cần lo lắng

- Bảo vệ bạn trong thời gian thực

- Quản lý Avast trên tất cả các thiết bị của mình

1.2.5 Những xu hướng bảo đảm an toàn bảo mật

Thông tin và HTTT là những nhân tố ngày càng được coi trọng và có giá trị sốngcòn đối với tổ chức doanh nghiệp Vì thế, các công ty đã và đang đầu tư lớn vào việcbảo vệ các thông tin có giá trị Các nhà quản trị của các doanh nghiệp đang dần ý thứchơn tới việc đảm bảo an toàn bảo mật hệ thống thông tin (ATBM HTTT) của doanhnghiệp mình

 Nâng cao nhận thức về ATBM thông tin cho doanh nghiệp

 Ban hành các chính sách ATBM

 Tổ chức thực hiện & kiểm tra, kiểm soát

Trong thực trạng về có những tiến bộ cao cấp trong các công nghệ về bảo mậtngày nay thì chúng ta ngày càng có được những hình thức bảo mật tuyệt vời đem đếncho chúng ta nhiều yếu tố thực sự an toàn và tin cậy hơn khi chúng ta bắt đầu thựchiện chuyên nghiệp hóa các mô hình, thức thức đầu tư và kinh doanh theo các hìnhthức mới tốt nhất mang về cho chúng ta thêm các vấn đề để giải quyết một cáchchuyên nghiệp hơn.

Ngày nay ngoài phần mềm bảo mật chúng ta còn có rất nhiều hình thức bảo mậtthực sự tốt giúp cho chúng ta có thể có được những hình thức tốt nhất, giúp cho chúng

ta có thể áp dụng một cách tối ưu nhất và trắc sinh học chính là một trong những hìnhthức bảo mật khá nổi trội và có những điểm tối ưu nhất giúp cho chúng ta có thể từ đócải thiện được tình hình về bảo mật

Bảo mật trắc sinh học ngày nay thường có hai loại chính được áp dụng khá nhiềuthứ nhất chính là bảo mật vân tay, bảo mật vân tay được áp dụng rất nhiều cho các loạiđiện thoại thông minh ngày nay và cả các loại dụng cụ, thiết bị bảo mật nhiều lớp chocác hệ thống máy chủ để phân quyền và chính vì thế nó đã mặc định trở thành mộtcông cụ, hình thức bảo mật trắc sinh học được sử dụng nhiều nhất hiện nay để giúpcho chúng ta có thể dễ dàng hoạt động một cách tốt nhất cho những hệ thống và phầnmềm của mình

Và loại thông dụng thứ hai chính là kiểu trắc sinh học dạng võng mạc, loại nàycũng khá chính xác và an toàn nhưng chi phí cho các loại máy quét võng mạc khá đắttiền vì vậy chúng chỉ được áp dụng tại các hệ thống chất lượng nhất như bảo mật vềkét tiền ngân hàng, hầm ngầm tuy nhiên chúng cũng tỏ ra được chất lượng khá tối ưu

về bảo mật

Không chỉ có các loại này mà các loại bảo mật như địa điểm, giọng nói cũng làmột trong giúp cho những hình thức tốt nhất chúng ta có thể tạo ra được những hiệuquả thật cao cho chúng ta khi mà các loại hình thức về bảo mật ngày nay luôn mangcho chúng ta rất nhiều yếu tố cực kỳ cần thiết

1.3 Tổng quan tình hình nghiên cứu liên quan đến đề tài

An toàn và bảo mật hệ thống thông tin không còn là vấn đề xa lạ đối với thời đạicông nghệ số hiện nay Ở Việt Nam những năm gần đây không ngừng gia tăng sốlượng người sử dụng Internet và chính vì đó là nguy cơ mất an toàn bảo mật càng lớn

Vì vậy các doanh nghiệp trong nước đang cố gắng đầu tư hoàn thiện lại HTTTquản lý an toàn bảo mật hơn Đã có rất nhiều sách báo, công trình nghiên cứu về vấn

đề này được thực hiện, tuy nhiên mỗi công trình nghiên cứu đề cập đến một khía cạnhcủa vấn đề an toàn bảo mật mà chưa thực rõ ràng cho một doanh nghiệp cụ thể

1.3.1 Tổng quan tình hình nghiên cứu tại Việt Nam

Tài li ệu có các công trình như:

- Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê.

Giáo trình này đưa ra các vấn đề cơ bản về an toàn dữ liệu trong thương mại điện

tử bao gồm đại cương về an toàn dữ liệu trong thương mại điện tử, mô hình đảm bảo

an toàn dữ liệu Đưa ra các hình thức tấn công, cùng với các biện pháp phòng tránh khi

sự cố chưa xảy ra và cách khắc phục khi đã xảy ra sự cố Tài liệu cũng trình bày vềvấn đề mã hóa dữ liệu và ứng dụng của an toàn dữ liệu trong thương mại điện tử, cácgiải pháp đảm bảo an toàn dữ liệu trong thương mại điện tử

Điểm nổi bật của tài liệu là trình bày từ lý thuyết chung cơ bản tới những nhậnxét đánh giá khách quan có tính chuyên sâu về vấn đề Đầu tiên đưa ra các kháiniệm căn bản như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT, cũng nhưnhững nguy cơ mất mát dữ liệu, các hình thức tấn công trong TMĐT Từ đó giúpnhững người kinh doanh trong thương mại điện tử có cái nhìn tổng thể về hoạt độngkinh doanh của mình Giáo trình cũng đào sâu nghiên cứu về các kiểu tấn công phổbiến và cách khắc phục sự cố, phương pháp mã hóa dữ liệu, ứng dụng chữ ký điện tử

và các biện pháp đảm bảo an toàn dữ liệu, giúp các nhà kinh doanh có cái nhìn toàndiện và vận dụng thuận lợi hơn vào doanh nghiệp của mình

Tuy nhiên đây là giáo trình nghiên cứu một vấn đề cụ thể của an toàn bảo mậttrong lĩnh vực thương mại điện tử, không đi sâu nghiên cứu khía cạnh an toàn bảo mậtriêng cho một hệ thống thông tin doanh nghiệp

- TS Nguyễn Văn Khanh, 2014, Giáo trình cơ sở an toàn thông tin, NXB Bách Khoa - Hà Nội

Giáo trình cung cấp một cách tiếp cận tổng thể các khái niệm cơ bản về các vấn

đề xung quanh bảo vệ hệ thống tin học, đồng thời giới thiệu các kiến thức về lĩnhvực an toàn và bảo mật máy tính ở mức độ tiệm cận và chuyên sâu bao gồm giới thiệutổng quan về an toàn thông tin, đưa ra cơ sở lý thuyết mật mã và ứng dụng, hệ thốngmật mã khóa công khai, chữ ký điện tử, hàm băm, quản lý khóa, xác thực, điều khiểntruy cập Giáo trình cũng đi sâu phân tích về an toàn trên internet, mã độc, an toànphần mềm, các giao thức mật mã và ứng dụng của nó Qua đó, người đọc có thể hìnhdung cụ thể về các chủ đề nghiên cứu chính của vấn đề này

Thành công của tài liệu là tác giả đã tập trung diễn giải cặn kẽ các kiến thức cănbản và then chốt với mức ưu tiên cao hơn với các kỹ thuật chuyên sâu hơn Giáo trình

trình bày kỹ lưỡng các kiến thức cơ bản của lý thuyết mật mã, một lĩnh vực tương đốikhó với sinh viên ngành công nghệ thông tin (CNTT).

Tồn tại: Giáo trình tuy trình bày rất cụ thể về các vấn đề của an toàn và bảo mật

hệ thống thông tin nhưng không tập trung vào đảm bảo an toàn bảo mật cho bất kỳ mộtdoanh nghiệp hay trường hợp cụ thể nào Vì vậy sẽ rất khó cho người dùng để xâydựng được 1 cách toàn diện các giải pháp đảm bảo an toàn bảo mật chặt chẽ cho doanhnghiệp của mình

- Nguyễn Minh Hiển, 2011 , Luận văn thạc sĩ với đề tài: “Nghiên cứu một số phương pháp đảm bảo an toàn hệ thống thông tin bằng kiểm soát truy nhập” Học viện Công nghệ bưu chính viễn thông.

Luận văn đưa ra được cơ sở lý thuyết của an toàn thông tin, những lý thuyết toánhọc cơ bản mà bất kỳ bài toán nào cũng cần đề cập tới như khái niệm vê hàm băm, mãhóa, chữ ký số… Ngoài ra luận văn còn đề cập tới một số phương pháp kiểm soát truynhập hệ thống thông tin và thử nghiệm chữ ký số RSA để kiểm soát truy nhập hệthống thông tin

Tuy nhiên, muốn một hệ thống được an toàn không chỉ có một vấn đề là kiểmsoát truy nhập mà còn liên quan tới hệ thống mạng… phần mềm, phần cứng, cũng nhưyếu tố tác động là con người Vì vậy tài liệu chỉ đóng góp một khía cạnh nhỏ về antoàn bảo mật hệ thống thông tin

Trên đây là một số tài liệu nghiên cứu về an ninh thông tin trên thế giới và trongnước Các tài liệu trên xuất phát từ các cá nhân, tổ chức từ các nước khác nhau nhưngđều hướng tới mục tiêu chung là xây dựng một HTTT an toàn

Về mặt lý thuyết, ở Việt Nam đã kế thừa những thành tựu công trình trên thếgiới Từ những thành công của những công trình nghiên cứu trên thế giới những nhànghiên cứu ở Việt Nam cũng vận dụng áp dụng những lý thuyết, mô hình có sẵn đểtiếp tục đưa ra những lý luận của mình về những vấn đề xoay quanh ATBM

Về mặt triển khai, hầu hết doanh nghiệp đã bắt đầu xây dựng và triển khaiATBM Tuy nhiên ATBM còn về các giải pháp nâng cao an toàn bảo mật HTTT cònnhiều khó khăn, đặc biệt là qua kết quả khảo sát tại Công ty cổ phần đầu tư và pháttriển đô thị Hùng Vương thì vấn đề này chưa được quan tâm nhiều và còn nhiềukhoảng trống Do đó việc đề ra giải pháp cho vấn đề này là ý nghĩa khoa học về mặt lýluận và thực tiễn

1.3.2 Tổng quan tình hình nghiên cứu trên thế giới

Đây là cuốn sách đưa ra được nhiều vấn đề cơ bản của một hệ thống mạng, vấn

đề an toàn bảo mật được nói rõ ràng Trình bày những phương pháp, cách thức chungcủa một hệ thống từ cơ bản tới mở rộng, nâng cao Cuốn sách được ứng dụng hầu hếttrong các giáo trình, bài giảng của các trường đại học đến những công trình nghiên cứutầm cỡ, và ngày càng phổ biến Tuy nhiên, nội dung cuốn sách chỉ đề cập tới 2 vấn đềchính là tường lửa liên quan tới phần cứng máy tính, tiếp theo là các phần mềm độchại

Đây là 2 vấn đề cơ bản, nhưng ngoài ra đối với một hệ thống thông tin không chỉxảy ra sự cố do 2 yếu tố đó, mà còn bị ảnh hưởng bởi các nguy cơ xâm hại khác Vìvậy, chưa thể áp dụng đối với một doanh nghiệp cụ thể

- Man Young Rhee (2003) Internet Security: Cryptographic principles, algorithms and protocols John Wiley & Sons.

Cuốn sách này viết để phản ánh vai trò trung tâm của các hoạt động, nguyên tắc,các thuật toán và giao thức bảo mật Internet Đưa ra các biện pháp khắc phục các mối

đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã Tính xác thực, tính toànvẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninh Internet Nếukhông có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai và sau đó truycập vào mạng Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có thể bị thay đổi bởi kẻtấn công thông qua đường truyền Internet

Các tài liệu trong cuốn sách này trình bày lý thuyết và thực hành về bảo mậtInternet được thông qua một cách nghiêm ngặt, kỹ lưỡng và chất lượng Kiến thức của

cuốn sách được viết để phù hợp cho sinh viên và sau đại học, các kỹ sư chuyên nghiệp

và các nhà nghiên cứu về các nguyên tắc bảo mật Internet

Vậy qua những giáo trình và các cuốn sách tham khảo trên thì em thấy các tácgiả đã có những biện pháp, phương pháp mới để cải tiến về đảm bảo an toàn bảo mậtthông tin Giáo trình nghiên cứu một vấn đề cụ thể của an toàn bảo mật trong lĩnh vựcthương mại điện tử, trình bày kỹ lưỡng các kiến thức cơ bản của lý thuyết mật mã chosinh viên ngành CNTT Đến việc nâng cao được áp dụng trong các doanh nghiệp vềđảm bảo an toàn thông tin trong nội bộ và tránh được các rủi ro hay các tác động xấu

từ bên ngoài xâm nhập vào hệ thống nội bộ Tuy nhiên bên cạnh đó, những cuốn sách

và giáo trình trên vẫn còn nhiều hạn chế mới chỉ giới thiệu và nâng cao hiểu biết chocác học sinh, sinh viên mà vẫn chưa áp dụng cụ thể vào doanh nghiệp nào vì còn bịảnh hưởng bởi các nguy cơ xâm hại khác