luận văn hệ thống thông tin kinh tế một số giải pháp đảm bảo an toàn và bảo mật thông tin cho công ty cổ phần phát triển phần mềm ASIA

Thực trạng và đánh giá về an toàn và bảo mật thông tin tại công ty...15 PHẦN 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP NÂNG CAO HIỆU QUẢ AN TOÀN BẢO MẬT THÔNG TIN TRONG HỆ THỐNG THÔN

LỜI CẢM ƠN

Em rất vinh dự và tự hào khi mình là một sinh viên khoa Hệ thống thông tin kinh

tế, trường Đại học Thương Mại Tại đây, em được học tập, rèn luyện và hoạt độngtrong môi trường năng động, một môi trường giáo dục tiên tiến

Em xin cám ơn các thầy cô giáo trong khoa Hệ thống thông tin kinh tế đã tận tìnhdạy bảo, giúp đỡ và truyền đạt cho em khối kiến thức nền tảng cùng những kinhnghiệm sống, tư tưởng, tư duy làm hành trang cho em bước vào đời

Và đặc biệt, em xin chân thành cám ơn PGS TS Đàm Gia Mạnh - người đã tậntình hướng dẫn, chỉ bảo để em có thể hoàn thành tốt bài khóa luận tốt nghiệp với đề

tài: “Một số giải pháp đảm bảo an toàn và bảo mật thông tin cho Công ty Cổ phần phát triển phần mềm ASIA”

Em cũng xin chân thành cảm ơn Ban Giám đốc và toàn thể cán bộ, nhân viên củaCông ty Cổ phần phát triển phần mềm ASIA đã cung cấp số liệu, những kinh nghiệmthực tế và tạo điều kiện thuận lợi cho em trong suốt quá trình thực tập để em có thểhoàn thành tốt bài khóa luận này

Em xin chân thành cảm ơn!

Sinh viên thực hiện

Lương Thị Thùy Dung

MỤC LỤC

Trang

LỜI CẢM ƠN i

MỤC LỤC ii

DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ iv

DANH MỤC BẢNG, BIỂU ĐỒ iv

DANH MỤC TỪ VIẾT TẮT v

PHẦN 1: TỔNG QUAN VỀ VẤN ĐỀ NGHIÊN CỨU 1

1.1 Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu 1

1.1.1 Tầm quan trọng của vấn đề nghiên cứu 1

1.1.2 Ý nghĩa của vấn đề nghiên cứu 1

1.2 Tổng quan về vấn đề nghiên cứu 2

1.2.1 Tổng quan về tình hình nghiên cứu ở Việt Nam 2

1.2.2 Tổng quan về tình hình nghiên cứu trên thế giới 3

1.3 Mục tiêu nghiên cứu đề tài 3

1.4 Đối tượng và phạm vi nghiên cứu đề tài 4

1.4.1 Đối tượng nghiên cứu đề tài 4

1.4.2 Phạm vi nghiên cứu đề tài 4

1.5 Phương pháp thực hiện đề tài 4

1.5.1 Phương pháp thu thập dữ liệu 4

1.5.2 Phương pháp nghiên cứu 5

1.6 Kế cấu của bài khóa luận 5

PHẦN 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VẤN ĐỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN CỦA CÔNG TY CỔ PHẦN PHÁT TRIỂN PHẦN MỀM ASIA 6

2.1 Về cơ sở lý luận 6

2.1.1 Một số khái niệm cơ bản về an toàn và bảo mật thông tin 6

2.1.2 Đảm bảo an toàn và bảo mật thông tin trong hệ thống thông tin 7

2.2 Thực trạng về Công ty Cổ phần phát triển phần mềm ASIA 9

2.2.1 Giới thiệu chung về công ty 9

2.2.2 Thực trạng chung về doanh nghiệp 13

2.2.3 Thực trạng về trang thiết bị cho công nghệ thông tin, hệ thống thông tin tại công ty 14

2.2.4 Thực trạng và đánh giá về an toàn và bảo mật thông tin tại công ty 15

PHẦN 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP NÂNG CAO HIỆU QUẢ AN TOÀN BẢO MẬT THÔNG TIN TRONG HỆ THỐNG THÔNG TIN TẠI CÔNG TY CỔ PHẦN PHÁT TRIỂN PHẦN MỀM ASIA 22

3.1 Định hướng giải pháp an toàn và bảo mật thông tin cho công ty 22

3.2 Giải pháp nâng cao an toàn và bảo mật thông tin cho hệ thống thông tin trong doanh nghiệp 22

3.2.1 An toàn và bảo mật thông tin bằng các biện pháp phần cứng 22

3.2.2 An toàn và bảo mật thông tin bằng các giải pháp phần mềm 27

3.2.3 Biện pháp khắc phục từ con người 32

3.3 Một số kiến nghị 33

3.3.1 Điều kiện để áp dụng giải pháp 33

3.3.2 Kiến nghị với doanh nghiệp 33

KẾT LUẬN 35

DANH MỤC TÀI LIỆU THAM KHẢO 36 PHỤ LỤC: PHIẾU ĐIỀU TRA

DANH MỤC BẢNG BIỂU, SƠ ĐỒ, HÌNH VẼ

DANH MỤC BẢNG, BIỂU ĐỒ

Trang

Bảng 2.1: Bảng tình hình tài chính của công ty 3 năm gần đây 12

Bảng 2.2: Bảng tình hình tài chính của công ty 3 năm gần đây 13

Bảng 2.3: Bảng danh sách các loại phần cứng trong công ty 14

Biểu đồ 2.1 Các hình thức giao dịch chủ yếu của công ty 17

Biểu đồ 2.2 Mức độ trang bị thiết bị phần cứng bảo mật 17

Biểu đồ 2.3 Cách thức đảm bảo ATTT được sử dụng 18

Biểu đồ 2.4 Cách thức bảo vệ CSDL trong Công ty 18

Biểu đồ 2.5 Trình độ hiểu biết của nhân viên về ATTT 19

Biểu đồ 2.6 Tần suất sao lưu dữ liệu của công ty 19

Biểu đồ 2.7 Nhận thức về tầm quan trọng của ATTT 20

Biểu đồ 2.8 Trở ngại khi phát triển ATTT của công ty 20

DANH MỤC SƠ ĐỒ, HÌNH VẼ Sơ đồ 2.1: Cơ cấu bộ máy tổ chức của công ty cổ phần phát triển phần mềm Asia 10

Hình 2.1 Trang website của công ty 12

Hình 3.1: Tường lửa cho hệ thống mạng 23

DANH MỤC TỪ VIẾT TẮT

AES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiến

HTTP HyperText Transport Protocol Giao thức truyền tải siêu văn bản

IETF Internet Engineering Task Force Lực lượng chuyên trách về kỹ

thuật liên mạngIMAP Internet Messaging Access Protocol

SPSS Statistical Package for Social Sciences Gói thống kê khoa học xã hộiSQL Structured Query Language Ngôn ngữ truy vấn cấu trúc

TLS Transport Layer Security An ninh lớp vận tải

WEP Wireless Encryption Protocol Giao thức mã hoá mạng không

dâyWPS Wifi Protected Access Phương thức liên minh wifi

PHẦN 1: TỔNG QUAN VỀ VẤN ĐỀ NGHIÊN CỨU 1.1 Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu

1.1.1 Tầm quan trọng của vấn đề nghiên cứu

Trong một nền kinh tế toàn cầu hóa như hiện nay thì an toàn và bảo mật thông tinđược xem là sự sống còn đối với các doanh nghiệp Thế nhưng, không phải doanhnghiệp nào cũng nhận thức được tầm quan trọng của vấn đề đảm bảo an toàn và bảomật thông tin trước những nguy cơ có thể xảy ra đối với doanh nghiệp của mình nhưviệc rò rỉ thông tin , bị xâm nhập trái phép

An toàn và bảo mật thông tin trong việc chia sẻ dữ liệu văn bản từ trước đến nayluôn là vấn đề quan trọng đối với bất kỳ một doanh nghiệp nào Các thông tin trongcác tài liệu văn bản khi được trao đổi trên mạng thường sẽ phảo đối mặt với nhữngnguy cơ mất an toàn như: bị truy cập bất hợp pháp, sao chép, lưu trữ hoặc chuyển đếncho những người không được phép Nguy hiểm hơn là khi các tài liệu bị thay đổi nộidung trước khi được chuyển đến cho người nhận

Bằng cách sử dụng các công nghệ, kỹ thuật đơn giản như bắt gói tin trên đườngtruyền, thâm nhận trực tiếp vào các máy tính chứa dữ liệu, văn bản quan trọng Những

cá nhân có mục đích này lại là những người có hiểu biết về công nghệ thông tin hoặcnhwunxg người quản trị hệ thống, quản trị ứng dụng trong doanh nghiệp

Đối với các tài liệu có các thông tin bí mật, nhạy cảm liên quan đến chiến lượckinh doanh, các số liệu thông tin về nhân sự, tổ chức… khi trao đổi trong hệ thống màkhông có một biện pháp nào để bảo vệ thì nguy cơ bị mất an toàn và bảo mật là vôcùng lớn và như vậy hậu quả của việc mất an toàn và bảo mật dữ liệu là không thểlường được Chính vì đó nên vấn đề bảo đảm được an toàn và bảo mật thông tin là vấn

đề rất quan trọng đối với mỗi doanh nghiệp hiện nay Nó sẽ quyết định đến sự pháttriển và bền vững của công ty trong nền kinh tế thị trường ngày nay

1.1.2 Ý nghĩa của vấn đề nghiên cứu

1.1.2.1 Ý nghĩa về mặt nghiên cứu

Cùng với sự phát triển mạnh mẽ của CNTT thì vấn đề ATBM thông tin lại càng cầnđược quan tâm nhiều hơn trong mỗi doanh nghiệp Mức độ gặp rủi ro và mất an toàn cho

dữ liệu càng cao và nghiêm trọng Vì vậy, việc đảm bảo ATBM có ý nghĩa rất quan trọngđối với sự phát triển bền vững cũng như uy tín của doanh nghiệp Rủi ro về thông tin có thể

gây thất thoát tiền bạc, tài sản, con người và gây thiệt hại đến hoạt động sản xuất kinh doanhcủa doanh nghiệp, ảnh hưởng lớn đến uy tín và danh dự của doanh nghiệp.

1.1.2.2 Ý nghĩa về mặt thực tiễn

Công ty Cổ phần phát triển phần mềm ASIA là một công ty chuyên về lĩnh vựcphần mềm và các giải pháp quản lý Do đó, việc đảm bảo ATBM thông tin là rất cầnthiết Mặc dù ban lãnh đạo công ty đã quan tâm đến vấn đề ATBM thông tin nhưngtình trạng hệ thống thông tin bị tấn công vẫn xảy ra

Hiện nay, việc áp dụng một số giải pháp đảm bảo an toàn và bảo mật thông tin cho

HTTT đang được công ty chú trọng và triển khai Vì vậy, đề tài “Một số giải pháp đảm bảo an toàn và bảo mật cho hệ thống thông tin của Công ty Cổ phần phát triển phần mềm ASIA” là rất phù hợp với công ty hiện nay

1.2 Tổng quan về vấn đề nghiên cứu

1.2.1 Tổng quan về tình hình nghiên cứu ở Việt Nam

Các công trình nghiên cứu về an toàn và bảo mật thông tin trong nước cũng cónhững chuyển biến tích cực, nhiều công trình nghiên cứu, sách và tài liệu khoa học về

an toàn và bảo mật thông tin được ra đời như:

Đàm Gia Mạnh (2009), Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống kê.

Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trongthương mại điện tử (TMĐT) như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trongTMĐT Cũng như những nguy cơ mất mát dữ liệu, các hình thức tấn công trongTMĐT Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về antoàn dữ liệu trong hoạt động của mình Ngoài ra, trong giáo trình này cũng đề cập đếnmột số phương pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng như cácbiện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay, giúp các nhà kinh doanh

có thể vận dụng thuận lợi hơn trong các công việc hằng ngày của mình

Phan Đình Diệu (2002), Giáo trình “Lý thuyết mật mã và an toàn thông tin”, Đại học Quốc Gia Hà Nội.

Nội dung chính là khái quát chung về lý thuyết mật mã, các công cụ toán học cóliên quan đến việc đảm bảo an toàn thông tin Hệ mật khóa đối xứng, hệ mật khóacông khai, chữ ký điện tử, ứng dụng và thực hành…Cuốn giáo trình đã đưa ra nhữngvấn đề cơ bản liên quan đến: Khái niệm, mục tiêu, yêu cầu an toàn thông tin, cũng như

các nguy cơ gây ra mất an toàn thông tin, các hình thức tấn công Bên cạnh đó, các đềtài còn đề cập đến phương pháp phòng tránh các tấn công gây mất an toàn thông tincũng như các biện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay.

1.2.2 Tổng quan về tình hình nghiên cứu trên thế giới

William Stallings(2005), Cryptography and network security principles and pratices, Fourth Edition, Prentice Hall

Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn

đề cơ bản của công nghệ mật mã và an ninh mạng Tiến hành kiểm tra an ninh mạngthông qua các ứng dụng thực tế đã được triển khai thực hiện và được sử dụng ngàynay Cung cấp giải pháp đơn giản hóa AES (Advanced Encryption Standard) cho phépngười đọc dễ dàng nắm bắt các yếu tố cần thiết của AES Các tính năng, thuật toán,hoạt động mã hóa, CMAC (Cipher-based Message Authentication Code) để xác thực,

mã hóa chứng thực Bao gồm phương pháp phòng tránh, mở rộng cập nhật những phầnmềm độc hài và những kẻ xâm hại

Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols John Wiley & Sons

Cuốn sách này viết về vấn đề phản ánh vai trò trung tâm của các hoạt động,nguyên tắc, các thuật toán và giao thức bảo mật Internet Đưa ra các biện pháp khắcphục các mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã Tính xácthực, tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninhInternet Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai sau

đó truy cập vào mạng Các tài liệu trong cuốn sách này trình bày lý thuyết và thựchành về bảo mật Internet được thông qua một cách nghiêm ngặt, kỹ lưỡng và chấtlượng Kiến thức của cuốn sách được viết để phù hợp cho sinh viên và sau đại học, các

kỹ sư chuyên nghiệp và các nhà nghiên cứu về các nguyên tắc bảo mật Internet

1.3 Mục tiêu nghiên cứu đề tài

Mục tiêu nghiên cứu đề tài này:

Đưa ra cơ sở lý luận về an toàn và bảo mật hệ thống thông tin

Tìm hiểu, phân tích và đánh giá thực của công ty

Trên cơ sở nghiên cứu thực trạng tình hình tại công ty, từ đó đưa ra một số đềxuất, phòng chống và khắc phục để có thể ngăn chặn các nguy cơ mất an toàn bảo mậtthông tin có thể áp dụng với công ty

1.4 Đối tượng và phạm vi nghiên cứu đề tài

1.4.1 Đối tượng nghiên cứu đề tài

Đối tượng mà bài nghiên cứu hướng tới đó là vấn đề an toàn bảo mật HTTT tạiCông ty cổ phần phát triển phần mềm ASIA, các giải pháp công nghệ và giải pháp conngười để đảm bảo an toàn và bảo mật HTTT của doanh nghiệp Các chính sách pháttriển đảm bảo an toàn bảo mật (ATBM) thông tin trong công ty Các giải pháp ATBMtrên thế giới áp dụng được cho HTTT của doanh nghiệp

1.4.2 Phạm vi nghiên cứu đề tài

Bài nghiên cứu sẽ tập trung trong phạm vi:

Về không gian: đề tài tập trung nghiên cứu tình hình an toàn bảo mật HTTT tại

Công ty cổ phần phát triển phần mềm ASIA nhằm đưa ra một số giải pháp nâng cao antoàn bảo mật HTTT

Về thời gian: Các hoạt động ATBM HTTT của công ty thông qua các báo cáo

kinh doanh, số liệu khảo sát từ năm 2013 đến năm 2014 Đồng thời, trình bày cácnhóm giải pháp, định hướng phát triển trong tương lai của công ty

1.5 Phương pháp thực hiện đề tài

1.5.1 Phương pháp thu thập dữ liệu

Phương pháp nghiên cứu tài liệu: tìm hiểu nghiên cứu các văn bản, tài liệu liên

quan đến đề tài nghiên cứu qua internet và các bài báo Phân tích, tổng hợp các tài liệu

có liên quan đến đề tài

Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra : thiết kế

những phiếu điều tra, hướng dẫn người sử dụng điền những thông tin cần thiết nhằmthăm dò dư luận, thu thập các ý kiến, quan điểm có tính đại chúng rộng rãi

Phương pháp so sánh đối chiếu: Đối chiếu giữa lý luận và thực tiễn kết hợp thu

thập và xử lý thông tin từ các nguồn thu thập

Phương pháp phân tích, tổng hợp, xử lý và đánh giá: Sử dụng Microsoft office

excel, vẽ biểu đồ minh họa để xử lý các số liệu thu thập được từ các nguồn tài liệu bêntrong công ty bao gồm báo cáo kết quả hoạt động kinh doanh của công ty năm 2013 –

2014, từ phiếu điều tra và tài liệu thống kê khác

Phương pháp phán đoán dùng để đưa ra các dự báo, phán đoán: Tình hình an

toàn bảo mật thông tin chung trong nước và thế giới cũng như đưa ra các nhận định vềcác nguy cơ mất an toàn thông tin mà công ty sẽ hứng chịu

1.5.2 Phương pháp nghiên cứu

Mỗi phương pháp xử lý thông tin đều có những ưu nhược điểm riêng của chúng vì vậytrong đề tài nghiên cứu này chúng ta sẽ sử dụng các phương pháp xử lý thông tin sau:

Phương pháp định lượng: Sử dụng phần mềm SPSS (Statistical Package for Social

Phương pháp định tính: Đối với các số dữ liệu thu thập được ở dạng số liệu có thể

thống kê phân tích và định lượng được ta sẽ dùng bảng tính Excel để phân tích làm rõcác thuộc tính, bản chất của sự vật hiện tượng hoặc làm sáng tỏ từng khía cạnh hợpthành nguyên nhân của vấn đề được phát hiện Thường sử dụng để đưa ra các bảng sốliệu thống kê, các biểu đồ thống kê, đồ thị

1.6 Kế cấu của bài khóa luận

Ngoài danh mục bảng biểu, sơ đồ hình vẽ, danh mục từ viết tắt, kết luận, tài liệutham khảo và phụ lục thì khóa luận gồm 3 phần:

Phần 1: Tổng quan về đề tài nghiên cứu.

Phần 2: Cơ sở lý luận và thực trạng vấn đề an toàn và bảo mật thông tin trong

hệ thống thông tin của Công ty Cổ phần phát triển phần mềm ASIA.

Phần 3: Định hướng phát triển và đề xuất giải pháp nâng cao hiệu quả an toàn bảo mật thông tin trong hệ thống thông tin tại Công ty Cổ phần phát triển phần mềm ASIA.

PHẦN 2: CƠ SỞ LÝ LUẬN VÀ THỰC TRẠNG VẤN ĐỀ AN TOÀN VÀ BẢO MẬT THÔNG TIN CỦA CÔNG TY CỔ PHẦN PHÁT TRIỂN PHẦN

MỀM ASIA 2.1 Về cơ sở lý luận

2.1.1 Một số khái niệm cơ bản về an toàn và bảo mật thông tin

* Khái niệm thông tin:

Trong lịch sử tồn tại và phát triển, con người thường xuyên cần đến thông tin.Ngày nay, với sự bùng nổ thông tin, thông tin càng trở thành một trong những nhu cầusống còn của con người và khái niệm "thông tin" đang trở thành khái niệm cơ bản,chung của nhiều khoa học Để đưa ra được khái niệm về thông tin, trước hết ta cầnhiểu thế nào là dữ liệu?

Dữ liệu là những con số, kí tự hay hình ảnh phản ánh về sự vật, hiện tượng trong

thế giới khách quan Dữ liệu là các giá trị thô, chưa có ý nghĩa với người sử dụng

“Thông tin là ý nghĩa được rút ra từ dữ liệu thông qua quá trình xử lý (phân tích, tổng hợp,….), phù hợp với mục đích của người sử dụng Nói cách khác, thông tin là

những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa với người sử dụng”

Theo Russell Ackoff: “Thông tin là dữ liệu đã được ý nghĩa bằng cách kết nốiquan hệ, là dữ liệu đã được xử lý để trở nên hữu ích.”

Cookie Monster định nghĩa: “Thông tin là kiến thức truyền đạt hoặc nhận đượcliên quan đến một sự kiện, hiện tượng thực tế trong hoàn cảnh cụ thể.”

* Khái niệm về Hệ thống thông tin:

Hệ thống thông tin là một hệ thống bao gồm các yếu tố có quan hệ với nhau cùng

làm nhiệm vụ thu thập, xử lý, lưu trữ và phân phối thông tin và dữ liệu và cung cấpmột cơ chế phản hồi để đạt được một mục tiêu định trước

Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khác nhau.Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểu nội bộ,thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnh tranh Vớibên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về khách hàng hơnhoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho sự phát triển

* Khái niệm về Cơ sở dữ liệu

Cơ sở dữ liệu (viết tắt CSDL; tiếng Anh là database) được hiểu theo cách địnhnghĩa kiểu kĩ thuật thì nó là một tập hợp thông tin có cấu trúc Tuy nhiên, thuật ngữ

này thường dùng trong công nghệ thông tin và nó thường được hiểu rõ hơn dưới dạngmột tập hợp liên kết các dữ liệu, thường đủ lớn để lưu trên một thiết bị lưu trữ như đĩahay băng Dữ liệu này được duy trì dưới dạng một tập hợp các tập tin trong hệ điềuhành hay được lưu trữ trong các hệ quản trị cơ sở dữ liệu.

* Khái niệm về an toàn và bảo mật thông tin

An toàn thông tin: Một hệ thống thông tin được coi là an toàn khi thông tin

không bị làm hỏng hóc, không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏ bởi ngườikhông được phép

Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm cho hoạtđộng chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời mà không gâythiệt hại đến mức độ nguy hiểm cho chủ sở hữu

Bảo mật thông tin: Là bảo vệ hệ thống thông tin chống lại việc truy cập, sử dụng,

chỉnh sửa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống mộtcách trái phép; là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng của thông tin Bímật nghĩa là đảm bảo thông tin chỉ được tiếp cận bởi những người được cấp quyềntương ứng Tính trọn vẹn là bảo vệ sự chính xác, hoàn chỉnh của thông tin và thông tinchỉ được thay đổi bởi những người được cấp quyền Tính sẵn sàng của thông tin lànhững người được quyền sử dụng có thể truy xuất thông tin khi họ cần

Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin được đảmbảo theo đúng các tiêu chí trong một thời gian xác định

2.1.2 Đảm bảo an toàn và bảo mật thông tin trong hệ thống thông tin

An toàn và bảo mật trong hệ thống thông tin có vai trò quan trọng đối với sự pháttriển bền vững của các doanh nghiệp Đối với mỗi doanh nghiệp, thông tin có thể coi

là tài sản vô giá Xây dựng một HTTT an toàn giúp cho việc quản lý hệ thống trở nên

rõ ràng, minh bạch hơn Một môi trường thông tin an toàn, trong sạch sẽ có tác độngkhông nhỏ đến việc giảm thiểu chi phí quản lý và hoạt động của doanh nghiệp, nângcao uy tín của doanh nghiệp, tạo điều kiện thuận lợi cho sự hội nhập một môi trườngthông tin lành mạnh Điều này sẽ tác động mạnh đến ưu thế cạnh tranh của tổ chức.Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gây thiệt hạiđến hoạt động kinh doanh sản xuất của doanh nghiệp Do vậy, đảm bảo ATBM thôngtin doanh nghiệp cũng có thể coi là một hoạt động quan trọng trong sự nghiệp phát

triển của doanh nghiệp Đây không phải vấn đề riêng của người làm CNTT mà là củamọi cá nhân và đơn vị trong tổ chức doanh nghiệp.

2.1.2.1 Các hình thức tấn công

Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn công chủ động Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu trái phép.

Vi phạm tính toàn vẹn, sẵn sàng dữ liệu

Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường

truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích Tấncông thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm Hiện nay tấncông thụ động đang ngày càng phát triển do đó cần có các biện pháp phòng tránh trướckhi tấn công xảy ra

Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được lưu lại

để sử dụng sau Loại tấn công này lại có hai dạng đó là tấn công trực tuyến (online) vàtấn công ngoại tuyến (offline): Tấn công ngoại tuyến có mục tiêu cụ thể, thực hiện bởithủ phạm truy cập trực tiếp đến tài sản nạn nhân, có phạm vi hạn chế và hiệu suất thấp.Đây là dạng đánh cắp tài khoản đơn giản nhất, không yêu cầu có trình độ cao và cũngkhông tốn bất kỳ chi phí nào Người dùng có thể trở thành nạn nhân của kiểu tấn côngnày đơn giản chỉ vì họ để lộ mật khẩu hay lưu ở dạng không mã hóa trong tập tin cótên dễ đoán trên đĩa cứng Tấn công trực tuyến không có mục tiêu cụ thể Kẻ tấn côngnhắm đến số đông người dùng trên Intrenet, hy vọng khai thác những hệ thống lỏnglẻo hay lợi dụng sự cả tin của người dùng để đánh cắp tài khoản.Hình thức phổ biếnnhất của tấn công trực tuyến là phishing Phishing là một loại tấn công phi kỹ thuật,dùng đánh cắp các thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòng tránhduy nhất là ý thức của người dùng

Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa đổi,

thay thế làm lệch đường đi của dữ liệu Đặc điểm của nó là có khả năng chặn các góitin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi Tấn công chủ động tuynguy hiểm nhưng lại dễ phát hiện được

Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản trong

thời gian thực Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuật cao

Ngoài ra, còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông điệp, chờ thời gian và gửi tiếp Hay tấn công từ chối dịch vụ (DoS - Denial of Service)

là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tải dẫn tớikhông thể cung cấp dịch vụ hoặc phải ngưng hoạt động DoS lợi dụng sự yếu kémtrong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầu kết nối đếnserver, làm server bị quá tải dẫn đến không thể phục vụ các kết nối khác

Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thông tin, lợidụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật Với mục đíchnhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương trình ứng dụng

2.1.2.2 Các nguy cơ mất an toàn và bảo mật trong hệ thống thông tin

Nguy cơ ngẫu nhiên: Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện

tượng khách quan như thiên tai (lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là những nguy cơ xảy ra bất ngờ, khách quan, khó dự đoán trước, khó tránh đượcnhưng đó lại không phải là nguy cơ chính của việc mất ATTT

Nguy cơ có chủ định (nguyên nhân chủ quan): Tin tặc, cá nhân bên ngoài, phá hỏng

vật lý, can thiệp có chủ ý Nguy cơ bị lộ thông tin của cá nhân, tổ chức và các giao dịchliên quan cho bên thứ ba Nguy cơ bị kẻ xấu làm sai lệch thông tin bằng một trong bacách: “Bắt” thông tin ở giữa đường di chuyển từ “nguồn” tới “đích”, sửa đổi hay chèn,xoá thông tin và gửi đi tiếp; tạo một nguồn thông tin giả mạo để đưa các thông tin đánhlừa “đích”; tạo “đích” giả để lừa thông tin đến từ nguồn đích thật Nguy cơ bị tắc nghẽn,ngưng trệ thông tin: Tắc nghẽn và ngưng trệ thông tin có thể di bị tấn công, hoặc có thể do

bị mất điện, hoặc rất ngẫu nhiên là số lượng người truy cập vào hệ thống trong cùng mộtlúc là rất lớn mà dung lượng đường truyền lại quá nhỏ gây ra tắc nghẽn

2.2 Thực trạng về Công ty Cổ phần phát triển phần mềm ASIA

2.2.1 Giới thiệu chung về công ty

Tên công ty : Công ty Cổ phần phát triển phần mềm ASIA

Tên tiếng anh : ASIA software

Tại TP.HCM: Số 730/126 Lê Đức Thọ, F15, Quận Gò Vấp

Trải qua hơn 15 năm phát triển, với bề dày kinh nghiệm cũng như thấu hiểu mongmuốn của khách hàng, công ty luôn đem lại sự hài lòng đến với khách hàng và vượtqua các đối thủ cạnh tranh để phát triển

Trong suốt hơn 15 năm tồn tại và phát triển, với định hướng chuyên nghiệp tronglĩnh vực phần mềm quản trị doanh nghiệp và cung cấp các giải pháp tổng thể đã khẳngđịnh sức mạnh và uy tín của mình trên thị trường kinh doanh phần mềm đầy cạnhtranh Cùng với sự phát triển vững chắc qua thời gian đã được công ty khẳng địnhbằng những giải thưởng cao quý

* Sơ đồ bộ máy tổ chức trong công ty:

Sơ đồ 2.1: Cơ cấu bộ máy tổ chức của công ty cổ phần phát triển phần mềm Asia

Phòng

kế toán

PhòngCSKH

Phòng kinh doanh

Phòng

kỹ thuật

Ban điều hành: Trong Ban điều hành, Giám đốc là người điều hành, quyết định các

vấn đề liên quan đến hoạt động hàng ngày của công ty, chịu trách nhiệm trực tiếp về cácvấn đề pháp lý, lợi nhuận của công Phó Giám đốc phụ trách các hoạt động của công ty,chịu trách nhiệm trước Giám đốc về việc thực hiện các quyền và nghĩa vụ được giao

Phòng hành chính: chịu sự chỉ đạo trực tiếp của Giám đốc, là nơi thực hiện công

tác hành chính: văn thư, lưu trữ, đảm bảo kỹ thuật văn phòng, phục vụ lễ tân, kháchtiết, làm công tác thư ký, tổng hợp và tham mưu cho Giám đốc

Phòng nhân sự: là nơi tham mưu, giúp việc cho Giám đốc về công tác tổ chức,

nhân sự, công tác lao động, tiền lương, thi đua khen thưởng, pháp chế, truyền thông vàquan hệ công chúng của công ty

Phòng kế toán: là nơi tổ chức bộ máy hạch toán kinh tế toàn công ty theo chế độ

kế toán Nhà nước, quản lý sử dụng mọi nguồn vốn theo nguyên tắc đảm bảo vốn phục

vụ sản xuất kinh doanh có hiệu quả

Phòng CSKH (chăm sóc khách hàng): Là nơi hỗ trợ, tham mưu, đề xuất các kế

hoạch chăm sóc khách hàng nhằm tạo sự hài lòng cho khách hàng đối với sản phẩmdịch vụ của công ty Triển khai và thực hiện chiến lược chăm sóc khách hàng nhằmxây dựng hoạt động, chính sách chăm sóc khách hàng chuyên nghiệp

Phòng kinh doanh: là nơi tham mưu cho Giám đốc về các vấn đề liên quan đến công

tác kinh doanh có sử dụng nguồn vốn của công ty Xây dựng và thực hiện kế hoạch khaithác để thu hồi vốn nhằm đảm bảo nguồn vốn và tối đa hóa lợi nhuận để triển khai các kếhoạch của công ty

Phòng kỹ thuật: là đơn vị thuộc bộ máy quản lý của công ty, có chức năng tham

mưu cho Ban Giám đốc về công tác kỹ thuật, công nghệ, chất lượng sản phẩm Phốihợp với các phòng, ban chức năng để tham gia quản lý hoạt động sản xuất kinh doanhcủa công ty

* Các lĩnh vực kinh doanh của công ty

Công ty cổ phần phát triển phần mềm ASIA chuyên cung cấp sản phẩm phần mềmquản trị doanh nghiệp và cung cấp các giải pháp quản lý tổng thể

Các dịch vụ tư vấn, triển khai, hỗ trợ phần mềm

Đầu tư phát triển các sản phẩm phần mềm

Tư vấn và xây dựng hệ thống quản lý

Triển khai các hệ thống phần mềm ứng dụng

Hỗ trợ khách hàng trong suốt quá trình sử dụng phần mềm

Bảo hành và bảo trì sản phẩm đã cung cấp cho khách hàng

Một số sản phẩm tiêu biểu của công ty:

Phần mềm kế toán theo yêu cầu, Phần mềm quản lý tổng thể doanh nghiệp, Phầnmềm quản lý kho hàng, Phần mềm Quản lý bán hàng, Phần mềm Quản lý nhân sự,Phần mềm quản lý quan hệ khách hàng

* Tình hình tài chính của công ty

Được thành lập từ năm 2001 với vốn điều lệ là 10 tỷ đồng Trải qua nhiều giaiđoạn, công ty đã đi vào hoạt động ổn định và có doanh thu ở mức khá cao Dưới đây làbảng đánh giá tình hình tài chính kinh doanh của công ty 3 năm gần nhất : 2012,2013,2014

Bảng 2.1: Bảng tình hình tài chính của công ty 3 năm gần đây

Đơn vị tính: đồngNăm Doanh thu Lợi nhuận trước thuế Lợi nhuận sau thuế

(Nguồn : Phòng tài chính – kế toán )

 Website của công ty:

Hình 2.1 Trang website của công ty

(Nguồn: http://asiasoft.com.vn/)

Công ty hiện có website để cung cấp, giới thiệu các sản phẩm của công ty.Website của công ty có chức năng Là nơi quảng bá giới thiệu sản phẩm của công ty,các sản phẩm phần mềm Là diễn đàn để các khách hàng, đối tác và những người quan

tâm có thể tham gia đóng góp trao đổi ý kiến về các sản phẩm của công ty và các vấn

đề có liên quan Là địa chỉ liên lạc giúp các khách hàng, đối tác có thể tiếp cận các sảnphẩm liên hệ với công ty một cách dễ dàng thông qua địa chỉ email hoặc chat trực tiếpvới nhân viên kinh doanh, CSKH của công ty trên website

2.2.2 Thực trạng chung về doanh nghiệp

* Thực trạng về tình hình tài chính của công ty:

Được thành lập từ năm 2001 với vốn điều lệ là 10 tỷ đồng Trải qua nhiều giaiđoạn, công ty đã đi vào hoạt động ổn định và có doanh thu ở mức khá cao Dưới đây làbảng đánh giá tình hình tài chính kinh doanh của công ty 3 năm gần nhất : 2012,2013,2014

Bảng 2.2: Bảng tình hình tài chính của công ty 3 năm gần đây

Đơn vị tính: đồngNăm Doanh thu Lợi nhuận trước thuế Lợi nhuận sau thuế

2013 doanh thu có tăng nhưng lợi nhuận lại bị giảm, và từ năm 2013 đến năm 2014doanh thu đã có sự tiến bộ đáng kể và lợi nhuận cũng được tăng lên mạnh mẽ

Qua bảng phân tích, mặc dù doanh thu của năm 2013 là 23 tỷ cao hơn doanh thucủa năm 2012 là 4 tỷ nhưng lợi nhuận lại giảm đi Nguyên nhân là do năm 2013, công

ty có chi phí đầu tư cho trang thiết bị, máy móc khá lớn Với nguồn máy móc đã đượctrang thiết bị đầu tư vào năm 2013, thì năm 2014 lợi nhuận đã được tăng nhanh trở lại

Có được những thành quả như vậy là nhờ sự nỗ lực của ban lãnh đạo, sự đồngtâm nhất trí phấn đấu của cán bộ công nhân viên Công ty đã nỗ lực không ngừng đểtìm cách mở rộng kinh doanh dịch vụ: Triển khai đồng bộ các hoạt động trên nhiềulĩnh vực, tăng cường công tác truyền thông, quảng cáo, quảng bá hình ảnh, sản phẩmdịch vụ Ngoài ra công ty còn không ngừng nâng cao chất lượng dịch vụ nhằm đápứng tốt nhất nhu cầu của khách hàng

2.2.3 Thực trạng về trang thiết bị cho công nghệ thông tin, hệ thống thông tin tại công ty

Công ty về lĩnh vực phần mềm nên cơ sở hạ tầng cho công nghệ thông tin, hệthống thông tin rất được chú trọng và đầu tư

Bảng 2.3: Bảng danh sách các loại phần cứng trong công ty

STT Tên Sốlượng Mục đích sử dụng Năm Ghi chú

1

Máy chủ

(Server)

1 Dùng quản lý tất cả cácmáy client, user của cácphòng ban có trong côngty

Từnăm2009

Chạy hệ điều hành windows

7 được cài đặt các dịch vụ

AD, DNS, DHCP Ngoài ra,trên server này còn được sửdụng làm file server

bộ phận vào các công việckhác nhau

Từnăm2005

Tất cả các máy client đềuđược chạy trên hệ điều hànhwindows 7 Trên đó cài đặtcác ứng dụng văn phòng vànhững ứng dụng phục vụ chonhu cầu của mỗi phòng ban.3

Máy in 2 Phục vụ cho hoạt động in

ấn các tờ quảng cáo Phục vụ việc in ấn các tàiliệu, hồ sơ, báo cáo củacông ty

Từnăm2005

Các máy in canon NP-3020,FT-5632 được chia sẻ trênmạng phục vụ việc in ấn chocác phòng ban trong công ty.4

Máy

quét

1 Sử dụng trong quá trình sốhóa các tài liệu thành ảnh

kỹ thuật số

Từnăm2013

Máy quét đa chức năng được

sử dụng trong công ty

5 Switch 2 Dùng để nối các máy tínhtrong công ty. Từnăm

hệ thống mạng thông qualaptop

Từnăm2010

7 Router 1 Dùng cho các máy tronghệ thống mạng kết nối ra

được internet

Từnăm2010

Từnăm2010

Phần mềm Comodo FreeFirewall

(Nguồn: Tổng hợp từ quá trình điều tra và phỏng vấn)

Về vấn đề bảo mật cho hệ thống: Đối với hệ thống mạng của công ty giám sátdung lượng mạng LAN; đối với các phòng ban cài đặt phần mềm diệt vius BKAV Pro,các cơ sở dữ liệu được lưu trữ qua máy chủ, đặt mật khẩu cho một số dữ liệu quantrọng hoặc cho các máy tính (máy chủ) chứa nhiều dữ liệu quan trọng.

 Phần mềm chuyên dụng:

Máy tính trong công ty đa số dùng hệ điều hành Window win 7, bên cạnh đó cácphần mềm ứng dụng hỗ trợ văn bản của Window như: Microsoft Word, Excel,Access…

Là một công ty chuyên sản xuất phần mềm quản trị cho các doanh nghiệp hiệncông ty đang sử dụng một phần mềm chạy online là Fast Bussiness online bao gồm cả

kế toán nhân sự và quản lý khách hàng

2.2.4 Thực trạng và đánh giá về an toàn và bảo mật thông tin tại công ty

Thực trạng vấn đề xử lý thông tin trong công ty.

Thông tin rất quan trọng đối với doanh nghiệp, do đó, thông tin trong doanhnghiệp cần phải được thu thập từ nhiều nguồn khác nhau nhằm đảm bảo tính đúng đắn

và khách quan nhất

Các nguồn thu thập thông tin của doanh nghiệp:

 Điều tra, nghiên cứu thị trường: phòng kinh doanh của công ty là bộ phận chủchốt trong việc điều tra, nghiên cứu thị trường để đưa ra những dự báo và lập kế hoạchtrong thời gian tới

 Báo, đài, các phương tiện truyền thông, mạng Internet

 Thông tin từ các đối tác - khách hàng, nhà cung ứng: trước khi thực hiện giaodịch luôn có sự trao đổi giữa công ty với đối tác, từ đó hình thành nên nguồn thông tincủa công ty

 Thông tin nội bộ doanh nghiệp - thông tin từ ban giám đốc, các phòng ban: làthông tin, báo cáo tình hình hoạt động hàng ngày của công ty, là những chỉ thị từ bangiám đốc xuống các phòng ban

 Các nguồn khác: thông tin truyền miệng, quyết định, chỉ thị của các cơ quanhành chính…

Tại Công ty cổ phần phát triển phần mềm ASIA việc thu thập, chọn lọc, xử lý,phân loại và lưu trữ thông tin được thực hiện bởi phòng kinh doanh

Phòng kinh doanh thực hiện tìm kiếm mọi thông tin có liên quan đến hoạt độngcủa Công ty thông qua các nguồn khác nhau; từ đó, chọn lọc để loại bỏ những thôngtin nhiễu, thiếu tính xác thực và những thông tin không cần thiết nhằm thu gọn vàgiảm số lượng thông tin cần xử lý

Toàn bộ thông tin sau khi được xử lý, phân loại được lưu trữ trên hệ thống máychủ, tạo một CSDL để tiện lợi trong việc quản lý và tìm kiếm Ban giám đốc sẽ đưa raquyết định trong việc truyền đạt và phân phối sử dụng thông tin trong nội bộ công ty.Thông tin được phân phối tới các phòng ban tùy theo chức năng, nhiệm vụ của từngphòng, nhằm phục vụ hoạt động một cách hiệu quả nhất Do đó, mọi nhân viên trongCông ty, tùy theo chức vụ mà có thể truy cập vào một phần của CSDL để tìm kiếmthông tin phục vụ cho công việc của mình

Để thu thập thông tin về tình hình ứng dụng CNTT tại Công ty cổ phần pháttriển phần mềm ASIA., em đã thực hiện điều tra sơ bộ thông qua mẫu phiếu điều trađược gửi tới các nhân viên trong Công ty Điều tra được thực hiện với sự đóng góp ýkiến của 15 nhân viên trong Công ty Kết quả thu được như sau:

(1) Các hình thức giao dịch chủ yếu của khách hàng với Công ty?

Điện thoại EmailTất cả

Biểu đồ 2.1 Các hình thức giao dịch chủ yếu của công ty

(Nguồn: Tổng hợp từ quá trình điều tra và phỏng vấn)

Ở câu hỏi thứ nhất: “Các hình thức giao dịch chủ yếu của khách hàng với Công ty?” ý kiến cho rằng “giao dịch trực tiếp” là nhiều nhất (7/15), tiếp đến là “giao dịch

qua điện thoại” (4/15) Như vậy, theo ý kiến của phần đông nhân viên thì hiện nayhình thức giao dịch chủ yếu của Công ty vẫn là giao dịch truyền thống Việc giao dịchbằng phương pháp truyền thống không những tốn kém về thời gian, chi phí mà đồngthời rấtdễ bị lộ vàmất mát thông tin Điều này ảnh hưởng lớn đến công tác đảm bảoATTT cho doanh nghiệp

(2) Mức độ trang bị các thiết bị phần cứng bảo mật trong Công ty?

Biểu đồ 2.2 Mức độ trang bị thiết bị phần cứng bảo mật

(Nguồn: Tổng hợp từ quá trình điều tra và phỏng vấn)