Giải pháp đảm bảo an toàn bảo mật thông tin cho HTTT tại công ty cổ phần TMĐT BSA

Công ty đã áp dụng một số biệnpháp bảo mật thông tin như sử dụng mật khẩu cho các thông tin, dữ liệu, các máy tínhđều cài phần mềm diệt virus, hệ thống tường lửa,….Nhưng do hiện nay công

TRƯỜNG ĐẠI HỌC THƯƠNG MẠI KHOA HTTT KINH TẾ & TMĐT

- -KHÓA LUẬN TỐT NGHIỆP

GIẢI PHÁP ĐẢM BẢO AN TOÀN BẢO MẬT THÔNG TIN CHO HTTT TẠI CÔNG TY

CỔ PHẦN TMĐT BSA

Giáo viên hướng dẫn:

Th.S Đỗ Thị Thu HiềnSinh viên thực hiện : Nguyễn Phương Nhung

Mã sinh viên : 15D190246

Lớp : K51S4

HÀ NỘI - 2019

Em xin gửi lời cám ơn sâu sắc nhất đến cô Th.S Đỗ Thị Thu Hiền và các thầy côtrong bộ môn đã tận tình chỉ bảo và bổ sung những kiến thức cần thiết mà em cònthiếu sót trong lý thuyết cũng như thực tiễn, giúp em có những định hướng đúng đắnkhi thực hiện khóa luận tốt nghiệp này.

Và nhờ có cơ hội được thực tập ở công ty cổ phần TMĐT BSA mà em mới có thểhoàn thiện bài khóa luận tốt nghiệp này Do đó, em cũng xin gửi lời cám ơn chân thànhtới ban lãnh đạo công ty đã tạo điều kiện giúp đỡ em trong suốt quá trình thực tập vàthu thập tài liệu

Trong thời gian thực tập và làm khóa luận, em đã cố gắng tìm hiểu rõ ràng vềthực trạng HTTT quản lý của công ty Tuy nhiên, thời gian nghiên cứu khóa luận kháhạn hẹp, trình độ và khả năng của em còn hạn chế Vì vậy, bài làm của em còn thiếusót, kính mong thầy cô chỉ bảo và giúp đỡ em để bài khóa luận tốt nghiệp được hoànthiện hơn

Em xin chân thành cám ơn!

Sinh viên thực hiệnNguyễn Phương Nhung

MỤC LỤC

2.1.1.1 Quá trình hình thành và phát triển 12

- Năm 2012 12

2.1.1.2 Website của doanh nghiệp 13

2.1.1.3 Cơ cấu tổ chức của doanh nghiệp 14

DANH MỤC TỪ VIẾT TẮT

System

Hệ thống thông tin quản lý

DANH MỤC BẢNG BIỂU

Hình 2.1: Website của công ty cổ phần TMĐT BSA 13

Hình 2.2: Cấu trúc tổ chức của công ty cổ phần TMĐT BSA 14

Bảng 2.1: Kết quả hoạt động kinh doanh của công ty giai đoạn 2016-2018 15

Hình 2.3: Mô hình hệ thống mạng trong công ty cổ phần TMĐT BSA 17

Hình 2.4: Mức độ an toàn bảo mật thông tin trong công ty 17

Hình 2.5: Cách thức đảm bảo an toàn bảo mật thông tin trong công ty 18

Hình 2.6: Cách thức đảm bảo an toàn bảo mật thông tin trong công ty 18

Hình 2.7: Tần suất sao lưu dữ liệu của nhân viên trong công ty cổ phần TMĐT BSA 19

Hình 2.8: Tầm quan trọng của công tác an toàn bảo mật thông tin đối với công ty 19

Hình 2.9: Các vấn đề liên quan đến an toàn bảo mật 20

Hình 3.1: Điện toán đám mây sử dụng cho công ty cổ phần TMĐT BSA 23

Hình 3.2: Bộ công cụ online của Google drive 24

Hình 3.3: Công nghệ Blockchain 31

Hình 3.4: Phần mềm diệt virus Bkav Endpoint SMB 33

Hình 3.5: Nguồn nhân lực an toàn thông tin 34

DANH MỤC HÌNH VẼ Hình 2.1: Website của công ty cổ phần TMĐT BSA 13

Hình 2.2: Cấu trúc tổ chức của công ty cổ phần TMĐT BSA 14

Bảng 2.1: Kết quả hoạt động kinh doanh của công ty giai đoạn 2016-2018 15

Hình 2.3: Mô hình hệ thống mạng trong công ty cổ phần TMĐT BSA 17

Hình 2.4: Mức độ an toàn bảo mật thông tin trong công ty 17

Hình 2.5: Cách thức đảm bảo an toàn bảo mật thông tin trong công ty 18

Hình 2.6: Cách thức đảm bảo an toàn bảo mật thông tin trong công ty 18

Hình 2.7: Tần suất sao lưu dữ liệu của nhân viên trong công ty cổ phần TMĐT BSA 19

Hình 2.8: Tầm quan trọng của công tác an toàn bảo mật thông tin đối với công ty 19

Hình 2.9: Các vấn đề liên quan đến an toàn bảo mật 20

Hình 3.1: Điện toán đám mây sử dụng cho công ty cổ phần TMĐT BSA 23

Hình 3.2: Bộ công cụ online của Google drive 24

Hình 3.3: Công nghệ Blockchain 31

Hình 3.4: Phần mềm diệt virus Bkav Endpoint SMB 33

Hình 3.5: Nguồn nhân lực an toàn thông tin 34

PHẦN MỞ ĐẦU

1 TẦM QUAN TRỌNG, Ý NGHĨA CỦA VẤN ĐỀ NGHIÊN CỨU

1.1 Tầm quan trọng của đề tài

Thông tin và dữ liệu là tài sản vô giá và cần thiết trong bất cứ lĩnh vực nào, vàđặc biệt là trong thời đại công nghệ thông tin phát triển mạnh mẽ như hiện nay, việcứng dụng tin học vào lĩnh vực kinh tế giúp ta nắm bắt thông tin, dữ liệu một cáchnhanh chóng và kịp thời, từ đó có thể đưa ra những quyết sách đúng đắn, góp phầnnâng cao hiệu quả kinh doanh, thúc đẩy mạnh nền kinh tế phát triển và mở rộng trêntoàn cầu

Vì vậy, trong quá trình quản lý các cơ quan, doanh nghiệp phải thấy rõ được tầmquan trọng của HTTT Nó không chỉ giúp doanh nghiệp đáp ứng mọi nhu cầu củakhách hàng mà còn nâng cao được năng lực sản xuất, giúp các doanh nghiệp có đủ sứcmạnh cạnh tranh trên thị trường trong nước cũng như ngoài nước

Nhưng cũng chính vì thế mà khi HTTT bị mất an toàn có thể gây thiệt hại nặng

nề cho doanh nghiệp Do đó, hiện nay, việc đảm bảo an toàn bảo mật thông tin luôn làvấn đề nóng và nhận được sự quan tâm đặc biệt của các doanh nghiệp

HTTT của công ty cổ phần TMĐT BSA chứa nhiều thông tin quan trọng củakhách hàng, nhiên viên và các tài liệu mật của công ty Công ty đã áp dụng một số biệnpháp bảo mật thông tin như sử dụng mật khẩu cho các thông tin, dữ liệu, các máy tínhđều cài phần mềm diệt virus, hệ thống tường lửa,….Nhưng do hiện nay công nghệthông phát triển quá mạnh mẽ đã dẫn đến tình hình mất an ninh diễn biến phức tạphơn, xuất hiện nhiều nguy cơ đe dọa đến việc mất an toàn của thông tin

Ở Việt Nam cũng như trên thế giới đã xảy ra nhiều vụ bị đánh cắp thông tin từnhững doanh nghiệp lớn, gây thiệt hại lớn về tài sản và đặc biệt là làm mất uy tín, sựtin tưởng của khách hàng đối với doanh nghiệp đó

Hiểu được tầm quan trọng của việc an toan bảo mật thông tin trong các doanhnghiệp nên công ty cổ phần TMĐT BSA cần triển khai việc áp dụng các biện phápnhằm nâng cao tính bảo mật và an toàn thông tin, dữ liệu của mình

Xuất phát từ sự cần thiết đó, em quyết định lựa chọn vấn đề: “ Giải pháp đảm bảo

an toàn bảo mật thông tin cho HTTT tại công ty cổ phần TMĐT BSA” làm đề tài khóaluận của mình Hi vọng đây sẽ là giải pháp hiệu quả để giúp doanh nghiệp nâng caodoanh thu, lợi nhuận và triển hơn trong tương lai

1.2 Ý nghĩa của vấn đề nghiên cứu

Khi vấn đề bảo mật thông tin được đảm bảo an toàn sẽ mang lại lợi thế kinhdoanh cho doanh nghiệp, giúp doanh nghiệp tiết kiệm được chi phí, thời gian và tránhđược sự cạnh tranh không lành mạnh của đối thủ hay sự phá hoại từ những đối tượng

bên ngoài Nó sẽ tạo tiền đề cho sự thành công của doanh nghiệp, tạo được niềm tin,

uy tín đối với khách hàng Và ngược lại nếu có sự cố về an toàn bảo mật thông tin xảy

ra sẽ gây thiệt hại lớn, tổn thất nặng nề cho doanh nghiệp và khách hàng

2 MỤC TIÊU VÀ NHIỆM VỤ NGHIÊN CỨU

2.1 Mục tiêu nghiên cứu

Hệ thống hóa một số cơ sở lý luận về an toàn, bảo mật HTTT trong doanhnghiệp, nghiên cứu bằng những phương pháp khác nhau, từ đó xem xét, đánh giá phântích thực trạng vấn đề để đưa ra những ưu nhược điểm và đề xuất một số giải phápnhằm nâng cao tính an toàn bảo mật của HTTT Giúp công ty nhận diện được nhữngnguy cơ và thách thức của vấn đề an toàn bảo mật thông tin Từ đó, có những giảiđúng đắn nâng cao tính an toàn bảo mật thông tin hiệu quả hơn, ngăn chặn các nguy cơtấn công HTTT từ bên ngoài trong hiện tại và tương lai

2.2 Nhiệm vụ nghiên cứu

- Làm rõ cơ sở lý luận an toàn bảo mật thông tin của HTTT tại công ty cổ phầnTMĐT BSA

- Đánh giá thực trạng an toàn bảo mật thông tin của HTTT tại công ty cổ phầnTMĐT BSA

- Trên cơ sở lý luận và thực tiễn đề ra các giải pháp nâng cao an toàn bảo mậtthông tin của HTTT tại công ty cổ phần TMĐT BSA

3 ĐỐI TƯỢNG VÀ PHẠM VI NGHIÊN CỨU

3.1 Đối tượng nghiên cứu

- Phần cứng, phần mềm, CSDL và hệ thống mạng

3.2 Phạm vi nghiên cứu

- Phạm vi thời gian: Đề tài sẽ phân tích các hoạt động an toàn bảo mật thông tincủa HTTT tại doanh nghiệp qua các báo cáo, tài liệu liên quan trong vòng 3 năm gầnđây nhất (2016, 2017, 2018)

- Phạm vi không gian: Nghiên cứu thực trạng hoạt động an toàn bảo mật thôngtin của HTTT tại công ty cổ phần TMĐT BSA

- Phạm vi nội dung: Nội dung xoay quanh hoạt động an toàn bảo mật thông tincủa HTTT tại công ty để xác định ưu, nhược điểm và phân tích thực trạng triển khai cónhững thuận lợi, khó khăn gì, từ đó đánh giá hiệu quả và đưa ra những đề xuất cụ thểnhằm nâng cao hoạt động đảm bảo tính an toàn bảo mật thông tin cho công ty

4 PHƯƠNG PHÁP NGHIÊN CỨU

4.1 Phương pháp thu thập dữ liệu

- Thu thập dữ liệu thứ cấp:

+ Nguồn dữ liệu: các báo cáo kết quả hoạt động, tài liệu kinh doanh của công tygần nhất, tạp chí, sách báo có liên quan đến đề tài

- Thu thập dữ liệu sơ cấp:

+ Phương pháp sử dụng phiếu điều tra:

• Là phương pháp đơn giản, sử dụng bảng câu hỏi có sẵn khảo sát trên mộtnhóm đối tượng có sẵn để thu thập những thông tin cần thiết

• Nội dung: Bảng câu hỏi xoay quanh vấn đề an toàn bảo mật thông tin củadoanh nghiệp Những câu hỏi đặt ra để đánh giá thực trạng triển khai các hoạt độngđảm bảo an toàn bảo mật thông tin, từ đó đề xuất một số giải pháp có tính khả thi hỗtrợ hoạt động an toàn bảo mật thông tin của HTTT tại doanh nghiệp

• Cách thức tiến hành: Phiếu điều tra được phát trực tiếp cho nhân viên trongcông ty để thu thập ý kiến

• Ưu nhược điểm: Thu được khối lượng lớn tài liệu song độ tin cậy về sự tươngđương giữa các câu trả lời và hàm vi thực của đối tượng không cao

• Mục đích áp dụng: Nhằm thu thập những thông tin về hoạt động an toàn bảomật thông tin của HTTT tại doanh nghiệp Từ đó đánh giá thực trạng triển khai và đưa

ra những giải pháp đúng đắn để nâng cao hiệu quả của các hoạt động an toàn bảo mậtthông tin

• Số lượng phiếu: 25 phiếu

4.2 Phương pháp xử lý dữ liệu

- Sau khi thu được kết quả xử lý thông tin, dữ liệu bằng Excel

5 KẾT CẤU KHÓA LUẬN

Ngoài lời cảm ơn, phần mở đầu, khóa luận gồm các chương:

Chương 1: CƠ SỞ LÝ LUẬN CỦA ĐỀ TÀI NGHIÊN CỨU

Chương 2: ĐÁNH GIÁ THỰC TRẠNG CỦA ATBM THÔNG TIN CHOHTTT TẠI CÔNG TY CỔ PHẦN TMĐT BSA

Chương 3: ĐỊNH HƯỚNG PHÁT TRIỂN VÀ ĐỀ XUẤT GIẢI PHÁP ĐẢMBẢO AN TOÀN BẢO MẬT CHO HTTT TẠI CÔNG TY CỔ PHẦN TMĐT BSA

Chương 1: CƠ SỞ LÝ LUẬN CỦA VẤN ĐỀ NGHIÊN CỨU

1.1 NHỮNG KHÁI NIỆM CƠ BẢN

 Dữ liệu

- Dữ liệu là những sự kiện hoặc những quan sát về hiện tượng vật lý hoặc cácgiao dịch kinh doanh, dữ liệu chính là các giá trị phản ánh về sự vật, hiện tượng trongthế giới khách quan, bao gồm tập giá trị mà người dùng có thể chưa biết được sự liên

hệ giữa các giá trị này

( Hàn Viết Thuận, 2008)

 Thông tin

- Thông tin là một bộ dữ liệu được tổ chức , doanh nghiệp sử dụng một phươngthức nhất định sao cho chúng mang lại một giá trị gia tăng so với giá trị vốn có củabản thân dữ liệu Thông tin chính là dữ liệu đã qua xử lý ( phân tích, tổng hợp, thốngkê) có ý nghĩa thiết thực, phù hợp với mục đích cụ thể của người sử dụng Thông tin

có thể gồm nhiều giá trị dữ liệu có liên quan nhằm mang lại ý nghĩa trọn vẹn cho một

sự vật, hiện tượng cụ thể trong một ngữ cảnh

( Hàn Viết Thuận, 2008)

 Hệ thống thông tin

- Hệ thống thông tin là một tập hợp phần cứng, phần mềm, cơ sở dữ liệu, mạngviễn thông, con người và các quy trình thủ tục khác nhằm thu thập, xử lý, lưu trữ vàtruyền phát thông tin trong một tổ chức, doanh nghiệp Hệ thống thông tin hỗ trợ việc

ra quyết định, phân tích tình hình, lập kế hoạch, điều phối và kiểm soát các hoạt độngtrong một tổ chức, doanh nghiệp

 Hệ thống thông tin quản lý (MIS)

- Hệ thống thông tin quản lý được hiểu như là một hệ thống dùng để tiến hànhquản lý cùng với những thông tin được cung cấp thường xuyên Ngày nay, do côngnghệ máy tính đã tham gia vào tất cả các hoạt động quản lý nên nói đến MIS là nói đến

hệ thống thông tin quản lý được trợ giúp của máy tính Theo quan điểm của các nhàcông nghệ thông tin, MIS là một mạng lưới máy tính có tổ chức nhằm phối hợp việcthu thập, xử lý và truyền thông tin MIS là tập hợp các phương tiện, các phương pháp

và các bộ phận có liên quan chặt chẽ với nhau, nhằm đảm bảo cho việc thu thập, lưutrữ, tìm kiếm xử lý và cung cấp những thông tin cần thiết cho quản lý

( Hàn Viết Thuận, 2008)

 An toàn bảo mật thông tin trong HTTT

- Thông tin được coi là an toàn khi thông tin đó không bị làm hỏng, không bị sửađổi, thay đổi, sao chép hoặc xóa bỏ bởi người không được phép.”

Tính toàn vẹn (Integrity): Đảm bảo rằng thông tin luôn ở trạng thái đúng, chínhxác, người sử dụng luôn được làm việc với các thông tin tin cậy chân thực Chỉ các cánhân được cấp quyền mới được phép chỉnh sửa thông tin Kẻ tấn công không chỉ có ýđịnh đánh cắp thông tin mà còn mong muốn làm cho thông tin bị mất giá trị sử dụngbằng cách tạo ra các thông tin sai lệch gây thiệt hại cho công ty.

Tính sẵn sàng (Availabillity): Đảm bảo cho thông tin luôn ở trạng thái sẵn sàngphục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truy nhập đượcvào hệ thống Có thể nói rằng đây yêu cầu quan trọng nhất, vì thông tin chỉ hữu ích khingười sử dụng cần là có thể dùng được, nếu 2 yêu cầu trên được đảm bảo nhưng yêucầu cuối cùng không được đảm bảo thì thông tin cũng trở nên mất giá trị

1.2 MỘT SỐ LÝ THUYẾT VỀ AN TOÀN BẢO MẬT HTTT

1.2.1 Các nguy cơ mất an toàn thông tin trong HTTT

- Nguy cơ mất an toàn thông tin về khía cạnh vật lý:

Là nguy cơ do mất điện, nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai( lũlụt, động đất, sóng thần…), thiết bị phần cứng bị hư hỏng… Đây là những nguyênkhách quan, khó dự đoán trước, khó tránh được nhưng đó lại không phải là nguy cơchính của việc mất an toàn thông tin

( Đàm Gia Mạnh, 2009)

- Nguy cơ bị mất, hỏng, sửa đổi nội dung thông tin:

Người dùng có thể vô tình để lộ mật khẩu hoặc không thao tác đúng quy trình tạo

cơ hội cho kẻ xấu lợi dụng để lấy cắp hoặc làm hỏng thông tin Kẻ xấu có thể sử dụngcông cụ hoặc kỹ thuật của mình để thay đổi nội dung thông tin (các file) nhằm sai lệnhthông tin của chủ sở hữu hợp pháp

( Đàm Gia Mạnh, 2009)

- Nguy cơ bị tấn công bởi các phần mềm độc hại:

Các phần mềm độc hại tấn công bằng nhiều phương pháp khác nhau để xâm nhậpvào hệ thống với các mục đích khác nhau như: virus, sâu máy tính (Worm), phần mềm

gián điệp (Spyware),

Virus là một chương trình phần mềm có khả năng tự sao chép chính nó từ đốitượng lây nhiễm này sang đối tượng khác ( đó có thể là những tệp văn bản, tệp tin,hoặc các chương trình, phần mềm) Sau khi thiết bị bị nhiễm virus, máy tính ( thiết bị )của bạn sẽ hoạt động chậm lại, làm mất dữ liệu, làm thay đổi chương trình phần mềmhoặc xuất hiện báo lỗi hệ thống tới người dùng…

Worm: được tạo ra tương tự như virus, nó cũng phát tán từ một máy tính nàysang máy tính khác qua mạng Nhưng có điểm khác là worm lợi dụng các tính năngtruyền file hay thông tin trên hệ thống để di chuyển chứ không nhờ sự tác động củangười dùng thực thi Sự nguy hiểm lớn nhất của worm là từ hệ thống của bạn, nó cóthể tự gửi chính nó đến hàng chục, hàng trăm, thậm chí là hàng ngàn máy khác và cứthế nhân lên, làm cho các máy chủ web, máy chủ mạng, và cả máy tính bị tràn bộ nhớđến mức không hoạt động nữa

Trojan, Spyware, Adware: Là những phần mềm được gọi là phần mềm gián điệp,chúng không lây lan như virus Thường bằng cách nào đó (lừa đảo người sử dụngthông qua một trang web, hoặc một người cố tình gửi nó cho người khác) cài đặt vànằm vùng tại máy của nạn nhân, từ đó chúng gửi các thông tin lấy được ra bên ngoàihoặc hiện lên các quảng cáo ngoài ý muốn của nạn nhân

( Đàm Gia Mạnh, 2009)

- Nguy cơ xâm nhập từ lỗ hổng bảo mật:

Lỗ hổng bảo mật thường là do lỗi lập trình, lỗi hoặc sự cố phần mềm, nằm trongmột hoặc nhiều thành phần tạo nên hệ điều hành hoặc trong chương trình cài đặt trênmáy tính Hiện, nay các lỗ hổng bảo mật được phát hiện ngày càng nhiều trong các hệđiều hành, các web server hay các phần mềm khác Và các hãng sản xuất luôn cậpnhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của cácphiên bản trước

( Đàm Gia Mạnh, 2009)

- Nguy cơ xâm nhập do bị tấn công bằng cách phá mật khẩu:

Những kẻ tấn công có rất nhiều cách khác phức tạp hơn để tìm mật khẩu truy nhập.Những kẻ tấn công có trình độ đều biết rằng luôn có những khoản mục người dùng quảntrị chính Kẻ tấn công sử dụng một phần mềm dò thử các mật khẩu khác nhau có thể.Phần mềm này sẽ tạo ra các mật khẩu bằng cách kết hợp các tên, các từ trong từ điển vàcác số Ta có thể dễ dàng tìm kiếm một số ví dụ về các chương trình đoán mật khẩu trênmạng Internet như: Xavior, Authforce và Hypnopaedia Các chương trình dạng này làmviệc tương đối nhanh và luôn có trong tay những kẻ tấn công

( Đàm Gia Mạnh, 2009)

- Nguy cơ mất an toàn thông tin do sử dụng email:

Tấn công có chủ đích bằng thư điện tử là tấn công bằng email giả mạo giống nhưemail được gửi từ người quen, có thể gắn tập tin đính kèm nhằm làm cho thiết bị bịnhiễm virus Cách thức tấn công này thường nhằm vào một cá nhân hay một tổ chức

cụ thể Thư điện tử đính kèm tập tin chứa virus được gửi từ kẻ mạo danh là một đồngnghiệp hoặc một đối tác nào đó Người dùng bị tấn công bằng thư điên tử có thể bịđánh cắp mật khẩu hoặc bị lây nhiễm virus Những e-mail phá hoại có thể mang mộttệp đính kèm chứa một virus, một sâu mạng, phần mềm gián điệp hay một trojanhorse Một tệp đính kèm dạng văn bản word hoặc dạng bảng tính có thể chứa mộtmacro (một chương trình hoặc một tập các chỉ thị) chứa mã độc Ngoài ra, e-mail cũng

có thể chứa một liên kết tới một web site giả

( Đàm Gia Mạnh, 2009)

- Nguy cơ mất an toàn thông tin trong quá trình truyền tin:

Trong quá trình lưu thông và giao dịch thông tin trên mạng internet nguy cơ mất

an toàn thông tin trong quá trình truyền tin là rất cao do kẻ xấu chặn đường truyền vàthay đổi hoặc phá hỏng nội dung thông tin rồi gửi tiếp tục đến người nhận

( Đàm Gia Mạnh, 2009)

1.2.2 Các hình thức tấn công HTTT

- Tấn công chủ động:

Như tên gọi của nó là các cuộc tấn công mà người tấn công hoàn toàn công khai

và chủ động trong tổ chức và thực hiện cuộc tấn công với mục đích làm giảm hiệunăng hoặc làm tê liệt hoạt động của mạng máy tính hoặc hệ thống Đối với kiểu tấncông chủ động chúng ta hoàn nhận biết được qua kết quả tác động của nó Một vàiphương pháp tấn công chủ động khá nổi tiếng hiện nay như: Tấn công từ chối dịch vụDoS/ DDoS, tràn bộ đệm, tấn công ký tự điều khiển đồng bộ SYN, và giả mạo IP

( Đàm Gia Mạnh, 2009)

- Tấn công bị động:

Trong một cuộc tấn công bị động, các hacker sẽ kiểm soát traffic không được mãhóa và tìm kiếm mật khẩu không được mã hóa (Clear Text password), các thông tinnhạy cảm có thẻ được sử dụng trong các kiểu tấn công khác Các cuộc tấn công bịđộng bao gồm phân tích traffic, giám sát các cuộc giao tiếp không được bảo vệ, giải

mã các traffic mã hóa yếu, và thu thập các thông tin xác thực như mật khẩu

Các cuộc tấn công chặn bắt thông tin hệ thống mạng cho phép kẻ tấn công có thểxem xét các hành động tiếp theo Kết quả của các cuộc tấn công bị động là các thôngtin hoặc file dữ liệu sẽ bị rơi vào tay kẻ tấn công mà người dùng không hề hay biết

( Đàm Gia Mạnh, 2009)

1.2.3 Các phương thức phòng tránh

- Phòng tránh mức vật lý:

Tường lửa được tích hợp vào mạng để chống lại sự truy cập trái phép, nhằm bảo

vệ nguồn thông tin nội bộ, hạn chế xâm nhập Firewall là thiết bị nằm giữa hệ thốngmạng LAN bên trong và mạng internet bên ngoài nhằm bảo mật thông tin cho mạngnội bộ khỏi thế giới bên ngoài Thường được xây dựng trên mạng và chịu được lỗi cao.Firewall sẽ giám sát dữ liệu được trao đổi giữa máy tính, máy chủ và các thiết bịđịnh tuyến trong hệ thống mạng (thường ở dạng các gói tin) để kiểm tra xem chúng có

an toàn hay không

Nếu không có firewall, luồng dữ liệu có thể ra vào mà không chịu bất kỳ sự kiểmsoát nào Còn khi firewall được kích hoạt, dữ liệu có thể được cho phép ra vào haykhông sẽ do các thiết lập trên firewall quy định Về mặt kỹ thuật, firewall sẽ xác địnhxem các gói tin có đáp ứng những quy tắc đã được thiết lập hay không Sau đó, căn cứvào những quy tắc này mà các gói dữ liệu sẽ được chấp nhận hoặc bị từ chối

Vì có rất nhiều chức năng bảo vệ và ưu điểm vượt trội nên khi doanh nghiệp sửdụng tường lửa cho hệ thống của mình thì sẽ tránh được những tình trạng ai đó có thểđang cố để chiếm quyền kiểm soát từ xa Nếu nhìn thấy hiện tượng con trỏ chuột máytính tự động di chuyển xung quanh màn hình hoặc bỗng dưng bị đóng băng hoàn toànthì đó có thể là dấu hiệu cho thấy máy tính của bạn đang bị xâm nhập từ xa

Hiện nay có rất nhiều ứng dụng tường lửa tốt, với thực trạng cơ sở hạ tầng củadoanh nghiệp thì việc lựa chọn ứng dụng tường lửa ZoneAlarm sẽ đem lại hiệu quảcao cho công ty trong việc đảm bảo an toàn bảo mật thông tin Đây là ứng dụng tườnglửa đã quá nổi tiếng và được sử dụng nhiều trên thế giới ZoneAlarm Free Firewallđược cung cấp hoàn toàn miễn phí giúp người dùng bảo vệ máy tính Windows củamình chống lại bất kỳ mối đe dọa và sự xâm nhập trực tuyến nào Bên cạnh đó, phầnmềm này còn rất dễ sử dụng và hoạt động song hành cùng với các công cụ chặn chốngvirus và bảo mật khác, bao gồm cả nhiều loại tường lửa.Ngoài ra, ZoneAlarm FreeFirewall còn hoạt động âm thầm trong nền hệ thống và chỉ xuất hiện khi phát hiện cóthay đổi

+ Sử dụng hệ thống kiểm tra xâm nhập mạng

+ Sử dụng mạng riêng ảo (VPN)

+ Sử dụng phần mềm Anti-Virus (AV)

Bkav Endpoint SMB được tích hợp khả năng thống kê, báo cáo giúp người quảntrị mạng sẽ luôn được nắm được thông tin tổng quan cũng như chi tiết mới nhất về tình

hình virus máy tính trong hệ thống, biết được loại virus nào đang lây lan trong mạng,những máy nào bị nhiễm virus, xử lý triệt để virus hay chưa, những máy nào chưa cậpnhật chương trình diệt virus mới nhất Với những thông tin này, người quản trị sẽchủ động đưa ra các phương án xử lý chính xác và kịp thời, nhằm ngăn chặn tối đa cácnguy cơ có thể ảnh hưởng tới hệ thống.

+ Bảo mật đường truyền

+ Các thế hệ thẻ thông minh

+ Kiểm tra máy chủ và các ứng dụng

+ Kiểm soát các hệ điều hành

+ Công nghệ Blockchain

Blockchain hay cuốn sổ cái ( dịch ra tiếng việt là chuỗi khối), là một hệ thống cơ

sở dữ liệu chứa thông tin, được dùng để lưu trữ thông tin trong các khối thông tin đượcliên kết với nhau, và được quản lý bởi tất cả mọi người tham gia hệ thống, đồng thờicho phép truyền tải dữ liệu một cách an toàn bằng một hệ thống mã hóa phức tạp, vàđược mở rộng theo thời gian Dữ liệu được lưu trữ là các dữ liệu số

Blockchain được tạo ra để chống lại sự thay đổi dữ liệu trong hệ thống, đồng thờicông nghệ blockchain cũng có tính năng rất đặc biệt đó là việc truyền tải dữ liệu khôngđòi hỏi một trung gian nào để xác nhận thông tin Bởi vậy trong hệ thống blockchaintồn tại rất nhiều nút hoạt động độc lập có khả năng xác thực các thông tin trong hệthống mà không đòi hỏi “ dấu hiệu của niềm tin”

Thông tin khi được nhập vào trong chuỗi khối blockchain thì sẽ không thể thayđổi và chỉ được bổ sung thêm khi có sự chấp thuận của tất cả mọi người trong hệthống Đây là một hệ thống đảm bảo sự an toàn rất cao cho các dữ liệu trước các nguy

cơ bị đánh cắp, nhất là các dữ liệu nhạy cảm như tài khoản ngân hàng online, tài khoảnthẻ thanh toán,… Ngay cả khi nếu một phần của hệ thống blockchain bị tấn công, thìcác phần khác không bị ảnh hưởng và vẫn tiếp tục hoạt động để bảo vệ thông tin.Blockchain được đảm bảo nhờ cách thiết kế sử dụng hệ thống tính toán phân cấpvới khả năng chịu lỗi byzantine cao Vì vậy sự đồng thuận phân cấp có thể đạt đượcnhờ blockchain Do đó, blockchain phù hợp để ghi lại những sự kiện, hồ sơ, sử lý giaodịch, công chứng danh tính và chứng minh nguồn gốc Việc này có tiềm năng giúp xóa

bỏ các hậu quả lớn khi dữ liệu bị thay đổi trong bối cảnh thương mại toàn cầu

- Phòng tránh mức dữ liệu:

+ Phân quyền người dùng

+ Sử dụng các chương trình bảo mật riêng

+ Sử dụng các chương trình antivirus, antispyware

+ Mã hóa dữ liệ

( Đàm Gia Mạnh, 2009)

1.3 TỔNG QUAN TÌNH HÌNH NGHIÊN CỨU

Cho tới bây giờ, đối với các doanh nghiệp, an toàn bảo mật thông tin cho HTTTvẫn là vấn đề được quan tâm hàng đầu Do đó, ta có thể tìm thấy được rất nhiều côngtrình nghiên cứu chuyên sâu về vấn đề này trên các website

1.3.1 Tình hình nghiên cứu trong nước

- Đàm Gia Mạnh (2009), “Giáo trình an toàn dữ liệu trong thương mại điện tử”,

NXB Thống kê

Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn bảo mật dữ liệutrong TMĐT, cũng như những nguy cơ mất mát dữ liệu, các hình thức tấn công trongTMĐT Từ đó giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về antoàn dữ liệu trong hoạt động của mình Ngoài ra trong giáo trình này cũng đề cập đếnmột số phương pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũng như cácbiện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay, giúp các nhà kinh doanh

có thể vận dụng thuận lợi hơn trong các hoạt động kinh doanh hàng ngày của mình

- TS Nguyễn Văn Khanh (2014), “Giáo trình cơ sở an toàn thông tin”, NXB

Bách Khoa – Hà Nội

Giáo trình khái quát tổng thể các khái niệm cơ bản về các vấn đề xung quanh bảo

vệ hệ thống tin học, đồng thời giới thiệu các kiến thức về lĩnh vực an toàn và bảo mậtmáy tính ở mức độ tiệm cận và chuyên sâu bao gồm giới thiệu tổng quan về an toànthông tin, đưa ra cơ sở lý thuyết mật mã và ứng dụng hệ thống mât mã khóa công khai,chữ ký điện tử, hàm băm, quản lý khóa, xác thực, điều khiển truy cập Giáo trình cũng

đi sâu phân tích về an toàn trên Internet, mã độc, an toàn phần mềm, các giao thức mật

mã và ứng dụng của nó Từ đó, người đọc có thể hình dung cụ thể về các chủ đềnghiên cứu chính của vấn đề này

- Nguyễn Minh Hiển (2011), Luận văn thạc sĩ với đề tài: “Nghiên cứu một số phương pháp đảm bảo an toàn hệ thống thông tin bằng kiểm soát truy nhập”, Học viện

Công nghệ bưu chính viễn thông

Bằng bài luận văn này, Nguyễn Minh Hiển đã đưa ra được cơ sở lý thuyết của antoàn thông tin, các lý thuyết toán học cơ bản như khái niệm về hàm băm, mã hóa, … Bêncạnh đó, luận văn còn đề cập tới một số phương pháp kiểm soát truy nhập hệ thống thôngtin và thử nghiệm chữ ký số RSA để kiểm soát truy nhập hệ thống thông tin

1.3.2 Tình hình nghiên cứu trên thế giới

Theo những nghiên cứu về hành vi tổ chức tấn công về bảo mật, Phó chủ tịchTrend Micro tại khu vực Châu Âu, ông Dervla Mannion cho biết với sự quan sát đánhgiá của mình ông thấy rõ tốc độ tấn công nhanh, mở rộng thêm phạm vi của các cuộctấn công Tấn công vào thông tin bảo mật không còn chỉ là nhằm vào các cá nhânriêng lẻ mà còn nhằm vào các doanh nghiệp và chính phủ các nước Lỗ hổng bảo mật

của các doanh nghiệp góp phần làm các cuộc tấn công không chỉ còn ở phạm vi quốcgia, một châu lục mà trên toàn thế giới Năm 2014 là năm sung mãn của tội phạmmạng, bảo mật toàn cầu.

Tội phạm ngày càng phát triển thì vai trò của người dùng cũng như các công tybảo mật cần được nâng cao Bảo vệ chính mình dường như không còn là quan niệm lạđối với người dùng công nghệ nữa Đặc biệt mạng công cộng, phần mềm miễn phí,thiết bị di động nên là điều mà người dùng lưu ý mỗi khi kết nối sử dụng

- William Stallings (2005), “Cryptography anh network security principles and pratices”, Fourth Edition, Prentice Hall.

Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá những vấn

đề cơ bản của công nghệ mật mã và an ninh mạng Bên cạnh đó, cuốn sách còn cungcấp giải pháp đơn giản hóa AES (Advanced Encryption Standard) cho phép người đọc

có thể nắm bắt được các yếu tố cần thiết của AES Các tính năng, thuật toán, hoạt động

mã hóa, CMAC (Cipher-based Message Authentication Code) để xác thực, mã hóachứng thực Bao gồm phương pháp phòng tránh, mở rộng cập nhật những phần mềmđộc hại và những kẻ xâm hại

- Man Young Rhee (2003), “Internet Security: Crytographic principles, algorithms and protocols”, John Wiley & Sons.

Cuốn sách này đề cập về vấn đề phản ánh vai trò trung tâm của các hoạt động,nguyên tắc, các thuật toán và giao thức bảo mật Internet và đưa ra các biện pháp khắcphục các mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã Tính xácthực, tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninhInternet Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai sau

đó truy cập vào mạng Kiến thức của cuốn sách được viết phù hợp cho sinh viên, các

kỹ sư chuyên nghiệp và các nhà nghiên cứu về các nguyên tắc bảo mật Internet

Các tài liệu trên đã đem lại cho người đọc những kiến thức, hiểu biết nhất định vềvấn đề an toàn bảo mật thông tin Từ đó, các doanh nghiệp có thể hiểu rõ hơn vềHTTT của mình và đưa ra kịp thời những biện pháp khắc phục cũng như biện phápphòng tránh việc bị rò rỉ thông tin trong HTTT của doanh nghiệp mình

Tuy nhiên, thời đại ngày một tân tiến, CNTT luôn có những bước phát triển từnggiờ, từng phút Do đó, những giải pháp này chưa thể đáp ứng đầy đủ được các yêu cầubảo mật hiện nay Kết quả của các tài liệu nghiên cứu trên chỉ đưa ra những biện phápcho người đọc tham khảo, tìm hiểu chứ chưa đi sâu, ứng dụng cụ thể tại một doanhnghiệp nào

Chính vì vậy, em lựa chọn đề tài: “Giải pháp an toàn bảo mật thông tin choHTTT tại công ty cổ phần TMĐT BSA” để phân tích rõ hơn các nguy cơ gây mất antoàn HTTT Từ đó đưa ra các giải pháp khắc phục, nâng cao hiệu quả an toàn và bảomật thông tin cho HTTT của công ty

Chương 2: ĐÁNH GIÁ THỰC TRẠNG CỦA ATBM THÔNG TIN CHO HTTT

TẠI CÔNG TY CỔ PHẦN TMĐT BSA.

2.1 TỔNG QUAN VỀ CÔNG TY CỔ PHẦN TMĐT BSA

2.1.1 Giới thiệu về công ty cổ phần TMĐT BSA

Điện thoại tại Việt Nam 02466505195

Số lượng nhân viên: 04 nhân viên

Xây dựng ứng dụng dành cho các mẹ bầu, app có tên: Mẹ Bầu.

Xây dựng website quản lý cư dân cho các

Cung cấp giải pháp quản lý môi trường cho phòng máy chủ

2.1.1.2 Website của doanh nghiệp

Hình 2.1: Website của công ty cổ phần TMĐT BSA

(Nguồn: Công ty cổ phần TMĐT BSA)

Là một doanh nghiệp hoạt động về lĩnh vực công nghệ thông tin nên website củadoanh nghiệp được thiết kế một cách khá hoàn thiện,với nhiều tính năng và thông tinđầy đủ phục vụ cho công việc tra cứu của khách hàng cũng như người có liên quan tớicác hoạt động của công ty

Tuy nhiên, website vẫn chưa có giao dịch trực tuyến giữa khách hàng và công ty,khách hàng chỉ có thể tìm hiểu thông tin về doanh nghiệp mà không giao dịch trực tiếptrên website

2.1.1.3 Cơ cấu tổ chức của doanh nghiệp

• Sơ đồ bộ máy tổ chức của doanh nghiệp

Hình 2.2: Cấu trúc tổ chức của công ty cổ phần TMĐT BSA

(Nguồn: Công ty cổ phần TMĐT BSA)

• Chức năng của các phòng ban

- Bộ phận hành chính: Xây dựng kế hoạch tuyển dụng nhân sự dựa trên nhu cầunhân sự của doanh nghiệp; kế hoạch tiền lương hàng năm; Quản lý cán bộ, nhân sự vàtiền lương theo các quy định của Nhà nước và của công ty; Quản lý toàn bộ tài sản,trang thiết bị văn phòng của công ty

- Bộ phận Marketing: Chủ động tìm kiếm đối tác để phát triển, mở rộng mạng

lưới kinh doanh, từng bước mở rộng thị trường trong và ngoài nước Đặc biệt, chútrọng phát triển các ứng dụng mới cho thị trường Việt Nam Bộ phận marketing đóngvai trò quan trọng trong việc thúc đẩy các sản phẩm mới đến với khách hàng

- Bộ phận kỹ thuật: Là bộ phận trực tiếp tạo nên các sản phẩm bao gồm các nhân

viên coder, tester, contenter, designer Bộ phận này được chia thành các team phụtrách các ứng dụng khác nhau tạo nên tính chuyên nghiệp cao Mỗi team chịu tráchnhiệm thực hiện dự án xây dựng một phần mềm hoàn chỉnh

2.1.2 Tình hình hoạt động kinh doanh

2.1.2.1 Mục tiêu hoạt động của doanh nghiệp

 Mục tiêu chính của doanh nghiệp

Trong thời gian sắp tới, doanh nghiệp tiếp tục phát triển thị trường đã có, đặc biệt

chú trọng phát triển tại thị trường Nhật Bản và mở rộng thị trường mới, tập trung xâydựng phát triển các sản phẩm ứng dụng cung cấp cho thị trường Việt Nam, nâng caodoanh thu hàng năm, nâng cao các dịch vụ chăm sóc khách hàng.

Tăng trưởng doanh nghiệp gắn liền với nhiệm vụ xây dựng môi trường làm việcthân thiện và hiện đại, đầu tư xây dựng hệ thống hạ tầng công nghệ cao, xây dựng vănhoá doanh nghiệp vững mạnh

 Mục tiêu phát triển sản phẩm

Liên tục phát triển, cải tiến và nâng cao chất lượng sản phẩm, áp dụng các côngnghệ mới, hoàn thiện dịch vụ, tiến đến thỏa mãn các yêu cầu của khách hàng với chấtlượng được mong đợi ở mức độ cao nhất

Nghiên cứu xây dựng các sản phẩm mới có tính ứng dụng cao đặc biệt là các sảnphẩm ứng dụng chạy trên nền tảng hệ điều hành Androi dành cho smartphone, cungcấp cho khách hàng một kho ứng dụng phong phú và tiện ích

Xây dựng và phát triển các sản phẩm trên nền tảng các công nghệ tiên tiến, hiệnđại, bắt kịp sự phát triển của lĩnh vực công nghệ thông tin hiện nay Hướng tới pháttriển các gói sản phẩm hoàn thiện chuyên biệt cho các lĩnh vực khác nhau tạo nên tínhchuyên môn cao

2.1.2.2 Tình hình hoạt động kinh doanh 3 năm gần đây của doanh nghiệp

Bảng 2.1: Kết quả hoạt động kinh doanh của công ty giai đoạn 2016-2018

6 Lợi nhuận trước thuế 391.230.000 501.069.000 973.680.000

7 Lợi nhuận sau thuế 332.545.500 425.908.650 827.628.000

(Nguồn: Công ty cổ phần TMĐT BSA)

Dựa trên các báo cáo tài chính giai đoạn 2016 – 2018 cho thấy tuy công ty có quy

mô nhỏ và mới đặt chân vào thị trường nhưng đã thu được những thành quả đáng kểtrong việc thâm nhập vào thị trường và tạo nên thương hiệu, uy tín lớn với các đối táccủa họ

2.2 THỰC TRẠNG CỦA VẤN ĐỀ AN TOÀN BẢO MẬT THÔNG TIN

CHO HTTT TẠI CÔNG TY CỔ PHẦN TMĐT BSA

Trang thiết bị phần cứng:

- Hệ thống máy chủ tại công ty:

Operating System: Windows 10 Pro 64-bit (10.0, Build 17763)

System Model: H97-Gaming 3

BIOS: F7

Processor: Intel® Xeon® CPU E3-1231 v3 @ 3.40GHz (8 CPUs), ~3.4GHzSSD SamSung 250G

- Số lượng máy chủ: 2 chiếc

- Số lượng máy in: 2 chiếc

- Số lượng máy chiếu: 2 chiếc

- Số lượng máy tính: 25 chiếc

Trang thiết bị phần mềm:

- Số lượng nhân viên CNTT: 10

- Hệ điều hành mà doanh nghiệp sử dụng là Windows 10

- MS Office: word, excel…

Hệ thống mạng:

- Cơ sở hạ tầng mạng:

+ Mạng LAN

+ Mạng không dây wifi

- Cấu trúc của hệ thống mạng trong công ty:

+ Cấu trúc mạng lai ghép và bao gồm cả có dây và không dây

+ Internet chia sẻ thông qua router

Hình 2.3: Mô hình hệ thống mạng trong công ty cổ phần TMĐT BSA

Nguồn: Công ty cổ phần TMĐT BSA

Kết quả xử lý phiếu điều tra

Để thu thập thông tin về tình hình ứng dụng CNTT tại công ty cổ phần TMĐTBSA, em đã thực hiện điều tra sơ bộ thông qua việc gửi các phiếu điều tra đến 25 nhânviên trong công ty Kết quả thu được như sau:

Câu 1: Mức độ an toàn bảo mật thông tin cho HTTT trong công ty theo cảm nhận của anh (chị)?

Hình 2.4: Mức độ an toàn bảo mật thông tin trong công ty

Từ biểu đồ trên thấy được có 2 người cho rằng mức độ an toàn bảo mật thông tincủa công ty là rất tốt, 5 người cho rằng là tốt, 10 người cho rằng là trung bình và cònlại là 8 người cho rằng mức độ đó ở mức yếu Từ đó, ta thấy được mức độ bảo mậtthông tin của công ty chưa cao