Một số giải pháp đảm bảo an toàn và bảo mật cho hệ thống thông tin của công ty trách nhiệm hữu hạn tư vấn và thương mại Vlead.

Trong thời gian thực tập tại công ty TNHH tư vấn và thương mại V-lead em nhận thấy những giải pháp hiện nay doanh nghiệp đanglựa chọn để đảm bảo tính an toàn bảo mật cho HTTT đã phần nào

LỜI CẢM ƠN

Lời đầu tiên, em xin gửi lời cảm ơn sâu sắc nhất tới cô giá Lê Thị Thu đã chỉ

bảo, hướng dẫn em tận tình trong suốt thời gian thực hiện đề tài để em có thể hoàn

thành Khóa luận tốt nghiệp với đề tài: Một số giải pháp đảm bảo an toàn và bảo mật cho hệ thống thông tin của công ty trách nhiệm hữu hạn tư vấn và thương mại V-lead.

Đồng thời em xin bày tỏ lòng cảm ơn tới các thầy cô giáo trong trường, đặcbiệt các thầy cô ở khoa Hệ Thống Thông Tin Kinh Tế Và Thương Mại Điện Tử đãtruyền thụ cho em những kiến thức quý báu trong suốt bốn năm ngồi trên ghế giảngđường trường Đại học Thương Mại, giúp em có đủ kiến thức hoàn thành tốt bàikhóa luận này

Em cũng xin gửi lời cảm ơn chân thành nhất đến ban lãnh đạo công ty tráchnhiệm hữu hạn tư vấn và thương mại V-lead cùng toàn thể nhân viên trong công ty

đã quan tâm, ủng hộ, hỗ trợ và tạo điều kiện cho em tìm hiểu, nghiên cứu trong suốtquá trình thực tập và thu thập tài liệu

Do thời gian nghiên cứu khóa luận khá hạn hẹp, trình độ và khả năng của bảnthân em còn hạn chế Vì vậy, bài khóa luận chắc chắn không tránh khỏi những thiếusót, kính mong cô giáo Lê Thị Thu, các thầy cô giáo trong khoa Hệ Thống ThôngTin Kinh Tế góp ý, tận tình chỉ bảo để bài của em được hoàn thiện hơn

Em xin chân thành cảm ơn!

Sinh viên thực hiện

Vũ Thị Phượng

MỤC LỤC

LỜI CẢM ƠN i

MỤC LỤC ii

DANH MỤC SƠ ĐỒ, BẢNG BIỂU,HÌNH VẼ iv

DANH MỤC TỪ VIẾT TẮT v

CHƯƠNG 1: TỔNG QUAN ĐỀ TÀI NGHIÊN CỨU 1

1.1 Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu 1

1.2 Tổng quan vấn đề nghiên cứu 1

1.2.1 Tổng quan tình hình nghiên cứu ở Việt Nam 1

1.2.2 Tổng quan tình hình nghiên cứu trên thế giới 2

1.3 Mục tiêu nghiên cứu của đề tài 4

1.4 Đối tượng và phạm vi nghiên cứu của đề tài 5

1.4.1 Đối tượng nghiên cứu của đề tài 5

1.4.2 Phạm vi nghiên cứu của đề tài 5

1.5 Phương pháp thực hiện đề tài 5

1.5.1 Phương pháp thu thập dữ liệu 5

1.5.2 Phương pháp phân tích và xử lý dữ liệu 7

1.6 Kết cấu của khóa luận 7

CHƯƠNG 2: CƠ SỞ LÍ LUẬN VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN VÀ BẢO MẬT CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY TNHH 8

TƯ VẤN VÀ THƯƠNG MẠI V-LEAD 8

2.1 Cơ sở lí luận về an toàn và bảo mật HTTT 8

2.1.1 Một số khái niệm cơ bản về an toàn và bảo mật dữ liệu 8

2.1.2 Một số vấn đề về lý thuyết liên quan đến an toàn và bảo mật HTTT 10

2.1.3 Phân định nội dung nghiên cứu 13

2.2 Phân tích, đánh giá thực trạng về an toàn bảo mật HTTT của công ty TNHH tư vấn và thương mại V-lead 13

2.2.1 Giới thiệu chung về công ty 13

2.2.2 Phân tích, đánh giá thực trạng về vấn đề đảm bào AT cho HTTT của công ty TNHH tư vấn và thương mại V-lead 18

2.2.3 Đánh giá về thực trạng an toàn bảo mật cho HTTT của công ty TNHH tư vấn và thương mại V-lead 34

CHƯƠNG 3: ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO HTTT CỦA

CÔNG TY TNHH TƯ VẤN VÀ THƯƠNG MẠI DỊCH VỤ V-LEAD 37

3.1 Định hướng phát triển an toàn cho HTTT của công ty TNHH tư vấn và thương mại V-lead 37

3.2 Các đề xuất nhằm nâng cao an toàn và bảo mật thông tin cho hệ thống thông tin của công ty TNHH tư vấn và thương mại V-lead 38

3.2.1 Giải pháp an toàn bảo mật cho phần cứng 38

3.2.2 Giải pháp an toàn bảo mật cho phần mềm 42

3.2.3 Giải pháp an toàn bảo mật cho dữ liệu 43

3.2.4 Con người 51

3.2.5 Mạng 55

3.3 Kiến nghị với công ty TNHH tư vấn và thương mại V-lead 65

KẾT LUẬN 67

TÀI LIỆU THAM KHẢO

PHỤ LỤC

DANH MỤC SƠ ĐỒ, BẢNG BIỂU,HÌNH VẼ

Sơ đồ 2.1 sơ đồ cơ cấu nhân sự công ty TNHH tư vấn và thương mại V-lead .15

Bảng 2.1 Kết quả hoạt động kinh doanh cuả công ty năm 2015 và 2016 17

Bảng 2.2: Thống kê trang thiết bị phần cứng của công ty 18

Biểu đồ 2.1: Chất lượng các thiết bị phần cứng 19

Biểu đồ 2.2: Sự cố phần cứng công ty thường gặp 19

Biểu đồ 2.3: Các giải pháp bảo mật thông tin trên phần cứng 20

Biểu đồ 2.4: Các thiết bị bảo mật bằng phần cứng 21

Bảng 2.2: Tần suất sao lưu dữ liệu 21

Biểu đồ 2.5: Mức độ hài lòng của nhân viên trong công ty đối với các phần mềm ứng dụng 22

Biểu đồ 2.6: Biểu đồ thể hiện tỉ lệ người sử dụng phần mềm bảo mật 23

Biểu đồ 2.7: Tỷ lệ người đặt password cho phần mềm 23

Biểu đồ 2.8: Cách thức đảm bảo ATTT được sử dụng 24

Biểu đồ 2.9: Cách thức lưu trữ CSDL được sử dụng trong công ty 25

Biểu đồ 2.10: Cách thức bảo vệ CSDL được sử dụng trong Công ty 26

Bảng 2.3: Tần suất sao lưu dữ liệu 26

Biểu đồ 2.11: Các hình thức giao dịch chủ yếu của khách hàng với công ty 27

Biểu đồ 2.12: Biểu đồ cách thức bảo mật thông tin cho khách hàng 28

Biểu đồ 2.13: Ngân sách mà công ty dự định đầu tư cho công tác bả mật thông tin và CSDL 28

Biểu đồ 2.14: Những vấn đền công ty gặp phải về mạng 29

Biểu đồ 2.15: Phương thức bảo mật mạng của công ty 30

Biểu đồ 2.16: Các phương thức bảo mật đường truyền 30

Biểu đồ 2.17: Trình độ về CNTT của nhân viên trong công ty 31

Biểu đồ 2.18: Mức độ quan trọng của các thành phần trong HTTT của công ty

32

Biểu đồ 2.19: Cách thức đào tạo CNTT cho nhân viên của công ty 32

Biểu đồ 2.20: Mức độ quan trọng trong việc bảo mật website tại công ty 33

Biểu đồ 2.21: Thời gian mà công ty tiến hành bảo mật thông tin website 34

Hình 3.1: sản phẩm Defcon Worksurface Lock của Targus 38

Hình 3.2: Ngăn chặn mất dữ liệu bằng cách vô hiệu hóa các cổng và thiết bị thông qua Device Manage của Windows 39

CPU Central Processing Unit Bộ xử lý trung tâm

SPSS Statistical Package for Social Sciences Gói thống kê khoa học xã hội

IETF Internet Engineering Task Force Lực lượng chuyên trách về kỹ thuật

liên mạngIMAP Internet Messaging Access Protocol

SQL Structured Query Language Ngôn ngữ truy vấn cấu trúc.WPS Wifi Protected Access Phương thức liên minh wifiAES Advanced Encryption Standard Tiêu chuẩn mã hóa tiên tiếnCBC Cipher-Block Chaining

EFS Encrypting File System Mã hóa file hệ thống

TLS Transport Layer Security

CHƯƠNG 1: TỔNG QUAN ĐỀ TÀI NGHIÊN CỨU 1.1 Tầm quan trọng, ý nghĩa của vấn đề nghiên cứu

Trong nền kinh tế toàn cầu hóa như hiện nay, công nghệ thông tin đã chi phốimọi hoạt động trong lĩnh vực của đời sống kinh tế - xã hội đặc biệt là lĩnh vực kinhdoanh Thông tin là một tài sản vô cùng quý báu của các doanh nghệp Ứng dụngcông nghệ thông tin vào lĩnh vực kinh tế giúp ta nắm bắt thông tin một cách chínhxác, kịp thời, đầy đủ, góp phần nâng cao hiệu quả kinh doanh, thúc đẩy nền kinh tế

mở rộng và phát triển

Ngày nay, vấn đề an toàn và bảo mật thông tin được xem là một trong nhữngyếu tố vô cùng quan trọng quyết định sự thành bại của các doanh nghiệp trênthương trường Đồng thời, các loại hình đánh cắp thông tin, xâm nhập hệ thốngthông tin trái phép cũng ngày một tinh vi hơn và gây ra những thiệt hại khó lườngcho các cá nhân, công ty, tổ chức Do đó, chúng ta cần phải liên tục có những biệnpháp tối ưu nhất để đảm bảo an toàn cho hệ thống thông tin của công ty và vì vậy

mà xây dựng giải pháp đảm bảo an toàn cho HTTT của công ty là nhu cầu cấpthiết hiện nay

Sự phát triển bùng nổ của công nghệ và mức độ phức tạp ngày càng tăng cóthể dẫn đến khả năng không kiểm soát nổi hệ thống CNTT, làm tăng số điểm yếu

và nguy cơ mất an toàn của hệ thống Vì vậy việc bảo vệ an toàn thông tin, đảmbảo tính bí mật, tính toàn vẹn, tính sẵn sàng, tính xác thực cũng như trách nhiệmthông tin trao đổi là rất cần thiết Trong thời gian thực tập tại công ty TNHH tư vấn

và thương mại V-lead em nhận thấy những giải pháp hiện nay doanh nghiệp đanglựa chọn để đảm bảo tính an toàn bảo mật cho HTTT đã phần nào đáp ứng được yêucầu đặt ra nhưng vẫn chưa triệt để ở tất cả các hệ thống Nhận thức được điều đó

sau thời gian thực tập tại công ty em quyết định chọn đề tài: “Một số giải pháp đảm bảo an toàn và bảo mật cho hệ thống thông tin của Công ty TNHH tư vấn

và thương mại V-lead.”làm đề tài nghiên cứu của mình.

1.2 Tổng quan vấn đề nghiên cứu

1.2.1 Tổng quan tình hình nghiên cứu ở Việt Nam

Trong thời gian qua các công trình nghiên cứu về an toàn và bảo mật thông tintrong nước cũng có nhiều khởi sắc tích cực, nhiều công trình nghiên cứu, sách và tàiliệu khoa học về an toàn và bảo mật thông tin ra đời như:

Đàm Gia Mạnh (2009),Giáo trình an toàn dữ liệu trong thương mại điện tử, NXB Thống Kê

Giáo trình này đưa ra những vấn đề cơ bản liên quan đến an toàn dữ liệu trongTMĐT như khái niệm, mục tiêu, yêu cầu an toàn dữ liệu trong TMĐT, cũng nhưnhững nguy cơ mất an toàn dữ liệu trong TMĐT, các hình thức tấn công trongTMĐT Từ đó, giúp các nhà kinh doanh tham gia TMĐT có cái nhìn tổng thể về antoàn dữ liệu trong hoạt động của mình Ngoài ra, trong giáo trình này cũng đề cậpđến một số phương pháp phòng tránh các tấn công gây mất an toàn dữ liệu cũngnhư các biện pháp khắc phục hậu quả thông dụng, phổ biến hiện nay, giúp các nhàkinh doanh có thể vận dụng thuận lợi hơn trong những công việc hàng ngày củamình

Phan Đình Diệu (2002), Giáo trình “Lý thuyết mật mã và an toàn thông tin”, Đại học Quốc gia Hà Nội.

Nội dung chính là khái quát chung về lý thuyết mật mã, các công cụ toán học

có liên quan đến việc đảm bảo an toàn thông tin Hệ mật khóa đối xứng, hệ mậtkhóa công khai; Chữ ký điện tử, ứng dụng và thực hành…

Bộ môn Công nghệ thông tin (2014), Bài giảng an toàn và bảo mật hệ thống thông tin, Đại học Nha Trang.

Bài giảng đưa ra một số vấn đề an toàn bảo mật thông tin và việc khắc phục,bảo vệ thông tin trong quá trình truyền thông tin trên mạng và bảo vệ hệ thống máytính, và mạng máy tính, khỏi sự xâm nhập phá hoại từ bên ngoài giúp cho các nhàkinh doanh cũng như doanh nghiệp áp dụng cho hệ thống của mình

1.2.2 Tổng quan tình hình nghiên cứu trên thế giới

Công nghệ thông tin ngày càng phát triển dẫn đến càng nhiều hình thức tinh

vi, tiểu sảo, nhiều các cuộc tấn công đánh cắp dữ liệu vào các website của cácdoanh nghiệp lớn nhỏ, các tổ chức, chính phủ Vì thế, những phương hướng vàgiải pháp đảm bảo an toàn và bảo mật thông tin được mọi người rất quan tâm

William Stallings(2005), Cryptography and network security principles and practices, Fourth Edition, Prentice Hall, 2005

Cuốn sách nói về vấn đề mật mã và an ninh mạng hiện nay, khám phá nhữngvấn đề cơ bản của công nghệ mật mã và an ninh mạng Kiểm tra các thực hành an

ninh mạng thông qua các ứng dụng thực tế đã được triển khai thực hiện và sử dụngngày nay.

Giải pháp đơn giản hóa AES (Advanced Encryption Standard) cho phép ngườiđọc dễ dàng nắm bắt các yếu tố cần thiết của AES Tính năng ngăn chặn chế độthuật toán, mã hoá hoạt động, bao gồm cả chế độ CMAC (Cipher-based MessageAuthentication Code) để xác thực và chế độ mã hoá chứng thực Bao gồm phươngpháp giải quyết, mở rộng cập nhật những phần mềm độc hại và những kẻ xâm hại

William Stallings, Computer Networking with Internet Protocols and Technology, Pearson, 2003

Cuốn sách nói về các mạng máy tính và các công nghệ Internet hàng đầutiên Vấn đề lớn đối đầu với các nhà thiết kế mạng lưới bao gồm sự cần thiết phải

hỗ trợ đaphương tiện và giao thông thời gian thực, để kiểm soát tắc nghẽn, và đểcung cấp mức độ khác nhau về chất lượng dịch vụ (QoS) cho các ứng dụng khácnhau Các văn bản kết hợp, những giải pháp cho các vấn đề trong cuộc thảo luận vềcác nguyên tắc, phương pháp thiết kế, và một cuộc điều tra để cập nhật lên sự pháttriển trong các giao thức dựa trên Internet và các thuật toán

- Top-down, linh hoạt, tổ chức mô-đun.

- Báo cáo về các giao thức Internet thế hệ tiếp theo giải thích RSVP, MPLS,

SIP và RTP và làm thế nào họ phù hợp với nhau

- Trong chiều sâu bảo hiểm Giới thiệu giao thức TCP / IP, hiệu quả của nó,

và điều khiển tắc nghẽn cung cấp một nền tảng cho các vật liệu cao cấp chi tiết

- Khảo sát toàn diện về an ninh mạng và quản lý mạng lưới bao gồm các yêu

cầu và các vấn đề thiết kế tham gia vào việc quản lý và an toàn hệ thống phân phốibảo vệ

- Man Young Rhee (2003), Internet Security: Crytographic principles,

algorithms and protocols John Wiley & Sons

Cuốn sách này viết về vấn đề phản ánh vai trò trung tâm của các hoạt động,nguyên tắc, các thuật toán và giao thức bảo mật Internet.Đưa ra các biện pháp khắcphục các mốiđe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã Tính xácthực, tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việcđảm bảoanninh Internet Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất

cứ ai sau đó truy cập vào mạng Toàn vẹn thông điệp là cần thiết bởi vì dữ liệu có

thể bị thay đổi bởi kẻ tấn công thông qua đường truyền Internet.Các tài liệu trongcuốn sách này trình bày lý thuyết và thực hành về bảo mật Internet được thông quamột cách nghiêm ngặt, kỹ lưỡng và chất lượng.Kiến thức của cuốn sách được viết

để phù hợp cho sinh viên và sau đại học, các kỹ sư chuyên nghiệp và các nhànghiên cứu về các nguyên tắc bảo mật Internet

- Giải pháp phát hiện và phòng chống tấn công mạng của Firewall WatchGuard (Bài báo trên trang web antoanthongtin.vn).

Mới đây, hãng bảo mật Firewall WatchGuard đã phát triển thành công tínhnăng Threat Detection and Response (TDR) giúp phát hiện và phản hồi các mối đedọa, đảm bảo an toàn cho các node mạng và thiết bị đầu cuối Giải pháp này chophép giám sát các node mạng và thiết bị đầu cuối và bằng cơ chế phân tích thôngminh có thể phát hiện, chọn lọc ưu tiên và xử lý kịp thời khi các mối nguy hiểm xảy

ra TDR có nhiều tính năng như: xử lý các mối nguy hiểm theo độ ưu tiên và mức

độ an toàn, tăng mức độ an toàn chống lại các phần mềm độc hại hay hỗ trợ chodoanh nghiệp với quy mô khác nhau mà không tốn thêm chi phí

Man Young Rhee (2003), Internet Security: Crytographic principles, algorithms and protocols John Wiley & Sons

Cuốn sách này viết về vấn đề phản ánh vai trò trung tâm của các hoạt động,nguyên tắc, các thuật toán và giao thức bảo mật Internet Đưa ra các biện pháp khắcphục các mối đe dọa do hoạt động tội phạm dựa vào độ phân giải mật mã Tính xácthực, tính toàn vẹn và thông điệp mã hóa là rất quan trọng trong việc đảm bảo an ninhInternet Nếu không có các thủ tục xác thực, kẻ tấn công có thể mạo danh bất cứ ai sau

đó truy cập vào mạng Các tài liệu trong cuốn sách này trình bày lý thuyết và thực hành

về bảo mật Internet được thông qua một cách nghiêm ngặt, kỹ lưỡng và chất lượng.Kiến thức của cuốn sách được viết để phù hợp cho sinh viên và sau đại học, các kỹ sưchuyên nghiệp và các nhà nghiên cứu về các nguyên tắc bảo mật Internet

1.3 Mục tiêu nghiên cứu của đề tài

Hiện nay, mất an toàn thông tin là nguy cơ mà hầu hết các doanh nghiệp phảiđối mặt nhưng phần lớn các cán bộ, nhân viên không chú trọng tới việc bảo đảm antoàn thông tin của doanh nghiệp, không ý thức được tầm quan trọng của việc đảmbảo an toàn thông tin trong doanh nghiệp Do vậy mục tiêu nghiên cứu của đề tàinày là:

- Tập hợp và hệ thống hóa một số lý thuyết cơ bản về đảm bảo an toàn choHTTT bao gồm đảm bảo an toàn cho: phần cứng, phần mềm, CSDL, mạng và conngười.

- Trình bày, tìm hiểu, phân tích đánh giá thực trạng về vấn đề đảm bảo an toàncho HTTT của công ty TNHH tư vấn và thương mại V-lead để đưa ra những ưuđiểm và các thiếu sót, lỗ hổng của HTTT của doanh nghiệp

- Trên cơ sở nghiên cứu thực trạng tình hình tại công ty, từ đó đưa ra một số

đề xuất những giải pháp tối ưu, hiệu quả nhất đẻ đảm bảo an toàn cho HTTT củacông ty

1.4 Đối tượng và phạm vi nghiên cứu của đề tài

1.4.1 Đối tượng nghiên cứu của đề tài

Trong đề tài nghiên cứu này đối tượng nghiên cứu của đề tài là:

- Vấn đề an toàn thông tin cho HTTT của công ty TNHH tư vấn và thươngmại V-lead

- Giải pháp đảm bảo cho HTTT của công ty TNHH tư vấn và thương mại lead

V-1.4.2 Phạm vi nghiên cứu của đề tài

Đề tài sẽ tập trung nghiên cứu trong phạm vi công ty TNHH tư vấn và thương mại V-lead, cụ thể:

-Về mặt không gian: Dựa trên tài liệu thu thập được tại công ty, các phiếu điều

tra và các tài liệu tham khảo được, đề tài tập trung nghiên cứu vấn đề an toàn và bảomật HTTT tại công ty TNHH tư vấn và thương mại V-lead

- Về thời gian: Đề tài sử dụng tài liệu tham khảo năm 2002, 2005, 2009, 2014

và số liệu báo cáo tài chính, tài liệu liên quan của công ty giai đoạn 2015- 2016 Các

số liệu được khảo sát trong quá trình thực tập tại công ty

1.5 Phương pháp thực hiện đề tài

1.5.1 Phương pháp thu thập dữ liệu

Việc thu thập dữ liệu là công việc đầu tiên của quá trình nghiên cứu Phươngpháp thu thập dữ liệu là cách thức thu thập dữ liệu và phân loại sơ bộ các tài liệuchứa đựng các thông tin liên quan tới đối tượng nghiên cứu của đề tài thực hiện

- Phương pháp thống kê, thu thập số liệu bằng cách sử dụng phiếu điều tra :

thiết kế những phiếu điều tra, hướng dẫn người sử dụng điền những thông tin cần

thiết nhằm thăm dò dư luận, thu thập các ý kiến, quan điểm có tính đại chúng rộngrãi

Bảng câu hỏi gồm 24 câu hỏi, 9 câu hỏi về các thông tin chung của công ty, 15câu hỏi về đều xoay quanh các hoạt động đảm bảo an toàn về HTTT như: phầncứng, phần mềm, mạng, CSDL và con người được triển khai và hiệu quả của cáchoạt động này đối với công ty

Mục đích: Thu thập thông tin về hoạt động an toàn cho HTTT của công ty để

từ đó đánh giá thực trạng và đưa ra nhưng giải pháp phù hợp đảm bảo an toàn choHTTT của công ty TNHH tư vấn và thương mại V-lead

- Phương pháp thu thập dữ liệu thứ cấp:

Dữ liệu thứ cấp là những thông tin đã được thu thập và xử lý trước đây vì cácmục tiêu khác nhau của công ty

Nguồn tài liệu bên trong: Bao gồm các báo cáo kết quả hoạt động kinh doanhcủa công ty trong vòng 2 năm: 2015 và 2016 được thu thập từ phòng kế toán, phòngnhân sự của công ty, từ phiếu điều tra và tài liệu thống kê khác

Nguồn tài liệu bên ngoài: Từ các công trình nghiên cứu khoa học, tạp chí, sáchbáo của các năm trước có liên quan đến đề tài nghiên cứu và từ Internet

Sau khi đã thu thập đầy đủ các thông tin cần thiết thì tiến hành phân loại sơ bộcác tài liệu đó Nếu thu thập thông tin đủ rồi thì bước tiếp theo là xử lý dữ liệu

- Phương pháp so sánh đối chiếu: Đối chiếu giữa lý luận và thực tiễn kết hợp

thu thập và xử lý thông tin từ các nguồn thu thập

- Phương pháp phân tích, tổng hợp, xử lý và đánh giá: Sử dụng Microsoft

office excel, vẽ biểu đồ minh họa để xử lý các số liệu thu thập được từ các nguồn tàiliệu bên trong công ty bao gồm báo cáo kết quả hoạt động kinh doanh của công tynăm 2015 – 2016, từ phiếu điều tra và tài liệu thống kê khác

Phương pháp phán đoán: dùng để đưa ra các dự báo, phán đoán về tình hình

phát triển HTTT của công ty, tình hình an toàn bảo mật thông tin chung trong nước

và thế giới cũng như đưa ra các nhận định về các nguy cơ mất an toàn thông tin màcông ty sẽ hứng chịu

Kết quả thu được được sử dụng ở chương I phần 1.1 và phần 3.2 chương III

1.5.2 Phương pháp phân tích và xử lý dữ liệu

Mỗi phương pháp xử lý thông tin đều có những ưu, nhược điểm riêng củachúng vì vậy trong đề tài nghiên cứu này chúng ta sẽ sử dụng các phương pháp xử

lý thông tin sau:

- Phương pháp định lượng: Dữ liệu sau khi thu thập sẽ được đưa ra phân tích

thông qua việc sử dụng Microsoft Office Excel 2010 Từ những biểu đồ được hoànthành sau khi nhập dữ liệu vào ta sẽ có những đánh giá cụ thể về thực trạng an toànbảo mật thông tin trong doanh nghiệp và tính cấp thiết của việc nâng cao tính antoàn bảo mật cho thông tin,

- Phương pháp định tính: Chọn lọc, phân tích, tổng hợp các dữ liệu thu thập

được thông quá các câu hỏi phỏng vấn và các dữ liệu, thông tin được thu thập từnhiều nguồn khác để phân tích làm rõ các thuộc tính, bản chất của sự vật hiện tượnghoặc làm sáng tỏ từng khía cạnh hợp thành nguyên nhân của vấn đề được phát hiện.Thường sử dụng để đưa ra các bảng số liệu thống kê, các biểu đồ thống kê, đồ thị.Phương pháp này sử dụng cho 2.2 và chương III

1.6 Kết cấu của khóa luận

Ngoài danh mục bảng biểu, sơ đồ hình vẽ, danh mục từ viết tắt, kết luận, tàiliệu tham khảo và phụ lục thì khóa luận gồm 3 phần:

CHƯƠNG 1: TỔNG QUAN VỀ VẤN ĐỀ NGHIÊN CỨU

CHƯƠNG 2: CƠ SỞ LÍ LUẬN VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN

VÀ BẢO MẬT CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY TNHH TU VẤN

VÀ THƯƠNG MẠI V-LEAD

CHƯƠNG 3: ĐỀ XUẤT GIẢI PHÁP ĐẢM BẢO AN TOÀN CHO HTTTCỦA CÔNG TY TNHH TƯ VẤN VÀ THƯƠNG MẠI V-LEAD

CHƯƠNG 2: CƠ SỞ LÍ LUẬN VÀ THỰC TRẠNG VỀ VẤN ĐỀ AN TOÀN

VÀ BẢO MẬT CHO HỆ THỐNG THÔNG TIN CỦA CÔNG TY TNHH

TƯ VẤN VÀ THƯƠNG MẠI V-LEAD 2.1 Cơ sở lí luận về an toàn và bảo mật HTTT

2.1.1 Một số khái niệm cơ bản về an toàn và bảo mật dữ liệu

- Thông tin là những dữ liệu đã được xử lý sao cho nó thực sự có ý nghĩa đối

với người sử dụng Thông tin được coi như một sản phẩm hoàn chỉnh thu được sauquá trình xử lý dữ liệu

- Đặc điểm của thông tin có giá trị

- Hệ thống là một tập hợp có tổ chức gồm nhiều phần tử có các mối quan hệ

ràng buộc lẫn nhau và cùng hoạt động hướng tới một mục tiêu chung Phần tử cóthể là vật chất hoặc phi vật chất: con người, máy móc, thông tin, dữ liệu, phươngpháp xử lý, quy tắc, quy trình xử lý

- Hệ thống thông tin là một tập hợp và kết hợp của các phần cứng, phần mềm

và các hệ mạng truyền thông được xây dựng và sử dụng để thu thập, tái tạo, phânphối và chia sẻ các dữ liệu, thông tin và tri thức nhằm phục vụ các mục tiêu của tổchức

Các tổ chức có thể sử dụng các hệ thống thông tin với nhiều mục đích khácnhau Trong việc quản trị nội bộ, hệ thống thông tin sẽ giúp đạt được sự thông hiểunội bộ, thống nhất hành động, duy trì sức mạnh của tổ chức, đạt được lợi thế cạnhtranh.Với bên ngoài, hệ thống thông tin giúp nắm bắt được nhiều thông tin về kháchhàng hơn hoặc cải tiến dịch vụ, nâng cao sức cạnh tranh, tạo đà cho phát triển

- Dữ liệu là các giá trị phản ánh về sự vật, hiện tượng trong thế giới khách

quan Nhưng là những giá trị thô, chưa có ý nghĩa với người sử dụng Dữ liệu có thể

là một tập hợp các giá trị mà không biết được sự liên hệ giữa chúng Dữ liệu quaquá trình xử lý, phân tích và đánh giá trở thành thông tin phục vụ cho các mục đíchkhác nhau của con người

Dữ liệu có thể biểu diễn dưới nhiều dạng khác nhau như âm thanh, văn bản,hình ảnh.

- Cơ sở dữ liệu (CSDL): tập hợp dữ liệu tương quan có tổ chức được lưu trữ

trên các phương tiện lưu trữ như đĩa từ, băng từ v v nhằm thỏa mãn các yêu cầukhai thác thông tin (đồng thời) của nhiều người sử dụng và của nhiều chương trìnhứng dụng

- An toàn thông tin: một hệ thống thông tin được coi là an toàn( security) khi

thông tin không bị làm hỏng hóc,không bị sửa đổi, thay đổi, sao chép hoặc xóa bỏbởi người không được phép

Một hệ thống thông tin an toàn thì các sự cố có thể xảy ra không thể làm chohoạt động chủ yếu của nó ngừng hẳn và chúng sẽ được khắc phục kịp thời màkhông gây thiệt hại đến mức độ nguy hiểm cho chủ sở hữu

- Bảo mật là sự hạn chế khả năng lạm dụng tài nguyên và tài sản Bảo mật trở

nên đặc biệt phức tạp trong quản lý, vận hành những hệ thống thông tin có sử dụngcác công cụ tin học, nơi có thể xảy ra và lan tràn nhanh chóng việc lạm dụng tàinguyên (các thông tin di chuyển vô hình trên mạng hoặc lưu trữ hữu hình trong cácvật liệu) và lạm dụng tài sản (các máy tính, thiết bị mạng, thiết bị ngoại vi, các phầnmềm của cơ quan hoặc người sở hữu hệ thống)

- Bảo mật thông tin là duy trì tính bí mật, tính trọn vẹn và tính sẵn sàng của

cá nhân được cấp quyền mới được phép sửa thông tin

+ Tính sẵn sàng (Availabillity) đảm bảo cho thông tin luôn ở trạng thái sẵnsàng phục vụ, bất cứ lúc nào người sử dụng hợp pháp có nhu cầu đều có thể truynhập được vào hệ thống

Hệ thống được coi là bảo mật nếu tính riêng tư của nội dung thông tin đượcđảm bảo theo đúng các tiêu chí trong một thời gian xác định

Hai yếu tố an toàn và bảo mật đều rất quan trọng và gắn bó với nhau: hệ thốngmất an toàn thì không bảo mật được và ngược lại hệ thống không bảo mật được thìmất an toàn

- Bảo mật CSDL chính là việc bảo vệ được thông tin trong CSDL tránh được

những truy cập trái phép đến CSDL, từ đó có thể thay đổi hay suy diễn nội dungthông tin CSDL

2.1.2 Một số vấn đề về lý thuyết liên quan đến an toàn và bảo mật HTTT

2.1.2.1 Các nguy cơ mất ATTT

- Nguy cơ ngẫu nhiên

Nguy cơ mất ATTT ngẫu nhiên có thể xuất phát từ các hiện tượng khách quannhư thiên tai(lũ lụt, sóng thần, động đất…), hỏng vật lý, mất điện…Đây là nhữngnguy cơ xảy ra bất ngờ, khách quan, khó dự đoán trước, khó tránh được nhưng đólại không phải là nguy cơ chính của việc mất ATTT

- Nguy cơ có chủ định( nguyên nhân chủ quan): Tin tặc, cá nhân bên ngoài,

phá hỏng vật lý, can thiệp có chủ ý

- Nguy cơ bị lộ thông tin của cá nhân, tổ chức và các giao dịch liên quan cho

bên thứ ba

- Nguy cơ bị kẻ xấu làm sai lệch thông tin bằng một trong ba cách:

+ “ Bắt” thông tin ở giữa đường di chuyển từ “nguồn” tới “đích”, sửa đổi haychèn, xoá thông tin và gửi đi tiếp

+ Tạo một nguồn thông tin giả mạo để đưa các thông tin đánh lừa “đích”.+ Tạo “đích” giả để lừa thông tin đến từ nguồn đích thật

- Nguy cơ bị tắc nghẽn, ngưng trệ thông tin: Tắc nghẽn và ngưng trệ thông tin

có thể di bị tấn công, hoặc có thể do bị mất điện, hoặc rất ngẫu nhiên là số lượngngười truy cập vào hệ thống trong cùng một lúc là rất lớn mà dung lượng đườngtruyền lại quá nhỏ gây ra tắc nghẽn

2.1.2.2 Hình thức tấn công HTTT

Các hình thức tấn công có thể kể đến là hình thức tấn công thụ động và tấn công chủ động Có thể hiểu đó là hình thức lấy cắp hoặc thay đổi, phá hoại dữ liệu

trái phép Vi phạm tính toàn vẹn, sẵn sàng dữ liệu

Hình thức tấn công thụ động là việc kẻ tấn công lấy được thông tin trên đường

truyền mà không gây ảnh hưởng gì đến thông tin được truyền từ nguồn đến đích

Tấn công thụ động rất khó phát hiện và khó phòng tránh nên rất nguy hiểm Hiệnnay tấn công thụ động đang ngày càng phát triển do đó cần có các biện pháp phòngtránh trước khi tấn công xảy ra.

- Tấn công thụ động là loại tấn công mà thông tin tài khoản bị đánh cắp được

lưu lại để sử dụng sau Loại tấn công này lại có hai dạng đó là tấn công trực tuyến(online) và tấn công ngoại tuyến (offline):

+ Tấn công ngoại tuyến có mục tiêu cụ thể, thực hiện bởi thủ phạm truy cậptrực tiếp đến tài sản nạn nhân, có phạm vi hạn chế và hiệu suất thấp Đây là dạngđánh cắp tài khoản đơn giản nhất, không yêu cầu có trình độ cao và cũng không tốnbất kỳ chi phí nào Người dùng có thể trở thành nạn nhân của kiểu tấn công này đơngiản chỉ vì họ để lộ mật khẩu hay lưu ở dạng không mã hóa trong tập tin có tên dễđoán trên đĩa cứng

+ Tấn công trực tuyến không có mục tiêu cụ thể Kẻ tấn công nhắm đến sốđông người dùng trên Intrenet, hy vọng khai thác những hệ thống lỏng lẻo hay lợidụng sự cả tin của người dùng để đánh cắp tài khoản.Hình thức phổ biến nhất củatấn công trực tuyến là phishing Phishing là một loại tấn công phi kỹ thuật, dùngđánh cắp các thông tin nhạy cảm bằng cách giả mạo người gửi, cách phòng tránhduy nhất là ý thức của người dùng

Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa

đổi, thay thế làm lệch đường đi của dữ liệu Đặc điểm của nó là có khả năng chặncác gói tin trên đường truyền, dữ liệu từ nguồn đến đích sẽ bị thay đổi Tấn côngchủ động tuy nguy hiểm nhưng lại dễ phát hiện được

Tấn công chủ động là dạng tấn công tinh vi đánh cắp và sử dụng tài khoản

trong thời gian thực Tấn công chủ động khá tốn kém và yêu cầu trình độ kỹ thuậtcao

Ngoài ra, còn một số hình thức tấn công như tấn công lặp lại là việc bắt thông điệp, chờ thời gian và gửi tiếp Hay tấn công từ chối dịch vụ (DoS - Denial of

Service) là tên gọi chung của kiểu tấn công làm cho một hệ thống nào đó bị quá tảidẫn tới không thể cung cấp dịch vụ hoặc phải ngưng hoạt động DoS lợi dụng sựyếu kém trong mô hình bắt tay 3 bước của TCP/IP, liên tục gửi các gói tin yêu cầukết nối đến server, làm server bị quá tải dẫn đến không thể phục vụ các kết nốikhác

Tấn công HTTT trên thực tế thường là sử dụng virus, trojan để ăn cắp thôngtin, lợi dụng các lỗ hổng trong các phần mềm ứng dụng, tấn công phi kỹ thuật Vớimục đích nhằm lấy cắp hoặc phá hỏng dữ liệu, thông tin cũng như các chương trìnhứng dụng.

2.1.2.3 Các phương pháp bảo mật HTTT

- Thiết lập và cấu hình hệ thống máy chủ an toàn.

- Thiết lập và cấu hình cơ sở dữ liệu an toàn, cài đặt các ứng dụng bảo vệ…

- Thiết lập cơ chế sao lưu và phục hồi và một số biện pháp kỹ thuật chống tấn

công từ chối dịch vụ (DDoS)

- Trong đó, việc thiết lập, cấu hình hệ thống máy chủ và cơ sở dữ liệu an toàn

là rất quan trọng trong việc đảm bảo ATTT vì sẽ giúp giảm thiểu hay tránh các lỗi

có thể dẫn đến khả năng bị tấn công

Các biện pháp cơ bản đảm bảo an toàn thông tin mà doanh nghiệp cần phảibiết:

+ Phân quyền người dùng: Người dùng sẽ được quyền đăng nhập, sử dụng tài

nguyên hệ thống dữ liệu trong phạm vi quyền hạn của mình Phân quyền người dùnggiúp phân chia rõ ràng quyền hạn, cách thức thao tác đối với hệ thống và dữ liệu theonhững yêu cầu khác nhau từ đó đảm bảo được tính riêng tư của người dùng, đảm bảo

an toàn thông tin hệ thống và nâng cao tính bảo mật cho hệ thống

+ Bảo mật kênh truyền dữ liệu: trong quá trình giao dịch điện tử, thông tin và dữ

liệu khi truyền giữa người gửi và người nhận dễ bị tấn công nhất Do đó, bảo mật kênhtruyền dữ liệu chủ yếu được thực hiện trong các giao dịch thương mại điện tử nhằmđảm bảo tính toàn vẹn của thông tin khi truyền qua mạng, giảm nguy cơ bị rò rỉ thôngtin người dùng khi giao dịch trực tuyến

+ Tường lửa: là một thiết bị (cả phần cứng và phần mềm) bảo vệ nằm ở biên giới

mạng máy tính, phân chia mạng máy tính thành hai vùng riêng biệt (vùng tin cậy vàvùng không tin cậy) nhằm bảo vệ truy cập trái phép từ vùng không tin cậy đối với vùngtin cậy Tường lửa có thể chặn luồng thông tin có khả năng nguy hại đến sự an toàn củamạng máy tính đồng thời lưu trữ thông tin quan trọng, nhạy cảm của đơn vị tránh sựxâm nhập trái phép từ bên ngoài

+ Sử dụng công cụ rà quét lỗ hổng, điểm yếu an ninh: thu thập thông tin về điểm

yếu của hệ thống mạng giúp hệ thống nhìn ra được khuyết điểm và đưa ra các biệnpháp khắc phục

+ Hệ thống ngăn chặn tấn công và phát hiện tấn công: đây là lớp phòng vệ quan

trọng trong các lớp giải pháp đảm bảo an toàn thông tin: IDS (hệ thống phát hiện tấncông, đột nhập); IPS (hệ thống ngăn chặn tấn công, đột nhập)

2.1.2.4 Vai trò của an toàn bảo mật thông tin

An toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền vữngcủa các doanh nghiệp Đối với mỗi doanh nghiệp, thông tin có thể coi là tài sản vôgiá

Rủi ro về thông tin có thể gây thất thoát tiền bạc, tài sản, con người và gâythiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp

Do vậy, đảm bảo ATTT doanh nghiệp cũng có thể coi là một hoạt động quantrọng trong sự nghiệp phát triển của doanh nghiệp

2.1.3 Phân định nội dung nghiên cứu

Với đề tài: “Một số giải pháp đảm bảo an toàn và bảo mật cho hệ thống thôngtin của Công ty TNHH tư vấn và thương mại V-lead”, mục tiêu cụ thể đặt ra là làm

rõ được các vấn đề về an toàn cho HTTT, thực trạng và giải pháp an toàn cho HTTTcủa Công ty TNHH tư vấn và thương mại V-lead

- Nghiên cứu tổng quan về vấn đề ATBM cho HTTT trong doanh nghiệp.

- Nghiên cứu về các nguy cơ mất an toàn HTTT của doanh nghiệp, các biện

pháp phòng tránh và khắc phục hậu quả

- Nghiên cứu thực trạng vấn đề an toàn bảo mật HTTT của công ty TNHH tư

vấn và thương mại V-lead Đưa ra các giải pháp nhằm đảm bảo an toàn cho HTTTcủa công ty TNHH tư vấn và thương mại V-lead

2.2 Phân tích, đánh giá thực trạng về an toàn bảo mật HTTT của công

ty TNHH tư vấn và thương mại V-lead.

2.2.1 Giới thiệu chung về công ty

2.2.1.1 Giới thiệu

Tên đầy đủ và chính thức: Công ty TNHH tư vấn và thương mại V-Lead.Trụ sở chính: Tầng 2, tòa nhà Giảng Võ lake view, D10 Giảng Võ, Ba Đình,

Hà Nội

Điện thoại: 04 3772 6655

Website: www.v-lead.com.vn

Giám đốc: Hoàng Văn Thiều

Mã số thuế: 0104141252 Ngày cấp giấy phép: 30-06-2010

Công ty hoạt động ở 3 lĩnh vực: sự kiện, truyền thông, dịch thuật nên các dịch

vụ công ty cung ứng cũng theo 3 lĩnh vực trên

Dịch vụ tổ chức sự kiện của V-LEAD

 Tư vấn và tổ chức trọn gói sự kiện: hội thảo, hội nghị khách hàng, sinh nhậtcông ty, tiệc chiêu đãi, họp báo, giới thiệu sản phẩm mới, lễ ký hết hợp đồng

 Tư vấn xây dựng kịch bản truyền thông cho sự kiện, sản phẩm và công ty

 Phòng ở cho đại biểu, vé máy bay, xe du lịch, đón tiễn sân bay

 Cung cấp thiết bị nghe nhìn phục vụ hội nghị

 Cung cấp quà tặng, biểu diễn nghệ thuật

 Tổ chức chương trình du lịch chất lượng cao kết hợp các mục tiêu đào tạo,xây dựng tinh thần làm việc theo nhóm (team building)

 Cung cấp biên, phiên dịch, MC chuyên nghiệp

 Dịch vụ biên dịch, phiên dịch tài liệu tiếng nước ngoài

Dịch vụ truyền thông V - LEAD

 Truyền thông sự kiện

 Truyền thông sản phẩm

 Quan hệ báo chí

 Xây dựng các ấn phẩm truyền thông

 Tổng hợp thông tin

Dịch vụ biên, phiên dịch sau:

 Phiên dịch Hội nghị, hội thảo

 Phiên dịch tháp tùng trong và ngoài nước

 Phiên dịch du lịch, khảo sát thị trường

 Phiên dịch đàm phán kinh tế

 Phiên dịch hiện trường công trình

 Dịch thuật công chứng các loại văn bản hành chính, pháp luật

 Dịch thuật các văn bản hành chính, xuất nhập khẩu, kế toán

 Dịch thuật tài liệu chuyên ngành kỹ thuật, bản vẽ, thiết kế

2.2.1.3 Bộ máy tổ chức

Cơ cấu tổ chức của công ty TNHH tư vấn và thương mại v-lead hiện nay đượcthể hiện trên hình 2.1

Sơ đồ 2.1 sơ đồ cơ cấu nhân sự công ty TNHH tư vấn và thương mại V-lead

(Nguồn: phòng tài chính-kế toán

Cơ cấu tổ chức gồm: giám đốc, phó giám đốc, các phòng ban: phòng kinhdoanh( sự kiện, truyền thông, dịch thuật), phòng kế toán, phòng kỹ thuật

Giám đốc:

- Điều hành trực tiếp mọi hoạt động thường xuyên trong giới hạn chức năng

và nhiệm vụ của mình

- Chịu trách nhiệm về việc quản lý điều hành các công việc của Công ty, phù

hợp với các mục tiêu, kế hoạch và ngân sách

- Chịu trách nhiệm về các khoản nợ và nghĩa vụ tài sản khác của công ty

trong phạm vi số vốn điều lệ của công ty

kế toán

- Quản lý chung về việc kinh doanh sao cho kết quả đạt được là cao nhất Hỗ

trợ giám đốc trong hoạt động kinh doanh, tuyển dụng nhân sự trong kinh doanh

- Phó tổng giám đốc chịu trách nhiệm trước giám đốc về kết quả hoạt động

kinh doanh trong phạm vi quyền hạn của mình

Phòng Kinh doanh

Chia ra làm 3 ban: sự kiện, truyền thông, dịch thuật Mỗi ban sẽ có những việcriêng đặc thù Ngoài ra, các ban này luôn luôn phải hỗ trợ, làm việc chung cùngnhau

- Lập kế hoạch kinh doanh của Công ty hằng năm, báo cáo việc thực hiện,

đánh giá các chỉ tiêu hoạt động kinh doanh từng kỳ, đề xuất các biện pháp nâng caohiệu quả kinh doanh cho Giám Đốc

- Phối hợp lập kế hoạch, đưa ra yêu cầu cho phòng kỹ thuật thực hiện chiến

lược kinh doanh của công ty

- Phối hợp triển khai, thực hiện, giám sát đánh giá hoạt động kinh doanh,

xây dựng các kế hoạch marketing sao cho hoạt động kinh doanh hiệu quả nhất, đưa

ra các biện pháp khắc phục để nâng cao hoạt động

- Đảm bảo việc tiếp nhận đầy đủ các ý kiến khiếu nại, phân loại, chuyển thông

tin đến các bộ phận có chức năng thực hiện, theo dõi, ghi chép hồ sơ các khiếu nạicủa khách hàng

- Tìm kiếm cơ hội phát triển, thị trường mới, khách hàng mới Duy trì hồ sơ,

có đánh giá, các biện pháp để giữ và tăng thị phần Công ty

Phòng tài chính - kế toán

- Có nhiệm vụ tổ chức toàn bộ công tác tài chính kế toán, tín dụng theo đúng

luật kế toán của Nhà nước, cụ thể là: Tổ chức và lưu trữ hệ thống sổ sách, chứng từ

kế toán và các vấn đề liên quan đến công tác kế toán của Công ty theo đúng chế độ

kế toán hiện hành Cung cấp các thông tin kế toán cho các bộ phận liên quan, cố vấncho Tổng giám đốc trong việc quản trị tài chính của Công ty

Phòng kỹ thuật:

- Chịu trách nhiệm trong công tác xây dựng, tiếp nhận chuyển giao và quản

lý các dịch vụ - ứng dụng, website Thực hiện các chương trình nghiên cứu pháttriển dịch vụ, ứng dụng, website cải tiến dịch vụ, kết nối với nhà mạng, áp dụngcông nghệ tiên tiến trong xây dựng phần mềm, dịch vụ, website cũng như ứng dụng

mới đáp ứng nhu cầu sử dụng của khách hàng; khắc phục lỗi phát sinh trong quátrình kinh doanh…

2.2.1.4 Tình hình hoạt động và báo cáo kết quả kinh doanh của công ty trong hai năm 2015,2016.

Bảng sau đây là một số chỉ tiêu về kết quả hoạt động kinh doanh qua hai năm 2015

và 2016

ĐVT:1000đ

1 Doanh thu bán hàng và cung cấp dịch

2 Các khoản giảm trừ doanh thu 2 2.690.003.978 2.667.190.850

3 Doanh thu thuần về bán hàng và cung

- Trong đó: Chi phí lãi vay 23 120.419.208 580.035.500

8 Chi phí quản lý kinh doanh 24 521.784.700 635.681.250

9 Lợi nhuận thuần từ hoạt động kinh

14 Chi phí thuế thu nhập doanh nghiệp 51 597.669.298 898.170.404

15 Lợi nhuận sau thuế thu nhập doanh

Bảng 2.1 Kết quả hoạt động kinh doanh cuả công ty năm 2015 và 2016

(Nguồn: phòng tài chính- kế toán)

Theo báo cáo kết quả kinh doanh của công ty TNHH tư vấn và thương mại lead, qua 2 năm 2015 và 2016, nhìn chung ta có thể nhận thấy công ty đang cónhững chuyển biến rất tích cực Biểu hiện:

V Doanh thu bán hàng và cung cấp dịch vụ năm 2016 tăng hơn 3 tỷ VNĐ sovới năm 2015

- Các khoản giảm trừ doanh thu giảm Năm 2015 hơn 2,69 tỷ VNĐ trong khinăm 2016 còn khoảng 2,67 tỷ VNĐ Điều này chính là dấu hiệu cho việc nâng mứclợi nhuận của doanh nghiệp tăng lên.

- Lợi nhuận sau thuế của doanh nghiệp tăng lên hơn 900 triệu VNĐ Mức lợinhuận này của doanh nghiệp tính đến thời điểm hiện tại đạt mức trung bình, tuynhiên với sự chuyển biến theo chiều hướng tích cực này, công ty TNHH tư vấn vàthương mại V-lead đang từng bước cố gắng, phát triển và dần đạt được vị thế caotrên thị trường

Năm 2017 được xác định là một năm đầy khó khăn với công ty ở tất cả cácloại hình dịch vụ Do thị trường đang xuất hiện ngày càng nhiều đối thủ cạnh tranhcùng lĩnh vực Việc giữ số lượng khách hàng cũ cũng đang trở thành vấn đề đángquan tâm, vì những doanh nghiệp mới hình thành có những ưu đãi hết sức cạnhtranh, dẫn đến việc khách hàng ngày càng có thêm nhiều sự lựa chọn cho mình

2.2.2 Phân tích, đánh giá thực trạng về vấn đề đảm bào AT cho HTTT của công ty TNHH tư vấn và thương mại V-lead.

Bảng 2.2: Thống kê trang thiết bị phần cứng của công ty

( Nguồn: Thông tin từ phiếu điều tra )

+ Bộ dụng cụ vệ sinh máy tính, máy in, máy chiếu

+ Sử dụng mật khẩu có tính bảo mật mạnh khi khởi động máy tính

+ Máy tính xách tay được bảo vệ chống xước, va đập bằng túi, bao chuyêndụng cho máy tính xách tay.

Chất lượng các thiết bị phần cứng được thể hiện như sau:

Biểu đồ 2.1: Chất lượng các thiết bị phần cứng

( Nguồn: Phiếu điều tra )

 Các thiết bị phần cứng của công ty đa phần được người sử dụng cho rằngchất lượng các thiết bị tốt và hoạt động tương đối ổn định Công ty đảm bảo mỗinhân viên văn phòng đều được trang bị một máy tính trong quá trình làm việc, tỉ lệmáy tính được kết nối Internet là 100% Đây sẽ là một sự khởi đầu tốt cho kế hoạchxây dựng một hệ thống đảm bảo ATBM HTTT cho Công ty

Biểu đồ 2.2: Sự cố phần cứng công ty thường gặp

(Nguồn: Phiếu điều tra)

Công ty gần như không gặp phải sự cố gì quá lớn về phần cứng Các thiết bị

sử dụng lâu ngày nên bảo trì để hoạt động đúng công suất phục vụ nhu cầu sử dụng

- Hiện nay, công ty đã có những giải pháp bảo mật thông tin trên phần cứngnhư sau:

Khôn

g có g

i phá

p

0 2 4 6 8 10 12 14

3

5

12

0

Biểu đồ 2.3: Các giải pháp bảo mật thông tin trên phần cứng

( Nguồn: Phiếu điều tra )

Công ty tập trung vào biện pháp cơ chế sao lưu và phục hồi dữ liệu là chủ yếu.Biện pháp sử dụng Firewall bảo vệ hệ thống máy chủ và lớp Firewall bên ngoài cònchưa được quan tâm

g có

thiế

t bị gì

Biểu đồ 2.4: Các thiết bị bảo mật bằng phần cứng

( Nguồn: Phiếu điều tra )

Nhìn chung, các thiết bị bảo mật bằng phần cứng của công ty còn đơn giản,chỉ để phục vụ cho công tác sao lưu và phục hồi dữ liệu là chủ yếu Vì vậy công tynên kết hợp cả các thiế bị Firewall phần cứng để đạt hiệu quả tốt nhất cho việc bảomật thông tin cho phần cứng

- Tần suất sao lưu dữ liệu trong công ty

Mức độ thườngxuyên

Trị số phầntrăm

Bảng 2.2: Tần suất sao lưu dữ liệu

( Nguồn: Phiếu điều tra )

Phần lớn ý kiến cho rằng dữ liệu của công ty được sao lưu từ 1 đến 3 thángmột lần Với tần suất sao lưu như vậy, nếu có gặp sự cố về ATTT thì mức độ thiệthại cũng giảm bớt đi vì thông tin không bị mất đi nhiều

2.2.2.2 Thực trạng đảm bảo an toàn phần mềm

- Hệ điều hành công ty đang sử dụng: Window Xp, Microsoft Office 2010 bản

quyền đối với các máy tính bàn

- Phần mềm bảo mật: phần mềm diệt virus Kaspersky

- Phần mềm: Microsoft Project giúp công ty nhanh chóng bắt đầu và dễ dàngthực thi dự án Phần mềm Microsoft Outlook, phần mềm quản lý thông tin cá nhâncủa Microsoft, ứng dụng trong công ty như công cụ để liên lạc và thông tin nội bộ

Phần mềm kế toán MISA, phần mềm quản lý nhân sự tiền lương CIS-HR và các

phần mềm hỗ trợ các nghiệp vụ kỹ thuật và thiết kế như Adobe Photoshop CS6 vàAdobe Illustrator,… ngoài ra công cụ hỗ trợ chính trong việc quản lý dữ liệu và xử

lý dữ liệu là các phần mềm ứng dụng của Microsoft, đặc biệt là excel

Mức độ hài lòng của nhân viên trong công ty đối với các phần mềm ứng dụngnhư sau:

( Nguồn: Phiếu điều tra )

Các phần mềm dễ sử dụng, việc cài đặt đơn giản, giao diện thân thiện đã giúpkhối lượng công việc của nhân viên giảm đi rất nhiều Có thể thấy, các phần mềmđáp ứng khá đầy đủ nhu cầu hoạt động của nhân viên

Tỷ lệ người sử dụng phần mềm bảo mật như sau:

20.00%

Sử dụng phần mềm bản quyền Không sử dụng phần mềm bản quyền

Biểu đồ 2.6: Biểu đồ thể hiện tỉ lệ người sử dụng phần mềm bảo mật.

( Nguồn: Phòng kỹ thuật )

Đa số các nhân viên đều sử dụng phần mềm bản quyền, tuy nhiên vẫn còn mộtlượng nhỏ nhân viên sử dụng phần mềm không bản quyền Điều này sẽ là một trongnhững nguy cơ ảnh hưởng đến an toàn hệ thống thông tin của công ty

- Tỷ lệ người đặt password cho phần mềm

30.00%

70.00%

Chart Title

Có password Không có password

Biểu đồ 2.7: Tỷ lệ người đặt password cho phần mềm

(Nguồn: Phiếu điều tra)

Số người đặt password cho các phần mềm sử dụng ở công ty còn rất ít Điềunày là một trong những lỗ hổng gây nên mất an toàn cho phần mềm, công ty cầnchú ý đến điều này hơn.

Cách thức đảm bảo ATTT:

Phần

ềm d

t virut

2.2.2.3 Thực trạng đảm bảo an toàn dữ liệu

CSDL của công ty được xây dựng chủ yếu trên excel Lưu trữ bằng công nghệđiện toán đám mây CSDL của các website được lưu trữ trong hệ quản trị cơ sở dữliệu bằng MS Excel, CSDL của khách hàng được lưu trong hệ quản trị cơ sở dữ liệu

MS sql server

- Công ty có một số chính sách để đảm bảo an toàn dữ liệu như sau:

+ Toàn bộ dữ liệu của công ty sẽ được lưu trữ trên máy chủ, cơ chế sao lưu dữliệu thường xuyên giúp công ty hạn chế tối thiểu những tổn thất khi thông tin gặpphải sự cố như hỏng hóc hay bị sửa đổi, bị xóa

+ Công ty đã có những biện pháp mã hóa thông tin để bảo vệ tính bí mật, xácthực và nguyên vẹn của tin Đồng thời sử dụng các biện pháp như: phân quyền

người sử dụng, đặt password để hạn chế những người không có quyền sử dụng truycập vào dữ liệu.

+ Đảm bảo an toàn cho thông tin trên mạng và an toàn cho cơ sở hạ tầng hỗtrợ nhằm ngăn ngừa sự tiết lộ, sửa đổi, xóa bỏ hoặc phá hoại bất hợp pháp các tàisản và sự gián đoạn các hoạt động nghiệp vụ chính yếu

Các biện pháp lưu trữ công ty sử dụng

Biểu đồ 2.9: Cách thức lưu trữ CSDL được sử dụng trong công ty

( Nguồn: Phiếu điều tra )

Ta có thể thấy, các cách thức lưu trữ của công ty còn rất thủ công Điều này cóthể gây nên mất mát, đánh cắp dữ liệu, rò rỉ thông tin, bị kẻ xấu dễ dàng try cập Vìvậy, công ty nên bổ sung, kết hợp thêm với các biện pháp tiên tiến khác để nâng caotính hiệu quả an toàn cho HTTT

Cách thức bảo vệ CSDL được sử dụng trong công ty:

Phân quyền NSD Mã hóa tài liệu Đặt password Tất cả 0

Biểu đồ 2.10: Cách thức bảo vệ CSDL được sử dụng trong Công ty

( Nguồn: Phiếu điều tra )

Rất nhiều nhân viên đã đặt password cho máy tính và tài liệu của mình để bảo

vệ thông tin dữ liệu Bên cạnh đó, hệ thống CSDL của công ty đã được phân quyền

sử dụng một cách cụ thể để đảm bảo tính bí mật của thông tin, tránh trường hợpngười không có hoạt động liên quan được truy cập tự do vào CSDL công ty Mặc dùvậy, phương pháp mã hóa tài liệu chưa được công ty ưa chuộng, vì thế để nâng caotính an toàn cho hệ thống thông tin, cần sử dụng thêm các phương pháp mã hóa tàiliệu

- Tần suất sao lưu dữ liệu trong công ty

Mức độ thườngxuyên

Trị số phầntrăm

Bảng 2.3: Tần suất sao lưu dữ liệu

( Nguồn: Phiếu điều tra )

Phần lớn ý kiến cho rằng dữ liệu của công ty được sao lưu từ 1 đến 3 thángmột lần Với tần suất sao lưu như vậy, nếu có gặp sự cố về ATTT thì mức độ thiệthại cũng giảm bớt đi vì thông tin không bị mất đi nhiều.

Các hình thức giao dịch chủ yếu của khách hàng với công ty:

Biểu đồ 2.11: Các hình thức giao dịch chủ yếu của khách hàng với công ty

( Nguồn: phiếu điều tra )

Thấy rằng giao dịch trực tiếp là nhiều nhất Như vậy, theo ý kiến của phầnđông nhân viên thì hiện nay hình thức giao dịch chủ yếu của Công ty vẫn là giaodịch truyền thống, phương pháp này chủ yếu áp dụng cho lĩnh vực sự kiện truyềnthông vì công ty phải đến gặp đối tác trực tiếp Việc giao dịch bằng phương pháptruyền thống không những tốn kém về thời gian, chi phí mà đồng thời rất dễ mấtthông tin Điều này ảnh hưởng lớn đến công tác đảm bảo ATTT cho doanh nghiệp.Giao dịch qua điện thoại, email cũng được công ty sử dụng nhiều vì tính chất nhanhgọn, đặc biệt hình thức giao dịch qua email được sử dụng nhiều cho lĩnh vực dịchthuật

Cách thức bảo mật thông tin cho khách hàng

Quản

lý e

mail

Quản lý

ebsite

Biểu đồ 2.12: Biểu đồ cách thức bảo mật thông tin cho khách hàng

( Nguồn: Phiếu điều tra )

Tần suất xuất hiện của quản lý email là nhiều nhất chiếm 50% sự lựa chọn,tiếp theo đó là quản lí hệ cơ sở dữ liệu Công ty vẫn sử dụng hình thức quản lýemail để bảo mật thông tin của khách hàng, cho thấy độ bảo mật bằng hình thức này

dễ bị tấn công và nguy cơ mất mát thông tin của khách hàng cao

Trong thời gian tới ngân sách mà công ty dự định sẽ đầu tư cho công tác bảomật thông tin và CSDL như sau:

Dưới 10 triệu 10-15 triệu 15-30 triệu 30-50 triệu hơn 50 triệu

Số tiền công ty dự định đầu tư cho công tác bảo mật thông tin và CSDL vẫncòn ít, suy ra công ty chưa để tâm đến vấn đề này

2.2.2.4 Thực trạng đảm bảo an toàn mạng máy tính

Công ty sử dụng cả mạng LAN, WIFI và mạng Internet để giao tiếp trong nội

bộ và bên ngoài Phương thức kết nối là Wireless tốc độ cao thông bộ định tuyếnModem/Router

Dùng giao thức TCP/IP với hệ thống Client/Server và sử dụng sơ đồ mạnghình sao Tất cả các máy tính trong mạng được kết nối tới một thiết bị tập trung tínhiệu trung tâm Thành phần trung tâm của mạng được gọi là Hub

Thiết bị phần cứng của mạng bao gồm: các máy tính PC, máy tinh cá nhân,đường truyền vật lý, 2 TP-link Máy chủ được đặt tại FTP, các máy tính có cấu hìnhmạnh được kết nối Internet băng thông rộng ADSL

- Những vấn đề về mạng công ty hay gặp phải

0 1 2 3 4 5 6

4

Biểu đồ 2.14: Những vấn đền công ty gặp phải về mạng

(Nguồn: Phiếu điều tra)

Công ty gặp phải những vấn đề về mạng cơ bản, những vấn đề này thườngxuyên xảy ra nhưng vẫn có các biện pháp khắc phục kịp thời

sách

điề

khiểtruy x

- Bảo mật đường truyền

0 1 2 3 4 5 6 7 8 9

2.2.2.5 Con người

Công ty có riêng đội ngũ nhân viên chuyên trách về CNTT đạt trình độ đại học

có kinh nghiệm Bên cạnh đó 100% nhân viên trong công ty đều sử dụng máy tínhthành thạo, được trang bị những kiến thức cơ bản về an toàn thông tin và tuân thủtheo những chính sách quy định nghiêm ngặt của công ty

Công ty thiết lập kiểm tra người ra vào công ty bằng dấu vân tay để tránh kẻgian đột nhập gây nguy hiểm đến an toàn thông tin nói riêng và các khía cạnh khácnói chung Đồng thời, mối nhân viên được lập một tài khoản riêng để đăng nhậpvào hệ thống, theo chức năng phân quyền của bộ phận IT, tùy thuộc vào chức vụ,lĩnh vực mà mỗi nhân viên có thể sử dụng khối lượng thông tin và loại thông tinkhác nhau

Trình độ về CNTT của nhân viên trong công ty

Biểu đồ 2.17: Trình độ về CNTT của nhân viên trong công ty

( Nguồn: phiếu điều tra )

Nhìn chung, trình độ về CNTT của nhân viên của công ty đã đạt yêu cầu, đápứng được các nhu cầu về ứng dụng và sử dụng các phần mềm trong công việc Tuynhiên vẫn còn một số hạn chế, chính vì thế, công ty luôn có nhu cầu đào tạo nângcao nhận thức, sự hiểu biết của các nhân viên về CNTT nói chung và về an toàn bảomật hệ thống thông tin nói riêng để có thể ứng dụng, hoàn thành công việc đạt hiểuquả và tính an toàn cao

Mức độ quan trọng của các thành phần trong HTTT của công ty

Phần cứng Phần mềm Mạng Website Con người CSDL

Biểu đồ 2.18: Mức độ quan trọng của các thành phần trong HTTT của công ty

( Nguồn: Phiếu điều tra )

Ta có thể thấy công ty đã đánh giá được tầm quan trong của yếu tố con ngườitrong vấn đề đảm bảo an toàn và bảo mật HTTT

Cách thức đào tạo CNTT cho nhân viên của công ty

Gửi n

hân viên đi ọc

Kh

g đà

o tạo

Biểu đồ 2.19: Cách thức đào tạo CNTT cho nhân viên của công ty

(Nguồn: Theo giám đốc)

Những nhân viên mới hay nhân viên chưa có kinh nghiệm sẽ được các nhânviên có kinh nghiệm trực tiếp đào tạo, bổ sung thêm kiến thức để phục vụ côngviệc Việc làm này giúp giảm bớt chi phí đào tạo và tăng tinh thần đồng đội đoànkết, thân thiết hơn Ngoài ra cách thức mở lớp đào tạo và gửi nhân viên đi học được

công ty áp dụng và cũng mang lại giá trị đáng kể tuy nhiên sẽ mất nhiều chi phíhơn.

2.2.2.6 Website

Trang web của công ty www.v-lead.com.vn cung cấp các tính năng sau:+ Giới thiệu về công ty: Các thông tin chung, các hoạt động, lĩnh vực dịch vụcung cấp chủ yếu, hình ảnh công ty tnhh tư vấn và thương mại V-lead, những nhậnxét, đánh giá của khách hàng đã sử dụng qua dịch vụ của công ty, cung cấp thôngtin, hình ảnh những dịch vụ đã thực hiện của công ty

+ Đó cũng là kênh thông tin để quảng bá, giới thiệu dịch vụ, sản phẩm của công tyg đến với khách hàng khắp mọi nơi từ đó mang lại những lợi ích to lớn.

- Thiết kế website: Các nhân viên chuyên trách về CNTT là người trực tiếpthiết kế website của công ty Dùng ngôn ngữ Javacscrip để thiết kế website và dùng

hệ CSDL MySQL phiên bản 5.6.1.4 cho Window XP

- Các biện pháp bảo mật website công ty đang dùng:

+ Cập nhật phiên bản vá lỗi mới nhất

+ Phân quyền

+ Cập nhật phiên bản vá lỗi mới nhất

+ Sao lưu (back up) CSDL và mã nguồn website

+ Ẩn mình-Hide path

+ Mã hóa file chứa thông tin nhạy cảm

+ Sử dụng host chất lượng và mua thêm các gói bảo mật

- Tầm quan trọng của công tác bảo mật website đối với công ty

Rất quan trọng Quan trọng Bình thường Chưa quan trọng Không quan trọng

Biểu đồ 2.20: Mức độ quan trọng trong việc bảo mật website tại công ty

( Nguồn: Phiếu điều tra )